Skocz do zawartości
Zakładanie tematu: pomocne raporty i informacje
Nadchodzące zmiany w logowaniu

Windows uruchamia się tylko w Trybie awaryjnym

heroex2

Przez heroex2
w Windows 7

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Temat zmienia dział. Brak oznak infekcji czynnej, a do ComboFixa się nie przymierzaj. Są tylko mini odpadki, w postaci pustego wpisu startowego i sterownika, ale to nie ma znaczenia dla bieżącego problemu i zajmiemy się tym potem.

 

O4 - HKU\S-1-5-21-418616799-4038682857-2268346840-1000..\Run: [wsctf.exe] wsctf.exe File not found

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\cpu.sys -- (cpu)

 

 

windows 7 uruchamia się od wczoraj automatycznie tylko w trybie awaryjnym. (...) Stało się to jak kumpel instalował jakiś program do Eseta, który wymagał aktywacji w trybie awaryjnym.

Oczywisty typ: ESET (w Trybie awaryjnym nie są ładowane jego sterowniki). Na dodatek jego usługa jest wyszczerbiona:

 

SRV - File not found [Auto | Stopped] -- D:\Programy\ESET Smart Security 5\ekrn.exe -- (ekrn)

 

Rozpocznij od całkowitej deinstalacji ESET (i cracka TNod User & Password Finder też), zastosuj narzędzie ESET Uninstaller. Podaj rezultaty.

Odnośnik do komentarza
heroex2

heroex2

Opublikowano
  • Autor
Opublikowano

Automatyczne czyli: włączam komputer, i po komunikacie Loading Operating System... od razu załącza się tryb awaryjny i ładuje sterowniki.. Mogę dostać się do menu wyboru systemu i opcji włączania. Mogę wybrać jakikolwiek tryb awaryjny czy to normalny czy z obsługą sieci i on się włączy, ale gdy wybiorę, np. Uruchom normalnie, system i tak włączy się w trybie awaryjnym. W msconfig mam zaznaczone uruchamianie normalne, próbowałem pozostałych 2 trybów. Zakładka Rozruch jest u mnie nieaktywna, nie mogę tam nic zaznaczyć/odznaczyć. W okienku nie ma nazwy systemu tak jak w screenie wyżej.

Odnośnik do komentarza
heroex2

heroex2

Opublikowano
  • Autor
Opublikowano

Log z bcdedit:

 

Microsoft Windows [Wersja 6.1.7600]

X:\windows\system32>bcdedit
Menedżer rozruchu systemu Windows
---------------------------------
Identyfikator			  {bootmgr}
device				  partition=C:
description			 Windows Boot Manager
locale				  pl-PL
inherit				 {globalsettings}
default				 {default}
resumeobject		    {94e46e9e-3446-11e0-ae9f-a0477a80bc3b}
displayorder		    {default}
toolsdisplayorder	   {memdiag}
timeout				 30
Moduł ładujący rozruchu systemu Windows
---------------------------------------
Identyfikator			  {default}
device				  partition=D:
path				    \Windows\system32\winload.exe
description			 Windows 7
locale				  pl-PL
inherit				 {bootloadersettings}
recoverysequence	    {current}
recoveryenabled		 Yes
osdevice			    partition=D:
systemroot			  \Windows
resumeobject		    {94e46e9e-3446-11e0-ae9f-a0477a80bc3b}
nx					  OptIn
increaseuserva		  2500
safeboot			    Minimal

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Są tu dwa ustawienia niedomyślne, które będziemy usuwać: increaseuserva (przebicie limitu pamięci: KLIK / KLIK) oraz safeboot (ustawiony trwały boot w Trybie awaryjnym). F8 > Napraw komputer > Wiersz polecenia > po kolei wklep te dwie komendy:

bcdedit /deletevalue {default} increaseuserva
bcdedit /deletevalue {default} safeboot

Sprawdź czy możesz startować w Trybie normalnym.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Czas zająć się tymi drobnostkami, które wspominałam:

 

O4 - HKU\S-1-5-21-418616799-4038682857-2268346840-1000..\Run: [wsctf.exe] wsctf.exe File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\cpu.sys -- (cpu)

 

1. Uruchom Autoruns, w karcie Logon skasuj wpis wsctf.exe, w karcie Drivers załatw cpu.

 

2. Ten cpu.sys kojarzy mi się z infekcją rekonfigurującą ścieżki folderów powłoki. Na wszelki wypadek podaj mi skan. Uruchom SystemLook i wklej do skanu:

 

:reg
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

 

 

.

 

 

Odnośnik do komentarza
heroex2

heroex2

Opublikowano
  • Autor
Opublikowano

Logon i cpu usunięte. Skan z SystemLook:

 

 

 

SystemLook 30.07.11 by jpshortstuff

Log created at 18:56 on 29/08/2012 by Admin

Administrator - Elevation successful

========== reg ==========

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]

"!Do not use this registry key"="Use the SHGetFolderPath or SHGetKnownFolderPath function instead"

"AppData"="C:\Users\Admin\AppData\Roaming"

"Local AppData"="C:\Users\Admin\AppData\Local"

"My Video"="C:\Users\Admin\Videos"

"{1B3EA5DC-B587-4786-B4EF-BD1DC332AEAE}"="C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Libraries"

"My Pictures"="C:\Users\Admin\Pictures"

"Desktop"="C:\Users\Admin\Desktop"

"History"="C:\Users\Admin\AppData\Local\Microsoft\Windows\History"

"NetHood"="C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Network Shortcuts"

"{56784854-C6CB-462B-8169-88E350ACB882}"="C:\Users\Admin\Contacts"

"Cookies"="C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Cookies"

"Favorites"="C:\Users\Admin\Favorites"

"SendTo"="C:\Users\Admin\AppData\Roaming\Microsoft\Windows\SendTo"

"Start Menu"="C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu"

"My Music"="C:\Users\Admin\Music"

"Programs"="C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs"

"Recent"="C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Recent"

"CD Burning"="C:\Users\Admin\AppData\Local\Microsoft\Windows\Burn\Burn"

"PrintHood"="C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Printer Shortcuts"

"{7D1D3A04-DEBB-4115-95CF-2F29DA2920DA}"="C:\Users\Admin\Searches"

"{374DE290-123F-4565-9164-39C4925E467B}"="C:\Users\Admin\Downloads"

"{A520A1A4-1780-4FF6-BD18-167343C5AF16}"="C:\Users\Admin\AppData\LocalLow"

"Startup"="C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup"

"Administrative Tools"="C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Administrative Tools"

"Personal"="C:\Users\Admin\Documents"

"{BFB9D5E0-C6A9-404C-B2B2-AE6DB6AF4968}"="C:\Users\Admin\Links"

"Cache"="C:\Users\Admin\AppData\Local\Microsoft\Windows\Temporary Internet Files"

"Templates"="C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Templates"

"{4C5C32FF-BB9D-43B0-B5B4-2D72E54EAAA4}"="C:\Users\Admin\Saved Games"

"Fonts"="C:\Windows\Fonts"

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]

"AppData"="%USERPROFILE%\AppData\Roaming"

"Cache"="%USERPROFILE%\AppData\Local\Microsoft\Windows\Temporary Internet Files"

"Cookies"="%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies"

"Desktop"="%USERPROFILE%\Desktop"

"Favorites"="%USERPROFILE%\Favorites"

"History"="%USERPROFILE%\AppData\Local\Microsoft\Windows\History"

"Local AppData"="%USERPROFILE%\AppData\Local"

"My Music"="%USERPROFILE%\Music"

"My Pictures"="%USERPROFILE%\Pictures"

"My Video"="%USERPROFILE%\Videos"

"NetHood"="%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Network Shortcuts"

"Personal"="%USERPROFILE%\Documents"

"Programs"="%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs"

"Recent"="%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent"

"SendTo"="%USERPROFILE%\AppData\Roaming\Microsoft\Windows\SendTo"

"Startup"="%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup"

"Start Menu"="%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu"

"Templates"="%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Templates"

"{374DE290-123F-4565-9164-39C4925E467B}"="%USERPROFILE%\Downloads"

"PrintHood"="%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Printer Shortcuts"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]

"Common Desktop"="C:\Users\Public\Desktop"

"Common Start Menu"="C:\ProgramData\Microsoft\Windows\Start Menu"

"CommonVideo"="C:\Users\Public\Videos"

"CommonPictures"="C:\Users\Public\Pictures"

"Common Programs"="C:\ProgramData\Microsoft\Windows\Start Menu\Programs"

"CommonMusic"="C:\Users\Public\Music"

"Common Administrative Tools"="C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools"

"Common Startup"="C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup"

"Common Documents"="C:\Users\Public\Documents"

"OEM Links"="C:\ProgramData\OEM Links"

"Common Templates"="C:\ProgramData\Microsoft\Windows\Templates"

"Common AppData"="C:\ProgramData"

"Personal"="C:\Users\Admin\Documents\"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]

"Common Desktop"="%PUBLIC%\Desktop"

"Common Documents"="%PUBLIC%\Documents"

"CommonPictures"="%PUBLIC%\Pictures"

"CommonMusic"="%PUBLIC%\Music"

"CommonVideo"="%PUBLIC%\Videos"

"{3D644C9B-1FB8-4f30-9B45-F670235F79C0}"="%PUBLIC%\Downloads"

"Common Start Menu"="%ProgramData%\Microsoft\Windows\Start Menu"

"Common Programs"="%ProgramData%\Microsoft\Windows\Start Menu\Programs"

"Common Startup"="%ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup"

"Common AppData"="%ProgramData%"

"Common Templates"="%ProgramData%\Microsoft\Windows\Templates"

 

-= EOF =-

 

 

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...