Skocz do zawartości

Prośba o sprawdzenie logów


DragonFire

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

"Kontrolne" - czyli żadnego konkretnego powodu? Jeśli chodzi o infekcje, w logach nic podejrzanego. Przenoszę do działu Windows XP.

 

1. Do usunięcia tylko drobne puste wpisy i szczątki Symantec. Wejdź w Tryb awaryjny, by resztówkowe sterowniki Symantec nie były aktywne podczas usuwania. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-1606980848-1770027372-1801674531-1002\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050"
IE - HKU\S-1-5-21-1606980848-1770027372-1801674531-1002\..\URLSearchHook: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - No CLSID value found
O3 - HKLM\..\Toolbar: (no name) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - No CLSID value found.
O3 - HKU\S-1-5-21-1606980848-1770027372-1801674531-1002\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: [Copy Handler]  File not found
O20 - Winlogon\Notify\SEP: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\Program Files\Symantec\Symantec Endpoint Protection\12.1.671.4971.105\Bin\SyDvCtrl32.sys -- (SyDvCtrl)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\1A3.tmp -- (MEMSWEEP2)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\DOCUME~1\smo\USTAWI~1\Temp\esihdrv.sys -- (esihdrv)
DRV - [2012-01-31 18:19:53 | 000,092,080 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- D:\WINDOWS\system32\drivers\SysPlant.sys -- (SysPlant)
DRV - [2011-05-26 09:25:16 | 000,118,960 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- D:\WINDOWS\system32\drivers\teefer.sys -- (Teefer2)
 
:Reg
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchURL]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchURL]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchURL]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main]
"Search Bar"=-
"Start Page"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main]
"Search Bar"=-
"Start Page"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Main]
"Search Bar"=-
"Start Page"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\Main]
"Search Bar"=-
"Start Page"=-
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. Po tym użyj Sprzątanie.

 

2. W Dzienniku zdarzeń sypie kolejnymi błędami powiązanymi z odpadkami Symantec:

 

[ System Events ]

Error - 2012-12-16 08:28:07 | Computer Name = BLACKV8 | Source = Service Control Manager | ID = 7023

Description = Usługa Menedżer połączeń usługi Dostęp zdalny zakończyła działanie;

wystąpił następujący błąd: %%126

 

Error - 2012-12-16 08:41:12 | Computer Name = BLACKV8 | Source = RemoteAccess | ID = 20070

Description = Aparat protokołu Point to Point Protocol nie może załadować modułu

D:\Program Files\Symantec\Symantec Endpoint Protection\12.1.671.4971.105\Bin\SymRasMan.dll.

Nie można odnaleźć określonego modułu.

 

Error - 2012-12-16 08:41:12 | Computer Name = BLACKV8 | Source = RemoteAccess | ID = 20151

Description = Protokół sterowania EAP w module D:\WINDOWS\System32\rasppp.dll protokołu

Point to Point Protocol zwrócił błąd podczas inicjowania. Nie można odnaleźć określonego

modułu.

 

Error - 2012-12-16 08:41:12 | Computer Name = BLACKV8 | Source = Rasman | ID = 20063

Description = Nie można uruchomić Menedżera połączeń usługi Dostęp zdalny, ponieważ

nie można zainicjować protokołu Point to Point Protocol. Nie można odnaleźć określonego

modułu.

 

Error - 2012-12-16 08:41:12 | Computer Name = BLACKV8 | Source = Service Control Manager | ID = 7023

Description = Usługa Menedżer połączeń usługi Dostęp zdalny zakończyła działanie;

wystąpił następujący błąd: %%126

 

Error - 2012-12-16 08:45:13 | Computer Name = BLACKV8 | Source = Rasman | ID = 20035

Description = Nie można uruchomić Menedżera połączeń usługi Dostęp zdalny, ponieważ

nie można utworzyć buforów. Uruchom ponownie komputer. Odmowa dostępu.

 

Error - 2012-12-16 08:45:14 | Computer Name = BLACKV8 | Source = Service Control Manager | ID = 7023

Description = Usługa Menedżer połączeń usługi Dostęp zdalny zakończyła działanie;

wystąpił następujący błąd: %%5

 

Podaj dodatkowy skan na klucze PPP. Uruchom SystemLook i w oknie wklej:

 

:reg

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan /s

 

Klik w Look.

 

3. Wg raportu są tu zainstalowane wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216022F0}" = Java™ 6 Update 22

"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin

"Adobe Shockwave Player" = Adobe Shockwave Player 11.5

"Maxthon3" = Maxthon 3

"Opera 11.64.1403" = Opera 11.64

 

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: D:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_5_502_110.dll ()

 

Do deinstalacji stare Java i Adobe, zaktualizuj Operę, a Maxthon 3 to produkt historyczny.

 

4. Cacheman + RAMKontroler: za dużo, a poza tym najlepiej zostawić pamięć Windows w świętym spokoju. Takie sztuczne zwalnianie / oczyszczanie może mieć skutki odwrotne od zamierzonych.

 

 

 

.

Odnośnik do komentarza

Witaj Picasso. Trochę czasu mnie nie było, ale dzisiaj wieczorem się tym wszystkim zajmę.

"Kontrolne", ponieważ dawno nie czyściłem i nie kontrolowałem tego komputera. Pomyślałem sobie, że pewnie coś mi tu znajdziesz, albo zaradzisz, więc wstawiłem logi.

 

Na razie muszę lecieć do dentysty, ale pod wieczór, obiecuję że wszystko zdiagnozuję.

 

Edit:

Niestety ząb mnie dalej boli, dentysta do bani się okazał, więc z tym wszystkim trochę się wstrzymam, bo nie mam humora w ogóle :(

 

Ale tak;

#4. Cacheman mi całkowicie wystarczy, bez niego komputer chodzi wolniej. Głównie jest uruchomiony dlatego, że pokazuje mi obok zegara który rdzeń i w jakim stopniu jest używany w danej chwili i ile pamięci mam wolnej. Ot taki bajer. Ram Kontroler natomiast zwalnia mi przy korzystaniu z Firefoxa kilkadziesiąt MB, co jeszcze nie obczaiłem do czego, ale może mi się za 100 lat do czegoś przyda ;)

 

#3. Maxthon 3 - ostatnio zainstalowała mi się jego aktualizacja, więc raczej nie taki historyczny. Zauważyłem, że szybciej mi działa aniżeli FF. Opery jeszcze nie ruszam, jak widzisz, mam dość starą wersję, a to dlatego, że z przesiadki z tej, na 12 na Viście zaczeły mi się dziać jakieś dziwne historie. Filmów mi nie wczytywało, ani obrazków, chodziła też dużo wolniej. Więc tutaj ją zostawiłem w starej wersji, czekając tak na prawdę na jakąś nową, ale nie tak spapraną. Ta ostatnia wydaje się być całkiem dobrze zrobiona, bo na Viście już wszystko działa bardziej sprawnie. Co prawda, nie widzę, aby tak samo, jak starsza wersja /ta sama, co mam tutaj/, ale widzę, że idą ku dobremu. Jeszcze się z tym wstrzymam. Popatrzę, jakie będą następne wersje.

 

Picasso, tak jak patrzysz na te logi, to czy jest tu coś co może powodować, że system wolniej się ładuje na starcie, a konkretnie zacina się na kilka minut? Bo mam taki efekt od jakiegoś czasu i idzie z tym żyć, ale jest to denerwujące. Wszystko ładnie się ładuje aż do momentu, gdzie jest ten monit "Zapraszamy", gdzie wisi bezczelnie. Po kilku minutach następuje dalsze uruchamianie się, aż do pulpitu i dalej jest normalnie.

 

Edit 2:

Dołączam SystemLook.

 

Edit 3:

Zabiorę się za chwile za ten otl i nie wiem, czy tu wrócę - jak to bywa czasami z tymi kompami ;)

 

Mam jakiś dziwny problem z ikonkami na pulpicie. Po kilku uruchomieniach robią się coraz bardziej rozpikselowane, a z czasem odległość między nimi się zmniejsza aż do takiej, gdzie mam ikonkę na ikonce. Znalazłem w necie instrukcje jak zrobić .reg, który przywraca normalne odległości i normalny wygląd ikonek. Ale kurczę, co kilka uruchomień mi się tak dzieje i wcale ten reg mi nie pomaga na dłuższą metę.

Do tego dochodzi jeszcze to, że czasem obok zegara pojawia się ikonka z wykrzyknikiem. Gdy kliknę, znika. Wydaje mi się, że to pozostałość po jakimś trojanie, który Symantec właśnie zablokował, ale nie wszystko. Bo trojan się nie uaktywnił aż tak, by zablokować menadżer zadań, czy opcje panelu sterowania - jak to bywa z nimi. Po prostu pojawia mi się ten wykrzyknik i mam kłopot z ikonkami.

Poza tym, co jakiś czas, gdy muszę uruchomić ten reg, dźwięki systemowe wracają do domyślnych ustawień. Normalnie mam ustawione - brak dźwięków. Po prostu mi je włącza.

-Właśnie sobie przypomniałem, że ostatnio, by wywalić ten problem, usunąłem zawartość katalogu Media.

 

Edit 4:

Nie wszystko poszło gładko. Uruchomiłem OTL, wkleiłem skrypt, uruchomiłem. Trochę pomilczał. Wykonał. Zrobiłem restart do znów systemu awaryjnego, by posprzątać. Potem znów restart, ale do normalnego.

I tak, na starcie to, co opisałem powyżej, ale:

Jeden rdzeń cały czas użytkowany (100%), a żadna aplikacja nie korzystała z procesora w stu procentach. W zasadzie proces bezczynności zabierał 95-98%. I co? I nie działał internet. Wszystko ok w menadżerze urządzeń, ale ping nie zadziałał, ani strony się nie chciały uruchomić "brak połączenia z internetem". Dziwne?

Zastosowałem w cmd:

netsh winsock reset i ipconfig /flushdns.

Zrobiłem restart i net chodzi.

No i co ciekawe, obciążenie procka znikneło.

 

 

Czy tam u licha było coś, co usuwało połączenie z netem, w tym skrypcie?????

 

Zauważyłem, że komp się nieco szybciej uruchamia i nieco szybciej startują programy.

Powyższe, nie załatane problemy pozostały.

 

Nie wiem, może poszukam jakiegoś programu do rejestrowania co się uruchamia od startu systemu, aż do pokazania się pulpitu? Jakaś sugestia, co do tego Picasso?

SystemLook.txt

Edytowane przez DragonFire
Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...