chaos Opublikowano 26 Lutego 2015 Zgłoś Udostępnij Opublikowano 26 Lutego 2015 Witam Mam problem z kompem który ktoś wcześniej próbował naprawiać. System to Windows XP Home OEM. Pierwsze co mi się rzuciło w oczy to brak msconfiga - a dokłaniej nie uruchamia się ani z menu uruchom, ani w konsoli. Trzeba wejść do C:\WINDOWS\pchealt\helpctr\binaries i stamtąd uruchomić z dwukliku. Nie wiem czemu ikonka dysku D:\ wygląda jak ikonka modemu. Potem wyłączyłem usługi eseta bo co chwilę wyskakiwało okienko błąd aplikacji. Przeglądarki - Chrome i IE - nie uruchamiają się, też błąd aplikacji przy starcie, po doinstalowaniu firefoxa to samo. Dopiero w trybie awaryjnym uruchomiła się któraś, - aktualnie firefox i IE działają tylko w trybie awaryjnym, powyłączałem im też wszystkie dodatki w stylu java, flash, silverlight i jakieś playery. FRST - też błąd aplikacji ale zadziałał w trybie awaryjnym. Większość programów i instalatorów ma ten błąd. Gmer i MBAM uruchomiły się. Z dodaj usuń programy nie idzie usunąć Yontoo 1.10.03 - wyskakuje okienko: "Tarma@ Installer", z komunikatem: Setup initialization error, w trybie awaryjnym tak samo. W usługach mam dwie podejrzane jak na mnie: Pierwsza: "BrowserProtect" - ścieżka do tego - C:\Documents and Settings\All Users\Dane aplikacji\BrowserProtect\2.6.1095.52.\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe Druga: "SerialKeys" - ścieżka do tego - C:\WINDOWS\System32\skeys.exe Najpierw przeskanowałem kompa esetem online ale nie usunąłem tego co znalazł, potem uruchomiłem gmera, potem jeszcze raz eset online tym razem z usuwaniem znalezionych, i jeszcze MBAM, dr. Web, rkill - ale dokładnie nie pamiętam w jakiej kolejności i z jakim efektem. System uruchamia się bardzo długo, tak samo długo usiłuje się wyłączyć. Usiłuje ponieważ w trakcie wyłączania wyskakuje okienko: "SAS window: winlogon.exe - Błąd aplikacji" z komunikatem: Instrukcja spod "0x77c634f" odwołuje się do pamięci pod adresem "0xed8503e9". Pamięć nie może być "written". Po czym komp zamiast się wyłączyć - restartuje. W trybie awaryjnym wyłącza się normalnie. Dodam że mentest nie znalazł błędów w ramach. Z eseta online chyba nie zrobiłem logu tylko skopiowałem listę tego co znalazł, tak że tylko to z eseta będzie. To na tyle, sorki za rozpisanie - Dzięki za przeczytanie gmer.txt Addition.txt FRST.txt Shortcut.txt cureit.txt MBAMraport.txt wynik-eset-online.txt Odnośnik do komentarza
picasso Opublikowano 26 Lutego 2015 Zgłoś Udostępnij Opublikowano 26 Lutego 2015 Infekcja jest prawdopodobnie w pliku systemowym rpcss.dll, nie jest podpisany cyfrowo, a jego suma kontrolna jest unikatowa (b81b8dd052af396b3ef36e73b9d179c9): R2 DcomLaunch; C:\WINDOWS\system32\rpcss.dll [401408 2009-02-09] (Microsoft Corporation) [File not signed] S3 ImapiService; C:\WINDOWS\system32\imapi.exe [150528 2008-04-15] (Microsoft Corporation) [File not signed] R2 RpcSs; C:\WINDOWS\system32\rpcss.dll [401408 2009-02-09] (Microsoft Corporation) [File not signed] Inne problemy: - Strasznie archaiczna wersja ESET z 2009, na dodatek scrackowana. - Adware (BrowserProtect, Delta, Yoonto), ale siedzi ono w systemie od lat, to stare aplikacje już nie występuje w świeżych miotach adware. Druga: "SerialKeys" - ścieżka do tego - C:\WINDOWS\System32\skeys.exe To poprawna usługa od Microsoft Serial Keys Utility (SKeys): S2 SerialKeys; C:\WINDOWS\system32\skeys.exe [26112 2008-04-15] (Microsoft Corporation) Nie wiem czemu ikonka dysku D:\ wygląda jak ikonka modemu. Prawdopodobnie w root dysku jest ukryty nieszkodliwy plik autorun.inf związany z tym procesem: KLIK. Na początek poproszę o spis kopii plików Microsoftu oznaczonych jako niesygnowane. Uruchom FRST, w polu Search wklej: rpcss.dll;imapi.exe Klik w Search Files i dostarcz wynikowy log. Odnośnik do komentarza
chaos Opublikowano 26 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 26 Lutego 2015 Jest log - a odnoście ESETa - i tak potrzebny jest pewnie nowy antyvirus, czyli rozumie odinstalować? Yoonto nie umie wywalić. A BrowserProtecta i Delty nie widze w zainstalowanych. Search.txt Odnośnik do komentarza
picasso Opublikowano 26 Lutego 2015 Zgłoś Udostępnij Opublikowano 26 Lutego 2015 ESET i adware było wzmiankowane w ramach ogólnego podsumowania co widzę, a nie jako wskazówka, że masz się zabierać za deinstalację. Tu jest ścisła kolejność zadań, każdy krok ma określone następstwa i rozpisuję szczegółowe instrukcje. Yontoo nie możesz odinstalować, bo uszkodziłeś go skanerami (zawsze należy deinstalować w pierwszej kolejności przed użyciem skanerów), BrowserProtect i Delta nie widnieją zaś na liście zainstalowanych, są/były w innych miejscach. Nie zauważyłam, że podane tu logi są stare - FRST pochodzi sprzed wielu dni (22 luty), na dodatek został zrobiony przed usuwaniem MBAM (23 luty), który zmienił to co widać w FRST. Temat powstał 26 lutego, dane mam zupełnie nieadekwatne i muszę się gimnastykować z nanoszeniem poprawki na zmiany poczynione przez skanery. Ale jest pewne, że w chwili obecnej pliki Windows są zmodyfikowane, bo skan FRST Search to potwierdza. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Replace: C:\WINDOWS\$hf_mig$\KB956572\SP3QFE\rpcss.dll C:\WINDOWS\system32\rpcss.dll Replace: C:\WINDOWS\system32\dllcache\imapi.exe C:\WINDOWS\system32\imapi.exe S4 BrowserProtect; C:\Documents and Settings\All Users\Dane aplikacji\BrowserProtect\2.6.1095.52\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe [0 2013-02-11] () S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_cdcecm; system32\DRIVERS\ew_jucdcecm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 HWiNFO32; \??\C:\DOCUME~1\KaMiLa\USTAWI~1\Temp\HWiNFO32.SYS [X] S3 RT80x86; system32\DRIVERS\RT2860.sys [X] HKLM\...\Run: [userFaultCheck] => %systemroot%\system32\dumprep 0 -u ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll No File ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll No File ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll No File ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll No File CustomCLSID: HKU\S-1-5-21-1123561945-776561741-1801674531-1004_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Documents and Settings\KaMiLa\Dane aplikacji\GG\ggdrive\ggdrive-menu.dll No File CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-1123561945-776561741-1801674531-1004\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://www.delta-search.com/?affID=119370&babsrc=NT_ss&mntrId=80c1e2a600000000000000b08c069ac4" SearchScopes: HKU\S-1-5-21-1123561945-776561741-1801674531-1004 -> {F10D8717-BF7A-4144-9CA6-E4AE455F60B4} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^PL&apn_uid=57C20B5C-425A-4691-B7EB-B63C4AB36C04&apn_sauid=D13AA595-CBAC-4E16-834E-B02F7B260CEB BHO: delta Helper Object -> {C1AF5FA5-852C-4C90-812E-A7F75E011D87} -> C:\Program Files\Delta\delta\1.8.10.0\bh\delta.dll (Delta-search.com) Toolbar: HKLM - Delta Toolbar - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files\Delta\delta\1.8.10.0\deltaTlbr.dll (Delta-search.com) Toolbar: HKU\S-1-5-21-1123561945-776561741-1801674531-1004 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File C:\Documents and Settings\All Users\Dane aplikacji\BrowserProtect C:\Documents and Settings\KaMiLa\Dane aplikacji\DSite C:\Documents and Settings\KaMiLa\Dane aplikacji\PDF Creator Packages C:\Documents and Settings\KaMiLa\Menu Start\Programy\BrowserProtect C:\Documents and Settings\KaMiLa\Menu Start\Programy\eGames C:\Program Files\GUT2.tmp C:\Program Files\GUM1.tmp C:\Program Files\Delta Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\DSite /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\PDF Creator Packages" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{889DF117-14D1-44EE-9F31-C5FB5D47F68B} /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f CMD: dir /a D:\ Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Sprawdź czy jesteś w stanie odinstalować przez Dodaj/Usuń programy stare wersje: Adobe Flash Player 11 ActiveX, ESET NOD32 Antivirus, Google Chrome, Java 7 Update 11. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się jakie problemy notujesz. Odnośnik do komentarza
chaos Opublikowano 27 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 27 Lutego 2015 .. ekhm... sory za problemy - nie zwróciłem uwagi na daty, a działałem wcześniej dość chaotycznie. A z resztą tak: Adobe Flash Player 11 ActiveX i Java 7 Update 11 - odinstalowane. Google Chrome nie widzę w ogóle w Dodaj/Usuń programy. ESET NOD32 Antyvirus ma tylko opcję "zmień". Usługi ESETA wyłączyłem, są tam trzy: ESET HTTP Server, ESET Service, ESET Trial Reset. FRST wykonał ten fixlist.txt chyba w 2 sekundy - to tak szybko miało iść...? Wpis Yontoo zniknął. Skanowanie musiałem znowu wykonać w trybie awaryjnym, w normalnym trybie chwilę po uruchomieniu wyskakuje komunikat: "Wystąpił problem z aplikacją FRST.exe i zostanie ona zamknięta, po czym komunikat znika... i tyle widziałem FRST. W firefoxie podobnie uruchamia się, nawet załaduje stronę z ostatniej sesji i wyskakuje najpierw okienko firefoxa o awarii, a po tym systemowe o błędzie. Przy wyłączaniu za pierwszym razem wyłączył się normalnie, ale potem znowy ten sam błąd winlogona i restart zamiast wyłączenia. A i przed tym jeszcze przy włączaniu trybu awaryjnego system zawisł na pliku ntoskrnl.exe, wyłączyłem go na obudowie i tryb awaryjny działa. Addition.txt FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 27 Lutego 2015 Zgłoś Udostępnij Opublikowano 27 Lutego 2015 FRST wykonał ten fixlist.txt chyba w 2 sekundy - to tak szybko miało iść...? Wpis Yontoo zniknął. W sprzyjających okolicznościach i w zależności od użytych komend Fix może wejść jak burza. Czasem FRST się na czymś wiesza (trudno przewidzieć na czym) i stosuję ostrzeżenia dla użytkowników, by nie przerywali pracy. Wpis Yontoo zniknął, gdyż załączyłam w skrypcie komendę usuwania klucza Yontoo z Uninstall. Google Chrome nie widzę w ogóle w Dodaj/Usuń programy. Skutek podania starych logów FRST. Wg FRST wpis na liście wcześniej był, obecnie już nie ma (czyli odinstalowałeś), ale ostał się ukryty updater. Podobnie z Firefox: otrzymałam logi pokazujące, że go brak i cięłam w skrypcie FRST klucze Mozilla, a tu się okazuje że Firefox w międzyczasie został doinstalowany i moja operacja uszkodziła określone fragmenty. Z tym że MozillaPlugins nie były istotne, klucze wtyczek i tak się przebudowują, o ile działa soft który je wprowadził. ESET NOD32 Antyvirus ma tylko opcję "zmień". Usługi ESETA wyłączyłem, są tam trzy: ESET HTTP Server, ESET Service, ESET Trial Reset. Czy po kliku w Zmień pokazuje się okno ESET podające do wyboru kolejne opcje, a wśród nich deinstalację? I deinstalacja jest możliwa tylko w Trybie normalnym, w awaryjnym nie działa usługa Instalatora Windows. A wyłączenie usług ESET to stanowczo za mało, w tle pracują jeszcze nadrzędne sterowniki, które nie są dostępne do manipulacji z poziomu przystawki services.msc czy msconfig. Pliki Windows pomyślnie podstawione, obecnie już stoi odczyt sygnatury cyfrowej dla kluczowego: C:\WINDOWS\system32\rpcss.dll => File is digitally signed Ale to nie koniec - nie wiem jak to się stało, ale przegapiłam trzeci niesygnowany plik z system32 od usługi WZCSVC. Na razie omijam niepodpisany cyfrowo od Office. Kolejna porcja czynności: 1. Z poziomu Trybu awaryjnego zastosuj ESET Uninstaller. 2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście szczątek Google Update Helper > Dalej. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: S4 .EsetTrialReset; C:\WINDOWS\system32\regedt32.exe /s C:\WINDOWS\esettrialreset.reg HKLM\...\Run: [userFaultCheck] => %systemroot%\system32\dumprep 0 -u FF Plugin: @java.com/DTPlugin,version=10.11.2 -> C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation) C:\Documents and Settings\KaMiLa\Ustawienia lokalne\Dane aplikacji\Google C:\Program Files\Google C:\Program Files\PDFCreator C:\WINDOWS\esettrialreset.reg Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BrowserChoice" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\egui" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GG" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\UserFaultCheck" /f CMD: regsvr32 /u /s "C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll" EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Tym razem może być dłużej. Nastąpi restart i powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). W polu Search wklej wzcsvc.dll, klik w Search Files i ten log też dostarcz. Dołącz również plik fixlog.txt. Odnośnik do komentarza
chaos Opublikowano 27 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 27 Lutego 2015 Czy po kliku w Zmień pokazuje się okno ESET podające do wyboru kolejne opcje, a wśród nich deinstalację? Tak pokazuje się do wyboru: napraw i usuń. Cóż... znowu czegoś nie zauważyłem. Spróbuje tak odinstalować. ESET odinstalowany, zniknęły usługi ESET HTTP Server i ESET Service. Ale została ESET Trial Reset więc użyje tego ESET Uninstaller. Odnośnik do komentarza
picasso Opublikowano 27 Lutego 2015 Zgłoś Udostępnij Opublikowano 27 Lutego 2015 ESET Uninstaller i tak do zastosowania jako poprawka, na wypadek gdyby normalna deinstalacja coś ominęła. Ty cały czas oceniasz tylko usługi programowe, a nie sterowniki i wpięcia na urządzeniach. Ale ESET Trial Reset to crack ESET poza obszarem zainteresowań narzędzia firmowego ESET - ta usługa jest załączona do usunięcia w skrypcie FRST. Odnośnik do komentarza
chaos Opublikowano 27 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 27 Lutego 2015 2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście szczątek Google Update Helper > Dalej. To nie przeszło, najpierw musialem ściagnac .NET Framework żeby w ogóle ruszył, a kiedy już ruszyl to oczywiscie znowu błąd aplikacji i tyle. W trybie awaryjnym nie odpale bo tam znowu .NET Framework nie ruszy. Dlatego przeszłem do punktu 3. FRST używam caly czas w trybie awaryjnym, firefoxa w trybie awaryjnym z obsługa sieci - pisze o tym bo nie wiem czy to ma jakieś znaczenie. W pliku Search.txt było tylko tyle: Farbar Recovery Scan Tool (x86) Version: 25-02-2015 01 Ran by KaMiLa at 2015-02-27 04:58:59 Running from C:\Documents and Settings\KaMiLa\Pulpit Boot Mode: Safe Mode (with Networking) ================== Search Files: "wzcsvc.dll" ============= C:\WINDOWS\system32\wzcsvc.dll [2008-04-14 23:51][2008-04-15 13:00] 0483840 ____A (Microsoft Corporation) ====== End Of Search ====== FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 27 Lutego 2015 Zgłoś Udostępnij Opublikowano 27 Lutego 2015 W systemie nie ma poprawnej kopii pliku wzcsvc.dll - ten plik ewentualnie dostarczę z własnej wirtualnej maszyny XP, gdy znajdę czas. I mnie się wydaje, że tu może być inny problem ogólny, spoza infekcji - coś za dużo niesygnowanych plików. FRST ma bardzo ograniczoną weryfikację, sprawdza tylko podstawową pulę, a możliwości spoza widoczności raportu jest tu multum. Może być znacznie więcej takich kwiatków w systemie. Czy posiadasz płytę Windows XP Home OEM SP3, którą można byłoby użyć do zapuszczenia polecenia sfc /scannow? Odnośnik do komentarza
chaos Opublikowano 27 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 27 Lutego 2015 (edytowane) Czy posiadasz płytę Windows XP Home OEM SP3, którą można byłoby użyć do zapuszczenia polecenia sfc /scannow? Mogę posiadać, ale... nieoficjalną płytę Windows XP Professional SP3... może być? System na kompie oficjalny - nalepka jest na obudowie. Pożyczyłem tę płytkę, odpaliłem konsolę - po wpisaniu help nie pokazało sfc na liście dostępnych komend - tak że mogę odpowiedzieć sam sobie - nie może być... Edit. Zdarzył się cud!- udało się uruchomić i FRST i firefox'a w normalnym trybie! A doszło do tego tak. Postanowiłem zobaczyć co się uruchamia z FRST jak wyskakuje ten błąd aplikacji. Więc popatrzyłem na podgląd zdarzeń. W zakładce aplikacja komunikat: "Plik dziennika zdarzeń jest uszkodzony." W zakładce system zobaczyłe z dwie czy trzy usługi których już nie pamiętam. Ostatecznie zmieniłem tryb uruchamiania z ręcznego na wyłączony czterem usługom: Usługa odnajdowania SSDP, Menedze usługi dostęp zdalny, Menedzer autopołączenia dostępu zdalnego, Telefonia. Po tym zrestartowałem kompa i uruchomiłem FRST - ku mojemu zdziwieniu zadziałał i nawet zgodził się na skanowanie..., uruchomiłem firefox'a - też zadziałał. Przy wyłączaniu nie ma błędu winlogona i normalnie się zamyka, a nie restartuje. Wyniki skanu FRST w załącznikach. Niestety "Microsoft Fix it" za to twierdzi że nie ma .NET Framework, a w Dodaj/Usuń programy mam to co zainstalowałem: "Microsoft .NET Framework 4 Client Profile" i "Microsoft .NET Framework 4 Extended". Chyba że zainstalowałem nie to co trzeba... - nie wiem. Edit2. Już wien - doczytałem wreszcie że .NET Framework 4 nie jest dla XP tylko nowszych. Zainstalowałem .NET Framework 2 i "Microsoft Fix it" zadziałał - więc odinstalowałem Google Update Helper - po tym znowu skan FRST i wyniki w załącznikach poniżej. Dodaje jeszcze wynik skanu Emsisoft Emergency Kit. Po wpisaniu msconfig w Start->Uruchom wypisuje komunikat "System Windows nie może odnaleźć pliku msconfig." FRST.txt Addition.txt Shortcut.txt Emsisoft Emergency Kit_150302-211709.txt Edytowane 3 Marca 2015 przez chaos Odnośnik do komentarza
picasso Opublikowano 4 Marca 2015 Zgłoś Udostępnij Opublikowano 4 Marca 2015 Temat przenoszę do działu Windows. To moim zdaniem nie jest problem infekcji. W zakładce aplikacja komunikat: "Plik dziennika zdarzeń jest uszkodzony." W zakładce system zobaczyłe z dwie czy trzy usługi których już nie pamiętam. Ostatecznie zmieniłem tryb uruchamiania z ręcznego na wyłączony czterem usługom: Usługa odnajdowania SSDP, Menedze usługi dostęp zdalny, Menedzer autopołączenia dostępu zdalnego, Telefonia. To nadal wskazuje na uszkodzone pliki i jeszcze wychodzi na to, że są uszkodzone pliki EVT Dziennika zdarzeń. Pod kątem Dziennika zdarzeń, operacja sprowadza się do usunięcia plików EVT i ich regeneracji. Akcja wymaga tymczasowego wyłączenia usługi Dziennik zdarzeń, więc są dwa etapy zadania: 1. Otwórz Notatnik i wklej w nim: CMD: sc config Eventlog start= disabled Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zostanie wymuszony restart. Zachowaj wynikowy fixlog.txt. 2. Otwórz Notatnik i wklej w nim: C:\WINDOWS\system32\config\*.evt CMD: sc config Eventlog start= auto Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zostanie wymuszony restart. Powstanie kolejny fixlog.txt. Przedstaw oba pliki fixlog.txt. Po wpisaniu msconfig w Start->Uruchom wypisuje komunikat "System Windows nie może odnaleźć pliku msconfig." To z kolei wskazuje na uszkodzone Zmienne środowiskowe. Panel sterowania > System > Zaawansowane > Zmienne środowiskowe > w sekcji Zmienne systemu sprawdź czy widnieje zmienna Path równa: %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem Jeśli w ogóle jej nie ma, opcją Nowa... utwórz. Jeśli jest, ale punktuje inny ciąg, zedytuj. Pożyczyłem tę płytkę, odpaliłem konsolę - po wpisaniu help nie pokazało sfc na liście dostępnych komend - tak że mogę odpowiedzieć sam sobie - nie może być... Ale w której konsoli wklepałeś polecenie? Konsola Odzyskiwania uruchomiona z poziomu bootowalnej płyty nie udostępnia tej funkcji. sfc /scannow jest wykonalne tylko z poziomu działającego Windows. Jak rozumiem pożyczyłeś płytę Pro, a jest tu edycja Home. Proponuję inną akcję zamiennie: 1. Ściągnij pakiet SP3: KLIK. Pobrany plik o nazwie WindowsXP-KB936929-SP3-x86-PLK.exe zapisz bezpośrednio na dysku C. 2. Wyekstraktuj pakiet: Start > Uruchom > wklej komendę C:\WindowsXP-KB936929-SP3-x86-PLK.exe /x:C:\SP. Service Pack się rozpakuje do katalogu C:\SP. 3. Uruchom sprawdzanie plików: Start > Uruchom > sfc /scannow > gdy zostniesz poproszony o "płytę" / wskazanie ścieżki, nakieruj narzędzie na folder C:\SP\i386. Odnośnik do komentarza
chaos Opublikowano 4 Marca 2015 Autor Zgłoś Udostępnij Opublikowano 4 Marca 2015 (edytowane) Pierwszy fixlog: Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 04-03-2015Ran by KaMiLa at 2015-03-04 18:38:21 Run:3Running from C:\Documents and Settings\KaMiLa\Moje dokumenty\PobraneLoaded Profiles: KaMiLa (Available profiles: KaMiLa)Boot Mode: Normal==============================================Content of fixlist:*****************CMD: sc config Eventlog start= disabledReboot:*****************========= sc config Eventlog start= disabled =========[sC] ChangeServiceConfig SUCCESS========= End of CMD: =========The system needed a reboot.==== End of Fixlog 18:38:22 ==== Drugi fixlog: Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 04-03-2015Ran by KaMiLa at 2015-03-04 18:48:07 Run:4Running from C:\Documents and Settings\KaMiLa\Moje dokumenty\PobraneLoaded Profiles: KaMiLa (Available profiles: KaMiLa)Boot Mode: Normal==============================================Content of fixlist:*****************C:\WINDOWS\system32\config\*.evtCMD: sc config Eventlog start= autoReboot:*****************C:\WINDOWS\system32\config\*.evt => Moved successfully.========= sc config Eventlog start= auto =========[sC] ChangeServiceConfig SUCCESS========= End of CMD: =========The system needed a reboot.==== End of Fixlog 18:48:08 ==== Dziennik zdarzeń działa. Co się tyczy zmiennej Path to wygląda ona u mnie tak: "%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\WINDOWS\system32\WindowsPowerShell\v1.0". Po usunięciu części: ";C:\WINDOWS\system32\WindowsPowerShell\v1.0" dalej to samo, więc zostawiłem jak było. Jeżeli w "Start->Uruchom" wpisze pełną ścieżkę to jest: "C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe" - uruchamia się normalnie. Tak wogóle to w msconfigu w zakładce uruchamianie pojawił się wpis (nie wiem po których zmianach): "dumprep O -u" ścieżka do tego: C:\WINDOWS\system32\dumprep.exe Po dodaniu klucza: "KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\ MSCONFIG.EXE" z dwoma podkluczami: 1) Domyślny "C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" 2) Path "C:\WINDOWS\PCHealth\HelpCtr\Binaries" Teraz msconfig uruchamia się z Start->Uruchom. PS. nie wiedziałem czy fixlogi dać tu czy jako załącznik, ostatecznie dałem tak. Dwa problemy: 1. sfc pyta się o płytę cd-rom sp3(lub xp home, lub xp pro), ale jako opcję mam tylko: "Ponów próbę, Więcej informacji, Anuluj". Nigdzie nie widzę opcji do wskazania ścieżki. 2. Raz pyta o service pack, raz o xp home, raz o xp professional. Zrobiłem tak, w rejestrze w kluczu: "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup" wartość ServicePackSourcePath i SourcePath zmieniłem z "E:\" na "C:\SP",dzięki temu przy sfc /scannow nie pytał już o SP3, ale i tak chciał płytkę z XP Professional. Za to zniknęły błędy z dziennika zdarzeń poza jednym: "Nie można skopiować pliku systemowego c:\windows\system32\tscupgrd.exe do buforu DLL. Określony kod błędu: 0x00000000 [Operacja zakończona pomyślnie.]. Ten plik jest niezbędny do utrzymania stabilności systemu." Odinstalowałem dwie gry - przy jednej z nich wiem czemu uruchamiała się usługa telefonii, po czym wyłączała po wyjściu z gry - to normalne ? Poza tym odinstalowałem Windows Media Playera i jakieś kodeki do niego w wersji 11 - przed tym nie szło filmów uruchamiać z dwukliku, po odinstalowaniu już się da. I do tego jeszcze defragmentacja partycji systemowej. System niby działa dobrze, tylko jak dłużej pochodzi pojawił się problem przy wyłączaniu z dwie minuty czekania po naciśnięciu Start->Wyłącz komputer, a potem chyba z cztery razy dłużej się wyłącza. Komunikat w dzienniku zdarzeń: "Serwer {9B1F122C-2982-4391-AA8B-E071D54F2A4D} nie zarejestrował się w modelu DCOM w wymaganym czasie." - Rozwiązane, znalazłem na necie że ten serwer należy do programu dial-a-fix i aby go naprawić są dwa wyjścia: pierwsze przestawić jakąś opcję w tym programie; drugie usunąć z rejestru klucze o tym numerze. Ponieważ nie miałem dial-a-fix zainstalowanego wybrałem opcję drugą, w rejestrze znalazłem dwa takie klucze które usunąłem i po problemie. Zdarzyły się też dwa bsody, pierwszy: STOP 0x00000024 (0x001902fe, 0xf6cda638, 0xf6cda334, 0xf73d1d6e) NTFS_FILE_SYSTEM, caused by driver: Ntfs.sys drugi: STOP 0x00000050 (0xbad0b114, 0x00000000, 0x805687d0, 0x00000002) PAGE_FAULT_N0NPAGED_AREA. Przy pierwszym wyłączyłem kompa i uruchomiłem jeszcze raz, wtedy wyskoczył drugi, znowu zrestartowałem i na ekranie nic się nie pokazało nawet napisy biosu, ale dioda od dysku świeciła. Wyłączyłem po chamsku przytrzymując power do skutku. Poprzekładałem ramy wyszło że w jednym slocie nie chcą się uruchomić - komp piszczy jakby ich tam nie było(są dwie kości 256 i 512 DDR). Na tym sprawnym system uruchomił się. Potem dołożyłem i do niesprawnego i wykrywa całe 768...? W każdym razie działa. Kość 512 w memteście nie wykazała żadnych błędów po 3 przebiegach, 256 jescze sprawdzę. Później i na tym "uszkodzonym" slocie system chodził. Dysk sprawdziłem szybkim testem programem od western digital'a - nie znalazł błędów. Dodatkow system przeczyszczony ccleanerem i adwcleanerem. Załączam minidumpy które znalazł BlueScreenView, i resztę. edit. Mam pytanie, co zrobić z kwarantanną frst, znajduję się w niej część plików PDFCreator'a którego chce usunąć ? I w ogóle co z kwarantanną ? Ogólnie komp wydaje się chodzić już normalnie. Ale np. jak chciałem zainstalować avirę znowu wyskoczył błąd aplikacji(zainstalowałem ostatecznie AVG 2015 free). Idzie jakoś prosto sprawdzić czy wszystko z systemem w miarę w porządku ? AdwCleanerR2.txt minidump12032015.txt minidump10112014.txt minidump09202014.txt minidump09202014-2.txt minidump09202014-3.txt FRST.txt Addition.txt Shortcut.txt Edytowane 22 Marca 2015 przez chaos Odnośnik do komentarza
chaos Opublikowano 6 Maja 2015 Autor Zgłoś Udostępnij Opublikowano 6 Maja 2015 Komp musiał już wrócić do właściciela, tak że to by było na tyle. Chyba że się dowiem że znowu coś nie działa . Dziękuje za pomoc i poświęcony czas. Temat do zamknięcia. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się