perlit Opublikowano 17 Listopada 2010 Zgłoś Udostępnij Opublikowano 17 Listopada 2010 Mój komputer: System Win.XP Prof. SP3 Płyta ASUS M2N-E BIOS rev.1701 z 30.10.2008r. Chipset nForce 570 ULTRA sterownik v.15.23 z 12.09.2008r. Procesor AMD Athlon 64X2 Dual Core 5600+ Karta graf. PALIT NVIDIA GeForce 9600GT sterownik v.196.21 z 19.01.2010r. Pamięć Kingston 2x1024 + 2x512 (MB) Internet z sieci kablowej 2Mb. Firefox i Thunderbird. Programy zabezpieczające: F-Secure Internet Security 2011 SuperAntiSpyware Rezydent Spybot-SD. 1. Tak jak w temacie. Również pierwsze uruchamiane Firefoxa i Thunderbirda trwa zbyt długo. Skanowanie F-Secure i Bit Defender Rescue CD nie wykrywa wirusów. Proszę o sprawdzenie logów. GMER.txt Skanowanie GMER-em wykonałem przy wyłączonych programach antywirusowych, wyłączonych programach emulujących napędy i przy odłączonym Internecie (wyjęta wtyczka). Sterowniki SPTD odinstalowane progr. SPTDinst. 2. Nie działa "Zarządzanie dyskami". Przy próbie uruchomienia wyświetla się komunikat: "Uruchomienie zależności lub grup nie powiodło się" W Paneul sterowania>Narzędzia administracyjne>Usługi : " Menedżer dysków logicznych"- tryb uruchomienia autom.-usługa zatrzymana. Przy próbie uruchomienia komunikat: "błąd 126: nie można odnaleźć określonego modułu" "Usługa administracyjna Menedżera dysków logicznych"-tryb uruchomienia ręczny-usługa zatrzymana. Przy próbie uruchomienia komunikat: "uruchomienie usługi zależnej lub grupy nie powiodło się. Załączam import z kluczy rejestru: HKEY_LOCAL_MACHINE\SYSTEM\Current_ControlSet\Services\dmadmin oraz HKEY_LOCAL_MACHINE\SYSTEM\Current_ControlSet\Services\dmserver dmserver.txt W jaki sposób włączyć te usługi? Extras.Txt OTL.Txt dmadmin.txt Odnośnik do komentarza
picasso Opublikowano 17 Listopada 2010 Zgłoś Udostępnij Opublikowano 17 Listopada 2010 Temat ma raczej kwalifikację na dział Windows XP. A to jak rozumiem Twoje osobiste produkcje (?), bo pliki nieukryte: O32 - AutoRun File - [2001-06-17 09:50:18 | 000,000,054 | ---- | M] () - H:\autorun.bat -- [ FAT32 ]O32 - AutoRun File - [2003-02-23 04:23:20 | 000,000,045 | ---- | M] () - H:\autorun.inf -- [ FAT32 ]O32 - AutoRun File - [2004-05-01 21:35:56 | 000,000,967 | ---- | M] () - H:\autorun.pif -- [ FAT32 ]O32 - AutoRun File - [2010-09-28 20:33:58 | 000,000,027 | ---- | M] () - E:\autor.inf -- [ NTFS ] Zaś te dziwne pliki usuń z dysku: [2010-10-21 18:59:08 | 000,000,065 | ---- | C] () -- C:\WINDOWS\System32\-1[2009-12-16 01:45:24 | 000,002,596 | ---- | C] () -- C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Config.nt.bak[2009-12-16 01:45:24 | 000,001,734 | ---- | C] () -- C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Autoexec.nt.bak[2009-12-16 01:45:24 | 000,000,742 | ---- | C] () -- C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\hosts.bak 1. Tak jak w temacie. Również pierwsze uruchamiane Firefoxa i Thunderbirda trwa zbyt długo. Skanowanie F-Secure i Bit Defender Rescue CD nie wykrywa wirusów. 1. Przypuszczalna przyczyna: Programy zabezpieczające:F-Secure Internet Security 2011 SuperAntiSpyware Rezydent Spybot-SD. Dodatkowo, jest tu miszung. To nie całkowita lista programów zabezpieczających. Są także usługi od innych przestarzałych wersji (a-squared Free 3.0 + Lavasoft Ad-Aware 2007), przy czym usługa Ad-aware jest w stanie jak najbardziej czynnym: SRV - [2008-11-01 08:12:13 | 000,418,936 | ---- | M] (Emsi Software GmbH) [Disabled | Stopped] -- C:\Program Files\a-squared Free\a2service.exe -- (a2free)SRV - [2008-01-04 13:27:08 | 000,587,096 | ---- | M] (Lavasoft) [Auto | Running] -- C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe -- (aawservice) Do deinstalacji a-squared Free 3.0 + Lavasoft Ad-Aware 2007. Pozbyłabym się także Spybota. Zamiast tego wystarczy mieć skanery na żądanie SUPERAntispyware lub MBAM. Zresztą Spybotowi i tak coś się tu stało, usługa jest poszkodowana: SRV - File not found [Auto | Stopped] -- -- (SDhelper) A poza tym, są także resztki po Spyware Doctor, ale o tym mowa w punkcie 2 (sekcja Drivers). 2. Możesz wykonać także korekty zapisów / wyłączyć pewne rzeczy ze startu. W programie Autoruns "not found" do kasacji, reszta do deaktywacji via odptaszkowanie: Karta Services: SRV - File not found [Auto | Stopped] -- -- (SDhelper)SRV - [2004-12-13 04:34:32 | 000,049,152 | ---- | M] (Ulead Systems, Inc.) [Auto | Running] -- C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe -- (UleadBurningHelper) Karta Drivers: DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\VcommMgr.sys -- (VcommMgr)DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\VComm.sys -- (VComm)DRV - File not found [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\System32\drivers\ikhlayer.sys -- (ikhlayer)DRV - File not found [File_System | System | Stopped] -- C:\WINDOWS\System32\drivers\ikhfile.sys -- (ikhfile)DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\EagleNT.sys -- (EagleNT)DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\dtscsi.sys -- (dtscsi)DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\TBPANEL.SYS -- (Cardex)DRV - File not found [Kernel | Boot | Stopped] -- C:\WINDOWS\System32\Drivers\BTHidMgr.sys -- (BTHidMgr)DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\vbtenum.sys -- (BTHidEnum)DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\btcusb.sys -- (Btcsrusb)DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\btnetdrv.sys -- (BT)DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\BlueletSCOAudio.sys -- (BlueletSCOAudio)DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\blueletaudio.sys -- (BlueletAudio)DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\TII5.tmp\disk1\BIOSCHK.SYS -- (BIOSCHK) Karta Logon: O4 - HKLM..\Run: [RemoteControl] C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe (Cyberlink Corp.)O4 - HKLM..\Run: [WinFast Schedule] C:\Program Files\WinFast\WFTVFM\WFWIZ.exe (Leadtek Research Inc.)O4 - HKU\S-1-5-21-2052111302-1177238915-725345543-500..\Run: [sansaDispatch] C:\Documents and Settings\Administrator\Dane aplikacji\SanDisk\Sansa Updater\SansaDispatch.exe (SanDisk Corporation)O4 - HKU\S-1-5-21-2052111302-1177238915-725345543-500..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)O4 - Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\HDDlife.lnk = C:\Program Files\BinarySense\HDDlife 3\HDDlifePro.exe File not foundO4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE (Microsoft Corporation) Karta Internet Explorer: O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. Karta Task Scheduler: usunąć zadania Real, Google i Apple. 2. Nie działa "Zarządzanie dyskami". Przy próbie uruchomienia wyświetla się komunikat: "Uruchomienie zależności lub grup nie powiodło się"W Paneul sterowania>Narzędzia administracyjne>Usługi : " Menedżer dysków logicznych"- tryb uruchomienia autom.-usługa zatrzymana. Przy próbie uruchomienia komunikat: "błąd 126: nie można odnaleźć określonego modułu" "Usługa administracyjna Menedżera dysków logicznych"-tryb uruchomienia ręczny-usługa zatrzymana. Przy próbie uruchomienia komunikat: "uruchomienie usługi zależnej lub grupy nie powiodło się. Załączam import z kluczy rejestru: HKEY_LOCAL_MACHINE\SYSTEM\Current_ControlSet\Services\dmadmin oraz HKEY_LOCAL_MACHINE\SYSTEM\Current_ControlSet\Services\dmserver Dla porównania co jest w raporcie OTL: SRV - File not found [Auto | Stopped] -- C:\WINDOWS\System32\dmserver.dll -- (dmserver) Klucz Parameters jest prawidłowy (zresztą widzę, że coś kombinowałeś przez "FIX.REG"). To pliku musi brakować na dysku. Plik zgodny z SP3: KLIK. Wstaw sobie na miejsce. Po wszystkich pracach zresetuj system i przedstaw sytuację. . Odnośnik do komentarza
perlit Opublikowano 21 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 21 Listopada 2010 Z powodu braku czasu dopiero w sobotę mogłem zabrać się za porządkowanie mojego systemu wg. rad Picasso. Poniżej wyniki: 1. Dziwne pliki usunięte. Odinstalowałem progr atywir.: a-squared Free 3.0. Lavasoft-Ad-Aware 2007. Spybot-SD 2. Dokonałem korekty zapisów programem Autoruns v. 10.4.0.0. Jedynie w karcie Drivers nie znalazłem DRV - File not found [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd) 3. Plik dmserver.dll u mnie był w C:\Windows\ServicePackFiles\i386. Przeniosłem do C:\Windows\System32 i zarządzanie dyskami działa. Uruchamianie i zamykanie systemu trwa krócej, tzn zadowalająco. Dziękuję bardzo. W załączeniu logi. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 21 Listopada 2010 Zgłoś Udostępnij Opublikowano 21 Listopada 2010 W porządku. Jednakże jeszcze został odpadek po Spybocie i nadal widać SPTD: SRV - File not found [Auto | Stopped] -- -- (SDhelper)DRV - File not found [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd) Jeśli nie widzisz tych obiektów w Autoruns (odpowiednio w Services i Drivers) to być może usługi są w tak dużym stopniu poszarpania, że nie są już w formie "zainstalowanej usługi". Ale klucze w rejestrze powinny być. Start > Uruchom > regedit i tnij: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SDhelper HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd SPTD będzie stanowił problem, blokują go uprawnienia, więc przed kasacją klucza należy zresetować te aspekty. O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. To po Gadu. Tego też nie widzisz w Autoruns? Klucz do usunięcia: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} . Odnośnik do komentarza
perlit Opublikowano 21 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 21 Listopada 2010 Ponieważ nie widziałem tych obiektów w Autoruns, usunąłem podane przez Ciebie klucze. Jako pierwszy HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} , a następnieHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SDhelperHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd W załączeniu nowe logi. Jeśli już wszystko jest prawidłowe, to jeszcze raz dziękuję bardzo. Jestem pełen podziwu dla Picasso, z której porad korzystałem wiele razy na poprzednim forum. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 21 Listopada 2010 Zgłoś Udostępnij Opublikowano 21 Listopada 2010 Raporty w porządku. Z nimi koniec. Jeszcze: 1. Możesz usunąć z dysku te foldery (to szczątki po aktualizacjach). Należy wykonać przed usuwaniem dostosowanie ich uprawnień (przejęcie na własność + Pełna kontrola), gdyż one zwracają "Odmowę dostępu". [2010-11-16 01:26:42 | 000,000,000 | ---D | C] -- C:\bf8d763c02e176acac2cde7ba7048b63[2010-11-16 01:26:42 | 000,000,000 | ---D | C] -- C:\40cb1831a7873e26bf[2010-11-16 01:26:42 | 000,000,000 | ---D | C] -- C:\0aa20724113ee45a76ab08 2. Z dziś powiela się ten błąd: Error - 2010-11-21 07:00:39 | Computer Name = MATRIX | Source = Service Control Manager | ID = 7023Description = Usługa Menedżer połączeń usługi Dostęp zdalny zakończyła działanie; wystąpił następujący błąd: %%126 Skocz w Dziennik zdarzeń i z właściwości błędu przeklej jaka formuła tam stoi. . Odnośnik do komentarza
perlit Opublikowano 21 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 21 Listopada 2010 Foldery (szczątki po aktualizacjach) z dysku C usunięte. Poniżej błędy z Dziennika zdarzeń. W Start>Panel sterowania>Narzędzia administracyjne>Usługi: Menedżer połączeń usługi dostęp zdalny - tryb polecenia -ręczny, usługa zatrzymana. Próba uruchomienia usługi wyświetla: "Nie można uruchomić usługi.... błąd 126: Nie można odnaleźć określonego modułu. Menedżer autopołączenia dostępu zdalnego - j.w. Próba uruchomienia usługi wyświetla: "Nie można uruchomić usługi.... błąd 1068:Uruchomienie usługi zależności lub grupy nie powiodło się." W.w. usługi odwołują się do C:\Windows\System32\svchost.exe, który to to plik w moim systemie ma taką właśnie lokalizację. Zauważyłem jeszcze, że nie mam w wykazie usług usługi System Event Notiffication (Zawiadomienie o zdarzeniu systemowym). Czy to nie ma wpływu na sygnalizowanie błędów w Dzienniku zdarzeń? Aplikacja_ostrzeżenie.txt System_błąd.txt System_informacje.txt Odnośnik do komentarza
picasso Opublikowano 22 Listopada 2010 Zgłoś Udostępnij Opublikowano 22 Listopada 2010 Menedżer połączeń usługi dostęp zdalny - tryb polecenia -ręczny, usługa zatrzymana. Próba uruchomienia usługi wyświetla: "Nie można uruchomić usługi.... błąd 126: Nie można odnaleźć określonego modułu.(...) W.w. usługi odwołują się do C:\Windows\System32\svchost.exe, który to to plik w moim systemie ma taką właśnie lokalizację. Nie o ten plik chodzi. Usługi jadące na svchost.exe wszczepiają do głównego svchost.exe swój odrębny moduł DLL, a konfiguracja ładowania pliku jest specyfikowana w kluczu: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Usługa\Parameters ... w wartości ServiceDll. Jeśli zgłasza się błąd "nie można odnaleźć modułu", oznacza to jedno z dwóch: naruszenie w kluczu Parameters lub brak na dysku pliku skonfigurowanego w Parameters. Czyli dla omawianej tu usługi "Menedżer połączeń usługi dostęp zdalny" sprawdź te dwie rzeczy: 1. Obecność pliku na dysku: C:\WINDOWS\System32\rasmans.dll 2. Wygląd wartości ServiceDll: powinna kierować do %SystemRoot%\System32\rasmans.dll. W razie czego daję import do rejestru całej gałązki Parameters: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters] "Medias"=hex(7):72,00,61,00,73,00,74,00,61,00,70,00,69,00,00,00,00,00 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 72,00,61,00,73,00,6d,00,61,00,6e,00,73,00,2e,00,64,00,6c,00,6c,00,00,00 "IpOutLowWatermark"=dword:00000001 "IpOutHighWatermark"=dword:00000005 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters\Quarantine] "Enabled"=dword:00000001 "AutoRefreshEnabled"=dword:00000000 "AutoRefreshTimeout"=dword:01808580 "WorkItemTimeout"=dword:00000bb8 Menedżer autopołączenia dostępu zdalnego - j.w. Próba uruchomienia usługi wyświetla: "Nie można uruchomić usługi.... błąd 1068:Uruchomienie usługi zależności lub grupy nie powiodło się." Ta usługa się nie uruchamia, ponieważ nie może startować RasMan od którego ona zależy. Po korekcji powyższego błędu nieistniejącego modułu powinno się to automatycznie "naprawić". Zauważyłem jeszcze, że nie mam w wykazie usług usługi System Event Notiffication (Zawiadomienie o zdarzeniu systemowym).Czy to nie ma wpływu na sygnalizowanie błędów w Dzienniku zdarzeń? Jesteś pewien, że nie ma tej usługi? Wejdź do rejestru i popatrz czy masz poniższy klucz, a jeśli on jest, wyeksportuj jego wygląd (format TXT a nie REG): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SENS Coś tu dużo poznikało w usługach. Może pokaż pełny spis usług, tzn. w OTL sekcję Usługi przestaw na Wszystko, zaś wszelkie pozostałe pozycje ustaw na Brak / Żadne. Log wklej do posta. . Odnośnik do komentarza
perlit Opublikowano 22 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 22 Listopada 2010 Witam. 1. Obecność pliku na dysku: C:\WINDOWS\System32\rasmans.dll Plik jest w tej lokalizacji. 2. Wygląd wartości ServiceDll: powinna kierować do %SystemRoot%\System32\rasmans.dll. W razie czego daję import do rejestru całej gałązki Parameters: U mnie tak jest. Poniżej załączam import gałązki Parameters ze swojego rejestru. Wydaje mi się, że zawiera takie same wpisy. Jesteś pewien, że nie ma tej usługi? Wejdź do rejestru i popatrz czy masz poniższy klucz, a jeśli on jest, wyeksportuj jego wygląd (format TXT a nie REG): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SENS Ten klucz jest. Poniżej załączam jego eksport. Coś tu dużo poznikało w usługach. Może pokaż pełny spis usług, tzn. w OTL sekcję Usługi przestaw na Wszystko, zaś wszelkie pozostałe pozycje ustaw na Brak / Żadne. Log wklej do posta. Wykonałem. Jest poniżej. Parameters.txt SENS.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 22 Listopada 2010 Zgłoś Udostępnij Opublikowano 22 Listopada 2010 Plik jest w tej lokalizacji. (...) U mnie tak jest. Poniżej załączam import gałązki Parameters ze swojego rejestru. Wydaje mi się, że zawiera takie same wpisy. Skoro tu jest w porządku, a jest błąd "nie znaleziono modułu", to jest więcej podejrzanych przy tej konkretnej usłudze RasMan. Ona ma jeszcze dodatkowe powiązane pliki DLL specyfikowane w kluczach: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\ControlProtocols\BuiltIn Path równe %SystemRoot%\System32\rasppp.dll HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\ControlProtocols\Chap Path równe %SystemRoot%\System32\raschap.dll HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP Path równe %SystemRoot%\System32\rasppp.dll HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 Path równe %SystemRoot%\System32\rastls.dll HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\25 Path równe %SystemRoot%\System32\rastls.dll HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\26 Path równe %SystemRoot%\System32\raschap.dll HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\4 Path równe %SystemRoot%\System32\raschap.dll Czyli: zweryfikuj ustawienia w rejestrze + obecność wyżej podanych plików na dysku. Na wszelki wypadek dorzucam import całego klucza RasMan: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan] "Type"=dword:00000020 "Start"=dword:00000003 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Menedżer połączeń usługi Dostęp zdalny"" "DependOnService"=hex(7):54,00,61,00,70,00,69,00,73,00,72,00,76,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "Description"="Tworzy połączenie sieciowe." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters] "Medias"=hex(7):72,00,61,00,73,00,74,00,61,00,70,00,69,00,00,00,00,00 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 72,00,61,00,73,00,6d,00,61,00,6e,00,73,00,2e,00,64,00,6c,00,6c,00,00,00 "IpOutLowWatermark"=dword:00000001 "IpOutHighWatermark"=dword:00000005 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters\Quarantine] "Enabled"=dword:00000001 "AutoRefreshEnabled"=dword:00000000 "AutoRefreshTimeout"=dword:01808580 "WorkItemTimeout"=dword:00000bb8 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP] "MaxConfigure"=dword:0000000a "MaxFailure"=dword:0000000a "MaxReject"=dword:00000005 "MaxTerminate"=dword:00000002 "Multilink"=dword:00000000 "NegotiateTime"=dword:00000096 "RestartTimer"=dword:00000003 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\ControlProtocols] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\ControlProtocols\BuiltIn] "Path"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\ 00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,72,00,\ 61,00,73,00,70,00,70,00,70,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\ControlProtocols\Chap] "Path"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\ 00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,72,00,\ 61,00,73,00,63,00,68,00,61,00,70,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP] "Path"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\ 00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,72,00,\ 61,00,73,00,70,00,70,00,70,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13] "RolesSupported"=dword:00000002 "FriendlyName"="Smart Card or other Certificate" "Path"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\ 00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,72,00,\ 61,00,73,00,74,00,6c,00,73,00,2e,00,64,00,6c,00,6c,00,00,00 "ConfigUiPath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 72,00,61,00,73,00,74,00,6c,00,73,00,2e,00,64,00,6c,00,6c,00,00,00 "IdentityPath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 72,00,61,00,73,00,74,00,6c,00,73,00,2e,00,64,00,6c,00,6c,00,00,00 "InteractiveUIPath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,\ 00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,\ 5c,00,72,00,61,00,73,00,74,00,6c,00,73,00,2e,00,64,00,6c,00,6c,00,00,00 "InvokeUsernameDialog"=dword:00000000 "InvokePasswordDialog"=dword:00000000 "MPPEEncryptionSupported"=dword:00000001 "ConfigCLSID"="{58AB2366-D597-11d1-B90E-00C04FC9B263}" "StandaloneSupported"=dword:00000000 "NoRootRevocationCheck"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\25] "RolesSupported"=dword:0000001a "FriendlyName"="Protected EAP (PEAP)" "Path"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\ 00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,72,00,\ 61,00,73,00,74,00,6c,00,73,00,2e,00,64,00,6c,00,6c,00,00,00 "ConfigUiPath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 72,00,61,00,73,00,74,00,6c,00,73,00,2e,00,64,00,6c,00,6c,00,00,00 "IdentityPath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 72,00,61,00,73,00,74,00,6c,00,73,00,2e,00,64,00,6c,00,6c,00,00,00 "InteractiveUIPath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,\ 00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,\ 5c,00,72,00,61,00,73,00,74,00,6c,00,73,00,2e,00,64,00,6c,00,6c,00,00,00 "InvokeUsernameDialog"=dword:00000000 "InvokePasswordDialog"=dword:00000000 "MPPEEncryptionSupported"=dword:00000001 "ConfigCLSID"="{58AB2366-D597-11d1-B90E-00C04FC9B263}" "StandaloneSupported"=dword:00000001 "NoRootRevocationCheck"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\26] "FriendlyName"="Secured password (EAP-MSCHAP v2)" "Path"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\ 00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,72,00,\ 61,00,73,00,63,00,68,00,61,00,70,00,2e,00,64,00,6c,00,6c,00,00,00 "ConfigUiPath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 72,00,61,00,73,00,63,00,68,00,61,00,70,00,2e,00,64,00,6c,00,6c,00,00,00 "IdentityPath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 72,00,61,00,73,00,63,00,68,00,61,00,70,00,2e,00,64,00,6c,00,6c,00,00,00 "InteractiveUIPath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,\ 00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,\ 5c,00,72,00,61,00,73,00,63,00,68,00,61,00,70,00,2e,00,64,00,6c,00,6c,00,00,\ 00 "InvokeUsernameDialog"=dword:00000000 "InvokePasswordDialog"=dword:00000000 "MPPEEncryptionSupported"=dword:00000001 "ConfigCLSID"="{2af6bcaa-f526-4803-aeb8-5777ce386647}" "StandaloneSupported"=dword:00000001 "RolesSupported"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\4] "RolesSupported"=dword:0000000a "FriendlyName"="MD5-Challenge" "Path"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\ 00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,72,00,\ 61,00,73,00,63,00,68,00,61,00,70,00,2e,00,64,00,6c,00,6c,00,00,00 "InvokeUsernameDialog"=dword:00000001 "InvokePasswordDialog"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Security] "Security"=hex:01,00,14,80,7c,00,00,00,88,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,4c,00,03,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,\ 05,0b,00,00,00,00,00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 23,02,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,\ 02,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,\ 00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Enum] "0"="Root\\LEGACY_RASMAN\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Ten klucz jest. Poniżej załączam jego eksport. Klucz usługi owszem jest, ale totalnie skiereszowany / niekompletny. Brakuje m.in. wartości ustalającej nazwę wyświetlaną (co wyjaśnia brak listowania usługi w przystawce) i wielu innych parametrów. Importuj do rejestru wpis rekonstruujący wygląd usługi: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SENS] "DependOnService"=hex(7):45,00,76,00,65,00,6e,00,74,00,53,00,79,00,73,00,74,00,\ 65,00,6d,00,00,00,00,00 "Description"="Śledzi zdarzenia systemowe, takie jak zdarzenia związane z logowaniem do systemu Windows, siecią i zasilaniem. Zawiadamia o tych zdarzeniach subskrybentów systemu zdarzeń COM+." "DisplayName"="Zawiadomienie o zdarzeniu systemowym" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "ObjectName"="LocalSystem" "Group"="Network" "Start"=dword:00000002 "Type"=dword:00000020 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SENS\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 73,00,65,00,6e,00,73,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SENS\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,\ 05,0b,00,00,00,00,00,18,00,9d,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 23,02,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,\ 02,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SENS\Enum] "0"="Root\\LEGACY_SENS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 . Odnośnik do komentarza
perlit Opublikowano 22 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 22 Listopada 2010 1. Zaimportowałem do rejestru klucz SENS. Po tej operacji w Start>Panel sterowania>Narzędzia administracyjne>Usługi pojawił się wpis:"Zawiadomienie o zdarzeniu systemowym" - Tryb uruchamiania Automat. ale nie można było uruchomić usługi. 2. Sprawdziłem obecność plików: rasppp.dll ; raschap.dll; rastls.dll. Pliki znajdują się w C:\WINDOWS\System32\. 3. Zaimportowałem do rejestru klucz RasMan. 4. Wkleiłem do C:\WINDOWS\System32 następujące pliki: hidserver.dll; sens.dll. Skopiowałem je z ServicePack3 z folderu i386(po uprzednim wypakowaniu). SP3 mam na płytce CD. 5. Po tych działaniach dostępne są następne dwie usługi: "Menedżer autopołączenia dostępu zdalnego" - Tryb ręczny, usługa uruch. "Menedżer połączeń usługi dostęp zdalny" -Tryb ręczny, można dokonywać zmian. W "Podglądzie zdarzeń" w zakładce "System" brak błędów. W zakładce "Aplikacja" jest ostrzeżenie, którego treść wklejam poniżej. 6. Myślę, że już jest wszystko w porządku. Poniżej załączam jeszcze log z OTL - tylko Usługi. 7. Dziękuję bardzo za wszystko. Aplikacja_ostrzeżenie.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 22 Listopada 2010 Zgłoś Udostępnij Opublikowano 22 Listopada 2010 W zakładce "Aplikacja" jest ostrzeżenie, którego treść wklejam poniżej. Taki błąd (czyli niepełne odładowanie rejestru przy zamykaniu) może być związany z działalnością antywirusów. Do rozwiązywania tego typu defektu służy User Profile Hive Cleanup Service. Wkleiłem do C:\WINDOWS\System32 następujące pliki: hidserver.dll Jeśli sugerowałeś się tym: SRV - File not found [Disabled | Stopped] -- C:\WINDOWS\System32\hidserv.dll -- (HidServ) .. to ten odczyt jest charakterystyczny dla mnóstwa raportów, które przeglądam w Malware. Ta usługa w większości przypadków jest zbędna. Urządzenia HID jadące na swoich własnych sterownikach i tak w ogóle nie korzystają z niej. Usługa ma znaczenie za to w przypadkach tego rodzaju: KLIK. Usługę po uzupełnieniu pliku i tak masz wyłączoną: SRV - [2008-04-14 22:50:34 | 000,021,504 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\hidserv.dll -- (HidServ) . Odnośnik do komentarza
perlit Opublikowano 22 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 22 Listopada 2010 Zainstalowałem program User Profile Hive Cleanup Service, co wyeliminowało problem ostrzeżeń. Dziękuję za wszystko. Jestem w pełni usatysfakcjonowany. Temat można zamknąć. Odnośnik do komentarza
Rekomendowane odpowiedzi