Opakované restartování počítačů

[Pavel180]

Dobrý den,
rád bych požádal o pomoc. Jsem správcem IT nazákladní škole a zhruba před týdnem sezačaly počítače (pouze někter v síti v počítačové učebně) restarovat. Po zapnutí a objevení se okna pro zalogování, dojde k restartu buďihned po zadání údajů nebo se počítač zrestartuje, aniž by do něho kdokoli cokoli psal.
Myslím, že už jsem vyloučil HW důvody. V počítačích jsem vyměnil zdroje i paměti. Jedná se o počítače MAXDATA se stejnou konfigurací a vzhledem k tomu, že se problémy vyskytují na více počítačích najednou, nepředpokládám takovou náhodu, že by došlo u všech z nich k podobnému či stejnému HW problému.
Začal jsem uvažovat o nějakém viru, nicméně nainstalovaný antivir od Symantecu nic nehlásí (byl instalován ihned po instalaci čistých Windows), vytvořil jsem si i několik boot CD s programy typu Kaspersy apod,ale ani tato kontrola nenahlásila žádné možně infekce. Na počítačích jsou pravidelně a automaticky instalovány aktualizace.
Rádbych proto poprosil, zda by někdo nemohl omrknout log, zda se nejedná o něco, co nejsou schopné detekovat běžné antiviry. Problém ale bude asi s vytvořením logu, protože jak jsem napsal, ihned po přihlášení dochází k restaru počítače. Existuje možnost, jak i přes to použít program RSIT a vytvořit logy pro zkontrolování?

Děkují moc za jakoukoli pomoc či radu
Pavel Řepa

[Pavel180]

Udelal jsem log na pocitaci, ktery zatim funguje bez problemu. Jak jsem jiz psal, v ucebne jsou vsechny stroje identicke,az treba na vymenovanou sitovou kartu apod. Z 27 stroju v ucebne v soucasne dobe dochazi krestartum u asi 11 kousku.
Chcete sem ten log ze "zdraveho" pocitace dat? Je vam k necemu?

Jinak dekuji za reakci a odpoved
Flashka bude za hotova tak za hodinu.
PR.

PS: Jeste me napadlo, v navodu je poznamka o vytvareni na nenakazenem pocitaci. Protoze vlastne vsechny pocitace ve skole jsou propojene v siti a podivne chovani tech podezrelych se vyskytuje bez mne zname logiky, myslite ze muzu povazovat pocitac, ktery se aktualne nerestartuje za nenakazeny? Je nejak kritické, pokud by to taknebylo? Mam se pokusit vytvorit to boot USB uplne mimo skolu?

[Pavel180]

Muze to byt, to co rikate, ale je zvlastni, ze se mnozi pocet pocitacu, ktere vykazuji tuto chybu. A rozhodne to neni tak, ze by zaci stihli obejit vsechny stroje, kde se restart vyskytuje, nehlede na to, ze ten pocet se zvysoval behem hodiny, kdy jsem byl v ucebne pritomen a rozhodne nikdo pocitace neobchazel. A navic zaci jsou pouze ve skupine USER, na upravy registru by nemeli mit opravneni.
Samozrejme je moznost, ze pripadny vir je nekde na serveru a napadne pocitac pri logovani se uzivatele. Nicmene i serverove antivirove testy neodhalily zadnou nakazu.

[Pavel180]

Zdravim,
je mi jasny, ze bez logu to nejde. Psal jsemto jenomproto, abyste mel co nejvic info.

Bohuzel se vyskytl problem. USB disk jsem vytvoril, ale pokud se z nej pokusim bootovat na inkriminovanem pocitaci, skonci to modrou smrti. Pokousel jsem se dle navodu o nastaveni v biosu, ale at jsem zkousel nastavit co slo, bootovani vzdy skoncilo stejnou modrou smrti.
Zkousl jsem to i na jinych problemovych pocitacich, dopadlo to stejne.

Treba pomuze:
jedna se o PC s zakl deskou ASUS P4P800-VM s AMIBIOSEM, je z roku 2004, aspon podle BIOS build date

Kdyz jsem USB pouzil na jinem pocitaci, sice po dlouhe dobe, ale preci jen nabehl OS s ikonami.

Napda me pokusit sae flashnout BIOS, jetli to pujde, mrknu k ASUSUm.

Kdybyste mel i jiny napad, budu rad.
Dekuji
PR

[Pavel180]

Bohužel se mi stále nepodařilo přesvědčit počítače, aby nabutovaly system z flash disku. Pokusím se vytvořit dle alternativního návrhu boot CD, snad budu mít větší úspěch.
PŘ

[Pavel180]

CD mám vypálené, ten log jde poslat přímo z prostředí toho systému na CD nebo je třeba ho nějak ukládat a posléze posílat.
Mám ten log vložit přímo sem do vlákna?
PŘ

[Pavel180]

Tak a je na svete dalsi problem. Nabutuji z CD, spustim OTLpe, ale po vybrani Administratora vse skonci moddrou smrti s hlaskou REGISTRY_ERROR.
Kudy ted dal? Vyzkouseno pouze na jednom z pocitacu, ktere zlobi. Odpoledne to jeste zkusim na dalsich.

PŘ

Jeste jsem to zkusil na dalsim stroji se stejnym vysledkem.

[Pavel180]

Zdravim,
stahnuto, vypaleno, po nabutovani z CD se pokousim spustit stazeny uvedeny soubor, opet se objevi modra obrazovka s info REGISTRY_ERROR

Dalsi napad? Pocet pocitacu ktere vykazuji problem se opet zvysil. Nyni uz se vice nez polovina pocitacu v ucebne (15 z 27) opakovane restaruje.
Nenavrhnete nejake opatreni? Jako treba odpojit od site nebo tak neco. Zkusil jsem to na jednom stroji, ktery se restartoval, ale k restarum dochazi porad dokola i kdyz je odpojen od site.

Z naposled vypaleneho CD jsem zkusil testy v AVIRA, ale i po stazeni apdatu bezuspesne. Pouze test, ktery kontroluje i zabalene soubory, ohlasil, ze jeden ze souboru s nazvem A0006872.exe je encrypted. Byl nekde v podadresarich C:\System Volume Information\... (presne jsem si nepoznamenal). Na internetu jsem nasel info o moznem viru, trojanu, riskware, apod. ale moc moudry z toho nejsem.

Jak je mozne, ze uz jsem zkusil tolik antivir programu a porad zadny z nich nenasel hrozbu? Nemate napad, zda nezacit hledat i jinym smerem?
Diky za dalsi info
PŘ

[JaRon]

pripojim par napadov na vikend
- vyber z 2ks restartujucich PCs HDD - doma pripoj k funkcnemu Windows a pozri:
ci su viditelne adresare system32, windows apod. dost casto "neexistuju" - t.j. boli odstranene ,,,
ak budu data v poriadku az potom prescanuj disk/y s AVPTool

P.S. najrychlejsou cestou obnovy ucebne je preklonovat z funkcneho kusa vsetky ostatne - len zmenis nazov/IP

[Pavel180]

Zdravim a díky za další nápady.
Zkusim asi oba nápady.
U toho prvního mám malej trablík a to sice to, že s linuxem si úplně netykám. Dají se vytáhnout požadované soubory registrů a ze složky SYSTEM32 i za pomoci těch CD. co jsem vytvořil: Kde jsou ta miniWIN? A šlo by vyspecifikovat, co všechno bych případně měl okopírovat a někam dát? Kde všude jsou soubory, které vás zajímají?

K druhému nápadu: disky vyndám, pripojím, to není problém. Jen taky nevím úplně přesně, co by tam mělo být. Ty dva zmíněné adresáře samozřejm vím, ale pouhým okem asi moc nevykoumám. Jen mě zajímá, zda hrozí reálné nebezpečí zavirování teoreticky zatím funkčního počítače? Jestli to správně chápu, AVPTool nainstaluju do funkčního stroje a otestuju tím připojené disky?

Co se týká obnovy počítačů, mám jejich image uloženou, ale už jsem je jednou obnovoval a vydrželo to cca 4 dny a je to z5. Přijde mi to jako zbytečná práce, dokud nezjistím, co to je za šmejda a kde všude může být. To bych pak nedělal nic jinýho než obnovoval. Je zvláštní, že byl prvotní nárůst restartujících se strijů poměrně rychlý, nyní už další počítače přibývají mnohem pomaleji. A navíc vlastně skoro všechny napadené stroje jsou v rámci jedné učebny. Máme na škole další dvě, ale v nich se to zatím neprojevilo (až na dva případy). Všechno v jedné síti, žáci využívají všechny tři učebny ... Zkrátka divné chování ..

Děkuju za nápady a těším se na další, páč mě už pomalu žádný další nápady nenapadaj.

PŘ

[JaRon]

- samotnym pripojenim diskov nehrozi zavirenie ,,, nesmie sa nic z tychto diskov spustat
- AVPTool sa iba rozbali a spusti na disku so systemom a vyberies scan pripojenych diskov z ucebne
- pri zbeznom prehliadani tych diskov musia existovat adresare Windows, system, system32 a nesmu byt prazdne

[Pavel180]

Zdravim,
tak se s tim dal peru. Nevim, jetli to pro vas muze mit nejaky vyznam, ale zjistil jsem, ze k restartovani nedojde, pokud se pocitac spusti v nouzovem rezimu (obycejnem). Pokud vsak dojde ke spusteni v nouzovem rezimu s praci v siti, dojde opet k restartu po zalogovani se jako lokalni administrator.
Zkusim poslat soubory ze zminovanych adresaru. Dam je nekam na uschovnu nebo tak.
PŘ

[Pavel180]

Další nápad je ten. vzít distribuci linuxu, z nej získat soubory registry a vsechny soubory ze system32 resp podadresářech cele je upnout nekam. Já si je doma prosmejdím.

bohuzel dnes uz musim padit do prace.

Ano pc od site odpojit.

Zabalene zkopirovane adresare C:\WINDOWS\system32\drivers a C:\WINDOWS\system32\config
jsou ke stazeni na
http://www.ulozto.cz/x78dcs7/napadene-pc-rar

Jsem zvedavy, jestli z nich neco vykoukate.

Co se tyka kontroly v AVPTool ted to bezi, jeste dneska budu vedet, jak to dopadlo, ted musim zmizet.

DDS jdu jeste udelat

PŘ

[Pavel180]

Tak se mi povedlo udelat logy v nouzovem rezimu. Jen pro uplnost, zkopirovane obsahy adresaru, ktere jsem daval na ulozto jsou z jineho pocitace, nez nasledujici vypis (posilam jen prvni soubor dle na navodu):

.
DDS (Ver_2011-08-26.01) - NTFSx86 MINIMAL
Internet Explorer: 8.0.6001.18702
Run by Administrator at 20:24:20 on 2012-06-03
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.1015.818 [GMT 2:00]
.
AV: Aplikace Symantec Endpoint Protection *Disabled/Updated* {FB06448E-52B8-493A-90F3-E43226D3305C}
FW: Aplikace Symantec Endpoint Protection *Enabled*
.
============== Running Processes ===============
.
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\svchost.exe -k netsvcs
C:\Program Files\Symantec\Symantec Endpoint Protection\Rtvscan.exe
C:\WINDOWS\Explorer.EXE
.
============== Pseudo HJT Report ===============
.
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
EB: {32683183-48a0-441b-a342-7c2a440a9478} - No File
uRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
mRun: [IgfxTray] c:\windows\system32\igfxtray.exe
mRun: [HotKeysCmds] c:\windows\system32\hkcmd.exe
mRun: [Smapp] c:\program files\analog devices\soundmax\SMTray.exe
mRun: [ccApp] "c:\program files\common files\symantec shared\ccApp.exe"
mRun: [Adobe ARM] "c:\program files\common files\adobe\arm\1.0\AdobeARM.exe"
mRun: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
mRun: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
dRun: [BrowserChoice] "c:\windows\system32\browserchoice.exe" /run
StartupFolder: c:\docume~1\alluse~1\nabdka~1\programy\posput~1\window~1.lnk - c:\program files\windows desktop search\WindowsSearch.exe
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program files\messenger\msmsgs.exe
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office12\REFIEBAR.DLL
TCP: DhcpNameServer = 10.96.33.254
TCP: Interfaces\{6675BC15-11AE-47A1-AAD2-AC5CBBF25DDA} : DhcpNameServer = 10.96.33.254
Notify: igfxcui - igfxsrvc.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
SEH: Windows Desktop Search Namespace Manager: {56f9679e-7826-4c84-81f3-532071a8bcc5} - c:\program files\windows desktop search\MSNLNamespaceMgr.dll
.
============= SERVICES / DRIVERS ===============
.
R2 ccEvtMgr;Symantec Event Manager;c:\program files\common files\symantec shared\ccSvcHst.exe [2008-12-18 108392]
R2 ccSetMgr;Symantec Settings Manager;c:\program files\common files\symantec shared\ccSvcHst.exe [2008-12-18 108392]
R2 Symantec AntiVirus;Aplikace Symantec Endpoint Protection;c:\program files\symantec\symantec endpoint protection\Rtvscan.exe [2009-2-1 2440120]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\macromed\flash\FlashPlayerUpdateService.exe [2012-4-16 257696]
S3 COH_Mon;COH_Mon;c:\windows\system32\drivers\COH_Mon.sys [2008-11-18 23888]
S3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\common files\symantec shared\eengine\EraserUtilRebootDrv.sys [2012-4-15 106104]
S3 NAVENG;NAVENG;c:\progra~1\common~1\symant~1\virusd~1\20120528.024\NAVENG.SYS [2012-5-29 87928]
S3 NAVEX15;NAVEX15;c:\progra~1\common~1\symant~1\virusd~1\20120528.024\NAVEX15.SYS [2012-5-29 1589752]
S3 PSched;Plánovač paketů technologie QoS;c:\windows\system32\drivers\psched.sys [2003-4-16 69120]
S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [2003-4-16 14336]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\microsoft.net\framework\v4.0.30319\wpf\WPFFontCache_v0400.exe [2010-3-18 753504]
.
=============== Created Last 30 ================
.
.
==================== Find3M ====================
.
2012-06-03 18:21:13 90112 ----a-w- c:\windows\DUMPc1a8.tmp
2012-06-03 18:18:45 90112 ----a-w- c:\windows\DUMPc493.tmp
2012-06-03 18:16:24 90112 ----a-w- c:\windows\DUMPc14a.tmp
2012-06-03 18:13:58 90112 ----a-w- c:\windows\DUMPbf81.tmp
2012-06-03 18:11:37 90112 ----a-w- c:\windows\DUMPc30c.tmp
2012-06-03 18:09:14 90112 ----a-w- c:\windows\DUMPc4ce.tmp
2012-06-03 18:06:53 90112 ----a-w- c:\windows\DUMPc050.tmp
2012-06-03 18:04:26 90112 ----a-w- c:\windows\DUMPbf76.tmp
2012-06-03 18:02:07 90112 ----a-w- c:\windows\DUMPc21a.tmp
2012-06-03 17:59:46 90112 ----a-w- c:\windows\DUMPc235.tmp
2012-06-03 17:57:26 90112 ----a-w- c:\windows\DUMPc0ae.tmp
2012-06-03 17:55:01 90112 ----a-w- c:\windows\DUMPc29f.tmp
2012-06-03 17:52:38 90112 ----a-w- c:\windows\DUMPc29e.tmp
2012-06-03 17:50:17 90112 ----a-w- c:\windows\DUMPc3c5.tmp
2012-06-03 17:47:58 90112 ----a-w- c:\windows\DUMPc583.tmp
2012-06-03 17:45:37 90112 ----a-w- c:\windows\DUMPc205.tmp
2012-06-03 17:43:18 90112 ----a-w- c:\windows\DUMPc3b5.tmp
2012-06-03 17:40:58 90112 ----a-w- c:\windows\DUMPc204.tmp
2012-06-03 17:38:39 90112 ----a-w- c:\windows\DUMPc412.tmp
2012-06-03 17:36:19 90112 ----a-w- c:\windows\DUMPc251.tmp
2012-06-03 17:33:59 90112 ----a-w- c:\windows\DUMPc90c.tmp
2012-06-03 17:31:38 90112 ----a-w- c:\windows\DUMPc203.tmp
2012-06-03 17:29:10 90112 ----a-w- c:\windows\DUMPc1f7.tmp
2012-06-03 17:26:49 90112 ----a-w- c:\windows\DUMPbfd2.tmp
2012-06-03 17:24:29 90112 ----a-w- c:\windows\DUMPbfa5.tmp
2012-06-03 17:22:06 90112 ----a-w- c:\windows\DUMPc407.tmp
2012-06-03 17:19:46 90112 ----a-w- c:\windows\DUMPc57b.tmp
2012-06-03 17:17:21 90112 ----a-w- c:\windows\DUMPc1f6.tmp
2012-06-03 17:14:58 90112 ----a-w- c:\windows\DUMPc406.tmp
2012-06-03 17:12:32 90112 ----a-w- c:\windows\DUMPc1a7.tmp
2012-06-03 17:10:10 90112 ----a-w- c:\windows\DUMPc50f.tmp
2012-06-03 17:07:44 90112 ----a-w- c:\windows\DUMPc240.tmp
2012-06-03 16:56:21 90112 ----a-w- c:\windows\DUMPc262.tmp
2012-06-03 16:54:01 90112 ----a-w- c:\windows\DUMPc149.tmp
2012-06-03 16:51:42 90112 ----a-w- c:\windows\DUMPca06.tmp
2012-06-03 16:47:37 90112 ----a-w- c:\windows\DUMP2da7.tmp
2012-06-03 16:45:47 90112 ----a-w- c:\windows\DUMPc549.tmp
2012-06-03 16:43:27 90112 ----a-w- c:\windows\DUMPc1a6.tmp
2012-06-03 16:41:07 90112 ----a-w- c:\windows\DUMPc293.tmp
2012-06-03 16:38:46 90112 ----a-w- c:\windows\DUMPc4da.tmp
2012-06-03 16:36:31 90112 ----a-w- c:\windows\DUMPc2ee.tmp
2012-06-03 16:34:11 90112 ----a-w- c:\windows\DUMPbfa4.tmp
2012-06-03 16:31:52 90112 ----a-w- c:\windows\DUMPc613.tmp
2012-06-03 16:29:24 90112 ----a-w- c:\windows\DUMPc0fc.tmp
2012-06-03 16:27:03 90112 ----a-w- c:\windows\DUMPc292.tmp
2012-06-03 16:24:44 90112 ----a-w- c:\windows\DUMPc0fb.tmp
2012-06-03 16:22:24 90112 ----a-w- c:\windows\DUMPc69e.tmp
2012-06-03 16:19:59 90112 ----a-w- c:\windows\DUMPc0fa.tmp
2012-06-03 16:17:41 90112 ----a-w- c:\windows\DUMPbe3c.tmp
2012-06-03 16:15:17 90112 ----a-w- c:\windows\DUMPbfa3.tmp
2012-06-03 16:12:55 90112 ----a-w- c:\windows\DUMPbd3d.tmp
2012-06-03 16:10:32 90112 ----a-w- c:\windows\DUMPc411.tmp
2012-06-03 16:08:15 90112 ----a-w- c:\windows\DUMPc335.tmp
2012-06-03 16:05:53 90112 ----a-w- c:\windows\DUMPc367.tmp
2012-06-03 16:03:30 90112 ----a-w- c:\windows\DUMPc126.tmp
2012-06-03 16:01:02 90112 ----a-w- c:\windows\DUMPc56b.tmp
2012-06-03 15:58:40 90112 ----a-w- c:\windows\DUMPc202.tmp
2012-06-03 15:56:18 90112 ----a-w- c:\windows\DUMPc2ed.tmp
2012-06-03 15:53:58 90112 ----a-w- c:\windows\DUMPc05f.tmp
2012-06-03 15:51:33 90112 ----a-w- c:\windows\DUMPc189.tmp
2012-06-03 15:49:14 90112 ----a-w- c:\windows\DUMPc527.tmp
2012-06-03 15:46:54 90112 ----a-w- c:\windows\DUMPc535.tmp
2012-06-03 15:44:39 90112 ----a-w- c:\windows\DUMPc50e.tmp
2012-06-03 15:42:19 90112 ----a-w- c:\windows\DUMPc2dd.tmp
2012-06-03 15:39:56 90112 ----a-w- c:\windows\DUMPc4d9.tmp
2012-06-03 15:37:37 90112 ----a-w- c:\windows\DUMPc366.tmp
2012-06-03 15:35:17 90112 ----a-w- c:\windows\DUMPc1e7.tmp
2012-06-03 15:33:00 90112 ----a-w- c:\windows\DUMPc405.tmp
2012-06-03 15:30:40 90112 ----a-w- c:\windows\DUMPc2c0.tmp
2012-06-03 15:28:20 90112 ----a-w- c:\windows\DUMPc31b.tmp
2012-06-03 15:26:00 90112 ----a-w- c:\windows\DUMPc250.tmp
2012-06-03 15:23:41 90112 ----a-w- c:\windows\DUMPc56a.tmp
2012-06-03 15:21:20 90112 ----a-w- c:\windows\DUMPc125.tmp
2012-06-03 15:18:55 90112 ----a-w- c:\windows\DUMPc1e6.tmp
2012-06-03 15:16:33 90112 ----a-w- c:\windows\DUMPc0c9.tmp
2012-06-03 15:14:14 90112 ----a-w- c:\windows\DUMPc4ac.tmp
2012-06-03 15:11:54 90112 ----a-w- c:\windows\DUMPc854.tmp
2012-06-03 15:09:31 90112 ----a-w- c:\windows\DUMPc300.tmp
2012-06-03 15:07:14 90112 ----a-w- c:\windows\DUMPc4a1.tmp
2012-06-03 15:04:54 90112 ----a-w- c:\windows\DUMPc871.tmp
2012-06-03 15:02:38 90112 ----a-w- c:\windows\DUMPc582.tmp
2012-06-03 15:00:18 90112 ----a-w- c:\windows\DUMPc71a.tmp
2012-06-03 14:57:58 90112 ----a-w- c:\windows\DUMPc51c.tmp
2012-06-03 14:55:37 90112 ----a-w- c:\windows\DUMPbd79.tmp
2012-06-03 14:53:24 90112 ----a-w- c:\windows\DUMPc643.tmp
2012-06-03 14:51:02 90112 ----a-w- c:\windows\DUMPbed2.tmp
2012-06-03 14:48:40 90112 ----a-w- c:\windows\DUMPc328.tmp
2012-06-03 14:46:17 90112 ----a-w- c:\windows\DUMPc0c8.tmp
2012-06-03 14:44:00 90112 ----a-w- c:\windows\DUMPc3a8.tmp
2012-06-03 14:41:39 90112 ----a-w- c:\windows\DUMPc2ca.tmp
2012-06-03 14:39:21 90112 ----a-w- c:\windows\DUMPc67f.tmp
2012-06-03 14:37:03 90112 ----a-w- c:\windows\DUMPc46e.tmp
2012-06-03 14:34:42 90112 ----a-w- c:\windows\DUMPc1e5.tmp
2012-06-03 14:32:24 90112 ----a-w- c:\windows\DUMPc4cd.tmp
2012-06-03 14:30:04 90112 ----a-w- c:\windows\DUMPc5f1.tmp
2012-06-03 14:27:47 90112 ----a-w- c:\windows\DUMPc3b4.tmp
2012-06-03 14:25:25 90112 ----a-w- c:\windows\DUMPc661.tmp
2012-06-03 14:23:07 90112 ----a-w- c:\windows\DUMPc46d.tmp
2012-06-03 14:20:48 90112 ----a-w- c:\windows\DUMPc124.tmp
2012-06-03 14:18:27 90112 ----a-w- c:\windows\DUMPc2dc.tmp
.
============= FINISH: 20:25:44,92 ===============

[Pavel180]

Zdravím,
tak kontrola pomocí AVPTool doběhla na disku vyndaném z restartujícího se počítače, byla objevena hrozba s názvem malware Hoax.35.BackJoke.FlyWin.C a nahlasilo to úspěšné odstranění.
Nicméně to nepomohlo, po navrácení disku do původního počítače se tento počítač začal opět restartovat

Ten smajlik na konci vypovídá všechno. Království za to, co najde příčinu!!!!