Błąd aplikacji przy instalacji programu

[Gordion]

Witam

 

Mam problem z zainstalowaniem programu z powodu takieg błędu.

Próbowałem kilka razy i się cały czas powtarza.

 

Przesyłam log FRST.

Wczoraj uzyłem wise registry cleaner - nie wiem czy to moze mieć związek.

A może wada aplikacji (chociaż pobrana ze strony producenta).

 

Podobny komunikat wyświetlił się przy próbie instalacji mcafee (do maleware).

 

Także przy wyłączonym comodo.

 

Typ zdarzenia:    Błąd

Źródło zdarzenia:    Application Error

Kategoria zdarzenia:    Brak

Identyfikator zdarzenia:    1000

Data:        2014-12-18

Godzina:        19:00:32

Użytkownik:        Brak

Komputer:    H-13F81598AAAB4

Opis:

Aplikacja powodująca błąd roguekiller.exe, wersja 10.1.0.0, moduł powodujący błąd roguekiller.exe, wersja 10.1.0.0, adres błędu 0x001a38b0.

 

Aby znaleźć więcej informacji, zobacz hxxp://go.microsoft.com/fwlink/events.asp w Centrum pomocy i obsługi technicznej.

Dane:

0000: 41 70 70 6c 69 63 61 74   Applicat

0008: 69 6f 6e 20 46 61 69 6c   ion Fail

0010: 75 72 65 20 20 72 6f 67   ure  rog

0018: 75 65 6b 69 6c 6c 65 72   uekiller

0020: 2e 65 78 65 20 31 30 2e   .exe 10.

0028: 31 2e 30 2e 30 20 69 6e   1.0.0 in

0030: 20 72 6f 67 75 65 6b 69    rogueki

0038: 6c 6c 65 72 2e 65 78 65   ller.exe

0040: 20 31 30 2e 31 2e 30 2e    10.1.0.

0048: 30 20 61 74 20 6f 66 66   0 at off

0050: 73 65 74 20 30 30 31 61   set 001a

0058: 33 38 62 30 0d 0a         38b0..  

 

 

Za pomoc z góry dziękuję.

FRST.txt

Addition.txt

[picasso]

Używany był tu ComboFix i na ten temat: KLIK. Poza tym, widzę na dysku logi OTL (a nie zostały tu dołączone) i co niepokojące plik o nazwie skrypt z netu.txt - co to za plik, czy to miał być "skrypt do OTL"?

 

Brakuje FRST Shortcut oraz GMER. Póki co, w raportach widoczne następujące problemy:

- Polityki oprogramowania, choć nie jest pewne do końca ich pochodzenie.

- Uszkodzenie bazy Usług kryptograficznych (catroot lub catroot2) - od góry do dołu usługi i sterowniki Microsoftu są przedstawione jako niepodpisane cyfrowo ([File not signed]).

 

Wstępnie:

 

1. Uruchom narzędzie Fix It 50202: KLIK. Narzędzie działa na XP. Zaznacz tryb agresywny - w jego skład wchodzi reset bazy catroot2.

 

2. Pozostałe poprawki, dwa skrypty, gdyż wypięcie odpadkowych dzienników Dr. Web i TuneUp wymaga tymczasowego wyłączenia usługi Dziennik zdarzeń:

 

Adnotacja dla innych czytających: skrypty unikatowe - dopasowane tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

----> Otwórz Notatnik i wklej w nim:

 

CMD: sc config Eventlog start= disabled
Reboot:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny (logując się na swoje konto Primus Girrafus a nie wbudowanego Administratora), gdyż COMODO przeszkodzi pracy FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart, opuść Tryb awaryjny - start Windows może być nieco dłuższy ze względu na wyłączony Dziennik. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (przekopiuj go gdzieś indziej).

 

----> Otwórz Notatnik i wklej w nim:

 

CloseProcesses:


HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% 

HKLM Group Policy restriction on software: C:\Program Files\uTorrent\uTorrent.exe 

HKLM Group Policy restriction on software: C:\Program Files\eMule\emule.exe 

HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe 

HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe 

HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% 

HKU\S-1-5-21-776561741-1935655697-839522115-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 

URLSearchHook: HKLM - Default Value = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D}

S2 ATE_PROCMON; \??\C:\Program Files\Anti Trojan Elite\ATEPMon.sys [X]

S3 catchme; \??\C:\DOCUME~1\PRIMUS~1\USTAWI~1\Temp\catchme.sys [X]

S3 pccsmcfd; system32\DRIVERS\pccsmcfd.sys [X]

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service"

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver"

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver"

C:\Documents and Settings\All Users\Dane aplikacji\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F}

C:\Documents and Settings\All Users\Dane aplikacji\Doctor Web

C:\Documents and Settings\All Users\Dane aplikacji\TuneUp Software

C:\Documents and Settings\Primus Girrafus\Doctor Web

C:\Documents and Settings\Primus Girrafus\Dane aplikacji\TuneUp Software

C:\Documents and Settings\Primus Girrafus\Ustawienia lokalne\Dane aplikacji\nsf40.tmp

C:\Program Files\TuneUp Utilities 2013

C:\WINNT\system32\config\Doctor Web.evt

C:\WINNT\system32\config\TuneUp.evt

CMD: sc config Eventlog start= auto

Reg: reg add "HKLM\Software\Microsoft\Internet Explorer\Main" /v "Local Page" /t REG_SZ /d C:\WINNT\System32\blank.htm /f

Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /v Tabs /f

Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f

Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f

Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f

EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny. Uruchom FRST i kliknij w Fix. Nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (nadpisuje poprzedni).

 

3. Zrób nowy log FRST z opcji Scan (brakujący Shortcut ma zostać zaznaczony). Dołącz też oba pliki fixlog.txt. Opisz co się dzieje.

[Gordion]

Plik o nazwie skrypt z netu.txt nie był użyty i nie jest z tym zamiarem na dysku - mój przypadek przedstawiam tylko tutaj.

 

 

pkt1 zrobione

 

pk2

zrobiony pierwszy skrypt i skopiowany fixlog

drugi skrypt - po wybraniu opcji "fix" komputer od razu się zrestartował i uruchomił w trybie normalnym z komunikatem że system odzyskał sprawność po błędzie.

 

po próbie ponownego uruchomienia programów od których zacząłem ten wątek zmienił się komunikat o błędzie - chąc skopiować z dziennika treść błędu nie można wyświetlić danych - użyłem PrtScr

 

zrobiłem ponowny skan FRST

 

wczoraj jeszcze zanim zabrałem się dzisiaj do komputera odinstalowałem comodo.

Fixlog.txt

FRST.txt

Shortcut.txt

Addition.txt

[picasso]

Masowa usterka [File not signed] naprawiona. Natomiast pierwszy skrypt FRST wyłączył Dziennik zdarzeń, drugi miał go włączyć ponownie. Drugi skrypt jednak w ogóle nie wykonany. Powtórz akcję, ale bez komend CloseProcesses: + EmptyTemp:, czyli zastosuj fixlist o postaci:

 

HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% 
HKLM Group Policy restriction on software: C:\Program Files\uTorrent\uTorrent.exe 
HKLM Group Policy restriction on software: C:\Program Files\eMule\emule.exe 
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe 
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe 
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% 
HKU\S-1-5-21-776561741-1935655697-839522115-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
URLSearchHook: HKLM - Default Value = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D}
S2 ATE_PROCMON; \??\C:\Program Files\Anti Trojan Elite\ATEPMon.sys [X]
S3 catchme; \??\C:\DOCUME~1\PRIMUS~1\USTAWI~1\Temp\catchme.sys [X]
S3 pccsmcfd; system32\DRIVERS\pccsmcfd.sys [X]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver"
C:\Documents and Settings\All Users\Dane aplikacji\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F}
C:\Documents and Settings\All Users\Dane aplikacji\Doctor Web
C:\Documents and Settings\All Users\Dane aplikacji\TuneUp Software
C:\Documents and Settings\Primus Girrafus\Doctor Web
C:\Documents and Settings\Primus Girrafus\Dane aplikacji\TuneUp Software
C:\Documents and Settings\Primus Girrafus\Ustawienia lokalne\Dane aplikacji\nsf40.tmp
C:\Program Files\TuneUp Utilities 2013
C:\WINNT\system32\config\Doctor Web.evt
C:\WINNT\system32\config\TuneUp.evt
CMD: sc config Eventlog start= auto
Reg: reg add "HKLM\Software\Microsoft\Internet Explorer\Main" /v "Local Page" /t REG_SZ /d C:\WINNT\System32\blank.htm /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /v Tabs /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reboot:

 

Przedstaw wynikowy fixlog.txt oraz zrób nowy skan FRST po akcji.

[Gordion]

Fix wykonany.

 

Po próbie uruchomienia aplikacji komunikat taki jak ostatni.

 

Tylko w przypadku tych dwóch programów - pozostałe uruchamiają się bez problemów.

Pobrałem je ze stron producentów.

Czy może to wada tych plików instalacyjnych?

FRST.txt

Shortcut.txt

Addition.txt

Fixlog.txt

[Gordion]

Dziękuję za pomoc i cierpliwość.

 

Pozdrawiam i wszystkiego dobrego w nowym roku.

 

czapka z głów za wiedzę