marcinkowski Opublikowano 1 Grudnia 2012 Zgłoś Udostępnij Opublikowano 1 Grudnia 2012 Witam. Ten temat to tak trochę na skróty bo właściwie to nie wiem czego szukać. Sąsiad podrzucił mi komputer żebym zobaczył co się z nim dzieje ale jakoś nie mogę sobie z tym poradzić. System Windows XP Pro SP 3 32 bit. Najpierw było coś takiego że po zalogowaniu był długo (może kilka minut) czarny ekran z kursorem, później dopiero pokazywał się pulpit. Było również kilka błędów, były to od sterów drukarki i jeden od IE, nie pamiętam nazwy ale tak pisali w sieci, no i po aktualizacji się już nie pokazuje. Zmieniłem również sposób logowania z tego sieciowego na normalny z szybką zmianą użytkownika, może to właśnie miało wpływ na to co jest obecnie. A jest tak, przed zalogowaniem pokazuje się błąd pamięci "svchost.exe" że pamięć nie może być read, później dość długo loguje i pokazuje się obraz samej tapety, na eksplorator trzeba poczekać kolejne z 5 minut zanim pokaże się pasek i ikony. W Dzienniku zdarzeń głównie występuje błąd usługi menedżera połączenia usługi dostęp zdalny, zakończyła działanie ze względu na specyficzny dla niej błąd i tu podany długi numer. Zajrzałem do usług i zobaczyłem że sporo z nich było poustawianych w ręczny tak jak by ktoś sobie optymalizował system, tak na oko niektóre poustawiałem w auto i po restarcie w dzienniku okazało się że chyba wszystkie nie mogą być włączone. No i nie działa internet, cały czas jest pobieranie adresu IP. W MU wygląda że ze wszystkimi urządzeniami jest dobrze więc jest coś z systemem lub coś się w nim zalęgło. Proszę więc o jakąś pomoc i poradę. OTL.Txt Extras.Txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 6 Grudnia 2012 Zgłoś Udostępnij Opublikowano 6 Grudnia 2012 Temat przenoszę do działu XP. Infekcji tu nie widzę. Drobne śmieci adware i szczątki do wyczyszczenia (spoiler). 1. Przez Dodaj/Usuń Programy odinstaluj adware DealPly. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={591B061A-0829-4804-8BC6-5F30ADA6A39A}" IE - HKU\S-1-5-21-1214440339-1844237615-1177238915-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392" IE - HKU\S-1-5-21-1214440339-1844237615-1177238915-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={591B061A-0829-4804-8BC6-5F30ADA6A39A}" IE - HKU\S-1-5-21-1214440339-1844237615-1177238915-1003\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKU\S-1-5-21-1214440339-1844237615-1177238915-1003\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKU\S-1-5-21-1214440339-1844237615-1177238915-1003\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. O3 - HKU\S-1-5-21-1214440339-1844237615-1177238915-1003\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. O16 - DPF: {00000161-0000-0010-8000-00AA00389B71} "http://codecs.microsoft.com/codecs/i386/msaudio.cab" (Reg Error: Key error.) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDCndis5.SYS -- (ZDCndis5) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCANDIS5.SYS -- (PCANDIS5) DRV - File not found [Kernel | On_Demand | Stopped] -- G:\Everest Ultimate Edition 4.20.1245 PL\Everest Ultimate Edition 4.20.1245 Beta PL\kerneld.wnt -- (EverestDriver) [2011-04-13 18:11:53 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\AVG Security Toolbar [2012-12-01 06:52:35 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\SweetIM [2011-04-30 09:12:18 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Monika\Dane aplikacji\PriceGong [2012-11-25 17:10:34 | 000,000,000 | ---D | C] -- C:\Program Files\SweetIM [2012-11-25 17:10:34 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\SweetIM [2012-11-25 17:10:07 | 000,000,000 | ---D | C] -- C:\Program Files\SweetPacks [2006-01-01 12:06:46 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Monika\Y=Y= :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 4. Uruchom AdwCleaner i zastosuj Delete. W Dzienniku zdarzeń głównie występuje błąd usługi menedżera połączenia usługi dostęp zdalny, zakończyła działanie ze względu na specyficzny dla niej błąd i tu podany długi numer.Zajrzałem do usług i zobaczyłem że sporo z nich było poustawianych w ręczny tak jak by ktoś sobie optymalizował system, tak na oko niektóre poustawiałem w auto i po restarcie w dzienniku okazało się że chyba wszystkie nie mogą być włączone. No i nie działa internet, cały czas jest pobieranie adresu IP. Ten system wygląda na modyfikowany, instalacja z nośnika przetworzonego czymś w rodzaju nLite. Trudno tu stwierdzić, co było robione. 1. Co do tego błędu Menedżera połączenia usługi dostęp zdalny, to może dostarcz mi skan z SystemLook oraz log Process Monitor jak w tym temacie: KLIK. 2. Jest tu zainstalowany protokół IPv6: DRV - [2008-04-14 00:30:04 | 000,225,664 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\tcpip6.sys -- (Tcpip6) Przećwicz co się stanie po jego deinstalacji. Start > Uruchom > cmd i wpisz komendę ipv6 uninstall 3. Stare sterowniki chipsetu nVidia (zawierają sieciowe): DRV - [2006-04-24 10:52:28 | 000,100,736 | R--- | M] (NVIDIA Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\nvata.sys -- (nvata)DRV - [2006-03-22 07:24:02 | 000,018,944 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nvnetbus.sys -- (nvnetbus)DRV - [2006-03-22 07:24:00 | 000,052,736 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\NVENETFD.sys -- (NVENETFD) 4. Starawy AVG 2011 zainstalowany. . Odnośnik do komentarza
marcinkowski Opublikowano 6 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 6 Grudnia 2012 Witam. No więc tak, pierwsze cztery punkty zrobiłem, załączam logi, ten OTL to nie wiem czy dobrze wszystko zrobił, są tam jakieś błędy, i czyżby wywlił aż 755MB. Odnośnie tego: 2. Jest tu zainstalowany protokół IPv6: DRV - [2008-04-14 00:30:04 | 000,225,664 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\tcpip6.sys -- (Tcpip6) Przećwicz co się stanie po jego deinstalacji. Start > Uruchom > cmd i wpisz komendę ipv6 uninstall Przez cmd nie chce odinstalować wywala błąd " Funkcja WSAStartup nie powiodła się", nie wiem czy dobrze zrobiłem ale odinstalowałem to z poziomu właściwości połączenia sieciowego. W każdym razie chyba nie pomogło. Natomiast nie bardzo rozumiem tego: 3. Stare sterowniki chipsetu nVidia (zawierają sieciowe): Jeżeli chodzi o sterowniki siecowe to może dla tego że jest zintegrowana karta sieciowa nVidia, jeżeli chodzi o to że stare to dla tego że wgrałem je z oryginalnej CD od płyty głównej. Przeinstalowywałem te sterowniki dla tego że od samego początku podejrzewałem że jest to problem sprzętowy. 4. Starawy AVG 2011 zainstalowany. Wiem że są stare, ale niektórym ludziom to i spychaczem ciężko cokolwiek wepchnąć do głowy, dla wszystkiego wyłączałem je z autostartu. I wracając do tego: 1. Co do tego błędu Menedżera połączenia usługi dostęp zdalny, to może dostarcz mi skan z SystemLook oraz log Process Monitor jak w tym temacie: KLIK. Zrobiłem te logi i mimo że nie jestem pewien czy dobrze zrobiłem z tym PM, ale może dobrze. http://www.sendspace.pl/file/b919c16bc61ea9ec8d18dd5 otl skrypt.txt AdwCleanerS1.txt SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 6 Grudnia 2012 Zgłoś Udostępnij Opublikowano 6 Grudnia 2012 Na szybko komentarz, bo zaraz wychodzę: No więc tak, pierwsze cztery punkty zrobiłem, załączam logi, ten OTL to nie wiem czy dobrze wszystko zrobił, są tam jakieś błędy, i czyżby wywlił aż 755MB. Skrypt w ogóle nie wykonał się w pierwszej części, bo nie wkleiłeś wszystkiego, ominąłeś dyrektywę :OTL. Powtarzaj. A z tym "aż 755MB" w Tempach to nic specjalnego, ja widzę nagminnie znacznie wyższe statystyki, po 2 czy 4 GB czyszczone. Na forum był też rekordzista, miał zachomikowane ponad 20GB w Tempach. Natomiast nie bardzo rozumiem tego: 3. Stare sterowniki chipsetu nVidia (zawierają sieciowe): Jeżeli chodzi o sterowniki siecowe to może dla tego że jest zintegrowana karta sieciowa nVidia, jeżeli chodzi o to że stare to dla tego że wgrałem je z oryginalnej CD od płyty głównej. Przeinstalowywałem te sterowniki dla tego że od samego początku podejrzewałem że jest to problem sprzętowy. Ja wiem, że zintegrowana, poznaję po sterownikach. Zmierzam do tego, że te sterowniki chipsetu nVidia tu zainstalowane są cholernie stare, z roku 2006, czyli sugerowałam ich aktualizację. Wiem że są stare, ale niektórym ludziom to i spychaczem ciężko cokolwiek wepchnąć do głowy, dla wszystkiego wyłączałem je z autostartu. Antywirus wyłączony ze startu, w jaki sposób? Nawiasem: nie da rady go "wyłączyć" całkowicie, musiałbyś deaktywować wszystkie sterowniki programu, a to z kolei czyni antywirusa nieczynnym, więc bezużytecznym. . Odnośnik do komentarza
marcinkowski Opublikowano 6 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 6 Grudnia 2012 (edytowane) OTL poprawiłem, jakoś nie chcący musiał mi się źle skopiować ten skrypt. Odnośnie tych tempów to się zdziwiłem bo wcześniej ręcznie usuwałem więc musiałem coś przeoczyć. Ja wiem, że zintegrowana, poznaję po sterownikach. Zmierzam do tego, że te sterowniki chipsetu nVidia tu zainstalowane są cholernie stare, z roku 2006, czyli sugerowałam ich aktualizację. To znaczy się poszedłem trochę na łatwiznę i zainstalowałem je z oryginalnej płyty więc dla tego są stare, no i pomyślałem że może będą pewniejsze niż pobierane nowe, oczywiście że zaktualizuję. AVG wyłączałem na tyle na ile mogłem przy pomocy programu Starter. I jeszcze chyba zapomniałem napisać że zapory systemowej również nie daje się uruchomić. Edit: Mam takie pytanie, znalazłem w autostarcie taki wpis" nltide_2 - regsvr32 /s /n /i:U shell32", dowiedziałem się że jest to właśnie od modyfikacji systemu przez nLite, z tym że jest to martwy wpis i nie ma tego pliku, czy to tak ma być. I jeszcze jedno pytanie, czy można zrobić jakieś naprawianie tego systemu, bo mnie sąsiad głowę truje, zrobił bym jakąś nakładkę czy coś bo nie chce mi się kopiować i całkowicie reinstalować ten system, ale jest tam kilku użytkowników więc boję się że przy naprawianiu w ten sposób mogę pokasować ich konta. otl skrypt.txt Edytowane 18 Grudnia 2012 przez marcinkowski Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się