adic8 Opublikowano 29 Listopada 2014 Zgłoś Udostępnij Opublikowano 29 Listopada 2014 1. Po uruchomienie MS Office PowerPoint 2010 w ciągu 5sek. wyświetla się monit: "Program przestał działać". 2. To samo dzieje się z CorelDraw X7. 3. Po włączeniu właściwości "Mój Komputer" wyświetla się monit: "Program Explorator Windows przestał działać". 4. System stosunkowo długo się uruchamia. 5. Program OpenFM wyświatla brak wtyczki Flash mimo, że jest zainstalowana. System postawiłem nieco ponad miesiąc temu za pomocą Recovery, w związku z czym zainstalowało się pełno dodatków od producenta HP. Od razu je odinstalowałem i tutaj moja obawa, bo może usunąłem coś ważnego... W załącznikach wszystkie wymagane logi. Moja dziewczyna bardzo potrzebuje tego lapka (praca inżynierska), a nie chce znowu przeprowadzać reinstalacji systemu, dlatego zwracam się z prośbą o rozwiązanie problemu tu na forum. Addition.txt FRST.txt OTL.Txt Shortcut.txt gmer.txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 29 Listopada 2014 Zgłoś Udostępnij Opublikowano 29 Listopada 2014 Temat przenoszę do działu Windows. Nie jest to problem infekcji. Był używany tu na 100% ComboFix (charakterystyczne modyfikacje, niektóre błędnie wykonane, bo ComboFix nie jest wolny od bugów) - na przyszłość: KLIK. W spoilerze tylko drobne korekty na wpisy szczątkowe, co nie ma związku ze zgłoszonymi problemami: Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-1017097351-795278975-3992398382-1001\...\Policies\Explorer: [] HKU\S-1-5-21-1017097351-795278975-3992398382-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-1017097351-795278975-3992398382-1001\Software\Microsoft\Internet Explorer\Main,Start Page = https://mysearch.avg.com?cid={207CE016-4FF6-42ED-B4DB-8028A302211D}&mid=67ccd6ed490b47d2b2af6d3e7138c4b3-f0a238254cd66f9dfe39aebed6613ff935d9af74&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-11-06 10:34:07&v=4.0.0.19&pid=wtu&sg=&sap=hp HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1017097351-795278975-3992398382-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKU\S-1-5-21-1017097351-795278975-3992398382-1001 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={207CE016-4FF6-42ED-B4DB-8028A302211D}&mid=67ccd6ed490b47d2b2af6d3e7138c4b3-f0a238254cd66f9dfe39aebed6613ff935d9af74&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-11-06 10:34:07&v=4.0.0.19&pid=wtu&sg=&sap=dsp&q={searchTerms} BHO-x32: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] Task: {66A48566-0D38-4B21-B178-7B08925378F3} - System32\Tasks\Hewlett-Packard\HP Support Assistant\Ghost Resign Task => c:\program files (x86)\hewlett-packard\hp health check\activecheck\product_line\HPResignFileLoader.exe Task: {9B522B2D-D17B-4CF1-99C4-01DDDBDDBA99} - System32\Tasks\Hewlett-Packard\HP Support Assistant\WarrantyChecker => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPWarrantyCheck\HPWarrantyChecker.exe Task: {C982744F-5FE2-4282-B99F-11B83DE62B48} - System32\Tasks\Hewlett-Packard\HP Support Assistant\WarrantyChecker_DeviceScan => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPWarrantyCheck\HPWarrantyChecker.exe C:\ProgramData\AVG Security Toolbar C:\Users\Default\AppData\Roaming\TuneUp Software C:\Users\Ola\AppData\Roaming\TuneUp Software Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer" /f Reg: reg delete "HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer" /f Reg: reg delete "HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer" /f Reg: reg delete "HKU\S-1-5-21-1017097351-795278975-3992398382-1001\Software\Microsoft\Windows\CurrentVersion\policies\Explorer" /v NoDrives /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt - przedstaw go. 1. Po uruchomienie MS Office PowerPoint 2010 w ciągu 5sek. wyświetla się monit: "Program przestał działać". 2. To samo dzieje się z CorelDraw X7. 3. Po włączeniu właściwości "Mój Komputer" wyświetla się monit: "Program Explorator Windows przestał działać". Te objawy prędzej pasują do rejestracji wadliwego modułu / rozszerzenia powłoki. Dziennik zdarzeń jest bardzo enigmatyczny i nie wskazuje konkretów (jako moduł przyczynowy stoi biblioteka Windows, co zwykle nie jest przyczyną): Application errors: ================== Error: (11/29/2014 02:10:19 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: Explorer.exe, wersja: 6.1.7601.17567, sygnatura czasowa: 0x4d672ee4 Nazwa modułu powodującego błąd: ntdll.dll, wersja: 6.1.7601.18247, sygnatura czasowa: 0x521eaf24 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x00000000000542e0 Identyfikator procesu powodującego błąd: 0x1470 Godzina uruchomienia aplikacji powodującej błąd: 0xExplorer.exe0 Ścieżka aplikacji powodującej błąd: Explorer.exe1 Ścieżka modułu powodującego błąd: Explorer.exe2 Identyfikator raportu: Explorer.exe3 Error: (11/29/2014 02:09:26 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: Explorer.EXE, wersja: 6.1.7601.17567, sygnatura czasowa: 0x4d672ee4 Nazwa modułu powodującego błąd: ntdll.dll, wersja: 6.1.7601.18247, sygnatura czasowa: 0x521eaf24 Kod wyjątku: 0xc0000374 Przesunięcie błędu: 0x00000000000c4102 Identyfikator procesu powodującego błąd: 0x7d4 Godzina uruchomienia aplikacji powodującej błąd: 0xExplorer.EXE0 Ścieżka aplikacji powodującej błąd: Explorer.EXE1 Ścieżka modułu powodującego błąd: Explorer.EXE2 Identyfikator raportu: Explorer.EXE3 Error: (11/29/2014 01:47:18 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: hpConnectionManager.exe, wersja: 4.0.45.1, sygnatura czasowa: 0x4d5af464 Nazwa modułu powodującego błąd: ntdll.dll, wersja: 6.1.7601.18247, sygnatura czasowa: 0x521eaf24 Kod wyjątku: 0xc0000374 Przesunięcie błędu: 0x00000000000c4102 Identyfikator procesu powodującego błąd: 0x1880 Godzina uruchomienia aplikacji powodującej błąd: 0xhpConnectionManager.exe0 Ścieżka aplikacji powodującej błąd: hpConnectionManager.exe1 Ścieżka modułu powodującego błąd: hpConnectionManager.exe2 Identyfikator raportu: hpConnectionManager.exe3 Error: (11/29/2014 01:41:22 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: POWERPNT.EXE, wersja: 14.0.6009.1000, sygnatura czasowa: 0x4cc1a4db Nazwa modułu powodującego błąd: ntdll.dll, wersja: 6.1.7601.18247, sygnatura czasowa: 0x521eaf24 Kod wyjątku: 0xc0000374 Przesunięcie błędu: 0x00000000000c4102 Identyfikator procesu powodującego błąd: 0x798 Godzina uruchomienia aplikacji powodującej błąd: 0xPOWERPNT.EXE0 Ścieżka aplikacji powodującej błąd: POWERPNT.EXE1 Ścieżka modułu powodującego błąd: POWERPNT.EXE2 Identyfikator raportu: POWERPNT.EXE3 Dostarcz log z ShellExView x64. CTRL+A, by zaznaczyć wszystkie wpisy w oknie > klik w ikonkę dyskietki, by zapisać log w formacie TXT. 4. System stosunkowo długo się uruchamia. Wstępnie: 1. Wyłącz ze startu kilka wpisów, by stwierdzić czy wnosi to coś do sprawy. W Autoruns odfajkuj następujące pozycje: - W karcie Logon: Adobe ARM, Facebook Update, Skype - W karcie Services: AdobeARMservice, Autodesk Content Service, c2cautoupdatesvc, c2cpnrsvc, SkypeUpdate. Zresetuj system. 2. Do wykonania testowa deinstalacja AVG. Niestety oprogramowanie zabezpieczające to rozbudowany układ serwisów / sterowników i przy problemach z dłuższym startem jeden z głównych podejrzanych. A deinstalacja, gdyż proste wyłączanie w opcjach nie znosi aktywności wszystkich elementów startowych. 5. Program OpenFM wyświatla brak wtyczki Flash mimo, że jest zainstalowana. W systemie nie ma pasującej instalacji Adobe Flash. Na liście zainstalowanych są pozycje: ==================== Installed Programs ====================== Adobe Flash Player 15 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 15.0.0.239 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 16 PPAPI (HKLM-x32\...\Adobe Flash Player PPAPI) (Version: 16.0.0.233 - Adobe Systems Incorporated) ----> wtyczka dla Opera vs. 2014-11-05 16:26 - 2014-11-25 11:29 - 00000000 ____D () C:\Users\Ola\AppData\Local\OpenFM 2014-11-05 16:26 - 2014-11-05 16:26 - 00000000 ____D () C:\Users\Ola\AppData\Roaming\OpenFM 2014-11-05 16:26 - 2014-11-05 16:26 - 00000000 ____D () C:\Users\Ola\AppData\Roaming\Mozilla OpenFM chodzi na silniku Mozilla i potrzebuje innej wersji Adobe Flash (typu NPAPI): KLIK. Instalator powinien zamontować trzecią pozycję Adobe Flash Player 15 Plugin (wersja 15.0.0.239) - wersja ta jest używana przez Firefox (w systemie go nie ma, ale instalacje wtyczek są robione "na zapas") oraz alternatywnie Operę (w Operze po instalacji wejdź do spisu wtyczek i wyłącz tę wtyczkę NPAPI, bo dwie równolegle czynne wtyczki Adobe Flash mogą prowadzić do konfliktów). . Odnośnik do komentarza
adic8 Opublikowano 30 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 30 Listopada 2014 Dzięki za odzew. Faktycznie w akcie desperacji użyłem ComboFix'a o czym zapomniałem napisać. System uruchomił się szybciej, po wykonaniu Twoich procedur. AVG moge już zainstalować spowrotem? Załączam fixloga. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 30 Listopada 2014 Zgłoś Udostępnij Opublikowano 30 Listopada 2014 Co z resztą kroków - log z ShellExView oraz instalacja Adobe Flash? System uruchomił się szybciej, po wykonaniu Twoich procedur. AVG moge już zainstalować spowrotem? Ale która operacja uczyniła największą różnicę w starcie systemu, deaktywacje w Autoruns czy deinstalacja AVG? Jeśli to pierwsze, AVG wraca na miejsce. Jeśli to drugie, nie, tylko szukasz innego antywirusa, który nie spowalnia startu. Odnośnik do komentarza
adic8 Opublikowano 30 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 30 Listopada 2014 Zainstalowałem Adobe Flash i teraz nie ma z nim problemów. System uruchomił się szybciej po dezaktywacjach w Autoruns. Ponownie zainstalowałem AVG 2015 i jest dobrze jeśli chodzi o ładowanie systemu. Wrzucam log z ShellExView. EDIT. Nie wiem czy to ma znaczenie ale do niedziałających programów dochodzi Media Player Classic oraz systemowy katalog "Gry" shellexviewlog.txt Odnośnik do komentarza
adic8 Opublikowano 3 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 3 Grudnia 2014 Sukces! Problemem okazały się sterowniki karty graficznej. Odinstalowałem je i usunąłem wszystkie pozostałości po nich. Następnie włączyłem skanowanie w poszukiwaniu zmian sprzętu w Menadżerze urządzeń. Potem Windows sam znalazł sterowniki i je zainstalował. Wszystkie programy, które wykazywały błędy już działają Temat uznajemy za zakończony czy mam jeszcze jakieś błędy w logach? a może podać nowe logi? Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się