Tietokone boottailee

[Tuomas Kuukasjärvi 2]

Moi,

 

Tässä nyt tuli sellainen ongelma tietokoneen kanssa, että tietokone boottailee itsekseen aina parin minuutin jälkeen käynnistymisestä. Todella ärsyttävä ongelma, josta en löytänyt mitään tietoa tältä foorumilta.

 

Mistähän voisi johtua?

 

Tuomas

[Tuomas Kuukasjärvi 2]

Kone skannattu viruksien ja haittaohjelmien varalta?

 

On... Voisihan tuota vielä kokeilla, kunhan kerkeääpi.

[Mika Virolainen 715]

Oli aikoinaan WinXp:n ongelma. Ongelmaa ei saanut korjattua muuten kun uudelleen asentamalla. Tämä kuitenkin ennen SP1 ja SP2 päivityksiä!

 

T: Mika

 

Edit: ja tarkista virta & reset kytkimien oikea toiminta.

[Tuomas Kuukasjärvi 2]

Noh... Tarkistinpa koneen vielä haittaohjelmilta ja löytyihän niitä muutama... Ne on nyt poistettu, mutta ongelma jatkuu. Voisiko vika olla virtanappulassa, kuten Mika ehdotti, vaikka kone pysyy päällä vikasietotilassa.

 

Uudelleen asennukseenko tässä joudutaan.

[Esa Lehtismäki 0]

Jos kokoonpanosi on sellainen, että täysi uudelleenasennus on isotöinen, voit kokeilla asentaa toisen Windowsin eri levyosiolle ja kokeilla sillä pyörittää jotain raskasta. Jos sillä toimii, tiedät varmaksi, että vika on softassa. Jos silläkin pätkii, vika on raudassa.

[Mika Virolainen 715]

Jos pelittää vikasietotilassa niin ei virtakytkimissä ole vikaa. Olin WinXp:n ilmestymisen aikoihin tietokonehuoltajana eräässä liikkeessä. Takuukorjauksissa (kone boottailee) huomasimme ettei muu kuin uudelleenasennus tepsi, eli ihmiset olivat asentaneet tai tehneet jotain aivan tavallista jonka jälkeen vika ilmeni. Toinen hyvin yleinen syy on vioittunut muistikampa. Jos koneessasi on useampi tällainen?, voisit poistaa niitä yksitellen / vaihdella ja kokeilla josko toimisi? On täysin mahdollista että vikasietotilassa tuota viallista muistiosoitetta ei käytetä. Jos koneessasi on vain yksi muistikampa, niin voisit jostain muusta koneesta (toimivasta) lainata muistia ja kokeilla toimiiko. En tiedä korjautuiko vika SP1 -päivityksen jälkeen? Ainakaan se ei enään tunnu olevan niin yleinen kuin ilmestymisen aikoihin!

 

T: Mika

 

PS: Tarkista ensin että prosessorin ja näytönohjaimen tuulettimet pyörivät normaalisti, ja ettei kone ole "imuroinut" itseään täyteen pölyä. Joskus pöly aiheuttaa liikaa kuumenemista (esiintyy kun konetta rasitetaan), jolloin alkaa esiintyä vikoja.

[Juha Paulavuo 21]

Muutaman kerran vastaavaan törmäänneenä epäilyt kohdistuvat emolevyn puolelle.

[Guest Zoog]

ongelmana voisi myös olla virtälähte, on nähnyt virtalahteita joka ovat sen verrean heikoja että kone katuille.  kun katulle riitavan uusein Windos voi vaurioitua.  Ongelma on oikeastan halpis powereiten ja tai vanhoijen alamittaisien (300W tai pienempi) virtalatien kanssa.

 

[Ville Pirttinokka 0]

Tuleeko Tuomas ruudulle pieni ikkuna jossa kerrotaan paljonko aikaa

uudelleenkäynnistykseen on, vai onko käynnistys vastaava kuin jos

painais resettiä?

 

Jos ensin mainitulla tyylillä, niin veikkaan virusta/matoa. Omalla koneella

joskus ollut tollanen ja se pisti kyllä ärsyttämään.

 

Tästä linkistä löytyy jotain tietoa noista sammuttelijaohjelmista:

http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?id=36265

[Tuomas Kuukasjärvi 2]

vai onko käynnistys vastaava kuin jos

painais resettiä?

 

 

Tuollainen on... Virtalähde pitäisi riittää, onhan se 430W vasta vaihdettu... Myös emolevy on vaihdettu suhteellisen vasta.

 

Uudelleen asennnukseen se kai on sitten mentävä.

[Sami Wilenius 0]

Kai automaattibuutti virheen sattuessa on otettu pois, eli control panel / system / advanced / startup and recovery -kohdasta on "automatically restart"-ruksi pois päältä?

Tuolloin koneen ei pitäisi buutata, vaan ruudulle tulee syy miksi kone kaatui. Toinen mahdollisuus on katsoa event-logista mitä koneelle on tapahtunut.

Tarkasta myös koneen lämmöt, jos esim. prosessorituuletin ei toimi kunnolla, niin kone kyllä menee aika nopeasti solmuun.

 

[Tuomas Kuukasjärvi 2]

Kai automaattibuutti virheen sattuessa on otettu pois, eli control panel / system / advanced / startup and recovery -kohdasta on "automatically restart"-ruksi pois päältä?

Tuolloin koneen ei pitäisi buutata, vaan ruudulle tulee syy miksi kone kaatui. Toinen mahdollisuus on katsoa event-logista mitä koneelle on tapahtunut.

Tarkasta myös koneen lämmöt, jos esim. prosessorituuletin ei toimi kunnolla, niin kone kyllä menee aika nopeasti solmuun.

 

 

Otinpa pois päältä ja ruutuun kyllä tuli ilmoitus. Lämpötilat on mielestäni normaalit ja mistäs tuon even.login löytää? Itse en hirveästi noista ihme teksteistä selvää saa, mutta jos täällä on joku joka osaa sanoa vian.

[Guest Mckeke83]

Otinpa pois päältä ja ruutuun kyllä tuli ilmoitus. Lämpötilat on mielestäni normaalit ja mistäs tuon even.login löytää? Itse en hirveästi noista ihme teksteistä selvää saa, mutta jos täällä on joku joka osaa sanoa vian.

Control Panel- > Administrative Tools -> Event Viewer.

[Guest AvS_MotorSports]

Otinpa pois päältä ja ruutuun kyllä tuli ilmoitus. Lämpötilat on mielestäni normaalit ja mistäs tuon even.login löytää? Itse en hirveästi noista ihme teksteistä selvää saa, mutta jos täällä on joku joka osaa sanoa vian.

 

Eli siis sininen ruutu jossa valkoista tekstiä? Kertoisitko mitä se valkoinen teksti kertoo? Voit myös itse ottaa tämän ylös ja googlella hakea. Veikkaanpa että microsoftin sivuilta löytyy tähän vikailmoitukseen jotain vinkkejä.

 

Itselläni oli joskus kanssa ongelmia tuon boottailun vuoksi. Valitti kokoajan USB ajureista. Ei sitten mitkään ajurit yms. auttaneet. Emolevyn vaihto auttoi asiaan (siellä oli kai jotain rikki).

[Tuomas Kuukasjärvi 2]

Tälläiset olivat ilmoituksen tekniset tiedot:

***STOP: 0x0000008E (0xc0000005, 0xF416E439, 0xB9611EC, 0x00000000)

*** System32:lzx32.sys - Address F416E439 base at F416C000, DateStamp 45830b7f

 

Kai noista joku ottaa selvää? ???

[Tatu Kantomaa 2 877]

http://www.superadblocker.com/definition/lzx32/

 

http://www.symantec.com/security_response/writeup.jsp?docid=2006-070513-1305-99&tabid=2

 

Joku muu saa selittää miten tuo poistetaan....

[Mikko Lindström 55]

Moro!

 

Joo näyttää vahvasti siltä että sulla on tuo Rustock rootkitti koneella. Noi rootkitit on siitä ärsyttäviä kun HijackThis lokissa ja virustutkien lokeissa ei välttämättä näy yhtä ainutta johtolankaa niistä kun ne osaavat piilottaa itsensä

 

Kokeiles tätä:

 

Lataa RustBFix by ejvindh ja tallenna se työpöydällesi.

 

Tuplaklikkaa tiedostoa rustbfix.exe. Jos löytyy Rustock.b-infektio, sinua pyydetään pian käynnistämään kone uudelleen. Uudelleenkäynnistyminen saattaa kestää hetken ja joudut ehkä käynnistämään koneen vielä toisenkin kerran. Kaikki tämä tapahtuu automaattisesti. Uudelleenkäynnistyksen jälkeen kaksi lokitiedostoa avautuu (%root%\avenger.txt & %root%\rustbfix\pelog.txt).

 

Kopioi ja liitä nämä kaksi lokitiedostoa seuraavaan vastaukseesi

[Teemu Lokka 53]

System restore pois päältä, eli järjestelmän palautus pois toiminnasta.

Ja sitten F-Secure balcklightia kehiin saat sen täältä:  http://www.f-secure.com/blacklight/try_blacklight.html

Ota tuo graphical user interface versio.

[Tuomas Kuukasjärvi 2]

RustBFix ajettu ja tässä lokit:

 

Pelog:

************************* Rustock.b-fix -- By ejvindh *************************

ma 18.12.2006 17:17:10,79

 

******************* Pre-run Status of system *******************

 

Rootkit driver PE386 is found. Starting the unload-procedure....

 

Rustock.b-ADS attached to the System32-folder:

 

Looking for Rustock.b-files in the System32-folder:

No Rustock.b-files found in system32

 

 

******************* Post-run Status of system *******************

 

Rustock.b-driver on the system: NONE!

 

Rustock.b-ADS attached to the System32-folder:

No System32-ADS found.

 

Looking for Rustock.b-files in the System32-folder:

No Rustock.b-files found in system32

 

 

******************************* End of Logfile ********************************

 

Avenger:

Logfile of The Avenger version 1, by Swandog46

Running from registry key:

\Registry\Machine\System\CurrentControlSet\Services\gvigiecw

 

*******************

 

Script file located at: \??\C:\lfmmxstd.txt

Script file opened successfully.

 

Script file read successfully

 

Backups directory opened successfully at C:\Avenger

 

*******************

 

Beginning to process script file:

 

Driver PE386 unloaded successfully.

Program C:\Rustbfix\2run.bat successfully set up to run once on reboot.

 

Completed script processing.

 

*******************

 

Finished!  Terminate.

 

EDIT: Ainakin näin alkuun tuntuisi auttaneen! Probsit Mikolle ja muille jälleen!

[Mikko Lindström 55]

Juu siellä se PE386 rootkitti oli, vaan ei ole enää

 

[EDIT] Laitas vielä kerran se HjT loki, noilla on tapana usein ladata uutta ryönää koneeseen niin varmistetaan ettei ole tullut uusia ökömöjä.

[Tuomas Kuukasjärvi 2]

Siinä olis HjT:n logi

 

Logfile of HijackThis v1.99.1

Scan saved at 17:38:19, on 18.12.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Sygate\SPF\smc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe

C:\WINDOWS\CTHELPER.EXE

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\Program Files\Opera\Opera.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\cidaemon.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Winamp\winamp.exe

C:\Documents and Settings\kuukasjärvi\Työpöytä\pox.fi.exe

C:\Pelit\Tiedostot\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = cache.inet.fi:800

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Startup: BJ Status Monitor Canon MP360 Series Printer.lnk = ?

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: Locate Spot on Map by GPS - C:\Program Files\Opanda\IExif 2.25\IExifMap.htm

O8 - Extra context menu item: View Exif/GPS/IPTC with IExif - C:\Program Files\Opanda\IExif 2.25\IExifCom.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {5BDBD95C-1E7F-4FB1-8497-20AF879F8B68} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/fi/filesharingctrl.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1134801373843

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab

O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.0 Control) - http://www.gfoto.com/ImageUploader3.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

 

 

[Mikko Lindström 55]

Joo hyvältä näyttää nyt 8)