mgrzeg

A ja poproszę jeszcze o parę drobiazgów. Poproszę o skan rejestru oraz systemu plików. Uruchom SystemLook i do okna wklej: :reg HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters HKLM\SYSTEM\CurrentControlSet\Services\Rdyboost /s HKLM\SYSTEM\CurrentControlSet\Services\Ecache\Parameters\ReadyBootStats HKLM\SYSTEM\CurrentControlSet\Control\WMI\Autologger\Ready Boot :dir c:\windows\prefetch /s :service SysMain m.g.

Powalczmy dalej - nie możemy tego tak zostawić. 1. Poproszę o log SuperFetch, czyli plik C:\Windows\system32\winevt\Logs\Microsoft-Windows-ReadyBoost%4Operational.evtx. (W Windows 7 SuperFetch jest związany z ReadyBoost). 2. Sprawdź zawartość katalogu c:\Windows\Prefetch. Jeśli jest tam katalog ReadyBoot, a w nim ReadyBoot.etl.old, to poproszę o niego. Uruchom jakiś program i zobacz, czy w katalogu c:\windows\prefetch pojawił się plik o nazwie {nazwa_programu}.exe-hash.pf (posortuj zawartość katalogu po dacie). Możesz np. uruchomić calc.exe - powinien pojawić się calc.exe-hash.pf. Pliki z 1. i 2. spakuj razem i wrzuć na speedyshare.com pozdrawiam, Michał

Dziękuję za kolejny plik. 1. Czasy Nazwa...........|.start(ms)|koniec(ms)|..suma(ms) ------------------------------------------------- Pre.Session.Init|.........0|.....19438|.....19438 Session.Init....|.....19438|.....29104|......9666 Winlogon.Init...|.....29104|.....59141|.....30037 Explorer.Init...|.....59141|.....81717|.....22575 Post.Boot.......|.....81717|....127017|.....45300 ------------------------------------------------- System.gotowy.po:.....................117,017.sek Postęp jest już widoczny - z 278 sek zeszliśmy do 117. To ciągle nie jest idealnie, więc walczymy dalej. 2. Sugestie Musimy coś zrobić z prefetcherem - Twój jest po prostu martwy. a. Zacznijmy od wyłączenia paru rzeczy związanych z softem Della. Uruchom Autoruns i usuń wpisy dotyczące startu: - "C:\Program Files (x86)\Dell DataSafe Local Backup\Components\Scheduler\Launcher.exe" - "C:\Program Files (x86)\Dell DataSafe Local Backup\Components\DSUpdate\hstart.exe" /NOCONSOLE /D="C:\Program Files (x86)\Dell DataSafe Local Backup\Components\DSUpdate" /RUNAS "C:\Program Files (x86)\Dell DataSafe Local Backup\Components\DSUpdate\DSUpd.exe" - "C:\Program Files (x86)\Dell DataSafe Local Backup\ToasterLauncher.exe" b. Dalej jest trochę softu związanego z grami. Wejdź do usług i przestaw na start ręczny: - UserAccess7 (SecuROM User Access Service (V7)) - vds (Dysk wirtualny) c. Defrag. Czasem problem prefetchera powiązany jest z dużą fragmentacją. Dla spokoju ducha puść chkdsk /r /f i zdefragmentuj wszystkie dyski. d. Po wszystkim poproszę o kojeny log - przygotowany tak samo jak poprzednio. m.g.

Witam na forum, 1. Czasy Nazwa...........|.start(ms)|koniec(ms)|..suma(ms) ------------------------------------------------- Pre.Session.Init|.........0|.....19329|.....19329 Session.Init....|.....19329|.....29745|.....10416 Winlogon.Init...|.....29745|.....58766|.....29021 Explorer.Init...|.....58766|....251285|....192518 Post.Boot.......|....251285|....288485|.....37200 ------------------------------------------------- System.gotowy.po:.....................278,485.sek System jest gotowy do użycia po ponad 4 min, co nie jest najlepszym czasem. Wygląda na to, że najdłuższa jest faza Explorer Init, co najprawdopodobniej wynika z wydłużonego startu niektórych usług. Podejdziemy do sprawy 'iteracyjnie' i zobaczymy, co uda nam się uzyskać. 1. Usługi - przestaw usługę MSSQL$SQLEXPRESS (SQL Server (SQLEXPRESS)) na uruchamianie ręczne; - przestaw usługi PnkBstrA oraz PnkBstrB na uruchamianie ręczne. Czy używasz oprogramowania DELL do backupowania systemu? Jeśli nie, to wyłącz usługę SoftThinks Agent Service (SftService); możesz również rozważyć całkowite odinstalowanie softu (Dell DataSafe). 2. Prefetcher oraz kolejne logi. Po wszystkim - poproszę o ponowny log (ostatni z wygenerowanych plików), tym razem z dodatkowymi opcjami (będzie kilka automatycznych restartów, nie należy przeszkadzać - ale oczywiście trzeba się logować, jeśli nie ma włączonego auto logon )): m.g.

Witam na forum, spróbuj przygotować log na podstawie opisu: [KLIK]. m.g.

Hej, nie wszystkie zadania da się edytować wprost z Harmonogramu zadań. Co do próby całkowitego wyłączenia - uruchom taskschd.msc z konta systemowego (użyj np. psexec -s -i, lub Process Hacker). Tak z ciekawości - co chciałbyś zmienić i dlaczego chcesz wyłączyć? m.g.

Dzięki za info. Widzę, że nie tylko ja czytam naszych rodzimych guru (czy raczej j00ru) m.g.

Witam, dzięki za logi Dependency Walkera i zrzut pamięci procesu. Z obu wynika, że w katalogu c:\windows\system32 masz nieprawidłową wersję biblioteki olepro32.dll. Spróbuj zatem przywrócić oryginalną wersję, wykonując w wierszu polecenia (Start->Uruchom->cmd.exe) następujące polecenie: sfc /scannow Po zakończeniu działania sfc (może nastąpić restart), sprawdź czy masz odpowiednią wersję biblioteki olepro32.dll (wejdź przez 'Mój komputer' do katalogu c:\windows\system32, znajdź plik olepro32.dll, kliknij na niego prawym przyciskiem myszy i wybierz właściwości, zakładka 'wersja' - powinieneś mieć wersję 5.1.2600.5512, a nie 6.1.7600.16385). Jeśli wszystko będzie ok, spróbuj uruchomić grę i sprawdź, czy wszystko jest ok. Jeśli nie - zapraszam ponownie. m.g.

Nazwa...........|.start(ms)|koniec(ms)|..suma(ms) ------------------------------------------------- Pre.Session.Init|.........0|......1937|......1937 Session.Init....|......1937|......7741|......5803 Winlogon.Init...|......7741|......8765|......1024 Explorer.Init...|......8765|......9373|.......607 Post.Boot.......|......9373|.....21173|.....11800 ------------------------------------------------- System.gotowy.po:......................11,173.sek Czyli teraz Twój system startuje w nieco ponad 11 sekund. Na pewno Ale IMO nie ma to większego sensu, więc zostawmy tak, jak jest. m.g.

Witam na forum, Nazwa...........|.start(ms)|koniec(ms)|..suma(ms) ------------------------------------------------- Pre.Session.Init|.........0|.....39802|.....39802 Session.Init....|.....39802|.....45578|......5775 Winlogon.Init...|.....45578|.....66253|.....20675 Explorer.Init...|.....66253|.....66890|.......636 Post.Boot.......|.....66890|.....78590|.....11700 ------------------------------------------------- System.gotowy.po:.......................68,59.sek Zacznijmy od względnie długiej fazy pre session init. Wygląda na to, że masz problem ze sterownikiem ArcSoft - arcctrl.sys blokuje start systemu od 2 do 40 sekundy, prawdopodobnie jest jakiś problem z podpisem cyfrowym sterownika. Szybki search w internecie i trafiłem na coś takiego: [KLIK]. Proponuję zatem od przestawiania typu startu tego sterownika z boot na automatic - nie będzie powodował zablokowania startu systemu. Po wszystkim - ponowny log, tym razem z dodatkowymi opcjami (będzie kilka automatycznych restartów, nie należy przeszkadzać - ale oczywiście trzeba się logować, jeśli nie ma włączonego auto logon )): xbootmgr -trace boot -traceflags latency+dispatcher -stackwalk profile+cswitch+readythread -notraceflagsinfilename -postbootdelay 180 -resultpath c:\xperf -prepsystem m.g.

Hej, symbole ustaw sobie na msdl, najlepiej przez zmienną środowiskową: _NT_SYMBOL_PATH=srv*C:\websymbols*http://msdl.microsoft.com/downloads/symbols. Możesz również zainstalować sobie dowolną wersję (x86) na innym komputerze i po prostu przekopiować katalog z WinDbg.exe na inny komputer. W razie jakbyś jednak potrzebował najnowszy zestaw, to daj znać, to gdzieś wrzucę na chwilę. Odnośnie problemu z instalacją - Windows Installer masz w ostatniej wersji? [KLIK] m.g.

Do analizy możesz zatem pobrać wersję 6.12 w postaci spakowanej - wypakuj gdzieś i potem przeprowadź analizę. [KLIK] m.g.

Możesz pobrać tę paczkę - oczywiście w wersji x86 - powinna działać pod XP. W razie problemów - pisz, coś wymyślimy m.g.

Wer.dll pochodzi z Visty - musiałeś go wrzucić przy okazji instalacji czegoś innego i nie jest Ci do niczego potrzebny - jak widać może jedynie powodować problemy. Zamykam zatem temat. m.g.

Update.exe to był celny strzał Zmień nazwę pliku C:\WINDOWS\system32\wer.dll na C:\WINDOWS\system32\wer_old.dll i sprawdź, czy to coś zmieniło (uruchom ponownie komputer). m.g.

W logu z DW nie widzę problemów. Skąd masz pewność, że ten komunikat pochodzi z tego programu? Spróbuj użyć Process Explorer [KLIK]: w momencie, gdy pojawi się tytułowy komunikat, to go nie potwierdzaj, tylko uruchom Process Explorer, wybierz z paska narzędzi symbol celownika i przeciągnij go i wskaż okienko z komunikatem błędu. Gdy okienko zostanie podświetlone, wówczas puść przycisk myszy, a na liście procesów Process Explorera zostanie na niebiesko zaznaczony proces, do którego należy to okno. Kliknij na niego prawym przyciskiem myszy i wybierz Create Dump->Create Full Dump, spakuj zipem i wrzuć na speedyshare.com. m.g.

Heh, a ja głupi kopiowałem sobie entery z notatnika Oczywiście używałem na wielu stronach trybu zgodności z wcześniejszymi wersjami IE, ale nie przyszło mi to do głowy tutaj m.g.

Odnośnie pracy jako administrator - już jakieś 6 lat temu napisałem na wss.pl tekst 'admin czy nie admin' [KLIK], gdzie opisałem jak radzić sobie z większością problemów; naprawdę warto powalczyć. Swoje procesy można debuggować bez SeDebugPrivilege, więc tak długo, jak się nie bawimy usługami systemowymi, tak długo jest ok. Wiele obiektów systemowych ma odpowiedni zestaw ACL, np. w przypadku usług można dać odpowiednie uprawnienia dla obiektów SCM, np. używając AccessMaster.exe z książki Jeffa Richtera i wcale nie jest potrzebne konto administracyjne do codziennej pracy, nawet administratora. Co do WPT - jeszcze nie miałem okazji przewalczyć na W8, ale zakładam, że wszystko będzie się odbywać identycznie, albo bardzo podobnie. m.g.

Ja bym aż tak bardzo nie potępiał użytkowników - nawet w miarę na bieżąco aktualizowany system może być bezbronny (czy istnieje ktoś, kto ma zawsze wszystko aktualne?). W moim odczuciu właśnie praca na koncie administratora to jest największy problem i wszystkim powtarzam, że należy pracować na koncie zwykłego użytkownika, ponieważ potencjalne szkody wynikające z infekcji są ograniczone. Odnośnie kolorów - ustawia się je w Hacker->Options/Highlighting, tam też masz je opisane. m.g.

Tak. Widać, że masz UAC włączony, ale może niebawem wrzucę na swój blog wpis, że (pomijając najwyższy poziom UAC) to w sumie niewielkie zabezpieczenie i skoro pracujesz jako Administrator, to jeśli cokolwiek ci się wciśnie do tego procesu i będzie w stanie wykonać jakiś kod, to na dobrą sprawę 'pozamiatane'. Popatrz sobie też na zakładkę 'Modules', a zobaczysz wszystkie biblioteki załadowane przez ten proces. Poza tym warto popatrzeć na zakładkę 'Memory' i poszukać obszarów pamięci poza modułami, które oznaczone są jako 'wykonywalne' (mają ustawione 'X'). m.g.

Witam na forum, spróbuj skorzystać z tego opisu: [KLIK]. m.g.

Brak zabezpieczeń to raczej słaba metoda na ochronę, a źródła zakażenia są tak różne, że naprawdę ciężko się przed nimi ustrzec. Pamiętajcie, że bardzo często źródłem może być zwykłe forum, czy strona biura podróży postawiona na starszej wersji PHP, bo najpopularniejsze narzędzia na rynku typu Black Hole Exploit Kit [KILK] bazują właśnie na takim sposobie zakażeń. Otwórzcie sobie swoją przeglądarkę i sprawdźcie w Process Hackerze listę załadowanych w niej modułów, a w tokenie sprawdźcie jakie macie uprawnienia - każda z załadowanych bibliotek może stanowić źródło zakażenia i ma wszelkie te uprawnienia i przywileje, które macie w żetonie, a zapewniam was, że to nie koniec problemów i trzeba naprawdę utrudnić sobie życie, żeby być dobrze zabezpieczonym (vide wtorkowy biuletyn MS [KLIK]). m.g.

Nie od razu, ale powoli... https://www.europol.europa.eu/content/police-dismantle-prolific-ransomware-cybercriminal-network m.g.

Czy to nie był przypadkiem "SYSTEM_THREAD_EXCEPTION_NOT_HANDLED_M (1000007e)"? Możesz sprawdzić, czy masz zrzut pamięci (plik c:\windows\memory.dmp + c:\windows\minidump\*.dmp) i jeśli tak, to wrzuć proszę na speedyshare.com. m.g.

Możesz rozważyć przejście https://www.fixitpc.pl/topic/11092-analiza-dlugiego-startu-systemu/, przy czym zamiast kroków 7-8 po prostu spakuj plik boot_1.etl i wrzuć na speedyshare.com m.g.