Skocz do zawartości

Wiele nieprawidłowości, dziwne zachowanie systemu


Rekomendowane odpowiedzi

Witam Wszystkich.

 

Od kilku dni na komputerze dzieją się dziwne rzeczy. Najprawdopodobniejsze przyczyny to: pendrive kumpla, fake z eMule i strony www [antywir reagował]. Ponadto bawiłem się nieznanym mi programem System Explorer i testowałem kilka uninstalerów i wersji portable.

System zachowuje jak jeszcze nigdy, ale co najdziwniejsze, żaden program ani skaner nie pokazał do tej pory infekcji [tylko śmieci, śledzące cookies, złe wpisy etc]. Objawy nie trwają cały czas, występują zamiennie, czasem kilka na raz a czasem wydaje się być wszystko ok. Niekiedy pomaga restart ale daleko nie zawsze. Obecnie jest względnie dobrze. Co pamiętam:

 

- ciągle coś ukrywa rozszerzenia plików,

- pliki nie chcą się otwierać [nie reagują na żadne polecenie a jeśli już to po dłuższej chwili wiszenia otwierają się nagle wszystkie naraz],

- programy się nie otwierają i wyskakuje info, że nie mam uprawnień. wygląda na to że żadnych,

- antywirus padł. najpierw zniknęła ikona z traya, ręcznie się nie chciał uruchomić a ponowna próba instalacji zwracała błąd,

- menadżer zadań zniknął [dwa razy go przywracałem, teraz jest],

- jeden z procesów svchost.exe przybiera pokaźny rozmiar [raz obciążał procesor w 99% aż do restartu],

- zniknęły ikony folderów. Na dysku C wszystkie, a dziś na D [w podfolderach jednak ostały się],

- pojawił się na dysku C folder o nazwie cmdcons pełen plików z rozszerzeniami .sy_ i .dll, a w nim jeden podfolder o nazwie SYSTEM32 [dużymi literami] zawierający

m.in. plik SMS.EXE. [systemowe pliki sms.exe mam też w C:/Windows/System32 i C:/Windows/ServicePack],

- zniknęło mi kilka programików zabezpieczających [m.in. od kaspersky’ego],

- nagle zniknął Windows Worms Doors Cleaner [po jednym ze skanów]

- domyślnie ukryte pliki systemowe na C:/ pozostały widoczne [nawet po zahaczeniu opcji ukrywaj pliki systemu oraz nie pokazuj ukrytych plików]

- zniknęła ikona napędu dyskietek [to chyba jedyna strata na korzyść :>

- CureIt! podczas skanu oznaczył programy: OTL i HaxFix jako wirusy [kwarantanna] oraz plik HOSTS jako nieprawdziwy i podobno przywrócił orginał,

- w C:/Windows pojawiły się nowe pliki: slrundll.exe, wreg.exe i sed.exe oraz puste foldery, m.in. SxsCaPendDel [wcześniej ich nie było].

To chyba tyle. Próbowałem ustalić co się dzieje ale przerosło mnie to. Oto użyte programy i skanery:

 

Antywirus:

 

- avast!

- Panda AV on-line

- ESET on-line

- N.O.D 32 on-line

 

Anty malware:

 

- Super Anti Spyware [dwa razy pokazał tylko trochę 'śledzących cookies']

- Malwarebytes AntiMalware

- AVZ 4 [jakieś dziwne pliki bez rozszerzeń]

- SpyBot S&D [trochę śmieci]

- F-Secure Easy Clean

- CWShredder

- HaxFix

- OTL

- Dr.Web Cure It! [za pierwszym razem nic. dzisiaj uznał OTL i Haxfix za wirusy]

- RSIT

- USBFix [m.in. przywrócił Menedżera Zadań]

 

Na rootkity:

 

- McAfee Rootkit Detective

- R-kill

- TDSS Killer

- MBR, MBRCheck

- Help Assistant Mebroot Fix [coś tam znalazł, mielił i nakazał restart. niestety nie znalazłem loga lub usunąłem]

- VBA32 Antirootkit

- Catchme

- Black Light Rootkit Eliminator

- GMER [z odhaczonymi opcjami IAT/EAT i Urządzenia gdyż GMER padał i wyskakiwał czarny ekran i restart]

numery błędów: 0x00000044 (0x829D7600, 0x00000064, 0x00000000, 0x00000000)

- i kilka mini-programów i szczepionek od producentów antywirusów [antiboot.exe, KLWK, ClrAV, KK i inne]

 

Pomocnicze:

 

- TFC

- CC Cleaner

- PureRa

- Kill Box

- Windows Worms Doors Cleaner

- Windows XP Prefetch

- WinsockFix

- Revo Uninstaller

- JkDefragGUI

- System Explorer

 

Logi:

 

OTL: [w załącznikach. logi z wczoraj bo przezornie nie ruszałem programów z kwarantanny Cure’it!]

 

GMER:

______________________________________________________________________________________________________

GMER 1.0.15.15530 - http://www.gmer.net

Rootkit scan 2011-01-31 03:30:34

Windows 5.1.2600 Dodatek Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 SAMSUNG_SV0411N rev.UA100-09

Running: 45hpdp38.exe; Driver: C:\DOCUME~1\bobixx\USTAWI~1\Temp\fgndauow.sys

 

 

---- Registry - GMER 1.0.15 ----

 

Reg HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\544\Shell@WinPos1024x768(1).left 218

Reg HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\544\Shell@WinPos1024x768(1).top 124

Reg HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\544\Shell@WinPos1024x768(1).right 1018

Reg HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\544\Shell@WinPos1024x768(1).bottom 724

Reg HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\544\Shell@FFlags 0

 

---- Files - GMER 1.0.15 ----

 

File C:\WINDOWS\wiadebug.log 159 bytes

File C:\WINDOWS\wiaservc.log 50 bytes

 

---- EOF - GMER 1.0.15 ----

______________________________________________________________________________________________________

 

Na chwile obecną nie dzieje się nic szczególnego, [trochę przydługo otwierają się foldery i niektóre pliki] nawet udało mi się zainstalować ponownie Avasta i Windows Worms Doors Cleaner [choć tego pierwszego przy drugim podejściu]. Niemniej to stan przejściowy zapewne dlatego proszę o pomoc zanim całkiem maszyna padnie.

 

Pozdrawiam

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

1. W logach nie widzę nic podejrzanego i nie mam podstaw, by doszukiwać się infekcji, a żadne z opisywanych zdarzeń nie jest dowodem na nią.

 

2. Usuń sobie via Autoruns w kartach Services + Drivers te odpadki po aplikacjach i używanych skanerach:

 

SRV - File not found [Disabled | Stopped] --  -- (gupdate) Usługa Google Update (gupdate)

SRV - File not found [On_Demand | Stopped] -- -- (getPlusHelper) getPlus®

DRV - [2011-01-31 00:19:17 | 000,012,552 | ---- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hddirect.sys -- (HDDirect) = sterownik szczepionki Antiboot Kasperskiego

DRV - [2011-01-30 21:56:27 | 000,011,264 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\uzg0nty4.sys -- (uzg0nty4) = sterownik AVZ

DRV - [2011-01-30 18:10:08 | 000,070,024 | ---- | M] (VirusBlokAda Ltd.) [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\3na2dhso.sys -- (3na2dhso)

3. Natomiast mam wątpliwości czy powiedziałeś mi wszystko, a niektóre z opisywanych defektów to prawie jestem pewna, że to tylko skutek używania narzędzi dezynfekujących, stosowanych w ramach diagnostyki na oślep (czyli: przekombinowanie). Pierwsze z brzegu:

 

 

- pojawił się na dysku C folder o nazwie cmdcons pełen plików z rozszerzeniami .sy_ i .dll, a w nim jeden podfolder o nazwie SYSTEM32 [dużymi literami] zawierający

m.in. plik SMS.EXE. [systemowe pliki sms.exe mam też w C:/Windows/System32 i C:/Windows/ServicePack],

 

Nie widzę innego wyjaśnienia niż to, że używałeś nie wyliczany tu ComboFix (notuję i inne subtelne ślady sugerujące użytkowanie), bo w przeciwnym wypadku wiedziałbyś skąd ten szczególny folder, jeśli zadanie robiłbyś świadomie ręcznie. A jeśli ComboFix nie był używany akurat teraz, to może kiedyś wcześniej, a folder nagle zobaczyłeś po przestawieniu widoczności plików.

CMDCONS to folder Konsoli Odzyskiwania, a ta w formie zainstalowanej na dysku pojawia się tylko w dwóch przypadkach: ręczna instalacja przez użytkownika (i tego nie da się nie zauważyć, bo jest wymagane podjęcie interakcji i wpisanie komend instalacyjnych) lub automatycznie jako konsekwencja uruchomienia ComboFix. Więcej w opisie ComboFix: KLIK. Przy czym: ComboFix blokuje usuwanie folderu CMDCONS przez uprawnienia (błąd "Odmowa dostępu" przy próbie usunięcia) i by go skasować w pełni, należy wejść do Uprawnień i dla grupy Wszyscy ściągnąć zakaz.

 

 

- w C:/Windows pojawiły się nowe pliki: slrundll.exe, wreg.exe i sed.exe oraz puste foldery, m.in. SxsCaPendDel [wcześniej ich nie było].

 

1. Nie ma tu danych o tym pliku slrundll.exe, ale ten o którym myślę nie jest szkodliwy, choć nie wiem co mogło go u Ciebie odświeżyć. Plik ten jest na 100% składową instalatorów Windows. Oto plik wyciągnięty z SP3 dla XP:

 

slrundll.png

 

2. Plik wreg.exe = zapewne masz na myśli swreg.exe. Te dwa szczególne pliki swreg.exe (konsolowy edytor rejestru) i sed.exe (port uniksowego edytora strumieniowego) to obiekty integrowane w różnych specjalistycznych narzędziach (np. ComboFix) i podczas uruchomienia tychże są ekstraktowane do katalogu Windows.

 

3. Folder C:\WINDOWS\SxsCaPendDel sam w sobie nie świadczy o niczym. Według nazwy wynika, że jest używany jako miejsce tymczasowe do operacji typu "Pending remove" związanych z SideBySide, tak jak to widać w tym logu z instalacji bibliotek Microsoft Visual Basic: KLIK. Coś tu się działo u Ciebie też z takimi bibliotekami, bo w logu z OTL widzę ten błąd:

 

Error - 2011-01-29 22:31:25 | Computer Name = THC-LRN8GRLO3ZL | Source = MsiInstaller | ID = 11706

Description = Product: Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148

-- Error 1706.An installation package for the product Microsoft Visual C++ 2008

Redistributable - x86 9.0.30729.4148 cannot be found. Try the installation again

using a valid copy of the installation package 'vc_red.msi'.

 

- ciągle coś ukrywa rozszerzenia plików

 

Czy na pewno to się nie dzieje na skutek używania sekwencji z ComboFix + OTL? Deinstalator ComboFix i Sprzątanie OTL przestawia te opcje na powrót do poziomu domyślnego (czyli ukrywa rozszerzenia i chronione pliki systemu operacyjnego).

 

- domyślnie ukryte pliki systemowe na C:/ pozostały widoczne [nawet po zahaczeniu opcji ukrywaj pliki systemu oraz nie pokazuj ukrytych plików]

 

Czy te pliki nadal są wyszarzone? Chodzi mi o to, czy przypadkiem nie został z nich zdjęty atrybut HS. Powiedz o których mówisz, zaprezentuj na obrazku jak je widać.

 

 

- zniknęło mi kilka programików zabezpieczających [m.in. od kaspersky’ego],

- nagle zniknął Windows Worms Doors Cleaner [po jednym ze skanów]

 

Jakich programików? Wylicz je. Ponownie się pytam: czy używałeś Sprzątanie w OTL? Ta funkcja adresuje automatyczną kasację wielu specjalistycznych narzędzi, m.in. TDSSKiller Kasperskiego. Natomiast zniknięcie WWDC po jednym ze skanów = nie widzę innego wyjaśnienia niż to, że któryś skaner to źle sklasyfikował i usunął.

 

 

- CureIt! podczas skanu oznaczył programy: OTL i HaxFix jako wirusy [kwarantanna] oraz plik HOSTS jako nieprawdziwy i podobno przywrócił orginał,

 

Dwóch pierwszych wyników nie biorę serio. Zaś plik HOSTS jest modyfikowany, tylko to jest działanie związane z blokowaniem reklamodawców / banerów:

 

O1 HOSTS File: ([2010-02-25 17:46:05 | 001,319,012 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1 localhost

O1 - Hosts: 127.0.0.1 add.websitehere.com

O1 - Hosts: 127.0.0.1 is.netster.com

O1 - Hosts: 127.0.0.1 sitefinder.verisign.com

O1 - Hosts: 127.0.0.1 sitefinder-idn.verisign.com

O1 - Hosts: 127.0.0.1 uu-3-130.buydomains.com

O1 - Hosts: 127.0.0.1 000freexxx.com

O1 - Hosts: 127.0.0.1 008k.com

O1 - Hosts: 127.0.0.1 00hq.com

O1 - Hosts: 127.0.0.1 0190-dialer.com

O1 - Hosts: 127.0.0.1 08.185.87.0.liveadvert.com

O1 - Hosts: 127.0.0.1 08.185.87.00.liveadvert.com

O1 - Hosts: 127.0.0.1 08.185.87.01.liveadvert.com

O1 - Hosts: 127.0.0.1 08.185.87.02.liveadvert.com

O1 - Hosts: 127.0.0.1 08.185.87.03.liveadvert.com

O1 - Hosts: 127.0.0.1 08.185.87.04.liveadvert.com

O1 - Hosts: 127.0.0.1 08.185.87.05.liveadvert.com

O1 - Hosts: 127.0.0.1 08.185.87.06.liveadvert.com

O1 - Hosts: 127.0.0.1 08.185.87.07.liveadvert.com

O1 - Hosts: 127.0.0.1 08.185.87.08.liveadvert.com

O1 - Hosts: 127.0.0.1 08.185.87.09.liveadvert.com

O1 - Hosts: 127.0.0.1 08.185.87.1.liveadvert.com

O1 - Hosts: 127.0.0.1 08.185.87.10.liveadvert.com

O1 - Hosts: 127.0.0.1 08.185.87.100.liveadvert.com

O1 - Hosts: 127.0.0.1 08.185.87.101.liveadvert.com

O1 - Hosts: 41320 more lines...

Potencjalne źródło wprowadzenia pliku HOSTS: stosowany tu Spybot Search & Destroy, a usunięcie programu bez odkręcenia immunizacji statycznej, którą wprowadza, pozostawia tę modyfikację w systemie. I właśnie:

 

 

- jeden z procesów svchost.exe przybiera pokaźny rozmiar [raz obciążał procesor w 99% aż do restartu],

 

Założę się, że to usługa Dnscache (czyli Klient DNS) podmontowana na svchost.exe daje popalić. Tak się właśnie dzieje na skutek kolizji z potężnym plikiem HOSTS (masz w nim ponad 40 tysięcy wpisów), jest to znany konflikt. Tylko dwa wyjścia z sytuacji: wyzerować plik HOSTS do postaci domyślnej zawierającej tylko frazę 127.0.0.1 localhost lub na trwałe wyłączyć usługę Klient DNS.

 

 

- menadżer zadań zniknął [dwa razy go przywracałem, teraz jest],

 

Czy to się nie stało po testowaniu SystemExplorer? Ten program ma w zamiarze podmianę systemowego Menedżera zadań. Potencjalny scenariusz: ustawiona podmiana menedżera, usunięto program ale nie została jakimś cudem zdjęta podmiana menedżerów (w takim przypadku tradycyjna kombinacja klawiszowa powinna dawać dziwne rezultaty).

 

 

- zniknęły ikony folderów. Na dysku C wszystkie, a dziś na D [w podfolderach jednak ostały się],

- zniknęła ikona napędu dyskietek [to chyba jedyna strata na korzyść :>

 

Przedstaw na obrazku jak wygląda ten defekt. Wstępnie możesz spróbować rekonstrukcji ikon przez re-rejestrację biblioteki systemowej. Start > Uruchom i wpisz komendę:

 

regsvr32 /i shell32.dll

 

Po tym zresetuj system.

 

 

- pliki nie chcą się otwierać [nie reagują na żadne polecenie a jeśli już to po dłuższej chwili wiszenia otwierają się nagle wszystkie naraz],

- programy się nie otwierają i wyskakuje info, że nie mam uprawnień. wygląda na to że żadnych,

- antywirus padł. najpierw zniknęła ikona z traya, ręcznie się nie chciał uruchomić a ponowna próba instalacji zwracała błąd,

 

1. W kwestii dwóch pierwszych punktów może przyjrzyj się na opcje shieldów Avast. Tu było coś podobnego i długo nam zajęło dojście do clou: KLIK. W kwestii ostatniego punktu: a co to był za błąd uruchamiania i instalacji?

 

2. Notuję też bardzo mało miejsca wolnego na dysku systemowym (to może mieć duże znaczenie dla performance):

 

Drive C: | 8,79 Gb Total Space | 3,47 Gb Free Space | 39,55% Space Free | Partition Type: NTFS

 

 


Komentarze programowe:

- Szczepionki: CWShredder to spokojnie możesz wstawić do lamusa. Ta aplikacja nie ma żadnego znaczenia w dzisiejszych czasach. Adresuje infekcje sprzed kilku lat, które już nie występują w przyrodzie. Antiboot Kasperskiego to stara wersja, aktualnie do bootkitów jest TDSSKiller, stale aktualizowany. Zamieszanie stąd, że patrzysz na nieaktualizowaną polską wersję artykułu, ale gdy go przełączysz na wersję angielską całkiem co innego Ci się pokaże (TDSSKiller). Kilka innych aplikacji też nieświeżych i można się sprzeczać o skuteczność.

- JkDefrag to przestarzała wersja, aktualna to MyDefrag. Zamiennie polecam też Puran Defrag Free Edition, który ma to czego nie ma JKDefrag/MyDefrag czyli funkcję defragmentacji Boot Time.

- Zaktualizuj Java do najnowszej wersji Java 6 Update 23 (JRE).

- Sugeruję też rozważenie wymiany inwalidy Gadu-Gadu 7.7 na WTW czy Mirandę, a opisy są w tym temacie: Darmowe komunikatory.

 

 

 

.

Odnośnik do komentarza

Witam

 

Autoruns ściągnąłem dopiero i zaraz skasuję wpisy.

Co do ComboFix - nie używałem. o tym osobliwie napisałbym, zresztą tak wiele jest informacji żeby go nie używać samemu że nie miałem odwagi. być może w przeszłości użyłem programu ale naprawdę dawno widocznie bo nie pamiętam tego. OTL-em wykonałem tylko skan bez sprzątania jak było również zalecane.

Ad reszta aplikacji - niestety masz rację. Byłem już sfrustrowany i w uniesieniu używałem po kolei różnych apps zwracając tylko uwagę by były sugerowane przez Was [ewent. znanych dostawców antymalware], a prośbę o Waszą pomoc chciałem mieć za ostateczność. Podobnie z konsolą odzyskiwania - nie używałem jej i nie zauważyłem, żeby któryś z użytych programów ją uruchomił. Mogłem jednak przeoczyć to i owo, wszak nie jestem ekspertem.

Co do folderu cmdcons i podfolderu SYSTEM32 - czy mogę je skasować albo przynajmniej schować? Bo są widoczne nawet po zaptaszkowaniu opcji Ukryj pliki systemowe. Podobnie z plikami: slrundll.exe, wreg.exe i sed.exe muszą zostać? [nie lubię mieć niepotrzebnych rzeczy - wydłuża np. skany]

Chodzi konkretnie o te pliki: [czerwonym. na zielono folder cmdcons]

 

schowek03m.jpg

 

To CureIt! załatwił OTL i HaxFix jako wirusy i prawdopodobnie to on ukrywa rozszerzenia plików.

Jak już pisałem nie sprzątałem po skanie OTLem, ale to właśnie po skanowaniu nim zauważyłem brak TDSSKiller [choć nie mam pewności czy to jego robota].

Ogólnie zniknęły też WWDC, RSIT, Rkill i taki mały program do procesów, nie instalowany. Rkill chyba stary bo wyglądał inaczej niż ten który zassałem ostatnio.

 

czyli tak: schowek03rm.jpg

 

Tylko dwa wyjścia z sytuacji: wyzerować plik HOSTS do postaci domyślnej zawierającej tylko frazę 127.0.0.1 localhost lub na trwałe wyłączyć usługę Klient DNS.

Nie wiem co lepsze ale wymienię plik HOSTS na ""czysty"". O Usłudze Klient DNS nie wiem zbyt dużo, słyszałem że może mieć wpływ na szybkość przeglądanych stron.

 

Czy to się nie stało po testowaniu SystemExplorer?

Tak, przypominam sobie że wtedy po raz pierwszy zniknął Menedżer Zadań. Jednak SE zaraz wywaliłem [chyba był portable] a MZ znikał jeszcze kilka razy.

 

Odnośnie zaniku ikon na folderach - nie sprecyzowałem kwestii. Chodziło mi o własne ikony nałożone na foldery w C\Program Files i na foldery Documents and Settings i Canon Files [stery drukarki - chwilowo usunięty]. Ikony tam to dyskusyjna rzecz mi jednak ułatwiały szybkie wypatrzenie folderu potrzebnej aplikacji.

 

Problem Avasta. Niestety w złości nie zwróciłem uwagi i nie zapisałem informacji z okna błędu. Gorzej, że kiedy udało mi się go już zainstalować, to po restarcie [ok 30 minut od instalacji] avast się już nie uruchomił [za to system przyspieszył wyraźnie ze startem :>] i nie chciał odpalić też manualnie, z żadnego pliku. Nie pokazywał przy tym żadnych fochów - po prostu nie reagował. Odinstalowałem go i do tej pory nie mam, chciałem dojść do ładu z komputerem. Może po prostu użyję innego free antyvira choć ten był idealny jak na kosteczki RAM mojego komputera i zbytnio nie obciążał i tak obciążonego systemu.

 

Gadu-Gadu zainstalowałem tylko na chwilę, do kontaktu z jedną osobą nie posiadającą telefonu. Idzie na pekiel [GG]. Nie mniej dzięki za propozycje, już zamieniłem defragmentator i skasowałem kilka aplikacji. Z resztą plików i lektur zapoznam się wkrótce, [niestety dużo pracy mam] niemniej dziękuję też za pomocne wskazówki i będę oczekiwał na potencjalne informacje.

pozdrawiam

 

edit: przypomniałem sobie, że jeden z programów oznaczył Icon Explorer jako złośliwy. Aplikacja była wtedy otwarta i próbował wyekstraktować ikonę ze starej wersji Rkill [zamieszczona wyżej] na własną potrzebę i program się zawiesił a po zabiciu procesu nie odpalał. Po tym go skasowałem, nie wiem czy to może mieć znaczenie, program wydawał się dotąd w porządku.

Edytowane przez lllllllllllllll
Odnośnik do komentarza
Bo są widoczne nawet po zaptaszkowaniu opcji Ukryj pliki systemowe.

 

Może jest ubytek / nieprawidłowość w rejestrze we wpisach odpowiadających za pole zaznaczania opcji. Spróbujmy zaimportować domyślną strukturę. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"Type"="checkbox"
"Text"="@shell32.dll,-30508"
"WarningIfNotDefault"="@shell32.dll,-28964"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
"Text"="@shell32.dll,-30499"
"Type"="group"
"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
  00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\
  48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\
  00
"HelpID"="shell.hlp#51131"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

Zresetuj komputer i sprawdź czy przestawianie opcji w GUI koresponduje do wyników faktycznych.

 

 

Nie wiem co lepsze ale wymienię plik HOSTS na ""czysty"". O Usłudze Klient DNS nie wiem zbyt dużo, słyszałem że może mieć wpływ na szybkość przeglądanych stron.

 

Sprowadzenie pliku HOSTS do postaci domyślnej uważam za dobry krok. Informacyjnie artykuł Microsoftu, co by było gdyby usługa Klient DNS została wyłączona: KB318803.

 

 

Co do folderu cmdcons i podfolderu SYSTEM32 - czy mogę je skasować albo przynajmniej schować?

 

Tak, folder możesz skasować. To wygląda zresztą na resztkę po Konsoli, ponieważ z widoku Twojego obrazka ukrytych systemowych wynika, że brakuje pliku rozruchowego CMLDR Konsoli. Przypuszczam, że Twój plik BOOT.INI również nie ma zapisu Konsoli, w przeciwnym wypadku widziałbyś menu startowe systemów i to zgłaszał tutaj / pytał co z tym zrobić.

 

 

Podobnie z plikami: slrundll.exe, wreg.exe i sed.exe muszą zostać? [nie lubię mieć niepotrzebnych rzeczy - wydłuża np. skany]

 

Pliki sweg.exe i sed.exe spokojnie możesz skasować (opcja Sprzątanie w OTL także to usuwa). Natomiast nie mam zdania co robić z plikiem slrundll.exe. Jest jakiś powód dla którego się ujawnił, powodu nie znam. Nie powinnam zalecać kasacji, bo może się okazać, że plik jest potrzebny do czegoś.

 

 

 

To CureIt! załatwił OTL i HaxFix jako wirusy i prawdopodobnie to on ukrywa rozszerzenia plików.

Jak już pisałem nie sprzątałem po skanie OTLem, ale to właśnie po skanowaniu nim zauważyłem brak TDSSKiller [choć nie mam pewności czy to jego robota].

Ogólnie zniknęły też WWDC, RSIT, Rkill i taki mały program do procesów, nie instalowany. Rkill chyba stary bo wyglądał inaczej niż ten który zassałem ostatnio.

 

Te programy łączy wspólny mianownik, są planowane jako "jednorazowego" użytku i zalecane do usunięcia po skorzystaniu z nich oraz (przynajmniej niektóre z nich) mają "podejrzaną" budowę i mogą się nie podobać anty. Nie widzę innego wytłumaczenia niż to, że został uruchomiony (może nieświadomie / omyłkowo) jakiś proces typu "prune". Do tego pasuje albo Sprzątanie w OTL albo zbytnia przedsiębiorczość jakiegoś skanera. Sprzątanie OTL ma planowane usuwanie TDSSKiller i RSIT. Do tego jednak nie pasuje Rkill i WWDC (OTL ich nie usuwa) i ten "taki mały program do procesów, nie instalowany" (jaki?). Pytanie: czy te programy nie leżały przypadkiem w root dysku twardego, czyli np. bezpośrednio na C:\, D:\? Pytam pod kątem punktu 2:

 

1. Sprawdziłam Dr. Web CureIt na wirtualnej maszynie i u mnie jest tylko jedna zbieżność, czyli jakoby OTL był trojanem:

 

drwebotl.th.png

 

Natomiast: HaxFix nie został wykryty jako szkodliwy, a program nie wyresetował ustawienia opcji widoku.

 

2. Sięgnęłam więc po kolejne pozycje z Twojej listy. Nasuwa się tu USBFix, aczkolwiek nie wspominasz o usuwaniu tylko enigmatycznie "[m.in. przywrócił Menedżera Zadań]" (czy posiadasz jeszcze log z tej operacji?). To prymitywny skaner, nie potrafi ocenić zjawiska dokładnie, leci po predefiniowanych ciągach. Użycie go z opcji Deletion może skutkować nieoczekiwanymi wynikami, jeśli pliki leżą w root dysku. Wyniki z mojego systemu = skasował mi właśnie WWDC (przy okazji jeszcze dostało się archiwum samowypakowującemu Photoshopa pobranemu ze strony Adobe...):

 

################## | Files # Infected Folders |

 

Deleted ! Z:\wwdc.exe

To jest jeden z powodów dla których nigdy nie zadaję użytkownikowi używania na ślepo USBFix od razu z opcji Deletion. Zawsze najpierw pobieram opcją Listing wygląd root dysków, a jeśli chcę skorzystać z narzędzia w trybie usuwania wpierw uruchamiam Research trybu tylko do odczytu. Obserwuję za to na innych forach niedobre rzeczy. Jest polecane używanie opcji kasacji z biegu bez sprawdzenia co program widzi, by zapobiec katastrofie. Tym sposobem jeden z użytkowników utracił całą muzykę, bo USBFix adresuje string "muza". Kwarantanna nie mogła udźwignąć kasowanych obiektów, bo nie było miejsca na dysku.

 

3. Jeśli będzie trzeba, sprawdzę wszystkie pozostałe skanery, czy przypadkiem któryś nie posunął się za daleko. Wybacz, że nie od razu, ale skany są czasochłonne i wolałam najpierw napisać już jakieś konkrety.

 

 

Problem Avasta. Niestety w złości nie zwróciłem uwagi i nie zapisałem informacji z okna błędu. Gorzej, że kiedy udało mi się go już zainstalować, to po restarcie [ok 30 minut od instalacji] avast się już nie uruchomił [za to system przyspieszył wyraźnie ze startem :>] i nie chciał odpalić też manualnie, z żadnego pliku. Nie pokazywał przy tym żadnych fochów - po prostu nie reagował. Odinstalowałem go i do tej pory nie mam, chciałem dojść do ładu z komputerem. Może po prostu użyję innego free antyvira choć ten był idealny jak na kosteczki RAM mojego komputera i zbytnio nie obciążał i tak obciążonego systemu.

 

Tak prawdę mówiąc to już brzmi niepokojąco i gdyby nie to, że w raportach nie widzę śladów a skaner CureIt nic takiego nie wykrył (a ma te definicje), podejrzewałabym robotę jakiegoś wirusa w wykonywalnych. Czy w Dzienniku zdarzeń nie ma z tego okresu jakiś szczególnych błędów nagranych? Start > Uruchom > eventvwr.msc > z prawokliku na gałęzie Aplikacje i SYSTEM zapisz je do nowych plików EVT, do zip i dostarcz tu do analizy.

 

 

Odnośnie zaniku ikon na folderach - nie sprecyzowałem kwestii. Chodziło mi o własne ikony nałożone na foldery w C\Program Files i na foldery Documents and Settings i Canon Files [stery drukarki - chwilowo usunięty]. Ikony tam to dyskusyjna rzecz mi jednak ułatwiały szybkie wypatrzenie folderu potrzebnej aplikacji.

 

A nie zresetował tego przypadkiem któryś skaner? Czy ponowne wybranie własnej ikony jest możliwe i utrzymuje się?

 

 

edit: przypomniałem sobie, że jeden z programów oznaczył Icon Explorer jako złośliwy. Aplikacja była wtedy otwarta i próbował wyekstraktować ikonę ze starej wersji Rkill [zamieszczona wyżej] na własną potrzebę i program się zawiesił a po zabiciu procesu nie odpalał. Po tym go skasowałem, nie wiem czy to może mieć znaczenie, program wydawał się dotąd w porządku.

 

Czy chodzi o ten Icon Explorer czy jakąś inną aplikację?

 

 

Tak, przypominam sobie że wtedy po raz pierwszy zniknął Menedżer Zadań. Jednak SE zaraz wywaliłem [chyba był portable] a MZ znikał jeszcze kilka razy.

 

Jeszcze spytam: w jaki sposób to się objawiało? Czy był to błąd typu "Wyłączony przez Administratora", czy może inny błąd lub całkowity brak reakcji?

 

 

.

Odnośnik do komentarza

Witam

 

Po dodaniu wpisu zrobiłem restart. Po oknie z danymi biosu pojawiło się następne, całe czarne, z jedyną informacją w górnym rogu:

Nieprawidłowy plik boot.ini

Rozruch systemu z C/Windows

Nie widziałem okna z wyborem systemów [i konsoli] ale dalej normalnie, logo na czarnym tle, defragmentacja pagefile i zapraszamy. System który i tak długo się zamyka od czasu tego bałaganu zamykał się prawie dwie minuty. Ponowiłem czynności i to nastąpiło co poprzednio.

 

Plik slrundll.exe - kiedy go po raz pierwszy zobaczyłem [dosyć dawno] to przeniosłem do "kwarantanny" żeby zobaczyć co będzie. Nie stało się nic widocznego a plik się replikował, to samo po kasacji KillBox'em.

 

Nie jestem pewien czy wcześniej tak było, ale wydawało mi się że kiedyś miałem w C/Documents and Setting foldery: All Users, Bobix i ukryty Default User. Od jakiegoś czasu widnieje tam także folder Administrator. W dodatku zauważyłem, że procesy i niektóre aplikacje są zdublowane, z tą tylko różnicą, że jeden firmuje Administrator a drugi Bobix. np tak było ze sterami ATI:

 

ati2dagxx.exe | Administrator

ati2dagxx.exe | Bobixx

 

Tak, jakby system ruszał na dwa konta jednocześnie. Pojawiło się sporo plików-duplikatów, i przy kasowaniu ich [np. Easy Duplicate Finder'em] widać było w opisach analogię: jeden plik sygn. Bobix drugi Administrator.

 

C/Document and Setting/Bobix/Dane aplikacji/Irfan View/wirus.jpg

C/Document and Setting/Administrator/Dane aplikacji/Irfan View/wirus.jpg

 

a czasem nawet trzecia

 

C/Document and Setting/Default User/Dane aplikacji/Irfan View/wirus.jpg

 

Czy można to zredukować do jednego użytkownika? [jeżeli się dobrze wyraziłem] Chociaż teraz nie widzę w Menedżerze podwójnych procesów, ale programy np. Autorun daje do wyboru trzy poziomy właśnie: Admin, User i Bobixx. [chyba że tak ma być]

 

Ostatni skan Cure'It nie pokazał już żadnego zagrożenia, aczkolwiek to wersja z przed trzech dni i muszę pobrać ostatnią wersję.

Program do procesów to prawdopodobnie był CProces bo ostał mi się Proces Explorer i Startup Tracker.

Programy zabezpieczające [te używane doraźnie, do skanowania i do generowania logów] najczęściej odpalam albo z pulpitu albo ze specjalnego folderu na tego typu soft D/Ochrona.

 

USBFix [faktycznie niejasno to opisałem, przepraszam] chciałem zastosować tylko opcję która usuwa szkodniki, bez tworzenia folderów na pliki Autorun.inf ponieważ takie miałem już na dyskach od Flash Disinfector'a. Musiałem coś przeoczyć w pośpiechu. I jeszcze okazało się, że USBFix stworzył swoje foldery [różniące się tylko nazwą plików] i miałem wszędzie po dwa. Teraz : na dysku C nie ma żadnego, na D tylko od Flash Disinfector, na E są oba [AUTORUN i Autorun.ini] a na X tylko od USBFlash. Zwariowałem :D Do tej pory nic z tym nie zrobiłem ale chciałbym skasować te foldery i użyć narzędzia od Pandy.

Co do Menedżera Zadań - co prawda pojawił się ponownie po użyciu USBFixa i restarcie, jednak faktycznie to nie musiał być on.

Ad ostatnie pytanie: Kiedy padł nie uruchamiał się w ogóle, ani z menu traya ani z Ctrl+Alt+Del - nie reagował. Zamienne Menadżery np. System Explorer czy Process Explorer przez chwilę ustawione były na zamianę z systemowym, pracowały normalnie.

 

Dzisiejszy skan RKill-em dał coś takiego [log]:

_____________________________________________________________________

 

This log file is located at C:\rkill.log.

Please post this only if requested to by the person helping you.

Otherwise you can close this log when you wish.

 

Rkill was run on 2011-02-01 at 14:06:59.

Operating System: Microsoft Windows XP

 

Processes terminated by Rkill or while it was running:

 

C:\windows\System32\rundll32.exe

C:\windows\System32\runonce.exe

C:\windows\system32\taskmgr.exe

C:\windows\System32\rundll32.exe

C:\windows\System32\runonce.exe

 

Rkill completed on 2011-02-01 at 14:07:04

_____________________________________________________________________

 

Ad ikony folderów. Tak, ikony dają się nakładać, zmieniać i utrzymują się normalnie. Podejrzewam jednak teraz [myśląc już bez emocji], że załatwił je PureRa kiedy sprzątał. Widocznie pomyłkowo zahaczyłem mu opcję czyszczenia plików -> desktop.ini.

Ad Icon Explorer - dokładnie ten. Zresztą używałem od Miteca też innych apps: XPMenu, Network Scanner, ProcesViewer, et cetera.

 

Załącznik: pliki .evt [zmieniłem rozszerzenie bo nie chciał wgrać .zip'a [brak uprawnień]

 

dziękuję za dotychczasową pomoc i cierpliwie oczekuję dalszych wskazówek.

Edytowane przez picasso
Załącznik usuwam. Dane dostarczone. //picasso
Odnośnik do komentarza

Prześlij mi porządny Dziennik zdarzeń w natywnym formacie EVT, umieszczony jako ZIP na jakimś hostingu, a nie przez Załączniki (które nie dopuszczają nic innego niż TXT). Zmienić rozszerzenie sobie mogę, ale nie będzie gwarancji czy nie został uploadem naruszony format rzeczywisty pliku. Dołącz także i nowe logi, bo może coś się zmieniło.

 

 

Po dodaniu wpisu zrobiłem restart i po oknie z danymi biosu pojawiło się następne, całe okno czarne z jedną informacją w górnym rogu:

 

Moje wpisy nie mogą mieć z tym nic wspólnego, bo to nie jest ten teren. Prędzej może mieć coś do rzeczy kasacja CMDCONS, bo to właśnie obszar związany z BOOT.INI i tą fazą rozruchu, z drugiej strony to i tak nie pasuje do efektów końcowych.

 

1. Nieprawidłowy boot.ini, to trzeba go skorygować. Start > Uruchom > diskmgmt.msc i pokaż na obrazku układ partycji, dodatkowo przeklej tu aktualną zawartość BOOT.INI.

 

2. Czy po zaimportowaniu wpisów do rejestru opcja pokazywania ukrytych działa jak ma działać?

 

 

Plik slrundll.exe - kiedy go po raz pierwszy zobaczyłem [dosyć dawno] to przeniosłem do "kwarantanny" żeby zobaczyć co będzie. Nie stało się nic widocznego a plik się replikował, to samo po kasacji KillBox'em.

 

Teraz rozumiem. On się odtwarza przez Ochronę systemu plików Windows. Zwyczajne skasowanie pliku z system32 nic nie da, system notuje zmiany i odkręca Twoje modyfikacje z dllcache. Taki plik musi być odpowiednio potraktowany, tzn. trzeba obejść mechanizm Ochrony, by w ogóle można było go: zamienić / skasować. Poza tym, jeśli plik ma dokładnie parametry jak z podanego przeze mnie obrazka, to jest to plik Windows i zostaw go w spokoju.

 

 

Nie jestem pewien czy wcześniej tak było, ale wydawało mi się że kiedyś miałem w C/Documents and Setting foldery: All Users, Bobix i ukryty Default User. Od jakiegoś czasu widnieje tam także folder Administrator.

 

Powinieneś mieć tam jeszcze dwa dodatkowe ukryte foldery kont wbudowanych: LocalService i NetworkService. Folder Administrator pojawia się wtedy, gdy zainicjowano konto serwisowe. Czyli: musiałeś się choć raz na to konto zalogować (np. z poziomu Trybu awaryjnego). I na dodatek nie wylogować się z niego w pełni:

 

 

W dodatku zauważyłem, że procesy i niektóre aplikacje są zdublowane, z tą tylko różnicą, że jeden firmuje Administrator a drugi Bobix. np tak było ze sterami ATI:

 

(...)

 

Czy można to zredukować do jednego użytkownika? [jeżeli się dobrze wyraziłem] Chociaż teraz nie widzę w Menedżerze podwójnych procesów,

 

To wygląda na użycie funkcji "Szybkiego przełączania użytkowników" (a nie opcji Wyloguj) do przeskoczenia między kontami, czyli były zalogowane w tym samym czasie dwa konta a nie jedno. Bez trudu mogę to uzyskać na swoim komputerze (oczywiście opcja "Pokaż procesy wszystkich użytkowników" musi być zaznaczona w Menedżerze):

 

fus.th.png

 

Jak widać jest tu wiele powieleń, przykładowo Avast w dublu.

 

 

Pojawiło się sporo plików-duplikatów, i przy kasowaniu ich [np. Easy Duplicate Finder'em] widać było w opisach analogię: jeden plik sygn. Bobix drugi Administrator.

 

Na to pytanie nie znam odpowiedzi, aczkolwiek objaw mi pasuje do konsekwencji używania Szybkiego przełączania użytkowników i równoczesnego zalogowania dwóch kont. Czyli wyobrażam to sobie tak, że IrfanView chodził na dwóch kontach w tym samym czasie, został w jakiś sposób "oszukany" i zapisywał podwójnie do każdego katalogu czynnego konta. Tu jednak nie jestem pewna o co chodzi. Ale wg mnie to nie jest nic szkodliwego.

 

 

ale programy np. Autorun daje do wyboru trzy poziomy właśnie: Admin, User i Bobixx. [chyba że tak ma być]

 

Autoruns nie ma związku z pokazanym wyżej zachowaniem. W Autoruns będzie w menu wyliczonych tyle kont ile jest aktywnych w systemie, ale nie aktywnych na zasadzie właśnie zalogowanych równocześnie, tylko ogólnie statyczny wyciąg wszystkich wykrytych kont, których NTUSER.DAT (rejestr) może być załadowany na sucho do analizy w Autoruns. Nie powinno się pokazywać jednak "Default", bo to nie jest "konto" w normalnym rozumieniu, tylko matryca konta używana przy zakładaniu nowych kont. Czy "User", o którym tu rozprawiasz, to na pewno pozycja konta w menu a nie nazwa menu jako taka?

 

 

USBFix [faktycznie niejasno to opisałem, przepraszam] chciałem zastosować tylko opcję która usuwa szkodniki

 

I to mnie właśnie interesuje, ta opcja usuwania. Czy jest log z tego zadania?

 

 

Do tej pory nic z tym nie zrobiłem ale chciałbym skasować te foldery i użyć narzędzia od Pandy.

 

Foldery robione tą techniką skasujesz z poziomu linii komend stosując system ścieżek UNC (obchodzą weryfikację nazw zastrzeżonych).

 

Start > Uruchom > cmd i wpisujesz:

 

RD /S /Q \\?\C:\autorun.inf

 

Zmiana dysku:

 

X:

 

I powtórka:

 

RD /S /Q \\?\X:\autorun.inf

 

 

Dzisiejszy skan RKill-em dał coś takiego [log]

 

To nie jest stricte "skaner", tylko most do użycia takowego i będzie się interesował również komponentami systemowymi. Te wyniki nic nie oznaczają. Zabił procesy systemowe. A tu RKill uruchomiony z palca na pierwszej z brzegu wirtualnej maszynie XP:

 

This log file is located at C:\rkill.log. 

Please post this only if requested to by the person helping you.

Otherwise you can close this log when you wish.

 

Rkill was run on 02/02/2011 at 21:52:49.

Operating System: Microsoft Windows XP

 

 

Processes terminated by Rkill or while it was running:

 

C:\WINDOWS\System32\rundll32.exe

C:\WINDOWS\System32\runonce.exe

C:\WINDOWS\System32\rundll32.exe

C:\WINDOWS\system32\grpconv.exe

C:\WINDOWS\System32\runonce.exe

C:\WINDOWS\system32\verclsid.exe

 

 

Rkill completed on 02/02/2011 at 21:53:14.

 

Podejrzewam jednak teraz [myśląc już bez emocji], że załatwił je PureRa kiedy sprzątał. Widocznie pomyłkowo zahaczyłem mu opcję czyszczenia plików -> desktop.ini.

 

To wyjaśnia sprawę.

 

 

 

.

Odnośnik do komentarza

Oba pliki dziennika z rozszerzeniem .etv spakowałem do zip. Mam nadzieję że o to chodziło: LINK

 

dyski.jpg

 

Boot.ini:

________________________________________________________________________________________

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

________________________________________________________________________________________

 

Przepraszam, zapomniałem napisać poprzednio - niestety pliki nadal widać. [Niby nic takiego ale przyzwyczaiłem się do trzech tylko folderów na C].

LocalService i NetworkService - Są oba [ukryte].

 

Czy "User", o którym tu rozprawiasz, to na pewno pozycja konta w menu o a nie nazwa menu jako taka?

 

Nie jestem pewien ale nie zakładałem innego konta na pewno. Zawsze pracowałem na jednym - użytkownika - który jednocześnie był kontem administratora [?] Pytanie zatem: Jak mogę się 'na stałe' wylogować np. z konta Admina? Tworzy on dodatkowe foldery i pliki w Danych Aplikacji i innych.

 

USBFix: Niestety niemal wszystkie ostatnie logi skasowałem wraz ze starymi logami podczas generalnego sprzątania [trochę pochopnie] a kosz opróżniłem wielokrotnie.

 

Pliki autorun.inf skasowałem.

 

Zastanawia mnie to dłuugie zamykanie systemu. Długo zamykał się już od zainstalowania SP3 ale teraz trwa to trochę dłużej [szybko przechodzi w niebieski ekran i zapisuje ustawienia a na Zamykanie systemu wisi.

 

I jeszcze taka drobna rzecz którą zauważyłem. Niektóre pliki zaczęły domyślnie otwierać się via FileAlyzer [np. chm, hlp, dll, dat i inne]. Próba przywrócenia otwierania ich przez domyślne aplikacje [Opcje folderów/Typy plików/Przywróć ] nie skutkuje. Próbowałem otworzyć plik pomocy i tylko z menu PPM Otwórz za pomocą... można wybrać żądany program. Jednak nawet po zahaczeniu opcji Zawsze używaj tego programu do otwierania... nic się nie zmienia.

Odnośnik do komentarza

A jednak, mylące, że nie widziałeś menu. Konsola Odzyskiwania w BOOT.INI jest zapisana, czyli jeśli skasowałeś ten folder, to wygląda na przyczynę błędu. Zmodyfikuj plik wycinając całą tę zamalowaną linię:

 

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

 

Zapisz zmiany w pliku. Usterka powinna zniknąć.

 

 

Przepraszam, zapomniałem napisać poprzednio - niestety pliki nadal widać. [Niby nic takiego ale przyzwyczaiłem się do trzech tylko folderów na C].

 

Ale czy po zaimportowaniu tych wpisów próbowałeś przestawić opcję i ją zatwiedzić w dialogu? Sprecyzuj to wyraźnie, bo moim celem była tylko odbudowa checkboxów, natomiast przestawianie opcji miałeś dopiero wypróbować. Jeśli padnie odpowiedź negatywna, będziemy kombinować dalej. W sumie możesz załadować od razu fiksa dla wartości korespondujących do ustawień jako takich. Nowy FIX.REG o zawartości:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
"Hidden"=dword:00000001
"ShowSuperHidden"=dword:00000001
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

 

Zaimportuj > restart systemu > sprawdź czy odptaszkowanie opcji ma skutki.

 

 

Nie jestem pewien ale nie zakładałem innego konta na pewno. Zawsze pracowałem na jednym - użytkownika - który jednocześnie był kontem administratora [?] Pytanie zatem: Jak mogę się 'na stałe' wylogować np. z konta Admina? Tworzy on dodatkowe foldery i pliki w Danych Aplikacji i innych.

 

Chyba tu jest nieporozumienie, albo źle odczytuję co mówisz. Konto o nazwie Administrator a użytkownik o uprawnieniach administratora (zakładam, że chodzi tu o Bobixxa) = dwie rozbieżne rzeczy i nietożsame konta. Konto "Administrator" to konto serwisowe wbudowane w system (o stałym SID z końcówką 500), o przeznaczeniu awaryjnym, i jest na każdym XP out-of-box, niezależnie od tego co wymyśli user. Konto ma atrybut specjalny, jest ukryte na ekranie logowania i domyślnie widać je tylko na ekranie Trybu awaryjnego. Konto jest w systemie, ale jako nieaktywowane, czyli nie ma jeszcze swojego folderu w Documents and settings. Folder jest zrzucany, jeśli nastąpi chociażby jedno zalogowanie na to konto. I folder już zostaje na stałe, niezależnie od faktu, że już nigdy się na to konto nie zalogujesz. Skoro tu jest folder, musiałeś się logować na to konto, bo cudów nie ma. Trojan to raczej by szedł po wyższe uprawnienia niż Administrator czyli od razu konto SYSTEM, albo szmuglował się przez mniej oczywiste konta wbudowane. Poza tym, na razie tu nie wykryliśmy realnych śladów działania infekcji.

 

Ty się z tego konta "nie wylogujesz na stałe", bo: obecność folderu nie jest równoznaczna z równoległym zalogowaniem konta, ona tylko poświadcza że na pewno na konto się logowano kiedyś tam. Owszem, są niezbyt eleganckie sposoby jak sztucznie doprowadzić do "pierwotnej" sytuacji, czyli udać, że konto nie jest zainicjowane, ale szczerze mówiąc nie uważam tego tipu za zasadnego tutaj. Wracam natomiast do tego:

 

 

Autorun daje do wyboru trzy poziomy właśnie: Admin, User i Bobixx.

 

Ów "User" w menu Autoruns: pokaż na obrazku jak to widzisz oraz dołącz log z kont systemowych wygenerowany za pomocą sid.vbs: KLIK (punkt 3).

 

 

I jeszcze taka drobna rzecz którą zauważyłem. Niektóre pliki zaczęły domyślnie otwierać się via FileAlyzer [np. chm, hlp, dll, dat i inne]. Próba przywrócenia otwierania ich przez domyślne aplikacje [Opcje folderów/Typy plików/Przywróć ] nie skutkuje. Próbowałem otworzyć plik pomocy i tylko z menu PPM Otwórz za pomocą... można wybrać żądany program. Jednak nawet po zahaczeniu opcji Zawsze używaj tego programu do otwierania... nic się nie zmienia.

 

Wypróbuj program FileTypesMan.

 

 

Zastanawia mnie to dłuugie zamykanie systemu. Długo zamykał się już od zainstalowania SP3 ale teraz trwa to trochę dłużej [szybko przechodzi w niebieski ekran i zapisuje ustawienia a na Zamykanie systemu wisi.

 

Są tu dwa pasujące do efektu wystąpienia błędów, a każdy wykazuje dużą powtarzalność:

 

1. SYSTEM:

 

DCOM 10010

 

The server {9B1F122C-2982-4E91-AA8B-E071D54F2A4D} did not register with DCOM within the required timeout.

Ten błąd jest związany z Automatycznymi aktualizacjami (KLIK). Zastosuj reset komponentów za pomocą narzędzia Fixit Microsoftu z tego artykułu: KB971058. Podaję to narzędzie, bo jest nowsze i robi ciut więcej w temacie WU. Alternatywny Dial-a-Fix stary i zabugowany.

 

2. APLIKACJE:

 

Userenv 1517

 

Windows saved user registry while an application or service was still using the registry during log off. The memory used by the user's registry has not been freed. The registry will be unloaded when it is no longer in use.

 

This is often caused by services running as a user account, try configuring the services to run in either the LocalService or NetworkService account.

Czyli niemożność odładowania rejestru przy wylogowaniu. Taki efekt mogą produkować antywirusy i inne zaborcze aplikacje. Jeśli po powyższych akcjach w punkcie 1 nie ustąpi defekt, zamontuj aplikację dedykowaną problemom przetrzymywania rejestru: User Profile Hive Cleanup Service.

 

 

Są i inne błędy w Dzienniku, także w typie skomasowanym, ale na razie ich nie biorę pod uwagę, gdyż wystąpienia czasowe mogą sugerować jakieś niepermanentne zjawiska / sprawy jednorazowe. MsiInstaller, SideBySide oraz odniesienia do dysków. Aczkolwiek to ostatnie mnie nieco zastanowiło, jeden błąd uszkodzonej struktury plików na C, jeden błąd wskazujący "bad block" na D. Sprawdzałeś dysk pod kątem błędów, robiłeś jakąś szerszą diagnostykę na bady?

 

Ntfs Disk 55

 

The file system structure on the disk is corrupt and unusable. Please run the chkdsk utility on the volume C:.

Disk 7

 

The device, \Device\Harddisk0\D, has a bad block.

 

 

.

Odnośnik do komentarza

Po edycji pliku, przy próbie dodania wpisu wyskakiwało info:

 

edytor.jpg

 

W końcu [trochę w ciemno] zedytowałem boot.ini bezpośrednio na C. Odhaczyłem uprzednio opcje Tylko do odczytu i Szyfruj dane by zaoszczędzić... i zrestartowałem system. Czarny ekran się nie pokazał, reszta poszła normalnie i chyba jest ok, przynajmniej jak dotąd.

 

Pliki na C niestety widać nadal, bez względu na kombinację ustawień. Chowają się tylko przy zahaczeniu opcji Nie pokazuj ukrytych plików. Nie rusza ich opcja Ukryj chronione pliki systemu. Checkboxy były widoczne cały czas.

 

Konta: Widać myliłem pojęcia. Generalnie chodziło mi właśnie o ślady użycia tego poniekąd nowego konta [widoczny folder Administrator, podfoldery do różnych aplikacji, duplikaty plików gdzie zamiast Bobixx w nazwie jest Administrator, wpisy etc]. A konkretnie rzecz ujmując, chciałem się upewnić co do bezpiecznego usunięcia folderu Administrator i reszty śladów używania go jako nadmiar folderów i plików [albo przynajmniej je ukryć].

 

Widok z Autoruns [domyślnie otwiera się na bobixx]:

 

usersr.jpg

 

Plik SID -> KLIK

Zastosowałem Fix It i... nie pamiętam kiedy tak BŁYSKAWICZNIE system się zamykał smiledance.gif

 

Sprawdzałeś dysk pod kątem błędów, robiłeś jakąś szerszą diagnostykę na bady?

 

Przez ostatnie dwa-trzy lata raczej nie [nie pamiętam przynajmniej]

----------

Odnośnik do komentarza
Po edycji pliku, przy próbie dodania wpisu wyskakiwało info

 

Musiałeś popełnić błąd i nie załączyć nagłówka Windows Registry Editor Version 5.00. Bez tego wpisu plik nie jest traktowany jako plik rejestru. Poprawiaj i wykonaj zalecaną sekwencję, gdyż zostało nam to:

 

 

Pliki na C niestety widać nadal, bez względu na kombinację ustawień. Chowają się tylko przy zahaczeniu opcji Nie pokazuj ukrytych plików. Nie rusza ich opcja Ukryj chronione pliki systemu. Checkboxy były widoczne cały czas.

 

Wiem, że checkboxy były widoczne. Nie to miałam na myśli odbudowując domyślne wpisy w rejestrze. Moim zamiarem było naniesienie poprawki na ewentualną niezgodność między tym co robi checkbox a jak to jest zapisane w rejestrze.

 

 

W końcu [trochę w ciemno] zedytowałem boot.ini bezpośrednio na C. Odhaczyłem uprzednio opcje Tylko do odczytu i Szyfruj dane by zaoszczędzić... i zrestartowałem system. Czarny ekran się nie pokazał, reszta poszła normalnie i chyba jest ok, przynajmniej jak dotąd.

 

Czyli w pliku BOOT.INI aktualnie nie ma już tego zapisu kierującego do CMDCONS?

 

 

Widok z Autoruns [domyślnie otwiera się na bobixx]:

 

Toteż Cię pytałam o "Usera" czy to jest nazwa menu a nie nazwa użytkownika w tymże menu. Wszystko w porządku. Masz 3 konta: swoje, SYSTEM (to się pokaże na każdym komputerze) i serwisowego Administratora (którego musiałeś sam zalogować). Zgadza się.

 

 

Plik SID -> KLIK

 

Prosiłam o sid.vbs a nie program SIW. Ale to już nieistotne w sumie, gdyż wg mnie wszystko z kontami się zgadza.

 

 

Konta: Widać myliłem pojęcia. Generalnie chodziło mi właśnie o ślady użycia tego poniekąd nowego konta [widoczny folder Administrator, podfoldery do różnych aplikacji, duplikaty plików gdzie zamiast Bobixx w nazwie jest Administrator, wpisy etc]. A konkretnie rzecz ujmując, chciałem się upewnić co do bezpiecznego usunięcia folderu Administrator i reszty śladów używania go jako nadmiar folderów i plików [albo przynajmniej je ukryć].

 

Dane aplikacji czy pliki osobiste możesz wymazać przecież z tego katalogu Administratora, bez naruszania standardowej konstrukcji folderu konta.

 

 

 

.

Odnośnik do komentarza
[...] nie zaznaczyłeś nagłówka Windows Registry Editor Version 5.00

Ależ zaznaczyłem. Zresztą wpis skopiowany był wprost z posta [wyciąłem tylko co zalecono].

 

Czyli w pliku BOOT.INI aktualnie nie ma już tego zapisu kierującego do CMDCONS?

Nie ma. Na wszelki wypadek zamieszczam wpis:

___________________________________________________________________________________

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

_________________________________________________________________________________________________

Prosiłam o sid.vbs a nie program SIW

Wybacz, spieszyłem się trochę [posta zacząłem pisać około 9:00 rano a zamieściłem o 18:03 ! - natłok spraw]

 

Dane aplikacji czy pliki osobiste możesz wymazać przecież z tego katalogu Administratora

Rozumiem. Skasowałem co się da, są tam jednak pliki Windows czy opisane jako systemowe [ukryte jako chronione] więc folder Administrator i co w nim zostało oznaczyłem jako ukryty.

 

Przedwczesna też była moja radość z wyłączania. O ile system błyskawicznie się zamyka przy restarcie, to niemiłosiernie długo wisi na zamykaniu systemu przy całkowitym zamknięciu.

 

I jeszcze coś, co się nagle okazało: kiedy próbuję otworzyć Worda [czy to z pliku word.exe czy z polecenia Menu > Nowy > Dokument tekstowy Word] wyskakuje okienko instalatora, oraz po chwili:

 

wordr.th.jpg

 

następnie przerywa instalację...

 

word2z.th.jpg

 

a kiedy podaję odpowiednią ścieżkę z płyty wywala kolejny komunikat, że instalator nie może odnaleźć odpowiedniej ścieżki. OK powoduje następny monit:

 

word3n.th.jpg

 

Ale kiedy uruchamiam instalację by zainstalować aplikację :D rzecz powtarza się wkoło wojtek. Może to mieć związek ze skasowaniem folderów Danych Aplikacji w folderze Administrator? W większości były one puste jednak kilka z nich zawierało jakieś pliki.

 

edit 1: przeinstalowałem MS Office i jest w porządku. Powyższe informacje zamieściłem gdyby miało to związek ze sprawą.

edit 2: teraz także podczas restartu system zaczął wisieć jak poprzednio, na zamykaniu :/

Edytowane przez lllllllllllllll
Odnośnik do komentarza
Ależ zaznaczyłem. Zresztą wpis skopiowany był wprost z posta [wyciąłem tylko co zalecono].

 

Zakładając, że nagłówek ten jest pierwszym wpisem w pliku a błąd się zgłasza, może jest problem z wersją edytora w Twoim systemie. XP SP3 to powinien być edytor w wersji 5 (i ma wsteczną kompatybilność dla wpisów w wersji 4).

 

1. Zamień Windows Registry Editor Version 5.00 na REGEDIT4 i spróbuj importować.

 

2. Po drugie sprawdź wersję pliku regedit.exe. Tu z mojego XP SP3:

 

regver.png

 

3. Po trzecie stwórz wykaz wszystkich wystąpień pliku regedit. Uruchom OTL, wszystkie sekcje ustaw na Brak / Żadne, zaś w sekcji Własne opcje skanowania / skrypt wklej:

 

/md5start
regedit.exe
/md5stop

Klik w Skanuj i podaj wyniki.

 

Przedwczesna też była moja radość z wyłączania. O ile system błyskawicznie się zamyka przy restarcie, to niemiłosiernie długo wisi na zamykaniu systemu przy całkowitym zamknięciu

(...)

edit 2: teraz także podczas restartu system zaczął wisieć jak poprzednio, na zamykaniu :/

 

Masz jeszcze do wypróbowania User Hive Profile Cleanup Service, służące problemom odładowania profilu. Miałeś takie błędy odnotowane w Dzienniku zdarzeń.

 

 

 

.

Odnośnik do komentarza

Zamieniłem [na wszelki wypadek zamieszczam]:

_________________________________________________________________________

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"SuperHidden"=dword:00000001

"Hidden"=dword:00000001

"ShowSuperHidden"=dword:00000001

 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advance

d\Folder\SuperHidden\Policy\DontShowSuperHidden]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced

\Folder\SuperHidden\Policy\DontShowSuperHidden]

@=""

_________________________________________________________________________

Wersja regedit.exe u mnie:

 

77488970.jpg

 

Log z OTL:

 

OTL logfile created on: 2011-02-04 15:38:55 - Run 2

OTL by OldTimer - Version 3.2.20.6 Folder = D:\Druga Klasa\downloads

Windows XP Professional Edition Dodatek Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.6001.18702)

Locale: 00000415 | Country: Polska | Language: PLK | Date Format: yyyy-MM-dd

 

511,00 Mb Total Physical Memory | 237,00 Mb Available Physical Memory | 46,00% Memory free

738,00 Mb Paging File | 543,00 Mb Available in Paging File | 74,00% Paging File free

Paging file location(s): C:\pagefile.sys 256 1536 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files

Drive C: | 8,79 Gb Total Space | 4,66 Gb Free Space | 53,01% Space Free | Partition Type: NTFS

Drive D: | 17,76 Gb Total Space | 11,29 Gb Free Space | 63,57% Space Free | Partition Type: NTFS

Drive E: | 74,52 Gb Total Space | 17,35 Gb Free Space | 23,28% Space Free | Partition Type: NTFS

Drive X: | 10,75 Gb Total Space | 8,76 Gb Free Space | 81,49% Space Free | Partition Type: NTFS

 

Computer Name: THC-LRN8GRLO3ZL | User Name: bobixx | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: All users

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

 

========== Custom Scans ==========

 

< MD5 for: REGEDIT.EXE >

[2008-04-14 22:51:38 | 000,149,504 | ---- | M] (Microsoft Corporation) MD5=FD317A23C3EB2A856E74279FBE04B9C2 -- C:\WINDOWS\regedit.exe

[2008-04-14 22:51:38 | 000,149,504 | ---- | M] (Microsoft Corporation) MD5=FD317A23C3EB2A856E74279FBE04B9C2 -- C:\WINDOWS\ServicePackFiles\i386\regedit.exe

[2008-04-14 22:51:38 | 000,149,504 | ---- | M] (Microsoft Corporation) MD5=FD317A23C3EB2A856E74279FBE04B9C2 -- C:\WINDOWS\system32\dllcache\regedit.exe

< End of report >

-----------------

Po instalacji Microsoft Fix It komputer restartował momentalnie. Kiedy spostrzegłem, że jednak wisi na zamykaniu - wtedy zainstalowałem User Hive Profile Cleanup Service jak stało w zaleceniach. Po tej czynności, system stoi na zamykaniu systemu także podczas restartowania, i mam wrażenie, że teraz jeszcze dłużej. Wyłączenie procesu uphclean.exe przed zamknięciem/restartem nie przynosi zmian.

-----------------

Pliki na C widać nadal...

Odnośnik do komentarza

Tu jest błąd w Twoim pliku:

 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advance

d\Folder\SuperHidden\Policy\DontShowSuperHidden]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced

\Folder\SuperHidden\Policy\DontShowSuperHidden]

@=""

Masz przełamaną nieprawidłowo linię w obu ścieżkach dostępu, zapewne to skutek Notatnika i bugów z Zawijaniem wierszy. Pokazuję co ja dawałam w tym fragmencie pliku:

 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]

@=""

Jeśli taki stwór importowałeś, to był to zły stwór i należy skorygować plik i wykonać import raz jeszcze.

 

Pliki na C widać nadal...

 

Gdyby to nie miało związku z powyższym błędem w pliku, spróbuj mojego pierwszego pomysłu, który był związany wtedy z czymś innym, mianowicie re-rejestracji biblioteki systemowej:

 

Start > Uruchom > regsvr32 /i shell32.dll

 

Po tym zresetuj system.

 

Kiedy spostrzegłem, że jednak wisi na zamykaniu - wtedy zainstalowałem User Hive Profile Cleanup Service jak stało w zaleceniach. Po tej czynności, system stoi na zamykaniu systemu także podczas restartowania, i mam wrażenie, że teraz jeszcze dłużej. Wyłączenie procesu uphclean.exe przed zamknięciem/restartem nie przynosi zmian.

 

Wyczyść aktualne Dzienniki zdarzeń w sekcjach Aplikacje + SYSTEM, zrób pełne koło z resetem, tak by nagrać błędy tylko z aktualnej sytuacji i mieć ten moment zawieszenia uwzględniony w odczytach. I powtórka: EVT na hosting do wglądu.

 

 

 

.

Odnośnik do komentarza

Poprawiłem wpisy, sejw i wyskoczył error:

 

errorjr.jpg

 

Pewnie coś pomieszałem więc ponownie zedytowałem fixa i wkleiłem zawartość z tego posta, zamieniając 'Windows Registry Editor Version 5.00' na 'REGEDIT4'.

Tym razem wpis został dodany i wyglądał tak:

 

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
"Hidden"=dword:00000001
"ShowSuperHidden"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@="" 

 

Po restarcie wszystko po staremu. Pliki na C nadal widoczne [próbowałem różnych kombinacji na opcjach] a system wisi jak poprzednio.

[w ciągu dnia czasem uruchamiałem Fix It. Kiedy dawałem restart system ponownie uruchamiał się błyskawicznie, nie sprawdzałem z zamykaniem]

 

Start > Uruchom > regsvr32 /i shell32.dll

Po restarcie pliki na dysku C widać nadal. I jeszcze to:

Do tej pory, kiedy próbowałem zamknąć/zrestartować system via Start -> Wyłącz Komputer, to po wciśnięciu ikony kursor przybierał status 'niedostępny' i w nic nie dało się kliknąć [martwy pulpit]. Dopiero odpuszczał po długiej chwili by przejść dalej. Przy ostatnim restarcie udało się go zamknąć niemal od razu z Menu Start [klasycznie].

edit: niestety [a może dobrze], wstrzymałem się by zapisać w Wordzie posta na wszelki wypadek [chwilowe problemy - remont sieci] i kiedy próbowałem zrestartować go znów - to samo. Tylko MZ pomaga przejść dalej. A dalej ponura farsa - nic nowego w kwestii zawieszania na Zamykaniu systemu...

-------------------------

Pliki dziennika: KLIK

Edytowane przez lllllllllllllll
Odnośnik do komentarza
Poprawiłem wpisy, sejw i wyskoczył error

 

Pytanie: czy na pewno plik robisz w Notatniku a nie jakimś innym edytorze?

 

 

Po restarcie pliki na dysku C widać nadal.

 

Popatrzyłam jeszcze raz na Twój obrazek i widzę zestaw niepełny z grupy "chronione systemu operacyjnego", tzn. brakuje dwóch folderów RECYCLER (Kosz) oraz System Volume Information (Przywracanie systemu). Czy te katalogi są widoczne przy odznaczeniu opcji "Ukryj chronione pliki systemu operacyjnego"? Pokaż mi dir głównego katalogu C. Sprawdzę jakie atrybuty są przypisane do obiektów. Uruchom SystemLook i wklej poniższą komendę.

 

:dir
C:\

 

Przy czym: SystemLook wymaga zainstalowanych bibliotek Microsoft Visual C++ 2008 Redistributable. Owe biblioteki już tu się przewijały, a konkretniej błędy z nimi związane. Nie widzę też w pierwszym wykazie Extras, by ten pakiet rezydował w systemie.

 

Do tej pory, kiedy próbowałem zamknąć/zrestartować system via Start -> Wyłącz Komputer, to po wciśnięciu ikony kursor przybierał status 'niedostępny' i w nic nie dało się kliknąć [martwy pulpit]. Dopiero odpuszczał po długiej chwili by przejść dalej. Przy ostatnim restarcie udało się go zamknąć niemal od razu z Menu Start [klasycznie].

edit: niestety [a może dobrze], wstrzymałem się by zapisać w Wordzie posta na wszelki wypadek [chwilowe problemy - remont sieci] i kiedy próbowałem zrestartować go znów - to samo. Tylko MZ pomaga przejść dalej. A dalej ponura farsa - nic nowego w kwestii zawieszania na Zamykaniu systemu...

 

W Dzienniku zdarzeń widzę:

 

1. Znowu te same błędy DCOM relatywne do Automatycznych aktualizacji. Czy tego Fixit Microsoftu uruchamiałeś z zaznaczonym trybem agresywnym? Jeśli nie, wykonaj to zadanie (to czyści SoftwareDistribution i Catroot). Jeśli tak, wykonaj test czy ma znaczenie wyłączenie usługi aktualizacji Start > Uruchom > services.msc > dwuklik w Aktualizacje automatyczne i usługę zatrzymaj + Typ startowy ustaw na Wyłączona.

 

2. Wystąpił także jeden błąd MRxSmb 8003. Spróbuj wyłączyć kolejną usługę: Przeglądarka komputera.

 

 

 

.

Odnośnik do komentarza
czy na pewno plik robisz w Notatniku a nie jakimś innym edytorze?

Naturalnie. PPM na pulpit > Nowy > Dokument tekstowy. Otwieram, wklejam, zapisuję jak przykazano [fix.reg] i odpalam. Zresztą zawsze tak czyniłem i było oki.

 

Czy te katalogi są widoczne przy odznaczeniu opcji "Ukryj chronione pliki systemu operacyjnego" ?

Tak. Oto widok wszystkich plików i folderów po odznaczeniu tej opcji.

 

error3k.jpg

 

[...] wymaga zainstalowanych bibliotek Microsoft Visual C++ 2008 Redistributable

Wiem że miałem zainstalowane to ustrojstwo ale żaden uninstaler [systemowy też] nie pokazuje deinstalki. Wiem też, że niedawno jeszcze widniały nawet w systemowym Dodaj i usuń programy. Nie pamiętam bym to odinstalowywał, aczkolwiek jest taka możliwość.

 

Log z SystemLook:

-------------------------------------------------------------------------------------------------------------------------------------------------------

SystemLook 04.09.10 by jpshortstuff

Log created at 19:59 on 05/02/2011 by bobixx

Administrator - Elevation successful

 

========== dir ==========

 

C: - Parameters: "(none)"

 

---Files---

AUTOEXEC.BAT ------- 0 bytes [14:15 31/12/2008] [14:15 31/12/2008]

boot.ini ---hs-- 210 bytes [14:58 31/12/2008] [12:21 03/02/2011]

Bootfont.bin -r-h--- 4952 bytes [23:28 09/12/2002] [23:28 09/12/2002]

CONFIG.SYS ------- 0 bytes [14:15 31/12/2008] [14:15 31/12/2008]

IO.SYS -r-h--- 0 bytes [14:15 31/12/2008] [14:15 31/12/2008]

MSDOS.SYS -r-h--- 0 bytes [14:15 31/12/2008] [14:15 31/12/2008]

NTBOOTDD.SYS -r-h--- 24448 bytes [23:28 09/12/2002] [23:28 09/12/2002]

NTDETECT.COM -r-h--- 47564 bytes [21:08 28/08/2002] [18:54 25/02/2010]

ntldr -r-h--- 251152 bytes [01:05 29/08/2002] [18:54 25/02/2010]

pagefile.sys --ahs-- 268435456 bytes [14:04 31/12/2008] [13:00 05/02/2011]

 

---Folders---

Documents and Settings dr----- [14:04 31/12/2008]

Program Files d------ [14:05 31/12/2008]

RECYCLER d--hs-- [11:17 23/02/2010]

System Volume Information d--hs-- [14:20 31/12/2008]

WINDOWS d------ [14:54 31/12/2008]

 

-= EOF =-

-------------------------------------------------------------------------------------------------------------------------------------------------------

Fixit Microsoftu uruchamiałeś z zaznaczonym trybem agresywnym?

Nie, pomijałem ten tryb. Po zaznaczeniu go i uruchomieniu, programu nakazał restart po czym błyskawicznie się zamknął i otworzył [ale bez tej opcji też szybko reagował]. Nie zdążyłem więc sprawdzić czy z Menu Start też zamknąłby się bez problemów. Ale kiedy daję Menu Start > Wyłącz komputer to reaguje normalnie [pokazuje się to małe okienko "stan wstrzymania|restart|wyłącz i można normalnie dać anuluj. Przynajmniej na razie, gdyż już zdażało się, że wszystko było w porządku, a po pewnym czasie próba wyłączenia tradycyjną metodą przynosiła anomalię opisaną poprzednio [wiszenie po wciśnięciu Wyłącz Komputer].

 

Usługi Aktualizacje automatyczne i Przeglądarka komputera zatrzymałem a tryb ich ustawiłem na wyłączony.

Efekty po restarcie: Komputer zrestartował błyskawicznie, nadal działa też bez problemu red button Wyłącz komputer w Menu Start [czyli że od razu wyskakuje okienko z opcjami]. To jednak niedługie momenty pomiędzy testami i restartami. Sprawdzę jeszcze jak to reaguję po dłuższej pracy systemu z otwieranymi w międzyczasie wieloma różnymi aplikacjami. [do niedawna podejrzewałem Avasta i MS Word - to nie oni].

Odnośnik do komentarza

Rozumiem, że obserwacje zamykania systemu nadal w toku. W kwestii tych ukrytych:

 

 

1. RECYCLER, SVI i pagefile.sys prawidłowo się zachowują, co wskazuje na problem tylko jednej opcji. W odczycie SystemLook notuję utratę atrybutów "S" (Systemowy) dla niektórych plików i to tłumaczy, że nie podlegają one opcji "Ukryj chronione...". Tu z czystej maszyny XP układ atrybutów do porównania:

 

attrib.th.png

 

Zmontuj w Notatniku plik o zawartości:

 

CD C:\
ATTRIB +S bootfont.bin
ATTRIB +S NTBOOTDD.SYS
ATTRIB +S NTDETECT.COM
ATTRIB +S NTLDR
ATTRIB +S IO.SYS
ATTRIB +S MSDOS.SYS
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT > Uruchom ten plik

 

Po tej akcji sprawdź czy się zaczynają ukrywać po użyciu opcji "Ukryj chronione...". Pozostaje sprawa drugiej opcji:

 

 

2. Pokaż jak to w ogóle w rejestrze wygląda w tej sekcji checkboxów. Niby importowaliśmy plik na samym początku, ale teraz nabieram wątpliwości czy to się rzeczywiście odbyło. Zresztą po tym wystąpił jakiś tajemniczy problem z odczytem wersji edytora w pliku REG. Wyeksportuj mi tu do wglądu te klucze:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden

 

Eksport wykonaj w formacie niekodowanym TXT (a nie REG).

 

 

.

Odnośnik do komentarza
Rozumiem, że obserwacje zamykania systemu nadal w toku

Tak. I jak dotąd jestem zadowolony. System zamyka się z każdej pozycji, także ze Start > Wyłącz komputer. I nawet jeśli za pierwszym podejściem potrzebuje te trzy sekundy [wszystko przy pierwszym uruchomieniu 'zastanawia się' chwilę ale to chyba inna bajka] to już każda następna próba odbywa się momentalnie, po czym nie mniej szybko następują restart i start systemu [ jednak po załadowaniu windows'a i tak muszę odczekać dobrą chwilę żeby w miarę normalnie móc otworzyć cokolwiek, potem już śmiga i to szybciej niż do niedawna]. Pozostaje mi jeszcze sprawdzić zamykanie.

fix.bat - Po odpaleniu pliku ukazały się w oknie programu informacje:

z dysku D - że pliki te nie zostały odnalezione.

z Pulpitu - że resetowanie plików ukrytych nie jest wykonywane.

z Dysku C bezpośrednio - że resetowanie plików ukrytych nie jest wykonywane [grafika]

error7i.jpg

___________________________________

Klucze Rejestru:

 

Hidden.txt

SuperHidden.txt

Odnośnik do komentarza
Po odpaleniu pliku ukazały się w oknie programu informacje

 

W takim układzie należy ściągnąć wszystkie atrybuty i dopiero wtedy je nałożyć wspólnie. Czyli dwie grupy komend w BAT:

 

CD C:\
ATTRIB -H bootfont.bin
ATTRIB -H NTBOOTDD.SYS
ATTRIB -H NTDETECT.COM
ATTRIB -H NTLDR
ATTRIB -H IO.SYS
ATTRIB -H MSDOS.SYS
ATTRIB +H +S bootfont.bin
ATTRIB +H +S NTBOOTDD.SYS
ATTRIB +H +S NTDETECT.COM
ATTRIB +H +S NTLDR
ATTRIB +H +S IO.SYS
ATTRIB +H +S MSDOS.SYS
pause

 

 

Zaś klucze rejestru są poprawne. Jeszcze zaprezentuj część bieżącego użytkownika, czyli klucz:

 

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced

 

 

 

 

.

Odnośnik do komentarza

fix.bat: po wykonaniu, w oknie ukazały się informacje:

 

schowek03p.jpg

 

i pliki na C ZNIKNĘŁY !! smileboogie.gif Komputer restartuje oraz zamyka się już w 'mgnieniu oka' i już nie muszę uruchamiać np. Menadżera Zadań by zamknąć/zrestartować system. Analogicznie się ładuje system - szybciutko i bez problemów [jeszcze nie ma antywira, zobaczym czy instalacja go przyniesie jakieś zmiany].

No i pozostało jeszcze pytanie [choć nie wiem czy to ma związek ze sprawą] o te chwilowe 'myślenie' plików i folderów podczas pierwszej próby otwarcia po załadowaniu się systemu. Tzn. windows jak wspomniałem ładuje się w mig. I kiedy chcę coś otworzyć [folder, plik czy Menadżera Zadań] to mija kilka do kilkunastu sekund a kursor ma status zajęty [ale nie niedostępny] zanim się coś otworzy. Bez względu czy to zaraz po starcie czy odczekam 30 minut. Tak się dzieje tylko podczas pierwszej próby otwarcia po włączeniu/restarcie a każdy plik czy folder raz odpalony następnym razem reaguje już błyskawicznie. Generalnie system także znacznie przyspieszył i praca na tym złomie znów zaczyna być przyjemna.

 

Dla pewności raz jeszcze dam restart i przyglądnę się poszczególnym rzeczom.

edit: restart, zamykanie i uruchamianie sytemu w porzadku!

______________________________________________________________

 

załącznik: advenced.txt

Edytowane przez lllllllllllllll
Odnośnik do komentarza
fix.bat: po wykonaniu, w oknie ukazały się informacje

 

Coś te wyniki w pierwszej partii wyglądają dziwnie, bo one wręcz mówią, że pliki już miały atrybut "S" (co jest sprzeczne z raportem SystemLook), a to ogranicza możliwość ściągania atrybutów ukrytych. Jednakże druga partia nakładająca oba atrybuty wykonała się poprawnie, a finałowy wynik wizualny całkowicie temu odpowiada.

 

Natomiast jeszcze mamy sprawę z opcją ukrytych. Mówiłeś, że kombinowałeś z różnymi układami opcji (odczytuję to jako wykorzystanie i opcji "Pokaż ukryte pliki i foldery"), a owe pliki nie chciały się w ogóle chować (wg SystemLook miały atrybut H). Rejestr zdaje się być w porządku. Sprawdź jednak czy opcja działa. Tzn. utwórz sobie na Pulpicie testowy folder lub plik, we Właściwościach przyznaj mu ukrycie i sprawdź czy przestawianie opcji działa. Jeśli działa, problemem nie były tu w ogóle opcje, tylko atrybuty tych konkretnych plików. Jeśli nie działa, mamy tajemnicę do rozpracowania.

 

 

No i pozostało jeszcze pytanie [choć nie wiem czy to ma związek ze sprawą] o te chwilowe 'myślenie' plików i folderów podczas pierwszej próby otwarcia po załadowaniu się systemu. Tzn. windows jak wspomniałem ładuje się w mig. I kiedy chcę coś otworzyć [folder, plik czy Menadżera Zadań] to mija kilka do kilkunastu sekund a kursor ma status zajęty [ale nie niedostępny] zanim się coś otworzy. Bez względu czy to zaraz po starcie czy odczekam 30 minut. Tak się dzieje tylko podczas pierwszej próby otwarcia po włączeniu/restarcie a każdy plik czy folder raz odpalony następnym razem reaguje już błyskawicznie.

 

Nie wiem. To wygląda na nieukończony proces inicjalizacji samej powłoki jako takiej. Przychodzi mi na myśl:

 

1. Sprawdź czy nie masz ustawionej konfiguracji uruchamiania w osobnych procesach Pulpitu i Paska zadań:

 

Start > Uruchom > regedit i czy w kluczu:

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer

 

Jest wartość DesktopProcess. Nie powinna ta wartość być obecna. Ona ma liczne skutki uboczne.

 

2. Przy okazji: czy przestawienie opcji Opcje folderów> Widok > Uruchom okna folderów w osobnych procesach wpływa na zmianę sytuacji?

 

 

 

.

Odnośnik do komentarza
pliki nie chciały się w ogóle chować

Nie chciały się chować kiedy zahaczałem opcję Ukryj chronione pliki [czyli wtedy kiedy powinny], po zaznaczaniu opcji Nie pokazuj ukrytych plików chowały się normalnie.

Poniżej przedstawiam jak to wygląda teraz przy różnych kombinacjach [myślę że grafiki oddadzą to szybciej i w bardziej merytoryczny sposób niż mój opis].

Biały obszar - dysk C, czarny - pulpit. Folder test directory i pliki testfile.sys, test file.sys i test file.fix są stworzone na potrzeby testu.

 

1. Opcja Ukryj chronione pliki... odhaczona | Zaznaczona opcja Pokaż ukryte pliki...

 

test01n.jpg

____________________________________

 

2. Opcja Ukryj chronione pliki... zahaczona | Zaznaczona opcja: Pokaż ukryte pliki...

 

test02.jpg

____________________________________

3. Opcja Ukryj chronione pliki... zahaczona | Zaznaczona opcja: Nie pokazuj ukrytych plików...

 

test03f.jpg

____________________________________

4. Opcja Ukryj chronione pliki... odhaczona | Zaznaczona opcja: Nie pokazuj ukrytych plików...

 

test03f.jpg

_____________________________________

Jest wartość DesktopProcess. Nie powinna ta wartość być obecna.

Nie mam tej wartości.

 

czy przestawienie opcji Opcje folderów> Widok > Uruchom okna folderów w osobnych procesach wpływa na zmianę sytuacji?

Przestawiłem, ale nie dostrzegłem różnicy [jednak to tylko jeden restart więc jeszcze się temu uważnie przyglądnę podczas następnych uruchomień]

Odnośnik do komentarza

Z Twoich obrazków wynika, że wszystko jest już w porządku z ukrytymi. Wniosek końcowy: atrybuty plików stanowiły problem, tylko.

 

 

Przestawiłem, ale nie dostrzegłem różnicy [jednak to tylko jeden restart więc jeszcze się temu uważnie przyglądnę podczas następnych uruchomień]

 

Kolejna myśl: rozszerzenia powłoki. Możesz przetestować czy mają coś tu do rzeczy obiekty dodane wtórnie. Do tego posłuży program ShellExView. Przez klik w "Company" ułóż wszystkie różowe wspólnie, masowo zaznacz i wyłącz. Po restarcie nie będą ładowane. Podaj wyniki, czy widzisz jakąś różnicę.

 

 

 

.

Odnośnik do komentarza
[...] wynika, że wszystko jest już w porządku z ukrytymi.

Jak najbardziej. Choć przyznaję że miałem obawy, iż sprawa jest rozwojowa.

 

Do tego posłuży program ShellExView

Mam ten program w zestawie z innymi ze stajni NirSoft'u, aczkolwiek używałem go tylko raz do wyłączenia podejrzanych wejść i drugi raz niedawno, kiedy to powyłączałem również te niepotrzebne.

Wyłączając nienatywne wejścia niemal nie zauważyłem różnicy. Jednak gdy odczekam około pół minuty [a nie np. pół godziny] to wszystko otwiera się jakby troszkie szybciej [czas zaczynam liczyć od śpiewu Windowsa i pojawiającego się shella].

Mała anomalia: Leniwe otwieranie się paska szybkiego dostępu - przez dosłownie chwilkę widać tam fioletowy pasek zamiast ikon]. Mniej więcej coś takiego:

 

pasek2.png

 

Po czym zaraz ładują się ikony i jest normalnie:

 

pasek1e.png

 

Myślałęm, że to przez zamianę i dołożenie własnych skrótów ale mam tak od dawna a to pojawiło się w tym czasie.

 

Szybko za to otwierają się programy w Menu Start i wszystkie dodane do Menu Start > Wszystkie programy [lista nad kreską]. Przeniosłem tam nawet wszystkie skróty do najczęściej używanych aplikacji z wyznaczonego nań folderu na pulpicie [do nowo utworzonego tamże]. Zrobiłem też trochę porządku na dysku C, szybką optymalkę w rejestrze, defragmentację, etc. Ale nie wiem czy to także mogło być in plus dla reakcji plików na polecenia Open.

 

Ujemna strona działania: wyłączenie tych wejść pozbawiło mnie kilku przydatnych opcji. Na ten przykład często używam Unlocker'a wprost z menu kontekstowego czy Skanuj z Malwarebytes, które zniknęły. Jeszcze poobserwuję te zjawiska i spróbuję znaleźć jakiś kompromis, ewentualnie przyczynę.

Przyznam się ponadto, iż niewielkie modyfikacjie Menu kontekstowego zrobiłem kiedyś za pośrednictwem aplikacji Fast Explorer. Konkretnie deaktywowałem polecenia Dodaj do Playlisty..., Dodaj do biblioteki..., et cetera dla więkzości plików multimedialnych przypisanych odtwarzaczom [VLC, WMPlayer i WinAmp].

 

No i ostatnie - mam nadzieję - rzeczy, które prawdopodobnie wydarzyły się podczas tego zamieszania. Otóż zniknęły zakładki w PPM na Pulpit > Właściwości. Na ramce jest napisane Właściwości: Ekran a jedyna widoczna zakładka to Kompozycje. Myślałem że poradzę sobie gdyż mam fixa na taką okazję. Ale okazało się, że nie bardzo mogę otwierać skrypty [tu konkretnie: .vbs]. Nie bardzo, gdyż czasem się uda, czasem jest to wyskakujące okienko z informacją co jest nie tak a czasem po prostu nie reaguje na polecenie. Np. próba otwarcia pliku showalldisplaytabsxp.vbs zwraca komunikat:

 

skryptoza.jpg

 

Inne różnią się tylko numerem Wiersza lub Znaku ale we wszystkich pojawia się info o "WScript.Shell".

 

Potencjalne nowe odkrycia i spostrzeżenia opiszę po edycji.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...