Restarty pulpitu

[Gabriel]

Witam

 

Mam ciągłe restarty pulpitu na laptopie HP probook z win.8. System działa normalnie w widoku "kafelkowym" , ale gdy tylko przełączę na pulpit , to zaczynają się zapętlone restarty w odstępie ok. 3 sekundowym i nawet ponowne przełączenie do trybu kafelkowego nie powoduje zmiany na lepsze.   Wszystko działało dobrze , dopóki Norton Internet Security zaktualizował się na wersję wyższą. Po ponownym uruchomieniu już zaczęła się ta "pętla". Pakiet NIS nie ładuje się do zasobnika systemowego , bo ciągle następują resety. Dodam jeszcze , że w trybie awaryjnym laptop działa normalnie , ale już w standardowym nie jestem w stanie niczego zrobić przy pc.

 

NIS 2015 nie jest  widoczny w dodaj/usuń . Co zrobić , żeby uwidocznić to i odinstalować. Może jest jakaś magiczna edycja rejestru , która uwidacznia ukryte programy.

FRST_06-10-2015_15-43-11.txt

Addition_06-10-2015_15-43-11.txt

Edytowane 9 Października 2015 przez Gabriel

[picasso]

Błąd w Dzienniku enigmatyczny:

 

Error: (10/06/2015 03:22:10 PM) (Source: Application Error) (EventID: 1000) (User: )

Description: Nazwa aplikacji powodującej błąd: explorer.exe, wersja: 6.2.9200.16628, sygnatura czasowa: 0x51a94434

Nazwa modułu powodującego błąd: KERNELBASE.dll, wersja: 6.2.9200.17366, sygnatura czasowa: 0x554d4531

Kod wyjątku: 0xc06d007e

Przesunięcie błędu: 0x000000000004aea8

Identyfikator procesu powodującego błąd: 0x9d8

Godzina uruchomienia aplikacji powodującej błąd: 0xexplorer.exe0

Ścieżka aplikacji powodującej błąd: explorer.exe1

Ścieżka modułu powodującego błąd: explorer.exe2

Identyfikator raportu: explorer.exe3

Pełna nazwa pakietu powodującego błąd: explorer.exe4

Identyfikator aplikacji względem pakietu powodującego błąd: explorer.exe5

Ale:

 

Wszystko działało dobrze , dopóki Norton Internet Security zaktualizował się na wersję wyższą. Po ponownym uruchomieniu już zaczęła się ta "pętla". Pakiet NIS nie ładuje się do zasobnika systemowego , bo ciągle następują resety. Dodam jeszcze , że w trybie awaryjnym laptop działa normalnie , ale już w standardowym nie jestem w stanie niczego zrobić przy pc.

 

NIS 2015 nie jest widoczny w dodaj/usuń . Co zrobić , żeby uwidocznić to i odinstalować. Może jest jakaś magiczna edycja rejestru , która uwidacznia ukryte programy.

Z raportów FRST wynika, że program nie został poprawnie zainstalowany. Brak go na liście zainstalowanych, ale są liczne uruchomione obiekty. Nie da się "uwidocznić" na liście deinstalacji, dane instalacyjne Nortona nie istnieją wcale. Należy usunąć zdefektowany NIS za pomocą specjalizowanego narzędzia. Przejdź w Tryb awaryjny i zastosuj Norton Removal Tool. Po tym przejdź w tryb normalny i zrób nowe logi z FRST.

 

PS. Nazwy logów wskazują, że je wyciągasz z folderu C:\FRST\Logs. To jest archiwum logów. Bieżące logi powstają zawsze tam skąd uruchomiono program, czyli w tym przypadku w C:\PROGRAMY\FRST64.

[Gabriel]

Laptop już uruchamia się normalnie po prawidłowym odinstalowaniu NIS. Załączam nowe logi.

FRST.txt

Addition.txt

[picasso]

1. Tu jest jeszcze aktywny sterownik po niepoprawnie odinstalowanym ESET. Wejdź w Tryb awaryjny i zastosuj ESET Uninstaller.

2. Zakładam, że widok raportu jest aktualny i NIS nie został ponownie zainstalowany, gdyż mam w zamiarze usnąć drobne odpadki po nim, co skutkowałoby uszkodzeniem instalacji w przypadku jednak obecności NIS. Zaktualizuj FRST (tzn. pobierz ponownie). Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
Task: {0114BE92-B355-465B-B731-6EF3CE212EF6} - System32\Tasks\Remediation\AntimalwareMigrationTask => C:\Program Files\Common Files\AV\Norton Internet Security\Upgrade.exe [2015-07-27] (Symantec Corporation)
Task: {1035F81C-66DB-4325-9846-EC1C9E006E3B} - System32\Tasks\Norton Internet Security\Norton Error Analyzer => C:\Program Files (x86)\Norton Internet Security\Engine\22.5.2.15\SymErr.exe
Task: {BBC3D121-0203-4D9B-AB4D-5FF36812808A} - System32\Tasks\Norton Internet Security\Norton Error Processor => C:\Program Files (x86)\Norton Internet Security\Engine\22.5.2.15\SymErr.exe
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Internet Security
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Remediation
HKLM-x32\...\Run: [] => [X]
ShellIconOverlayIdentifiers: [  OverlayExcluded] -> {4433A54A-1AC8-432F-90FC-85F045CF383C} =>  Brak pliku
ShellIconOverlayIdentifiers: [  OverlayPending] -> {F17C0B1E-EF8E-4AD4-8E1B-7D7E8CB23225} =>  Brak pliku
ShellIconOverlayIdentifiers: [  OverlayProtected] -> {476D0EA3-80F9-48B5-B70B-05E677C9C148} =>  Brak pliku
SearchScopes: HKU\S-1-5-21-3790232170-1608757386-3303793035-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
FF user.js: detected! => C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\qb963fxu.default\user.js [2013-10-14]
FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird
FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird
C:\Program Files\Common Files\AV\Norton Internet Security
C:\Program Files\Common Files\Symantec Shared
C:\ProgramData\Norton
C:\Windows\System32\Tasks\Norton Internet Security
C:\Windows\System32\Tasks\Remediation
Reg: reg delete HKCU\Software\Google /f
Reg: reg delete HKLM\SOFTWARE\Google /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v FlashPlayerUpdate /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v HotKeysCmds /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IgfxTray /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Persistence /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v OODefragTray /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v OODefragTray /f
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition. Dołącz też plik fixlog.txt.

[Gabriel]

Zrobiłem wszystko , tak jak napisałaś.

FRST.txt

Fixlog.txt

Addition.txt

[Gabriel]

Teraz niestety wyszedł inny problem . Windows nie chce się zamknąć  z paska charms , ani naciskając alt + f4. Dopiero wciśnięcie przycisku zasilania powoduje wyłączenie laptopa. Sprawdziłem przed chwilą i sutuacja 2 raz się powtarza pod rząd.

 

 Laptop się już wyłączył , ale zajęło to mu ok. 4 minuty.

Edytowane 19 Października 2015 przez Gabriel

[picasso]

Zadane polecenia zostały wykonane poprawnie i podanych raportach FRST było już wszystko w porządku (zlikwidowany sterownik ESET oraz szczątki Symantec). Skoro pojawił się nowy problem z zamykaniem systemu: czy było coś nowego instalowanego w międzyczasie? I może zrób nowe raporty z FRST (włącznie z Addition), które przedstawią czy nie pojawiła się jakaś nowa niekorzystna zmiana oraz wykażą nowe błędy w Dzienniku.

[Gabriel]

Witam

 

Jakieś 30 min. temu uruchamiałem laptopa i udało sie już potem poprawnie zamknąć system (około 10 sek. mu to zajęło). Nic nie było instalowane nowego na sprzęcie. Nie mam jeszcze zainstalowanego NIS, bo czekam na zakupiony nowy klucz licencyjny.

 

Aktualne skany.

Addition.txt

FRST.txt

[picasso]

Może to był przejściowy "quirk", skoro teraz system już poprawnie się zamyka. Nie widzę żadnych nowych niepożądanych zmian. Natomiast są nadal błędy, które już widziałam we wcześniejszych raportach:

 

==================== Inne obszary ============================
 

mpsdrv => Usługa "Zapora systemu Windows" nie jest uruchomiona.

MpsSvc => Usługa "Zapora systemu Windows" nie jest uruchomiona.
 

==================== Wadliwe urządzenia w Menedżerze urządzeń =============
 

Niepowodzenie przy listowaniu urządzeń. Sprawdź usługę "winmgmt" lub napraw WMI.
 
 

Dziennik Aplikacja:

==================

Error: (10/22/2015 12:02:13 PM) (Source: VSS) (EventID: 12292) (User: )

Description: Błąd Usługi kopiowania woluminów w tle: błąd tworzenia klasy COM dostawcy kopii w tle z identyfikatorem CLSID: {65ee1dba-8ff4-4a58-ac1c-3470ee2f376a} [0x80070422, Nie można uruchomić określonej usługi, ponieważ jest ona wyłączona lub ponieważ nie są włączone skojarzone z nią urządzenia.].
 

Operacja:

Uzyskaj możliwy do wywołania interfejs dla tego dostawcy

Wyświetl listę interfejsów dla wszystkich dostawców obsługujących ten kontekst

Badaj kopie w tle
 

Kontekst:

Identyfikator dostawcy: {b5946137-7b9f-4925-af80-51abd60b20d5}

Identyfikator klasy: {65ee1dba-8ff4-4a58-ac1c-3470ee2f376a}

Kontekst migawki: 13

Kontekst migawki: 13

Kontekst wykonywania: Coordinator

 

Zrób nowy raport FRST na innym ustawieniu: odznacz Filtrowanie dla sekcji Usługi, nie zaznaczaj pola Addition.

[Gabriel]

Nowy log.

FRST.txt