Skocz do zawartości

Restart zamiast wyłączenia, Yontoo w dodaj usuń programy, programy nie uruchamiają się


chaos

Rekomendowane odpowiedzi

Witam

 

   Mam problem z kompem który ktoś wcześniej próbował naprawiać. System to  Windows XP Home OEM. Pierwsze co mi się rzuciło w oczy to brak msconfiga - a dokłaniej nie uruchamia się ani z menu uruchom, ani w konsoli. Trzeba wejść do C:\WINDOWS\pchealt\helpctr\binaries i stamtąd uruchomić z dwukliku. Nie wiem czemu ikonka dysku D:\ wygląda jak ikonka modemu.

   Potem wyłączyłem usługi eseta bo co chwilę wyskakiwało okienko błąd aplikacji. Przeglądarki - Chrome i IE - nie uruchamiają się, też błąd aplikacji przy starcie, po doinstalowaniu firefoxa to samo. Dopiero w trybie awaryjnym uruchomiła się któraś, - aktualnie firefox i IE działają tylko w trybie awaryjnym, powyłączałem im też wszystkie dodatki w stylu java, flash, silverlight i jakieś playery. FRST - też błąd aplikacji ale zadziałał w trybie awaryjnym. Większość programów i instalatorów ma ten błąd. Gmer i MBAM uruchomiły się. Z dodaj usuń programy nie idzie usunąć Yontoo 1.10.03 - wyskakuje okienko: "Tarma@ Installer", z komunikatem: Setup initialization error, w trybie awaryjnym tak samo.

 

  W usługach mam dwie podejrzane jak na mnie:

 

Pierwsza:

"BrowserProtect" - ścieżka do tego - C:\Documents and Settings\All Users\Dane aplikacji\BrowserProtect\2.6.1095.52.\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe

 

Druga:

"SerialKeys" - ścieżka do tego - C:\WINDOWS\System32\skeys.exe

 

  Najpierw przeskanowałem kompa esetem online ale nie usunąłem tego co znalazł, potem uruchomiłem gmera, potem jeszcze raz eset online tym razem z usuwaniem znalezionych, i jeszcze MBAM, dr. Web, rkill - ale dokładnie nie pamiętam w jakiej kolejności i z jakim efektem.

 

   System uruchamia się bardzo długo, tak samo długo usiłuje się wyłączyć. Usiłuje ponieważ w trakcie wyłączania wyskakuje okienko: "SAS window: winlogon.exe - Błąd aplikacji" z komunikatem: Instrukcja spod "0x77c634f" odwołuje się do pamięci pod adresem "0xed8503e9". Pamięć nie może być "written". Po czym komp zamiast się wyłączyć - restartuje. W trybie awaryjnym wyłącza się normalnie.

 Dodam że mentest nie znalazł błędów w ramach.

 

  Z eseta online chyba nie zrobiłem logu tylko skopiowałem listę tego co znalazł, tak że tylko to z eseta będzie.

 

  To na tyle, sorki za rozpisanie - Dzięki za przeczytanie :)

gmer.txt

Addition.txt

FRST.txt

Shortcut.txt

cureit.txt

MBAMraport.txt

wynik-eset-online.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Infekcja jest prawdopodobnie w pliku systemowym rpcss.dll, nie jest podpisany cyfrowo, a jego suma kontrolna jest unikatowa (b81b8dd052af396b3ef36e73b9d179c9):

 

R2 DcomLaunch; C:\WINDOWS\system32\rpcss.dll [401408 2009-02-09] (Microsoft Corporation) [File not signed]

S3 ImapiService; C:\WINDOWS\system32\imapi.exe [150528 2008-04-15] (Microsoft Corporation) [File not signed]

R2 RpcSs; C:\WINDOWS\system32\rpcss.dll [401408 2009-02-09] (Microsoft Corporation) [File not signed]

 

Inne problemy:

- Strasznie archaiczna wersja ESET z 2009, na dodatek scrackowana.

- Adware (BrowserProtect, Delta, Yoonto), ale siedzi ono w systemie od lat, to stare aplikacje już nie występuje w świeżych miotach adware.

 

 

Druga:

"SerialKeys" - ścieżka do tego - C:\WINDOWS\System32\skeys.exe

To poprawna usługa od Microsoft Serial Keys Utility (SKeys):

 

S2 SerialKeys; C:\WINDOWS\system32\skeys.exe [26112 2008-04-15] (Microsoft Corporation)

 

Nie wiem czemu ikonka dysku D:\ wygląda jak ikonka modemu.

Prawdopodobnie w root dysku jest ukryty nieszkodliwy plik autorun.inf związany z tym procesem: KLIK.

 

 

 

Na początek poproszę o spis kopii plików Microsoftu oznaczonych jako niesygnowane. Uruchom FRST, w polu Search wklej:

 

rpcss.dll;imapi.exe

 

Klik w Search Files i dostarcz wynikowy log.

Odnośnik do komentarza

ESET i adware było wzmiankowane w ramach ogólnego podsumowania co widzę, a nie jako wskazówka, że masz się zabierać za deinstalację. Tu jest ścisła kolejność zadań, każdy krok ma określone następstwa i rozpisuję szczegółowe instrukcje. Yontoo nie możesz odinstalować, bo uszkodziłeś go skanerami (zawsze należy deinstalować w pierwszej kolejności przed użyciem skanerów), BrowserProtect i Delta nie widnieją zaś na liście zainstalowanych, są/były w innych miejscach. Nie zauważyłam, że podane tu logi są stare - FRST pochodzi sprzed wielu dni (22 luty), na dodatek został zrobiony przed usuwaniem MBAM (23 luty), który zmienił to co widać w FRST. Temat powstał 26 lutego, dane mam zupełnie nieadekwatne i muszę się gimnastykować z nanoszeniem poprawki na zmiany poczynione przez skanery. Ale jest pewne, że w chwili obecnej pliki Windows są zmodyfikowane, bo skan FRST Search to potwierdza.

 

 

Działania do przeprowadzenia:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
Replace: C:\WINDOWS\$hf_mig$\KB956572\SP3QFE\rpcss.dll C:\WINDOWS\system32\rpcss.dll
Replace: C:\WINDOWS\system32\dllcache\imapi.exe C:\WINDOWS\system32\imapi.exe
S4 BrowserProtect; C:\Documents and Settings\All Users\Dane aplikacji\BrowserProtect\2.6.1095.52\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe [0 2013-02-11] () 
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_cdcecm; system32\DRIVERS\ew_jucdcecm.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X]
S3 HWiNFO32; \??\C:\DOCUME~1\KaMiLa\USTAWI~1\Temp\HWiNFO32.SYS [X]
S3 RT80x86; system32\DRIVERS\RT2860.sys [X]
HKLM\...\Run: [userFaultCheck] => %systemroot%\system32\dumprep 0 -u
ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll No File
ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll No File
ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll No File
ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll No File
CustomCLSID: HKU\S-1-5-21-1123561945-776561741-1801674531-1004_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Documents and Settings\KaMiLa\Dane aplikacji\GG\ggdrive\ggdrive-menu.dll No File
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKU\S-1-5-21-1123561945-776561741-1801674531-1004\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://www.delta-search.com/?affID=119370&babsrc=NT_ss&mntrId=80c1e2a600000000000000b08c069ac4" 
SearchScopes: HKU\S-1-5-21-1123561945-776561741-1801674531-1004 -> {F10D8717-BF7A-4144-9CA6-E4AE455F60B4} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^PL&apn_uid=57C20B5C-425A-4691-B7EB-B63C4AB36C04&apn_sauid=D13AA595-CBAC-4E16-834E-B02F7B260CEB
BHO: delta Helper Object -> {C1AF5FA5-852C-4C90-812E-A7F75E011D87} -> C:\Program Files\Delta\delta\1.8.10.0\bh\delta.dll (Delta-search.com)
Toolbar: HKLM - Delta Toolbar - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files\Delta\delta\1.8.10.0\deltaTlbr.dll (Delta-search.com)
Toolbar: HKU\S-1-5-21-1123561945-776561741-1801674531-1004 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
C:\Documents and Settings\All Users\Dane aplikacji\BrowserProtect
C:\Documents and Settings\KaMiLa\Dane aplikacji\DSite
C:\Documents and Settings\KaMiLa\Dane aplikacji\PDF Creator Packages
C:\Documents and Settings\KaMiLa\Menu Start\Programy\BrowserProtect
C:\Documents and Settings\KaMiLa\Menu Start\Programy\eGames
C:\Program Files\GUT2.tmp
C:\Program Files\GUM1.tmp
C:\Program Files\Delta
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\DSite /f
Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\PDF Creator Packages" /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{889DF117-14D1-44EE-9F31-C5FB5D47F68B} /f
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
CMD: dir /a D:\

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Sprawdź czy jesteś w stanie odinstalować przez Dodaj/Usuń programy stare wersje: Adobe Flash Player 11 ActiveX, ESET NOD32 Antivirus, Google Chrome, Java 7 Update 11.

 

3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się jakie problemy notujesz.

Odnośnik do komentarza

.. ekhm... sory za problemy - nie zwróciłem uwagi na daty, a działałem wcześniej dość chaotycznie.

 

A z resztą tak: Adobe Flash Player 11 ActiveX i Java 7 Update 11 - odinstalowane. Google Chrome nie widzę w ogóle w Dodaj/Usuń programy. ESET NOD32 Antyvirus ma tylko opcję "zmień". Usługi ESETA wyłączyłem, są tam trzy: ESET HTTP Server, ESET Service, ESET Trial Reset.

 

  FRST wykonał ten fixlist.txt chyba w 2 sekundy - to tak szybko miało iść...? Wpis Yontoo zniknął.

  Skanowanie musiałem znowu wykonać w trybie awaryjnym, w normalnym trybie chwilę po uruchomieniu wyskakuje komunikat: "Wystąpił problem z aplikacją FRST.exe i zostanie ona zamknięta, po czym komunikat znika... i tyle widziałem FRST. W firefoxie podobnie uruchamia się, nawet załaduje stronę z ostatniej sesji i wyskakuje najpierw okienko firefoxa o awarii, a po tym systemowe o błędzie. Przy wyłączaniu za pierwszym razem wyłączył się normalnie, ale potem znowy ten sam błąd winlogona i restart zamiast wyłączenia.

  A i przed tym jeszcze przy włączaniu trybu awaryjnego system zawisł na pliku ntoskrnl.exe, wyłączyłem go na obudowie i tryb awaryjny działa.

 

Addition.txt

FRST.txt

Fixlog.txt

Odnośnik do komentarza

FRST wykonał ten fixlist.txt chyba w 2 sekundy - to tak szybko miało iść...? Wpis Yontoo zniknął.

W sprzyjających okolicznościach i w zależności od użytych komend Fix może wejść jak burza. Czasem FRST się na czymś wiesza (trudno przewidzieć na czym) i stosuję ostrzeżenia dla użytkowników, by nie przerywali pracy. Wpis Yontoo zniknął, gdyż załączyłam w skrypcie komendę usuwania klucza Yontoo z Uninstall.

 

 

Google Chrome nie widzę w ogóle w Dodaj/Usuń programy.

Skutek podania starych logów FRST. Wg FRST wpis na liście wcześniej był, obecnie już nie ma (czyli odinstalowałeś), ale ostał się ukryty updater. Podobnie z Firefox: otrzymałam logi pokazujące, że go brak i cięłam w skrypcie FRST klucze Mozilla, a tu się okazuje że Firefox w międzyczasie został doinstalowany i moja operacja uszkodziła określone fragmenty. Z tym że MozillaPlugins nie były istotne, klucze wtyczek i tak się przebudowują, o ile działa soft który je wprowadził.

 

 

ESET NOD32 Antyvirus ma tylko opcję "zmień". Usługi ESETA wyłączyłem, są tam trzy: ESET HTTP Server, ESET Service, ESET Trial Reset.

Czy po kliku w Zmień pokazuje się okno ESET podające do wyboru kolejne opcje, a wśród nich deinstalację? I deinstalacja jest możliwa tylko w Trybie normalnym, w awaryjnym nie działa usługa Instalatora Windows. A wyłączenie usług ESET to stanowczo za mało, w tle pracują jeszcze nadrzędne sterowniki, które nie są dostępne do manipulacji z poziomu przystawki services.msc czy msconfig.

 

 

Pliki Windows pomyślnie podstawione, obecnie już stoi odczyt sygnatury cyfrowej dla kluczowego:

 

C:\WINDOWS\system32\rpcss.dll => File is digitally signed

 

Ale to nie koniec - nie wiem jak to się stało, ale przegapiłam trzeci niesygnowany plik z system32 od usługi WZCSVC. Na razie omijam niepodpisany cyfrowo od Office. Kolejna porcja czynności:

 

1. Z poziomu Trybu awaryjnego zastosuj ESET Uninstaller.

 

2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście szczątek Google Update Helper > Dalej.

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
S4 .EsetTrialReset; C:\WINDOWS\system32\regedt32.exe /s C:\WINDOWS\esettrialreset.reg
HKLM\...\Run: [userFaultCheck] => %systemroot%\system32\dumprep 0 -u
FF Plugin: @java.com/DTPlugin,version=10.11.2 -> C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation)
C:\Documents and Settings\KaMiLa\Ustawienia lokalne\Dane aplikacji\Google
C:\Program Files\Google
C:\Program Files\PDFCreator
C:\WINDOWS\esettrialreset.reg
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BrowserChoice" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\egui" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GG" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\UserFaultCheck" /f
CMD: regsvr32 /u /s "C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll"
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Tym razem może być dłużej. Nastąpi restart i powstanie kolejny fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). W polu Search wklej wzcsvc.dll, klik w Search Files i ten log też dostarcz. Dołącz również plik fixlog.txt.

Odnośnik do komentarza

Czy po kliku w Zmień pokazuje się okno ESET podające do wyboru kolejne opcje, a wśród nich deinstalację?

Tak pokazuje się do wyboru: napraw i usuń.  Cóż... znowu czegoś nie zauważyłem. Spróbuje tak odinstalować.

 

 

ESET odinstalowany, zniknęły usługi ESET HTTP Server i ESET Service. Ale została ESET Trial Reset więc użyje tego ESET Uninstaller.

Odnośnik do komentarza

ESET Uninstaller i tak do zastosowania jako poprawka, na wypadek gdyby normalna deinstalacja coś ominęła. Ty cały czas oceniasz tylko usługi programowe, a nie sterowniki i wpięcia na urządzeniach. Ale ESET Trial Reset to crack ESET poza obszarem zainteresowań narzędzia firmowego ESET - ta usługa jest załączona do usunięcia w skrypcie FRST.

Odnośnik do komentarza

2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście szczątek Google Update Helper > Dalej.

To nie przeszło, najpierw musialem ściagnac .NET Framework żeby w ogóle ruszył, a kiedy już ruszyl to oczywiscie znowu błąd aplikacji i tyle. W trybie awaryjnym nie odpale bo tam znowu .NET Framework nie ruszy. Dlatego przeszłem do punktu 3. FRST używam caly czas w trybie awaryjnym, firefoxa w trybie awaryjnym z obsługa sieci - pisze o tym bo nie wiem czy to ma jakieś znaczenie.

 

W pliku Search.txt było tylko tyle:

 

Farbar Recovery Scan Tool (x86) Version: 25-02-2015 01

Ran by KaMiLa at 2015-02-27 04:58:59

Running from C:\Documents and Settings\KaMiLa\Pulpit

Boot Mode: Safe Mode (with Networking)

 

================== Search Files: "wzcsvc.dll" =============

 

C:\WINDOWS\system32\wzcsvc.dll

[2008-04-14 23:51][2008-04-15 13:00] 0483840 ____A (Microsoft Corporation)

 

====== End Of Search ======

FRST.txt

Fixlog.txt

Odnośnik do komentarza

W systemie nie ma poprawnej kopii pliku wzcsvc.dll - ten plik ewentualnie dostarczę z własnej wirtualnej maszyny XP, gdy znajdę czas. I mnie się wydaje, że tu może być inny problem ogólny, spoza infekcji - coś za dużo niesygnowanych plików. FRST ma bardzo ograniczoną weryfikację, sprawdza tylko podstawową pulę, a możliwości spoza widoczności raportu jest tu multum. Może być znacznie więcej takich kwiatków w systemie. Czy posiadasz płytę Windows XP Home OEM SP3, którą można byłoby użyć do zapuszczenia polecenia sfc /scannow?

Odnośnik do komentarza

Czy posiadasz płytę Windows XP Home OEM SP3, którą można byłoby użyć do zapuszczenia polecenia sfc /scannow?

Mogę posiadać, ale... nieoficjalną płytę Windows XP Professional SP3... może być?

System na kompie oficjalny - nalepka jest na obudowie.

 

 Pożyczyłem tę płytkę, odpaliłem konsolę - po wpisaniu help nie pokazało sfc na liście dostępnych komend - tak że mogę odpowiedzieć sam sobie - nie może być... :wacko:

 

Edit.

  Zdarzył się cud!- udało się uruchomić i FRST i firefox'a w normalnym trybie! A doszło do tego tak. Postanowiłem zobaczyć co się uruchamia z FRST jak wyskakuje ten błąd aplikacji. Więc popatrzyłem na podgląd zdarzeń. W zakładce aplikacja komunikat: "Plik dziennika zdarzeń jest uszkodzony." W zakładce system zobaczyłe z dwie czy trzy usługi których już nie pamiętam. Ostatecznie zmieniłem tryb uruchamiania z ręcznego na wyłączony czterem usługom: Usługa odnajdowania SSDP, Menedze usługi dostęp zdalny, Menedzer autopołączenia dostępu zdalnego, Telefonia.

 

Po tym zrestartowałem kompa i uruchomiłem FRST - ku mojemu zdziwieniu zadziałał i nawet zgodził się na skanowanie..., uruchomiłem firefox'a - też zadziałał. Przy wyłączaniu nie ma błędu winlogona i normalnie się zamyka, a nie restartuje.

 

  Wyniki skanu FRST w załącznikach.

 

  Niestety "Microsoft Fix it" za to twierdzi że nie ma .NET Framework, a w Dodaj/Usuń programy mam to co zainstalowałem: "Microsoft .NET Framework 4 Client Profile" i "Microsoft .NET Framework 4 Extended". Chyba że zainstalowałem nie to co trzeba... - nie wiem.

 

Edit2.

  Już wien - doczytałem wreszcie że .NET Framework 4 nie jest dla XP tylko nowszych. Zainstalowałem .NET Framework 2 i "Microsoft Fix it" zadziałał - więc odinstalowałem Google Update Helper - po tym znowu skan FRST i wyniki w załącznikach poniżej. Dodaje jeszcze wynik skanu Emsisoft Emergency Kit.

 Po wpisaniu msconfig w Start->Uruchom wypisuje komunikat "System Windows nie może odnaleźć pliku msconfig."

FRST.txt

Addition.txt

Shortcut.txt

Emsisoft Emergency Kit_150302-211709.txt

Edytowane przez chaos
Odnośnik do komentarza

Temat przenoszę do działu Windows. To moim zdaniem nie jest problem infekcji.

 

 

W zakładce aplikacja komunikat: "Plik dziennika zdarzeń jest uszkodzony." W zakładce system zobaczyłe z dwie czy trzy usługi których już nie pamiętam. Ostatecznie zmieniłem tryb uruchamiania z ręcznego na wyłączony czterem usługom: Usługa odnajdowania SSDP, Menedze usługi dostęp zdalny, Menedzer autopołączenia dostępu zdalnego, Telefonia.

To nadal wskazuje na uszkodzone pliki i jeszcze wychodzi na to, że są uszkodzone pliki EVT Dziennika zdarzeń. Pod kątem Dziennika zdarzeń, operacja sprowadza się do usunięcia plików EVT i ich regeneracji. Akcja wymaga tymczasowego wyłączenia usługi Dziennik zdarzeń, więc są dwa etapy zadania:

 

1. Otwórz Notatnik i wklej w nim:

 

CMD: sc config Eventlog start= disabled
Reboot:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zostanie wymuszony restart. Zachowaj wynikowy fixlog.txt.

 

2. Otwórz Notatnik i wklej w nim:

 

C:\WINDOWS\system32\config\*.evt

CMD: sc config Eventlog start= auto

Reboot:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zostanie wymuszony restart. Powstanie kolejny fixlog.txt. Przedstaw oba pliki fixlog.txt.

 

 

Po wpisaniu msconfig w Start->Uruchom wypisuje komunikat "System Windows nie może odnaleźć pliku msconfig."

To z kolei wskazuje na uszkodzone Zmienne środowiskowe.

 

Panel sterowania > System > Zaawansowane > Zmienne środowiskowe > w sekcji Zmienne systemu sprawdź czy widnieje zmienna Path równa:

 

%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem

 

Jeśli w ogóle jej nie ma, opcją Nowa... utwórz. Jeśli jest, ale punktuje inny ciąg, zedytuj.

 

 

Pożyczyłem tę płytkę, odpaliłem konsolę - po wpisaniu help nie pokazało sfc na liście dostępnych komend - tak że mogę odpowiedzieć sam sobie - nie może być...

Ale w której konsoli wklepałeś polecenie? Konsola Odzyskiwania uruchomiona z poziomu bootowalnej płyty nie udostępnia tej funkcji. sfc /scannow jest wykonalne tylko z poziomu działającego Windows. Jak rozumiem pożyczyłeś płytę Pro, a jest tu edycja Home. Proponuję inną akcję zamiennie:

 

1. Ściągnij pakiet SP3: KLIK. Pobrany plik o nazwie WindowsXP-KB936929-SP3-x86-PLK.exe zapisz bezpośrednio na dysku C.

 

2. Wyekstraktuj pakiet: Start > Uruchom > wklej komendę C:\WindowsXP-KB936929-SP3-x86-PLK.exe /x:C:\SP. Service Pack się rozpakuje do katalogu C:\SP.

 

3. Uruchom sprawdzanie plików: Start > Uruchom > sfc /scannow > gdy zostniesz poproszony o "płytę" / wskazanie ścieżki, nakieruj narzędzie na folder C:\SP\i386.

Odnośnik do komentarza

 Pierwszy fixlog:

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 04-03-2015
Ran by KaMiLa at 2015-03-04 18:38:21 Run:3
Running from C:\Documents and Settings\KaMiLa\Moje dokumenty\Pobrane
Loaded Profiles: KaMiLa (Available profiles: KaMiLa)
Boot Mode: Normal

==============================================

Content of fixlist:
*****************
CMD: sc config Eventlog start= disabled
Reboot:
*****************


=========  sc config Eventlog start= disabled =========

[sC] ChangeServiceConfig SUCCESS

========= End of CMD: =========



The system needed a reboot.

==== End of Fixlog 18:38:22 ====

 

Drugi fixlog:

 

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 04-03-2015
Ran by KaMiLa at 2015-03-04 18:48:07 Run:4
Running from C:\Documents and Settings\KaMiLa\Moje dokumenty\Pobrane
Loaded Profiles: KaMiLa (Available profiles: KaMiLa)
Boot Mode: Normal

==============================================

Content of fixlist:
*****************
C:\WINDOWS\system32\config\*.evt
CMD: sc config Eventlog start= auto
Reboot:
*****************

C:\WINDOWS\system32\config\*.evt => Moved successfully.

=========  sc config Eventlog start= auto =========

[sC] ChangeServiceConfig SUCCESS

========= End of CMD: =========



The system needed a reboot.

==== End of Fixlog 18:48:08 ====

 

 Dziennik zdarzeń działa.

 

 Co się tyczy zmiennej Path to wygląda ona u mnie tak:

 "%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\WINDOWS\system32\WindowsPowerShell\v1.0". Po usunięciu części: ";C:\WINDOWS\system32\WindowsPowerShell\v1.0" dalej to samo, więc zostawiłem jak było. Jeżeli w "Start->Uruchom" wpisze pełną ścieżkę to jest: "C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe" - uruchamia się normalnie. Tak wogóle to w msconfigu w zakładce uruchamianie pojawił się wpis (nie wiem po których zmianach): "dumprep O -u"  ścieżka do tego: C:\WINDOWS\system32\dumprep.exe

 Po dodaniu klucza: "KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\    MSCONFIG.EXE" z dwoma podkluczami:
  1) Domyślny "C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe"
  2) Path "C:\WINDOWS\PCHealth\HelpCtr\Binaries"
 Teraz msconfig uruchamia się z Start->Uruchom.

 

PS. nie wiedziałem czy fixlogi dać tu czy jako załącznik, ostatecznie dałem tak.

 

 Dwa problemy:

  1. sfc pyta się o płytę cd-rom sp3(lub xp home, lub xp pro), ale jako opcję mam tylko: "Ponów próbę, Więcej informacji, Anuluj". Nigdzie nie widzę opcji do wskazania ścieżki.

  2. Raz pyta o service pack, raz o xp home, raz o xp professional.

 Zrobiłem tak, w rejestrze w kluczu: "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup" wartość ServicePackSourcePath i SourcePath zmieniłem z "E:\" na "C:\SP",dzięki temu przy sfc /scannow nie pytał już o SP3, ale i tak chciał płytkę z XP Professional. Za to zniknęły błędy z dziennika zdarzeń poza jednym: "Nie można skopiować pliku systemowego c:\windows\system32\tscupgrd.exe do buforu DLL. Określony kod błędu: 0x00000000 [Operacja zakończona pomyślnie.]. Ten plik jest niezbędny do utrzymania stabilności systemu."

 

Odinstalowałem dwie gry - przy jednej z nich wiem czemu uruchamiała się usługa telefonii, po czym wyłączała po wyjściu z gry - to normalne ?

Poza tym odinstalowałem Windows Media Playera i jakieś kodeki do niego w wersji 11 - przed tym nie szło filmów uruchamiać z dwukliku, po odinstalowaniu już się da. I do tego jeszcze defragmentacja partycji systemowej.

 

 System niby działa dobrze, tylko jak dłużej pochodzi pojawił się problem przy wyłączaniu z dwie minuty czekania po naciśnięciu Start->Wyłącz komputer, a potem chyba z cztery razy dłużej się wyłącza. Komunikat w dzienniku zdarzeń: "Serwer {9B1F122C-2982-4391-AA8B-E071D54F2A4D} nie zarejestrował się w modelu DCOM w wymaganym czasie." - Rozwiązane, znalazłem na necie że ten serwer należy do programu dial-a-fix i aby go naprawić są dwa wyjścia: pierwsze przestawić jakąś opcję w tym programie; drugie usunąć z rejestru klucze o tym numerze. Ponieważ nie miałem dial-a-fix zainstalowanego wybrałem opcję drugą, w rejestrze znalazłem dwa takie klucze które usunąłem i po problemie.

 

Zdarzyły się też dwa bsody, pierwszy: STOP 0x00000024 (0x001902fe, 0xf6cda638, 0xf6cda334, 0xf73d1d6e)  NTFS_FILE_SYSTEM, caused by driver: Ntfs.sys

drugi: STOP 0x00000050 (0xbad0b114, 0x00000000, 0x805687d0, 0x00000002) PAGE_FAULT_N0NPAGED_AREA.

 Przy pierwszym wyłączyłem kompa i uruchomiłem jeszcze raz, wtedy wyskoczył drugi, znowu zrestartowałem i na ekranie nic się nie pokazało nawet napisy biosu, ale dioda od dysku świeciła. Wyłączyłem po chamsku przytrzymując power do skutku. Poprzekładałem ramy wyszło że w jednym slocie nie chcą się uruchomić - komp piszczy jakby ich tam nie było(są dwie kości 256 i 512 DDR). Na tym sprawnym system uruchomił się. Potem dołożyłem i do niesprawnego i wykrywa całe 768...?  W każdym razie działa. Kość 512 w memteście nie wykazała żadnych błędów po 3 przebiegach, 256 jescze sprawdzę. Później i na tym "uszkodzonym" slocie system chodził. Dysk sprawdziłem szybkim testem programem od western digital'a - nie znalazł błędów.

 

Dodatkow system przeczyszczony ccleanerem i adwcleanerem.

Załączam minidumpy które znalazł BlueScreenView, i resztę.

 

edit.

   Mam pytanie, co zrobić z kwarantanną frst, znajduję się w niej część plików PDFCreator'a którego chce usunąć ?
  I w ogóle co z kwarantanną ?

  Ogólnie komp wydaje się chodzić już normalnie. Ale np. jak chciałem zainstalować avirę znowu wyskoczył błąd  aplikacji(zainstalowałem ostatecznie AVG 2015 free). Idzie jakoś prosto sprawdzić czy wszystko z systemem w miarę  w porządku ?

AdwCleanerR2.txt

minidump12032015.txt

minidump10112014.txt

minidump09202014.txt

minidump09202014-2.txt

minidump09202014-3.txt

FRST.txt

Addition.txt

Shortcut.txt

Edytowane przez chaos
Odnośnik do komentarza
  • 2 miesiące temu...

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...