Skocz do zawartości

Kilkumiesięczne zaniedbania, podejrzenie infekcji


Rekomendowane odpowiedzi

Zajrzałem wczoraj na laptoka maużony, bo coś tam mieliśmy razem zrobić i dizastera zobaczyłem. Na czerwono się świeci MS Security Essentials. Ostatnie skanowanie w lipcu. System z deka nieaktualny, ale nie działa usługa Windows Update wyrzuca błąd. MS SE zresztą też się nie daje uruchomić. Ale jakoś te 2 rzeczy się dało odpalić. Ale ciągle nie działa (brak w ogóle na liście usług) zapora ani centrum zabezp. Teraz dociągam brakujące aktualizacje, próbuję też skanować komputer za pomocą Sec Ess. Ale "szybkie" skanowanie nie wykazuje już zagrożeń, a pełny skan trwa ok. 12. Wykrył mi jakieś zagrożenia, ale przy próbie usunięcia się zwiesił i niestety nie ma tego w historii.

W ogóle sprzęt działa relatywnie powoli, przycina się bez widocznego powodu, wszystko się smoli jak stonoga. załączam logi z OTL.

 

PS. Zauważyłem, że w OTL jest ustawione skanowanie plików nie starszych niż 30 dni, ale jeśłi sprawy się ciągną dłużej to może powinienem nieco inaczej poskanować?

 

A.

Extras.Txt

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

W logach jest ślad infekcji ZeroAccess w starej wersji w postaci tego linku symbolicznego:

 

========== Hard Links - Junction Points - Mount Points - Symbolic Links ==========

[C:\Windows\$NtUninstallKB46700$] -> Error: Cannot create file handle -> Unknown point type

 

Jednak to wygląda tylko na szczątki bo infekcja nie jest aktywna i brak pozostałych śladów. Niemniej będziesz to usuwał. Problem z zaporą i centrum to są następstwa tej infekcji - ona po prostu kasuje te usługi z systemu.

 

Zanim jednak przejdziemy do naprawy wykonaj dodatkowy raport z Farbar Service Scanner

Odnośnik do komentarza

Załączam fss.txt ze skanem.

W międzyczasie pousuwałem przynajmniej część plików które mogły być źródłem zarażania. To pościągane pliki z torrentów. MS SE wykazał w nich 3 rodzaje infekcji: sirefef.N, sirefef.P i jakiś trzeci, ale go nie widzę w historii bo co jakiś czas się wysypywał SE a pamięć zawodna, ale wydaje mi się, że było w nazwie GEN i wykrzyknik. Ale głowy nie dam.

 

Mam wrażenie, że poza opisanymi wcześniej objawami to dodatkowo są jakieś kłopoty z uprawnieniami. Za często natykam się na odmowę dostępu, także SE odmówił usunięcia któregoś pliku z powodu odmowy dostępu.

FSS.txt

Odnośnik do komentarza

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\$NtUninstallKB46700$ /C
 
:Commands
[reboot]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Po restarcie możesz swobodnie usunąć z dysku ten folder C:\Windows\$NtUninstallKB46700$ (o ile będzie)

 

2. Uruchom narzędzie ServicesRepair w celu naprawienia usług systemowych.

 

3. Pokazujesz nowy log z OTL (bez ekstras) oraz z FSS.

 

Mam wrażenie, że poza opisanymi wcześniej objawami to dodatkowo są jakieś kłopoty z uprawnieniami. Za często natykam się na odmowę dostępu, także SE odmówił usunięcia któregoś pliku z powodu odmowy dostępu.

 

To także są następstwa ZeroAccess. Jakbyś mógł sprecyzować na jakich obiektach to występuje i w jakich lokalizacjach.

Odnośnik do komentarza

Po restarcie komputera katalog C:\Windows\$NtUninstallKB46700$ (ikona była ze strzałką, jakby skrót) była na dysku. Próba usunięcia - odmowa dostępu. Był brak jakichkolwiek nadanych uprawnień. Nadałem. Katalogu nie dało się usunąć, bo nie jest pusty. Zacząłem wywalać zawartość. Okazało się że niektóre pliki są używane przez inny program i dalej nie mogę usunąć. Spróbowałem unlockerem. Po restarcie BSOD.

Stop: c0000218 {Registry File Failure}

The registry cannot load the hive (file)

\SystemRoot\System32\Config\Software

or its log or alternate

It is corrupt, absent or not writable.

 

I dalej coś o dumpie pamięci i sugestii kontaktu z administratorem grupy bodaj.

 

Teraz uruchomiłem komputer żony z sugerowaną opcją naprawy systemu windows podczas startu. Komputer próbował przywrócić do jakiegoś punktu, ale chyba się nie udało, albo nie przyniosło skutku, bo dalej ten sam BSOD

Odnośnik do komentarza

Ja skomentuję dlaczego to się stało:

 

Po restarcie komputera katalog C:\Windows\$NtUninstallKB46700$ (ikona była ze strzałką, jakby skrót) była na dysku. Próba usunięcia - odmowa dostępu. Był brak jakichkolwiek nadanych uprawnień. Nadałem. Katalogu nie dało się usunąć, bo nie jest pusty. Zacząłem wywalać zawartość. Okazało się że niektóre pliki są używane przez inny program i dalej nie mogę usunąć. Spróbowałem unlockerem. Po restarcie BSOD.

 

Niestety, ale tu nastąpił błąd procedury. Landuss zapomniał zdjąć uprawnienia linka symbolicznego (ZeroAccess blokuje go) przed wykonaniem komendy, dlatego komenda fsutil reparsepoint delete się nie wykonała = nie nastąpiło rozlinkowanie. Link symboliczny nie został zdjęty, co oznacza, że patrzyłeś na przekierowaną zawartość a nie właściwy katalog rootkita. C:\Windows\$NtUninstallKB46700$ linkowało do katalogu C:\Windows\system32\config (z plikami rejestru systemu), oglądałeś zawartość config a nie $NtUninstallKB46700$ i niestety zacząłeś wywalać prawidłową zawartość systemu, dlatego teraz masz BSOD.

 

Zawartości nie wolno było ruszyć, dopóki obiekt nie przemieni się z linka symbolicznego w normalny folder (co wizualnie od razu poznać po typie ikony, strzałka zanika) i przestanie złudnie kierować w inne miejsce. Zawartość docelowa jest diametralnie różna po rozlinkowaniu.

 

W tej sytuacji zostaje już tylko Przywracanie systemu z poziomu WinRE, które cofnie stan katalogu config.

 

 

 

.

Odnośnik do komentarza

Na pierwszy rzut oka link opisujący WinRE jest dla mnie niezrozumiały. Większość dotyczy tworzenia płytek startowych. Ja jakieś płyty startowe mogę mieć wieczorem - na pewno jakiś linuksowy, na pewno jakiś Windowsowy, bodaj PE i cośtam jeszcze. Ale nawet jak odpalę z nich laptopa, to nie wiem, czy będę umiał go naprawić. Ale na pewno spróbuję odpalić i jeśli nie uda się naprawić, to przynajmniej zrzucę na jakiś dysk USB pliki osobiste, pocztę itp, żeby je przywrócić po odtworzeniu systemu "od nowa".

 

A może będzie łatwiej przełożyć HD z laptoka do obudowy USB i podłączyć do innego komputera i w taki sposób zagrzebać w systemie? Tak czy siak, teraz muszę się wybrać z dzieciakami odwiedzić przodków , wstąpię po drodze do roboty po CDki startowe, pustą obudowę HD, twardziel do zrzutów i po południu wrócę do tematu.

 

PS Kolejny restart i uruchamianie z opcją naprawy już nie sugeruje przywracania do punktu, tylko nie pozostawia złudzeń - proponuje kompletne Recovery (chyba z partycji WinRE, bo jest taka). W międzyczasie znalazłem też DVDki ze zrzuconą kopią systemu po zakupie sprzętu.

 

Liczę na dalszą pomoc i dzięki za już.

Odnośnik do komentarza
Na pierwszy rzut oka link opisujący WinRE jest dla mnie niezrozumiały. Większość dotyczy tworzenia płytek startowych.

(...)

PS Kolejny restart i uruchamianie z opcją naprawy już nie sugeruje przywracania do punktu, tylko nie pozostawia złudzeń - proponuje kompletne Recovery (chyba z partycji WinRE, bo jest taka). W międzyczasie znalazłem też DVDki ze zrzuconą kopią systemu po zakupie sprzętu.

 

Przecież tu wystarczy tylko boot z płyty instalacyjnej DVD Vista do modułu Napraw komputer ... A jeśli producent zintegrował WinRE na dysku twardym, to przez F8 wchodzisz do tego. Z modułów wybierasz Przywracanie systemu. Zresztą Twoje Recovery Ci to proponowało wcześniej .. Jak napisałam powyżej, uszkodziłeś zawartość katalogu config trzymającego cały rejestr Windows, należy cofnąć stan systemu.

 

 

A może będzie łatwiej przełożyć HD z laptoka do obudowy USB i podłączyć do innego komputera i w taki sposób zagrzebać w systemie? Tak czy siak, teraz muszę się wybrać z dzieciakami odwiedzić przodków , wstąpię po drodze do roboty po CDki startowe, pustą obudowę HD, twardziel do zrzutów i po południu wrócę do tematu.

 

Po pierwsze: nie będzie to łatwiejsze. Po drugie: jest potrzebna starsza postać całego katalogu config, a ta jest zawarta w punkcie Przywracania systemu. Punkty Przywracania systemu są częścią cieniowania woluminu i nie są dostępne do rozebrania "na czynniki pierwsze" na zasadzie kopiuj-przeklej plik ...

 

 

 

.

Odnośnik do komentarza

Przecież tu wystarczy tylko boot z płyty instalacyjnej DVD Vista do modułu Napraw komputer ... A jeśli producent zintegrował WinRE na dysku twardym, to przez F8 wchodzisz do tego. Z modułów wybierasz Przywracanie systemu. Zresztą Twoje Recovery Ci to proponowało wcześniej .. Jak napisałam powyżej, uszkodziłeś zawartość katalogu config trzymającego cały rejestr Windows, należy cofnąć stan systemu.

 

No i z tym "boot z płyty instalacyjnej..." miałem problem. Ale chyba się udało - pierwsza płyta z trzech, f8, napraw... przywróć system do ostatniej działającej konfiguracji i jakby działa. :)

 

No ale "pierwotny" kłopot pozostaje.

Odnośnik do komentarza
Ale chyba się udało - pierwsza płyta z trzech, f8, napraw... przywróć system do ostatniej działającej konfiguracji i jakby działa.

 

Tu nie za bardzo rozumiem co mówisz ... Albo płyta, albo F8 by wejść do "Napraw komputer" z menu:

 

winre7_menu.png

 

Przywracanie systemu a Ostatnia poprawna konfiguracja to dwie różne rzeczy, chyba że to tylko kwestia niefortunnego słownika. Nieistotne już.

 

 


Natomiast teraz zaczynasz wszystko od początku, bo link rootkita nadal jest w systemie. Czyli:

 

1. Uruchom GrantPerms i w oknie wklej:

 

C:\Windows\$NtUninstallKB46700$

 

Klik w Unlock.

 

2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę:

 

fsutil reparsepoint delete C:\Windows\$NtUninstallKB46700$

 

Jeśli komenda się prawidłowo wykona, przejdź do punktu 3. Jeśli nie, STOP, podaj co widzisz.

 

3. Sprawdź jaką ikonę ma C:\Windows\$NtUninstallKB46700$. Jeśli normalną ikonę bez strzałki, możesz cały folder usunąć. Przy okazji, w celach dydaktycznych obejrzyj sobie jaka jest prawdziwa zawartość katalogu po rozlinkowaniu, zobaczysz konfigurację rootkita z "małpkami" a nie to co wcześniej oglądałeś będąc przekierowany do config.

 

4. Nadal aktualne narzędzie ServicesRepair. Wprawdzie nie masz skasowanych usług, ale usługi Zapory systemu Windows (BFE + MpsSvc) mają status zatrzymany, a to zwykle oznacza skopane uprawnienia tych usług. Narzędzie powinno to zreperować, ale po jego użyciu musisz zresetować system i przedstawić log z Farbar Service Scanner.

 

5. Wykonaj weryfikację poprawności plików systemowych za pomocą komendy sfc /scannow, za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK.

 

 

Mam wrażenie, że poza opisanymi wcześniej objawami to dodatkowo są jakieś kłopoty z uprawnieniami. Za często natykam się na odmowę dostępu, także SE odmówił usunięcia któregoś pliku z powodu odmowy dostępu.

 

Istotnie, tu może być ukryta usterka. Rootkit ZeroAccess, w wersji która tu gościła, robi zamieszanie w uprawnieniach. Precyzyjnie się wyraź gdzie widzisz problem, czego dotyczy, gdzie zgłasza się błąd.

 

 

System z deka nieaktualny, ale nie działa usługa Windows Update wyrzuca błąd.

 

Podaj jaki. Czy przypadkiem nie jest to błąd 80096001? To był na forum bardzo skomplikowany przypadek skutków ubocznych ZeroAccess, udało się to zdiagnozować (uszkodzone uprawnienia w ścieżkach kont systemowych). Tak więc podaj dokładnie co widzisz, jaki błąd.

 

 

 

PS. A log z OTL zrobiłeś poprzednio na nieodpowiednich ustawieniach. Sekcję Rejestr ustawiłeś na Wszystko, a miało być Użyj filtrowania.

 

 

 

.

Odnośnik do komentarza
Tu nie za bardzo rozumiem co mówisz ... Albo płyta, albo F8 by wejść do "Napraw komputer" z menu: [...] Przywracanie systemu a Ostatnia poprawna konfiguracja to dwie różne rzeczy, chyba że to tylko kwestia niefortunnego słownika. Nieistotne już.

Owszem, już nieistotne. Możemy uznać a priori i na zawsze, że większość o ile nie wszystkie niezrozumienia są winą moją i mojej niewiedzy okraszonych dodatkowo nerwowością. Może było tak, że WYDAWAŁO mi się, że odpalam z CD bo napęd terkotał i szumiał i pytał o bootowanie z CD (any key to boot...) a ja wcisnąłem za późno czy coś.

 

A teraz do rzeczy:

1) GrantPerms... done

2) cmd... fsutil... done. Ale na wszelki wypadek spytam, czy brak jakiejkolwiek "odpowiedzi" w konsoli poza znakiem gotowości jest OK? wydaje się, że tak.

3) Sprawdź jaką ikonę ... Jest normalna ikona, bez strzałki. Zaraz usunę. Rzeczywiście zawartość zupełnie inna - maupki i takie tam. Dydaktycznie wrzucam do śmieci, posypuję wapnem, ziemią, zadeptuję i zapominam

 

4) ServicesRepair... done. Żąda restartu, więc wysyłam post... i wracam za kilka minut... mam nadzieję :D

Odnośnik do komentarza

No to jestem z powrotem.

4) Załączam FSS.txt wykonane po Services Repair.

5) Funkcja Ochrona zasobów systemu Windows nie znalazła naruszeń integralności.

 

Co do pozostałych uwag - brak dostępu np mam do "skrótu" Default User w C:/Użytkownicy. Odmowa dostępu po dwukliku. Ale tego wszystkiego było tyle, że w tej chwili nie potrafię precyzyjnie podać. Na pewno kilka razy nie powiodła się akcja "usuń" z poziomu Sec. Essentials na wykrytych zainfekowanych plikach - odmowa dostępu. Ale nie chcę konfabulować. Zapewne za chwilę to wylezie.

 

Co do błędu - to był prawdopodobnie 80246008. Ale to w jakimś tam zakresie zwalczyłem sam. Nie działała usługa inteligentnego transferu, ale to wszystko się chyba z tym podstawowym problemem wiązało.

FSS.txt

Odnośnik do komentarza
4) Załączam FSS.txt wykonane po Services Repair.

 

Naprawa pomyślna, usługi Zapory nie są już w stanie zatrzymanym.

 

 

Co do pozostałych uwag - brak dostępu np mam do "skrótu" Default User w C:/Użytkownicy.

 

To prawidłowe zachowanie. To jest link symboliczny będący składową symulacji struktury folderów z systemów starszych niż Vista, chroniony domyślnie przez uprawnienia ("Odmowa dostępu" naturalna). W systemie jest więcej takich linków. Porównawczo temat: KLIK.

 

 

Ale tego wszystkiego było tyle, że w tej chwili nie potrafię precyzyjnie podać. Na pewno kilka razy nie powiodła się akcja "usuń" z poziomu Sec. Essentials na wykrytych zainfekowanych plikach - odmowa dostępu. Ale nie chcę konfabulować. Zapewne za chwilę to wylezie.

 

To na razie nie jestem w stanie pomóc.

 

 

Co do błędu - to był prawdopodobnie 80246008. Ale to w jakimś tam zakresie zwalczyłem sam. Nie działała usługa inteligentnego transferu, ale to wszystko się chyba z tym podstawowym problemem wiązało.

 

ZeroAccess niszczy usługi Centrum zabezpieczeń, Windows Update (BITS+wuauserv), Zapory. Musiałeś już to samodzielnie w jakiś sposób odbudować, bo jak mówiłam w Farbar Service Scanner nie było braków.

 

 

 

.

Odnośnik do komentarza

To chyba byłby koniec tego tematu. Jeszcze jedna rzecz była skopana (co najmniej). Autoruns wykazał brak pliku:

C:\Program Files\Microsoft Security Client\mssecex.exe. Niby do "Microsoft Security Client Usrunser Interface". A prawdziwy plik różnił się literką - miało być msseces.exe.

 

Proszę o wyrozumiałość za brak precyzji w pytaniach i wykonywaniu poleceń, a za pomoc uprzejmie dziękuję. Zwracam na razie laptoka maużonie.

 

Ale przed zamknięciem tematu proszę o sugestie, gdzie poczytać o czynnościach mogących nieco przyspieszyć działanie jej komputera. Bo chyba nie jest OK. Relatywnie długi start (chociaż tu winny jest być może pakiet oprogramowania HP do obsługi urządzenia wielofunkcyjnego), a dalej - kilkunasto/kilkudziesięciosekundowe zawieszki systemu przy banalnych z pozoru czynnościach - np przesuwam okienko z otwartym katalogiem i cyk... brak odpowiedzi na 30 sekund.

Odnośnik do komentarza

Tu nie koniec działań, przejrzałam logi z OTL. Masz jeszcze jednego gagadka, który udaje "Office":

 

O2 - BHO: (Groove GFS Browser Helper) - {5F906952-72AE-2CD6-3D6C-4AE1678418BE} - C:\Windows\System32\spwizeeng.dll ()

 

Dodatkowo, są jakieś dwa podejrzane rozszerzenia w Firefox (na Google jedyny wynik to ... Twój temat):

 

[2012-08-14 07:23:17 | 000,005,157 | ---- | M] () (No name found) -- C:\Users\Aga\AppData\Roaming\mozilla\firefox\profiles\mwo5mfp8.default\extensions\5029eea90b1e0@5029eea90b219.info.xpi

[2012-08-14 08:00:50 | 000,005,131 | ---- | M] () (No name found) -- C:\Users\Aga\AppData\Roaming\mozilla\firefox\profiles\mwo5mfp8.default\extensions\5029f77b4a6a4@5029f77b4a6dd.info.xpi

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O2 - BHO: (Groove GFS Browser Helper) - {5F906952-72AE-2CD6-3D6C-4AE1678418BE} - C:\Windows\System32\spwizeeng.dll ()
IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=7E4BC1F9-AE76-4070-BD50-0251F604FE59&apn_sauid=35C00909-E7A8-4E21-8F97-73E3CCC1CE48"
FF - prefs.js..browser.search.order.1: "Ask.com"
[2012-07-29 12:27:33 | 000,002,331 | ---- | M] () -- C:\Users\Aga\AppData\Roaming\mozilla\firefox\profiles\mwo5mfp8.default\searchplugins\askcom.xml
[2012-08-14 07:23:17 | 000,005,157 | ---- | M] () (No name found) -- C:\Users\Aga\AppData\Roaming\mozilla\firefox\profiles\mwo5mfp8.default\extensions\5029eea90b1e0@5029eea90b219.info.xpi
[2012-08-14 08:00:50 | 000,005,131 | ---- | M] () (No name found) -- C:\Users\Aga\AppData\Roaming\mozilla\firefox\profiles\mwo5mfp8.default\extensions\5029f77b4a6a4@5029f77b4a6dd.info.xpi
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Aga\AppData\Local\Temp\HBCD\psmounter.sys -- (PSMounter)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

2. Po restarcie zrób nowy log OTL z opcji Skanuj. Przypominam:

 

PS. A log z OTL zrobiłeś poprzednio na nieodpowiednich ustawieniach. Sekcję Rejestr ustawiłeś na Wszystko, a miało być Użyj filtrowania.

 

 

Jeszcze jedna rzecz była skopana (co najmniej). Autoruns wykazał brak pliku:

C:\Program Files\Microsoft Security Client\mssecex.exe. Niby do "Microsoft Security Client Usrunser Interface". A prawdziwy plik różnił się literką - miało być msseces.exe.

 

To też z tej samej kolekcji, czyli ingerencje ZeroAccess. ZeroAccess lubi zabezpieczenia Microsoftu brać pod młotek.

 

 

Ale przed zamknięciem tematu proszę o sugestie, gdzie poczytać o czynnościach mogących nieco przyspieszyć działanie jej komputera. Bo chyba nie jest OK. Relatywnie długi start (chociaż tu winny jest być może pakiet oprogramowania HP do obsługi urządzenia wielofunkcyjnego), a dalej - kilkunasto/kilkudziesięciosekundowe zawieszki systemu przy banalnych z pozoru czynnościach - np przesuwam okienko z otwartym katalogiem i cyk... brak odpowiedzi na 30 sekund.

 

1. Co to HP, to spokojnie możesz ze startu wyłączyć ten wpis aktualizatora:

 

O4 - HKLM..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\hpwuschd2.exe (Hewlett-Packard)

 

Albo msconfig, albo jakiś posażniejszy edytor startu np. Autoruns.

 

2. Popatrz do Dziennika zdarzeń czy widać jakieś szczególne błędy w sekcji System. Te zwieszki to zobaczymy co się stanie po w/w usuwaniu.

 

 

.

Odnośnik do komentarza

Okay, wykonałem ten skrypt:

1. Wykonał się, ale ponieważ w logu się pojawiło słowo error, to wklejam fragment:

Error: No service named PSMounter was found to stop!

Service\Driver key PSMounter not found.

File C:\Users\Aga\AppData\Local\Temp\HBCD\psmounter.sys not found.

 

2. Załączam log OTL wykonany po restarcie. Co do:

 

Sekcję Rejestr ustawiłeś na Wszystko, a miało być Użyj filtrowania".

 

Staram się jak mogę. Jednak jest coś, co zaskakuje. Otóż otwieram OTL, pięć z sześciu "sekcji" jest defaultowo ustawionych na "użyj filtrowania", 6-ta (Rejestr - skan dodatkowy) jest ustawiona na brak. Przestawiam na "użyj filtrowania" i puszczam skan. Po skończeniu pracy wyskakują okienka notatnika z logami, ale sekcja "Rejestr" jest przełączona na "Wszystko". Bez mojego udziału. Zaręczam, że robię, co mogę, aby nie utrudniać życia sobie i Wam. :)

Co nie zmienia faktu, że wcześniej mogłem się pomylić i nie zauważyć czegoś. Lecz sądzę, że to nie miejsce na dyskusję nad obsługą OTL.

 

Teraz idę wyłączyć HP Software Update i polookać w dziennik

OTL.Txt

Odnośnik do komentarza

Nie wypowiedasz się nic na temat rezultatów działań, czy notujesz jakąś poprawę po ostatnim skrypcie. A teraz wykończenia:

 

1. W OTL uruchom Sprzątanie, co ma na celu usunięcie OTL wraz z kwarantanną. Dokasuj te obiekty Nortona:

 

[2012-10-31 00:24:20 | 000,000,000 | ---D | C] -- C:\Users\Aga\AppData\Local\NPE

[2012-10-31 00:24:20 | 000,000,000 | ---D | C] -- C:\ProgramData\Norton

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Na wszelki wypadek zrób jeszcze skan w Malwarebytes Anti-Malware. Przy instalacji program zapyta czy włączyć wariant darmowy czy trial, wybierz darmowy bez rezydenta, by nie było kolizji z zainstalowanym MSSE. Jeżeli program coś wykryje, przedstaw raport.

 

 

Teraz idę wyłączyć HP Software Update i polookać w dziennik

 

Co widzisz w Dziennikach?

 

 

Staram się jak mogę. Jednak jest coś, co zaskakuje. Otóż otwieram OTL, pięć z sześciu "sekcji" jest defaultowo ustawionych na "użyj filtrowania", 6-ta (Rejestr - skan dodatkowy) jest ustawiona na brak. Przestawiam na "użyj filtrowania" i puszczam skan. Po skończeniu pracy wyskakują okienka notatnika z logami, ale sekcja "Rejestr" jest przełączona na "Wszystko". Bez mojego udziału.

 

Tak owszem się dzieje, ale jest to zmiana tylko "optyczna", jeśli skan zaczęto na ustawieniu "Użyj filtrowania". Istotnym jest, by przed uruchomieniem skanu było zaznaczone "Użyj filtrowania", a to że to się samo "zmienia" już w trakcie skanu, to nieważne.

 

 

 

PS. Komentarz poboczny. Widzę, że jedziesz na Tlenie (i to starej wersji 6). Tu już utrata oddechu, program nierozwijany i porzucony przez firmę. Zainteresuj się nowoczesnym WTW. Bije Tlen na głowę obsługą sieci. Pełny opis komunikatora: KLIK.

 

 

.

Odnośnik do komentarza

Nie piszę, bo oddałem żonce jej lapa, ale podglądałem wątek na swoim w razie coś. Na szybko: pkt 1 - done, pkt 2 - done (ręcznie), pkt 3 - o ile właściwą wersję odpaliłem to właśnie leci SZYBKIE skanowanie i wykryło na razie 5 obiektów. Logi dam jak skończy. Chyba, że powinienem pełny skan puścić.

 

W dzienniku wypatrzyłem tylko 2 wpisy inne niż reszta, powtarzające się po każdym starcie systemu:

 

DistributedCOM  ID 10016

Zgodnie z ustawieniami uprawnienia właściwe dla aplikacji nie jest udzielane uprawnienie Lokalny Uruchom do aplikacji serwera COM z identyfikatorem klasy CLSID

{C97FCC79-E628-407D-AE68-A06AD6D8B4D1}

użytkownikowi ZARZĄDZANIE NT\SYSTEM o identyfikatorze zabezpieczeń SID (S-1-5-18) z adresu LocalHost (użycie LRPC). To uprawnienie zabezpieczeń można modyfikować przy użyciu narzędzia administracyjnego usług składowych.

 

Dostawca dziennika... ID 7001

Usługa Przeglądarka komputera zależy od usługi Serwer, której nie można uruchomić z powodu następującego błędu:

Nie można uruchomić określonej usługi, ponieważ jest ona wyłączona lub ponieważ nie są włączone skojarzone z nią urządzenia.

 

O, właśnie skończył się szybki skan. mbam.txt. Na razie nic nie ruszam więcej i poczekam na wytyczne co do kasowania i/lub pełnego skanu.

 

edit: Dobra, kończy się weekend i wykasowałem te pliki wyskanowane przez mbam. Znaczy kazałem aplikacji skasować. Po restarcie wszystko OK, poza czasem rozruchu oczywiście

 

O ustawianiu OTL nie ma co więcej pisać. Ja ustawiłem, on się przestawił, ja nie zwróciłem uwagi a z jakichś tam względów zachciało mi się powtórzyć skan.

 

Co do tlena - ja osobiście od HGW kiedy (co najmniej 2004r - takie wpisy w historii znalazłem na szybko) używam mirandy w wersji portable. Od kilku lat nie sprawia większych trudności, chociaż co jakiś czas z opóźnieniem pojawiają się wtyczki uaktualnione do zmian w protokołach. A niektóre umierają, niestety. Np mTV - podręczny program TV w mirandzie. Natomiast żona gada w sumie z kilkoma osobami na GG, z kilkoma na tlenie i to co ma w zupełności jej styka, o ile działa. Ale spojrzę na to WTW na spokojnie.

 

edit: zmierzyłem czas startu zegarkiem. Od ekranu bios - 2 min!!! termometru z suwakiem do dźwięku i logo windows, potem jeszcze minuta do pojawienia się pulpitu, a potem jeszcze 3 do 5 (nieco trudniej stwierdzić) zanim komputer skończy robić jakieś pilne rzeczy. Ja wiem, że sprzęt nie jest nowy i demonem szybkości też nie jest, ale 2GB RAM, core 2 duo T5450 1,66GHz to też nie jest XIX wiek. Dysk zdefragmentowałem, SMART nie wnosi zastrzeżeń, więc coś musi się chyba "liczyć" intensywnie przy starcie.

mbam.txt

Odnośnik do komentarza
O, właśnie skończył się szybki skan. mbam.txt. Na razie nic nie ruszam więcej i poczekam na wytyczne co do kasowania i/lub pełnego skanu. (...) edit: Dobra, kończy się weekend i wykasowałem te pliki wyskanowane przez mbam. Znaczy kazałem aplikacji skasować. Po restarcie wszystko OK, poza czasem rozruchu oczywiście

 

Decyzja z usunięciem słuszna. Po tym ponów czyszczenie folderów Przywracania systemu.

 

 

W dzienniku wypatrzyłem tylko 2 wpisy inne niż reszta, powtarzające się po każdym starcie systemu

 

Prześlij mi oryginalne Dzienniki zdarzeń. Skopiuj na Pulpit cały katalog C:\Windows\system32\winevt\Logs > do ZIP > na hosting gdzieś > podaj tu link.

 

DistributedCOM  ID 10016

Zgodnie z ustawieniami uprawnienia właściwe dla aplikacji nie jest udzielane uprawnienie Lokalny Uruchom do aplikacji serwera COM z identyfikatorem klasy CLSID

{C97FCC79-E628-407D-AE68-A06AD6D8B4D1}

użytkownikowi ZARZĄDZANIE NT\SYSTEM o identyfikatorze zabezpieczeń SID (S-1-5-18) z adresu LocalHost (użycie LRPC). To uprawnienie zabezpieczeń można modyfikować przy użyciu narzędzia administracyjnego usług składowych.

 

Błąd DCOM komponentu IPBusEnum opisany tutaj: KLIK.

 

Dostawca dziennika... ID 7001

Usługa Przeglądarka komputera zależy od usługi Serwer, której nie można uruchomić z powodu następującego błędu:

Nie można uruchomić określonej usługi, ponieważ jest ona wyłączona lub ponieważ nie są włączone skojarzone z nią urządzenia.

 

Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator > wyszukaj usługę Serwer i ustaw Typ uruchomienia na Automatyczny.

 

 

Od ekranu bios - 2 min!!! termometru z suwakiem do dźwięku i logo windows, potem jeszcze minuta do pojawienia się pulpitu, a potem jeszcze 3 do 5 (nieco trudniej stwierdzić) zanim komputer skończy robić jakieś pilne rzeczy.

 

Długi przestój na fazie z logo sugeruje urządzenia / sterowniki. Czy start w Trybie awaryjnym wykazuje te same cechy?

 

 

 

.

Odnośnik do komentarza
Decyzja z usunięciem słuszna. Po tym ponów czyszczenie folderów Przywracania systemu.
Zrobione.

 

Prześlij mi oryginalne Dzienniki zdarzeń. Skopiuj na Pulpit cały katalog C:\Windows\system32\winevt\Logs > do ZIP > na hosting gdzieś > podaj tu link.
ftp://80.53.171.218/LogsAga.zip User/Pass zaraz poleci na priva

 

DistributedCOM ID 10016 ....
Zrobione aczkolwiek z pewnymi trudnościami. Opis był dla win 7 ang i nic mi się nie zgadzało, ale zagrzebałem w googlu i jakoś dałem radę ponaprawiać uprawnienia.

 

Dostawca dziennika... ID 7001 Usługa Przeglądarka komputera...
Zrobione. Oba w/w błędy znikły i nie pojawiły się w logach po kolejnym restarcie.

 

Jednak sam start chwilę trwa nadal. W logu zdarzeń przy starcie jest 80 sek. przerwa po Zdarzenie 7036, NETw4v32 (Usługa \Device\NDMP4 weszła w stan \DEVICE\{7255B34F-26C3-45C1-8BFA-1862BF3C2734}.) To coś związane z kartą WiFi. Bardzo długo zresztą trwa identyfikowanie sieci, zanim będzie gotowa.

 

 

Długi przestój na fazie z logo sugeruje urządzenia / sterowniki. Czy start w Trybie awaryjnym wykazuje te same cechy?
W trybie awaryjnym 90 sekund do pełnej gotowości, czyli grubo ponad 2 x szybciej.
Odnośnik do komentarza

Przejrzałam logi (z FTP możesz usunąć paczkę). I rzeczywiście tym sypie strasznie:

 

 

W logu zdarzeń przy starcie jest 80 sek. przerwa po Zdarzenie 7036, NETw4v32 (Usługa \Device\NDMP4 weszła w stan \DEVICE\{7255B34F-26C3-45C1-8BFA-1862BF3C2734}.) To coś związane z kartą WiFi. Bardzo długo zresztą trwa identyfikowanie sieci, zanim będzie gotowa.

 

W Twoim logu sterowniki sieciowe prezentują się następująco, są stare:

 

========== Driver Services (SafeList) ==========

 

DRV - [2007-02-25 05:14:00 | 002,216,448 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\NETw4v32.sys -- (NETw4v32)

DRV - [2006-11-02 08:30:54 | 001,781,760 | ---- | M] (Intel® Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\NETw3v32.sys -- (NETw3v32)

 

Nasuwa się reinstalacja sterowników. Na stronie Intel poszukaj aktualizacji. W menedżerze urządzeń wykonaj operację wymiany sterowników. Jeśli to nic nie wskóra, halt = nie mam innego pomysłu na długi start z potencjalnej winy urządzeń sieciowych.

 

 

 

.

Odnośnik do komentarza

Nasuwa się reinstalacja sterowników. Na stronie Intel poszukaj aktualizacji. W menedżerze urządzeń wykonaj operację wymiany sterowników. Jeśli to nic nie wskóra, halt = nie mam innego pomysłu na długi start z potencjalnej winy urządzeń sieciowych.

 

Zbadam sterowniki po południu i spróbuję zaktualizować. Jak się da i pomoże - OK. Jak nie - będę szukał dalej. Ale już w odrębnym temacie.

Tylko jedna uwaga.

Długi przestój na fazie z logo sugeruje urządzenia / sterowniki.

Nie wiem, co masz na myśli mówiąc o fazie logo. Bo pierwsze 2 minuty od ekranu BIOSu to nie etap logo Win, tylko termometr (zał). Potem na chwilę czarny ekran, potem mały kręcący się okrąg a dopiero potem logo Win. I właśnie te pierwsze minuty mnie ciekawią. wyłączyłem wszystkie możliwe urządzenia z listy bootowania, został tylko HDD. Ale po prawdzie to spróbuję najpierw zastosować ten temat https://www.fixitpc.pl/topic/11092-analiza-dlugiego-startu-systemu/ a potem wrócę do zagadnienia w innym wątku. A ten temat do zamknięcia z dużymi podziękowaniami.

post-5633-0-63594000-1352288839_thumb.png

Odnośnik do komentarza
Nie wiem, co masz na myśli mówiąc o fazie logo.

 

Mówię właśnie o tym, umownie. Chodzi mi o ekran z "gąsienicą" + logo, to jest etap inicjacji kernel, urządzeń i sterowników.

 

 

A ten temat do zamknięcia

 

Poczekam jednak na wyniki operacji reinstalacji sterowników. Napisz co z tego wynikło, a jeśli nadal będzie problem, to zainicjujesz osobny temat.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...