Skocz do zawartości

Wiele nieprawidłowości, dziwne zachowanie systemu


Rekomendowane odpowiedzi

Na chwilę obecną nie mam dostatecznie dobrego konkretnego pomysłu na wolną inicjację po restarcie. Też odczuwam teraz zmęczenie i mam niejasne myślenie. Jeśli coś przyjdzie mi do głowy, oznajmię to. Póki co, na szybko:

 

 

Otóż zniknęły zakładki w PPM na Pulpit > Właściwości. Na ramce jest napisane Właściwości: Ekran a jedyna widoczna zakładka to Kompozycje.

 

Przypuszczalnie polisy. Zresztą w Twoim pierwszym logu OTL widzę tendencje do tapetowania systemu polisami, choć akurat uprzednio widziane są teoretycznie nieczynne, gdyż na zerze.

 

 

Myślałem że poradzę sobie gdyż mam fixa na taką okazję.

 

Ów skrypt VBS przeprowadza usuwanie polis z rejestru oraz dodatkowo automatycznie wznawia rejestrację bibliotek shell32.dll i themeui.dll. Całość swobodnie wykonalna ręcznie, na zasadzie rozbicia zadań: import do rejestru + wywołanie indywidualnych poleceń regsvr32 plik.dll.

 

1. Gotowy import do rejestru (z poprawką na niemożność wykorzystania nowszego nagłówka rejestru):

 

REGEDIT4
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"ClassicShell"=-
"ForceActiveDesktopOn"=-
"NoActiveDesktop"=-
"NoChangingWallPaper"=-
"NoThemesTab"=-
"NoWebView"=-
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"ClassicShell"=-
"ForceActiveDesktopOn"=-
"NoActiveDesktop"=-
"NoChangingWallPaper"=-
"NoThemesTab"=-
"NoWebView"=-
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispAppearancePage"=-
"NoDispBackgroundPage"=-
"NoDispCPL"=-
"NoDispScrSavPage"=-
"NoDispSettingsPage"=-
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispAppearancePage"=-
"NoDispBackgroundPage"=-
"NoDispCPL"=-
"NoDispScrSavPage"=-
"NoDispSettingsPage"=-

 

W związku z lustrzanym przełożeniem VBS na REG są tu zlokalizowane polisy adresujące kartę, którą widzisz, czyli nieistotne. Jednakże usuwanie czegoś czego nie ma nie przynosi żadnych szkód. Po prostu edycja jest niebyła. Import należy zatwierdzić restartem systemu.

 

2. Zadania rejestracyjne: nie sądzę, że należy to przeprowadzać. Biblioteka shell32.dll już tu była rejestrowana u Ciebie, w kontekście owych ukrytych. Zaś karta Kompozycje jest dla Ciebie dostępna, co odsuwa podejrzenia od pliku themeui.dll.

 

 

Ale okazało się, że nie bardzo mogę otwierać skrypty [tu konkretnie: .vbs]. Nie bardzo, gdyż czasem się uda, czasem jest to wyskakujące okienko z informacją co jest nie tak a czasem po prostu nie reaguje na polecenie. (...) Inne różnią się tylko numerem Wiersza lub Znaku ale we wszystkich pojawia się info o "WScript.Shell".

 

Wypróbuj re-rejestracji bibliotek związanych z Windows Script: KLIK.

 

 

Ujemna strona działania: wyłączenie tych wejść pozbawiło mnie kilku przydatnych opcji. Na ten przykład często używam Unlocker'a wprost z menu kontekstowego czy Skanuj z Malwarebytes, które zniknęły. Jeszcze poobserwuję te zjawiska i spróbuję znaleźć jakiś kompromis, ewentualnie przyczynę.

 

To oczywisty skutek. Zalecone działania miały być tylko testem, a w Twojej gestii leży przywrócenie stanu pierwotnego lub uznanego za pożądany.

 

 

.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Witam.

Niemal dobę [z przerwami na pracę i posiłki] zajęły mi testy, poszukiwania i lektura na temat obecnych [i kilku drobnych, okolicznych] problemów, parę razy zabierałem się też do opisania stanu faktycznego [lecz co raz coś się zmieniało] a dwa razy straciłem prawie gotowego posta. Szczególnie wymagany restart jest w takich wypadkach uciążliwy.

[Mój provider jest nieobliczalny i mus mi znaleźć jakiś edytor HTML z którego mógłbym skopiować i bezpośrednio wkleić cały gotowy tekst +grafiki [z oryginalnym formatem]. Notatnik i Word 'spłycają' formatowany tekst.

Ad rem:

 

Gotowy import do rejestru (z poprawką na niemożność wykorzystania nowszego nagłówka rejestru)

Wpis się dodał bezproblemowo jednak nic się nie zmieniło. Podobnie po fixach: showalldisplaytabsxp.reg, restorealldisplaytabs.reg, etc, zakładek wciąż nie było, a próby odpalenia plików .vbs przeważnie kończyły się błędem jak poprzednimi razy:

 

[i][b]Komponent ActivX nie może utworzyć obiektu "WScript.Shell" [Code: 800A01AD][/b][/i]

z zamiennie występującymi liczbami Wiersza.

 

Skorzystałem więc z tych porad. Komendy:

regsvr32 dispex.dll,

regsvr32 jscript.dll,

regsvr32 scrobj.dll,

regsvr32 scrrun.dll,

regsvr32 vbscript.dll,

regsvr32 wshcon.dll,

regsvr32 wshext.dll,

 

poszły jak trzeba, natomiast regsvr32 wshom.ocx zwracała błąd jak wyżej, o obiekcie "WScript.Shell". Skopiowałem też plik wshom.ocx z C:\WINDOWS\ServicePackFiles\i386 do C:\WINDOWS\System32 - bez zmian.

---------------------------------------------------------

Kolejny krok to porady z tej stronki.

 

Sprawdziłem więc wersję WScipt. Posiadam najnowszą, ale udałem się tym tropem dalej i zastosowałem:

 

CMD > regsvr32 appwiz.cpl i restart, a następnie fix:

 

[font=Times New Roman][color=#000000]Windows Registry Editor Version 5.00

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall]

"NoRemovePage"=dword:00000001[/color][/font]

jako noremovepage.reg i restart. [fix #337 stąd]

 

oraz:

[font=Times New Roman]Windows Registry Editor Version 5.00

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoActiveDesktopChanges"=hex:00,00,00,00

"NoActiveDesktop"=dword:00000000

"NoSaveSettings"=dword:00000000

"ClassicShell"=dword:00000000

"NoThemesTab"=dword:00000000

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"NoDispAppearancePage"=dword:00000000

"NoColorChoice"=dword:00000000

"NoSizeChoice"=dword:00000000

"NoDispBackgroundPage"=dword:00000000

"NoDispScrSavPage"=dword:00000000

"NoDispCPL"=dword:00000000

"NoVisualStyleChoice"=dword:00000000

"NoDispSettingsPage"=dword:00000000

"NoDispScrSavPage"=dword:00000000

"NoVisualStyleChoice"=dword:00000000

"NoSizeChoice"=dword:00000000

"SetVisualStyle"=-

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]

"NoChangingWallPaper"=dword:00000000

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager]

"ThemeActive"="1"

"DllName"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\

74,00,25,00,5c,00,72,00,65,00,73,00,6f,00,75,00,72,00,63,00,65,00,73,00,5c,\

00,54,00,68,00,65,00,6d,00,65,00,73,00,5c,00,6c,00,75,00,6e,00,61,00,5c,00,\

6c,00,75,00,6e,00,61,00,2e,00,6d,00,73,00,73,00,74,00,79,00,6c,00,65,00,73,\

00,00,00[/font]

jako restorealldisplaytabs.reg i restart [fix #285 też stąd]

 

Finalnie [i raz jeszcze] zastosowałem showalldisplaytabs-xp.vbs [stąd] i restart. W tym miejscu przyuważyłem, że pliki .vbs zaczęły uruchamiać się normalnie [ale nie pamiętam dokładnie od którego momentu]. Przetestowałem też inne fixy [skrypty] na różne okoliczności i na razie nie zwracają błędów.

Kiedy włączyłem kompa zakładki już były. Pozostał jeszcze ten fioletowy pasek zamiast ikon podczas startu Windowsa ale "nie można mieć wszystkiego" i cieszę się z tego co już mam :]

BTW: Czy deinstalowanie systemowego Movie Markera to dobry pomysł? [skrypt MM-deinst.vbs]

--------------------

Przy okazji zauważyłem taką rzecz [już mi głupio trochę tak ciągle coś nowego podrzucać]: podczas pierwszego [najczęściej] uruchomienia niektórych programów [zwłaszcza tych bezinstalacyjnych] otwiera się okienko Instalatora Windows który jakby usiłował zainstalować jakiś produkt od MS Office. Po chwili prosi o wpisanie ścieżki do jakichś plików [z płyty CD] i bez względu co uczynię [Centrum Pomocy mam wyłączone] cza anuluję zwraca zawsze taki błąd:

 

Produkt: Microsoft Office Professional Edition 2003 -- Błąd 1706.

Instalator nie może odnaleźć wymaganych plików.

\Sprawdź połączenie z siecią lub stację dysków CD-ROM.

Inne potencjalne rozwiązania tego problemu można znaleźć w

C:\Program Files\Microsoft Office\OFFICE11\1045\SETUP.CHM.

 

Co ma instalator Office'a do aplikacji portable? Czy to ma związek z powyższymi sprawami?

Odnośnik do komentarza
Sprawdziłem więc wersję WScipt. Posiadam najnowszą

 

Tak, bo XP SP3 ma wbudowaną najwyższą z dostępnych dla XP wersję.

 

 

ale udałem się tym tropem dalej i zastosowałem: CMD > regsvr32 appwiz.cpl i restart, a następnie fix jako noremovepage.reg i restart.

 

Tam w temacie na Bleeping były dwa rodzaje problemów i te porady w ogóle nie były pod VBS i braki tabów, to było pod ten fragment:

 

"(...) and not being able to remove programs from Add or Remove Programs. I have other problems like new programs that I havent installed showing up in the Add or Remove Programs (especially some softwares of MS office package in different languages)."

 

Komenda regsvr32 appwiz.cpl to jest rejestracja apletu Dodaj/Usuń, a do czego służy polisa NoRemovePage jest w Technet wyłuszczone (KLIK. Jeśli nie miałeś z tym problemu (nic takiego nie zgłaszałeś), zastosowanie tego conajmniej dziwne.

 

 

W tym miejscu przyuważyłem, że pliki .vbs zaczęły uruchamiać się normalnie [ale nie pamiętam dokładnie od którego momentu]

 

Moim zdaniem po użyciu pierwszej partii komend regsvr32 kierujących na pliki związane z systemem skryptowym (to jedyne co tu ma związek z tym obszarem) i faktycznym zatwierdzeniu tego restartem systemu (widzę z opisu, że o restarcie wspominasz dopiero przy rejestracji apletu Dodaj/Usuń a nie zaraz po rejestracji bibliotek). Wszystkie pozostałe tipy nie mają związku z Windows Script wcale, więc nie mogły pomóc.

 

 

Wpis się dodał bezproblemowo jednak nic się nie zmieniło. Podobnie po fixach: showalldisplaytabsxp.reg, restorealldisplaytabs.reg, etc, zakładek wciąż nie było

 

Masowe użycie ich uważam za nieco bezsensowne, bo powtarzałeś wiele kroków już tu przeprowadzonych. Przykładowo restorealldisplaytabs.reg ma duble tego co już było wprowadzane pierwszym fiksem rejestru (różnica w dublach: ja usuwałam polisy całkowicie, a Ty je ponownie wprowadziłeś tylko ustawiając na zero), przy czym sam to później i tak w większości ponownie usunąłeś, bo użyłeś:

 

 

Finalnie [i raz jeszcze] zastosowałem showalldisplaytabs-xp.vbs [stąd] i restart. (...) Kiedy włączyłem kompa zakładki już były.

 

Jeśli ten skrypt pomógł, to nie widzę innego wyjaśnienia niż to, że jednak re-rejestracja dwóch bibliotek systemowych (shell32.dll + themeui.dll) miała coś do rzeczy. Bo tylko taka była różnica między przetworzonym z VBS plikiem REG a tym skryptem.

 

 

Przy okazji zauważyłem taką rzecz [już mi głupio trochę tak ciągle coś nowego podrzucać]: podczas pierwszego [najczęściej] uruchomienia niektórych programów [zwłaszcza tych bezinstalacyjnych] otwiera się okienko Instalatora Windows który jakby usiłował zainstalować jakiś produkt od MS Office. Po chwili prosi o wpisanie ścieżki do jakichś plików [z płyty CD] i bez względu co uczynię [Centrum Pomocy mam wyłączone] cza anuluję zwraca zawsze taki błąd

 

W uprzednio oglądanym Dzienniku zdarzeń owszem były błędy od Instalatora Windows (Office i biblioteki Visual). To co przedstawiasz sugeruje, że dane instalacyjne Office są niepoprawne. Należy: usunąć całkowicie te dane specjalistycznym Fixit Microsoftu (KB290301 = te fiksy zastępują Windows Installer Cleanup wycofany przez MS ze względu na skutki uboczne), a następnie nadinstalować od nowa cały Office.

 

 

BTW: Czy deinstalowanie systemowego Movie Markera to dobry pomysł?

 

A jaki to ma mieć cel?

 

 

.

Odnośnik do komentarza
Komenda regsvr32 appwiz.cpl

Wiem, jednak czytając tamte posty przypomniał mi się jeszcze jeden, wcześniejszy problem - brak możliwości deinstalacji niektórych programów w systemowym Dodaj i usuń programy [m.in. Avast, Foxit Reader, DivX coś tam [ale nie sterowniki], Nokia Suite, World Wide Telescope [od Microsoftu - z nim były największe problemy] i stery od starej empetrójki Grundig]. Czasem prawidłowy był przebieg deinstalacji [przynajmniej pozornie] ale czasem zostawały ikonki programów na liście a czasem też pliki w folderze aplikacji. Miałem dużo większe problemy [w moim mniemaniu] z komputerem więc nie uznałem zjawiska za wielką aberrację i zlekceważyłem je. Kiedy dało o sobie znów znać, pozasysałem kilka deinstalatorów i testując je [nadmieniłem o tym w pierwszym poście] pozbywałem się niechcianego softu. I do tej pory używam już przedewszystkim zamiennika [Ostał się Revo Uninstaller za skuteczność i pedanterię]. A przypomniawszy sobie o w.w. postanowiłem skorzystać i zaaplikować go na wszelki wypadek. Trochę w ciemno przyznaję, ale aplet Dodaj i usuń... działa już chyba dobrze [na próbę tylko jedną aplikację odinstalowałem].

Przepraszam że o tym nie wspomniałem wtedy ani teraz ale uznałem to za sprawę wtórną i poniekąd załatwioną.

 

faktycznym zatwierdzeniu tego restartem systemu

Tak, restartowałem system [po każdym fixie i poleceniach aplikacji]. Choć było tam napisane, że "No reboot is required for shell initiated .vbs files..."' to nie miałem jasności czy chodzi o wszystkie wymienione tam pliki [.vbs] czy tylko o regsvr32 wshom.ocx:

---------------------------------------------

powtarzałeś wiele kroków już tu przeprowadzonych. Przykładowo restorealldisplaytabs.reg ma duble tego co już było wprowadzane pierwszym fiksem rejestru

To prawda, ale chyba z przemęczenia i sfrustrowania tym ciągiem zdarzeń [+ sprawy innej natury] czyniłem niektóre rzeczy bezmyślnie i nie starając się ich zrozumieć. Kiedy jeden fix nie pomógł odpalałem następny, nie patrząc co już szło i czym się różnią, a przy okazji [i dla oszczędności czasu] korzystałem z innych fixów i narzędzi jeśli tylko kojarzyło się z którymś bieżących problemów mniejszej wagi a o których zapomniałem na początku wspomnieć. Wiem że to bez sensu ale miałem nadzieję na szybką zmianę i coraz większe ciśnienie.

Po prostu z tego co kojarzę, to najpierw nie ruszały skrypty, więc starałem się odpalać pliki .reg lub inne. A kiedy spostrzegłem, że ponownie użyty [wcześniej bez powodzenia] skrypt nie zwraca błędu [jak reszta], to użyłem go znów lub innego który już nic nie wnosił. W dodatku zapominając pewnie o wcześniejszych próbach chyba się w tym trochę zagmatwałem. I przepraszam za swoje wstecznictwo.

 

KB290301

Wykonałem. Przeinstalowałem też Office'a [już to zrobiłem dwa dni wcześniej] ale teraz wydaje się być bez problemów, jak dotąd.

 

A jaki to ma mieć cel?

Nigdy nie używałem Movie Makera i nie byłem zainteresowany tą ''dziedziną'' [wolę kreatory muzyczne] No i nie chciałem trzymać zbędnych plików i wpisów [mam chyba z tym jakiś problem]. Jednak kiedy mu się przyjrzałem i chwilę nim pobawiłem - postanowiłem jeszcze zostawić na próbę. Przepraszam że zawracałem głowę.

Edit [1]: Dziś uznałem że jednak nie będzie mi potrzebny, a że wciąż byłem ciekaw czy to da się, poszukałem fiksa i poszło. Ostatnie czynności musiałem wykonać w trybie awaryjnym [odpalić wygenerowany plik .bat w C:\Windows] celem usunięcia pozostałości. I tu główny powód edycji: Przypomniałem sobie, że startując do awaryjnego ukazał się... ekran logowania: Administrator u góry i Bobix poniżej. Po raz pierwszy coś takiego widziałem u siebie na kompie.

Nie wiem dlaczego ale wybrałem konto Administrator i z jego poziomu uruchomiłem plik który skończył M.Makera. Został tylko pojedynczy folder w C:\Program Files który skasowałem z pomocą Unlockera. Kiedy sprawdziłem po pewnym czasie Program Files folderu nadal nie było, więc siłą rzeczy pliki [a zwłaszcza biblioteki] już się nie odnawiały.

Dałem restart i szybciutko [nie mogę się tym nacieszyć] uruchomił się windows, jak zwykle bez wyboru kont, haseł i domyślnie na Bobixa. Kilka kolejnych prób restartu w różnych odstępach czasu wskazywało, że nie wynikły raczej żadne problemy [przynajmniej widoczne] po ubiciu MM. Jedynie zauważyłem że wraca pojedynczy, pusty folder Makera w Program Files, i nawet po kasacji KillBoxem czy Unlockerem replikuje się w swoim miejscu po restarcie systemu [resztki na dyskach wyczyściły podobno CCleaner & jv16 i faktycznie - nic nie znalazły potem inne aplikacje ani systemowy szukacz]. Poza tym folderkiem-widmem wszystko jest w porządku.

Prawdopodobnie z tym zdarzeniem wiąże się to późniejsze [do edycji opisane jako jedyne]:

 

Kilka, może kilkanaście godzin później, kiedy skończyłem grę, wywołałem Menedżera Zadań ponieważ gra wydawała mi się troszkę leniwa [co było dziwne bo zawsze śmigała jak należy nawet przy kilku uruchomionych programach]. Tam zobaczyłem ze zdziwieniem że kilka procesów jest zdublowanych [te pamiętam na pewno a mam wrażenie że było ich więcej]:

 

2x winlogon.exe

2x explorer.exe

2x csrss.exe

2x services.exe

i dodatkowy [lub dwa] svchost.exe

 

Gdy po ok. 15 min. wróciłem do kompa i wygoniłem wygaszacz to zamiast pulpitu znowu zobaczyłem niebieski ekran z wyborem kont: Administrator i Bobix [znów ten <cenzura> Administrator].

Wybrałem konto Administrator z ciekawości ale też usiłowałem coś z tego zrozumieć. Ukazał się widok identyczny z wyglądem pulpitu [tapeta, dwie ikony i ich rozmieszczenie] w niedawno uruchamianym Trybie Awaryjnym, tyle że w nieco lepszej jakości obrazu [ale uboższej niż na domyślnym koncie] - jak gdyby ustawienia właściwości ekranu nie były optymalne lub bez wsparcia sterów grafiki.

BTW: Nie pamiętam czy to jest normalne, ale u mnie Tryb Awaryjny nie różni się praktycznie niczym od normalnego, przynajmniej w sensie graficznym - rozdzielczość, wygląd, głębia kolorów są takie same. Ale tylko na domyślnym koncie Bobixx - u Administratora wygląda to topornie, jak po zainstalowaniu czystego Windowsa [ale lepiej niż w 16 bitach].

Myślałem że pewnie stąd te zdublowane procesy, bo wyglądało to tak jakby oba konta były zalogowane naraz i w sumie mogłem się między nimi przechadzać [wyjątkiem jest zapewne sklonowany explorer.exe przez zahaczykowanie opcji Uruchom okna folderów w osobnych procesach].

W końcu wylogowałem Administratora i zrestartowałem system. Kiedy windows ruszył [i prawidłowo, automatycznie zalogował się na konto Bobixx - procesy znów były solo i jak do tej pory akcja nie powtórzyła się. Za to ikony pulpitu doznały po restarcie kolorowych pasków na podpisie i wyglądały jak w 16 bitach. Zaptaszkowanie opcji [i]Użyj cieni dla etykiet ikon... [/i]nic nie dało, zmiana jakości kolorów i przełączenie ich 32>16>32 bity też nic. W końcu we Właściwości Ekranu > Pulpit > Dostosuj pulpit w zakładce Sieć Web odhaczyłem Zablokuj elementy pulpitu i pomogło. Jeszcze tylko podczas restartu, po screenie Zamykanie systemu kiedy wskoczyło czarne tło i [zamiast jak zwykle szybko ruszać ze startem] jeszcze raz wskoczyła niebieska plansza Zamykanie systemu, powisiała trochę [ale trochę krócej niż do niedawna] i rozpoczął się prawidłowy start. To dziwactwo także ukazało się tylko raz, krótko po tym objawieniu z kontami. I - jak dotąd - nadal wszystko jest ok, przynajmniej pozornie.

Denerwuje mnie za to ten Administrator i jego konto.

-------------------------

Edit [2]: Przed chwilą Malwarebytes AM znalazł dwa takie same zagrożenia:

 

PUM.Hijack.StartMenu jako wpis w rejestrze. Skasowałem od razu ale ten wpis znaleziony był przez MBAM już drugi czy trzeci raz.

 

Edit [3]: Znowu MBAM coś wynalazł. Tym razem dzisiaj:

 

kurcze, wyczyściłem logi. ale spróbuje sobie przypomnieć, może jak zobaczę gdzieś tą nazwę. Wiem że jeden miał w nazwie RiskWare i wyrazy oddzielone kropkami. pewnie crack albo gen, nie zdążyłem się mu przyjrzeć jak kazałem go usunąć MBAM, a później wyczyściłem okresowo logi i kwarantannę. pochodził z archiwum z instalką gry którą dosyć dawno gdzieś ściągnąłem ale nie używałem. dziwne że go przeoczyłem bo sprawdzam dokładnie zawartość zassanych rzeczy i od dawna staram się zwracać uwagę na źródło pobierania [najlepiej home]. Jeszcze dziwniejsze, że program dopiero dzisiaj zareagował.

Odnośnik do komentarza
Przed chwilą Malwarebytes AM znalazł dwa takie same zagrożenia: PUM.Hijack.StartMenu jako wpis w rejestrze. Skasowałem od razu ale ten wpis znaleziony był przez MBAM już drugi czy trzeci raz.

 

PUM = Potentially Unwanted Modification = nie oznacza to wcale infekcji. W tym przypadku raczej jestem przekonana, że sam czynisz te "niepożądane modyfikacje", czyli coś wyłączasz z widoku Menu Start. MBAM ma planowane wykrywanie takich edycji i nie jest w stanie ocenić czego to jest pochodna. Przykłady:

 

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowRun (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Wyłączone z Menu Start pokazywanie Dokumentów i Uruchom. To może zrobić: użytkownik, tweaker lub infekcja (są takie).

 

 

Znowu MBAM coś wynalazł. Tym razem dzisiaj: kurcze, wyczyściłem logi. ale spróbuje sobie przypomnieć, może jak zobaczę gdzieś tą nazwę. Wiem że jeden miał w nazwie RiskWare i wyrazy oddzielone kropkami. pewnie crack albo gen, nie zdążyłem się mu przyjrzeć jak kazałem go usunąć MBAM, a później wyczyściłem okresowo logi i kwarantannę. pochodził z archiwum z instalką gry którą dosyć dawno gdzieś ściągnąłem ale nie używałem. dziwne że go przeoczyłem bo sprawdzam dokładnie zawartość zassanych rzeczy i od dawna staram się zwracać uwagę na źródło pobierania [najlepiej home]. Jeszcze dziwniejsze, że program dopiero dzisiaj zareagował.

 

Może definicje się uaktualniły, stąd program zaczął widzieć coś czego nie widział wcześniej. Nie ma z tego raportu, za dużo tu się nie wypowiem. Klasa zagrożenia to "Riskware", czyli przypuszczalnie program ocenia typ a nie budowę pliku. Keygeny czy cracki będą wykrywane w MBAM, niezależnie od tego czy robią krzywdę.

 

 

Wiem, jednak czytając tamte posty przypomniał mi się jeszcze jeden, wcześniejszy problem - brak możliwości deinstalacji niektórych programów w systemowym Dodaj i usuń programy [m.in. Avast, Foxit Reader, DivX coś tam [ale nie sterowniki], Nokia Suite, World Wide Telescope [od Microsoftu - z nim były największe problemy] i stery od starej empetrójki Grundig]. Czasem prawidłowy był przebieg deinstalacji [przynajmniej pozornie] ale czasem zostawały ikonki programów na liście a czasem też pliki w folderze aplikacji.

 

To trudno mi oceniać, nie jest mi znany szczegółowy przebieg procesu. Przynajmniej niektóre z wyliczonych to wspólny mianownik = oparcie o Instalator Windows. Z Office (opartym na tym) także był tu problem. W Dzienniku zdarzeń były błędy MsiInstaller. Ewentualnie mogłabym gdybać, że problemem była właśnie ta maszyna a nie sam aplet Dodaj/Usuń, ale to spekulacje. Poza tym, to co opisujesz nie poświadcza wcale jeszcze jawnego problemu z deinstalacjami, to się może zdarzyć, nawet programy deinstalujące się bez błędu potrafią pozostawić śmieci i nie jest to nic niezwykłego. Widziałam takich sytuacji masę na swoich komputerach, jakieś pozostawione luzem pliczki / foldery etc. Widzę też sporo tego w cudzych logach.

 

 

I tu główny powód edycji: Przypomniałem sobie, że startując do awaryjnego ukazał się... ekran logowania: Administrator u góry i Bobix poniżej. Po raz pierwszy coś takiego widziałem u siebie na kompie.

 

Mówiłam o tym, to konto widać domyślnie na każdym XP tylko z poziomu Trybu awaryjnego. Dodatkowym założeniem jest, że:

- Nie został ustawiony autologin konta użytkownika (wtedy, mimo że konto Administrator jest, nie ma szans go wybrać, bo autologowanie uniemożliwia wykaz na planszy).

- Użytkownik przy instalacji XP nie wybrał konta Administrator jako swojego konta. Takie przypadki (niestety) się zdarzają.

 

 

Denerwuje mnie za to ten Administrator i jego konto.

 

Widzę, że ten Administrator wprowadza Cię w błąd. Skoro tworzy aż tyle zamieszania, to konto możesz całkowicie wyłączyć. Dysponujesz XP Pro = akcja do przeprowadzenia wprost z GUI (na Home należałoby jechać przez CMD):

 

Start > Uruchom > lusrmgr.msc

 

Wybierasz gałąź Użytkownicy. Pojawi się spis wszystkich kont (w tym wbudowanych w system, więc nie tylko Administrator, inne dziwadła także). Dwuklik w Administratora i stawiasz ptaszek na deaktywacji konta. Po wyłączeniu konta dodatkowo możesz usunąć cały katalog "Administrator" z Documents and settings, symulując że konto się nigdy nie logowało. Konto wyłączone nie zgłosi się już na Ekranie powitalnym Trybu awaryjnego, nie zostanie zalogowane symultanicznie metodą "Szybkiego przełączania użytkowników", bo jest nieczynne. To także oznacza, że w podbramkowej sytuacji (typu: konto Bobixx kaput) nie będziesz mógł skorzystać z tego konta, by podjąć akcje naprawcze. Przynajmniej niebezpośrednio.... Przy niemożności wykonania tego spod Windows (np. degradacja uprawnień) włączyć konto z poziomu środowiska zewnętrznego się da, przez edycję pliku rejestru SAM (dla Vista/7 opisywałam ten przypadek: KLIK). Operacja już dość kozacka.

 

 

.

Odnośnik do komentarza
Wyłączone z Menu Start pokazywanie Dokumentów i Uruchom. To może zrobić: użytkownik, tweaker lub infekcja (są takie).

Nigdy nie wyłączałem [i nie zauważyłem by znikał] Uruchom z Menu Start bo bardzo często z tego korzystam. ??? Z Dokumentami za to bywało różnie.

 

to się może zdarzyć, nawet programy deinstalujące się bez błędu potrafią pozostawić śmieci i nie jest to nic niezwykłego.

Nieprecyzyjnie się wyraziłem. Miałem na myśli takie konkretne sytuacje:

- MS World Wide Telescope - deinstalacja [wizualnie] poszła dobrze [płynny do końca ruch paska postępu w oknie, info o pomyślnym zakończeniu, zalecany restart, po nim pusto w Dodaj i usuń... a ikona skrótu nie chce przenosić i płacze że nie może odnaleźć docelowego elementu. Ale folder programu w Program Files dalej zawierał większość plików i co dziwne - main.exe zdołał uruchomić program [bardzo okaleczony ale jednak]. Revo jak i inne deinstalery nie umiały tego odinstalować [a raczej nie miały z czego bo żaden nie znalazł pliku uninstall.exe, choć przed deinstalacją był]. W tym samym czasie podobną akcję miałem z Nokia Suite i Foxit Raider [ten drugi pozostawił ikonę w Dodaj i usuń... która nie chciała się skasować żadnym spec-programem i oporne pliki w C:\Windows\System32. Skasowałem je ręcznie po jakimś czasie bez problemów.

- Program Grundiga mogłem odinstalowywać w kółko i za każdym razem prawidłowo wyglądał proces. Ikona z apletu zniknęła po pierwszym razie a uruchamiałem go z pliku uninst.exe. Nie wymagał restartu i było to bez różnicy. Dał mu radę Revo, z jego pomocą wykosiłem też pliki programu które nie chciały się skasować podobnie jak biblioteki które wyrejestrowałem i usunąłem KillBoxem [na zawsze] też po pewnym czasie.

- Nero. Po niezbyt udanej [z błędami, niestety nie pamiętam już jakiego typu] próbie odinstalowania go zniknęła ikonka w Dodań i usuń... ale program pozostał. Dopiero Revo go ruszył i usunął. Ciekawe, że kiedy go znów zainstalowałem, ale zaraz potem zrezygnowałem na rzecz mniejszego dużo burnera, i deinstalowałem po kilku dniach - proces poszedł z Dodań i Usuń bezbłędnie i prawidłowo. Zostało sporo śmieci [ale folder główny z plikami programu zniknął], zresztą po tym gigancie czyściciele do dzisiaj znajdują jakiś plik czy klucz w rejestrze.

 

Wszystko to działo się mniej więcej w pewnym przedziale czasu. Wcześniej nie obserwowałem takich anomalii z tym apletem i dziś też wydaje się być ok. Niby używam alternatywnych rozwiązań ale wolę jak rzadko lub w ogóle nie używane programy działają [jeżeli nie można ich usunąć na stałe].

 

Mówiłam o tym, to konto widać domyślnie na każdym XP tylko z poziomu Trybu awaryjnego.

Wydawało mi się dotąd że tryb bezpieczny uruchamiał mi się zawsze na koncie użytkownika poza tymi dwoma razami ostatnio. Tak czy inaczej jednak zawsze startował automatycznie i nie pokazywał mi się wybór kont [tylko pytanie o potwierdzenie pozostania w trybie awaryjnym].

Nie został ustawiony autologin konta użytkownika (wtedy, mimo że konto Administrator jest, nie ma szans go wybrać, bo autologowanie uniemożliwia wykaz na planszy)

I tak wlaśnie zawsze miałem, bez względu na wybrany tryb okno z wyborem kont nie pojawiało się. Czy może mieć coś do rzeczy TweakUI? Jakiś czas się nim bawiłem w tym czasie [testowałem tą wersję tłumaczoną]. Przypomniałem sobie też, że ten problem z ikonami i ich opisami wystąpił krótko przed usunięciem go [na rzecz XP-AntiSpy] Niektóre zmiany nim dokonane [przeze mnie] pozostały do tej pory.

 

Denerwuje mnie za to ten Administrator i jego konto

Widzę, że ten Administrator wprowadza Cię w błąd

Niespecjalnie rozumiałem pojęcia z kontami związane [czytam o tym i zaczynam coś łapać pomału] zwłaszcza że zawsze logował się system do mojego [użytkownika], ale wtedy napisałem to z przekąsem pro vide Administrator. Mnie bardziej wkurzały te akcje z ujawnieniem się nagle konta Administrator i ekranu wyboru pomiędzy kontami [no i te podwójne procesy] niż sam fakt istnienia tyego konta.

 

to konto możesz całkowicie wyłączyć.

Jeżeli to oznacza niemożność startu do trybu awaryjnego to dam sobie z tym spokój, przynajmniej na razie.

 

W tym przypadku raczej jestem przekonana, że sam czynisz te "niepożądane modyfikacje", czyli coś wyłączasz z widoku Menu Start

To prawda, mam lekko przemodyfikowane Menu Start [manual - bez pomocy tweakerów]. Z tego miejsca wszystko startuje najszybciej. Teraz rozumiem o czym do mnie czasem mówiły niektóre programy sprzątająco-optymalizujące [wyrażenia: Menu Start2, Old/er Menu Start, etc]

 

sceeen.th.png

-------------------------------------------------

Keygeny czy cracki będą wykrywane w MBAM, niezależnie od tego czy robią krzywdę

O tym wiem, czytałem na forum MBAM przy okazji szukania info o Riskware [nie używam tego od dawna, komputer zdrowiej wychodzi na wersjach free item portable, nie wspominając o morale : ) ]. Ale przypomniałem sobie przy okazji tej kwestii, że nazwa tego drugiego zagrożenia które namierzył MBAM była ponoć stworzona i używana tylko przez twórców tego programu, ale też powodem afery kręconej firmie IObyte przez MBAM o kradzież baz danych, w której koronnym dowodem jest właśnie użycie przez IObyte tej wyjątkowej nazwy, jako że nie mogli jej wcześniej znać].

 

Chciałem napisać o tym zagrożeniu informacyjnie i dla większej dokładności opisywanego stanu systemu. Ale rozumiem że nic poważnego się nie dzieje przynajmniej w sferze malwares teraz.

Zainstaluję też antywirusa, zapomniałem o nim przez ten czas, ale czekałem na pewność, że wszystko jest już w porządku i że nie będzie niespodzianek. [Wspomagałem się w tym czasie MBAM, SAS, AVZ etc. a z sieci korzystałem ile musiałem]. Pozostało jeszcze generalne sprzątanie, defragmentacja itp. Parę mini-problemów też by się jeszcze znalazło ale tak można by constans, a tak może sam dojdę to paru rzeczy, naprawię coś i się czegoś nauczę.

 

Dla pewności jednak poczekam na ostatnie słowo eksperta w tym temacie, ewentualnie jakieś uwagi czy zalecenia.

Odnośnik do komentarza
Nigdy nie wyłączałem [i nie zauważyłem by znikał] Uruchom z Menu Start bo bardzo często z tego korzystam. ??? Z Dokumentami za to bywało różnie.

 

Podałam przykłady na PUM.Hijack.StartMenu. Poniżej wyniki z mojego wirtualnego systemu co pokazuje MBAM po wyłączeniu wszystkiego co możliwe w samych opcjach Menu (nie liczę polis blokujących np. pokazywanie Wyloguj - to też będzie wykryte). Przy czym: te wyniki tylko wtedy się zgłaszają przy pełnym skanie, gdy w opcjach skanera jest zaznaczona funkcja "Scan additional items against heuristics" + "Action for potentially unwanted modifications (PUM)" jest ustawione na "Show in results list...".

 

Registry Data Items Infected:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowControlPanel (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowRun (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

Nie podałeś co konkretnie Ci się wtedy pokazało, ale to powinno być związane z wyłączaniem obiektów w widoku Menu Start.

 

 

Jeżeli to oznacza niemożność startu do trybu awaryjnego to dam sobie z tym spokój, przynajmniej na razie.

 

Nieporozumienie. Administrator nie ma nic do rzeczy w kwestii niemożności startu do Trybu awaryjnego (do tego trybu można się logować dopóki istnieje choć jedno konto użytkownika). Punktowałam co innego: obecność jednego samotnego konta w systemie. Przy jego defekcie, nie masz konta serwisowego, które ewentualnie można zastosować do ratowania się.

 

 

I tak wlaśnie zawsze miałem, bez względu na wybrany tryb okno z wyborem kont nie pojawiało się. Czy może mieć coś do rzeczy TweakUI? Jakiś czas się nim bawiłem w tym czasie [testowałem tą wersję tłumaczoną]. Przypomniałem sobie też, że ten problem z ikonami i ich opisami wystąpił krótko przed usunięciem go [na rzecz XP-AntiSpy] Niektóre zmiany nim dokonane [przeze mnie] pozostały do tej pory.

 

Z pewnością miałeś autologowanie swojego konta ustawione, stąd Administrator (mimo że obecny), nie był pokazywany. Przestawienie autologowania via TweakUI = możliwe. TweakUI ma tę opcję sterowania autologowaniem (oraz odkrycie Administratora na Ekranie powitalnym Trybu normalnego):

 

tweakuilogon1.th.png tweakuilogon2.th.png

 

Skoro używałeś tego tweakera, to i inne rzeczy także mogą być wynikową zatwierdzenia zmian np. wyłączenie określonych obiektów z Menu Start.

 

 


OK, czyli podsumowanie: kilka dziwnych zjawisk dało się tu wyjaśnić, zamykanie systemu naprawione (zlikwidowane errory WU), atrybuty plików systemowych przywrócone, błędy Office naprawione, niemożność uruchomienia VBS naprawiona, karty we Właściwościach ekranu przywrócone. Zostało jeszcze powolne inicjowanie się otwierania folderów / plików po restarcie, ale jak mówiłam, na to nie mam dostatecznie dobrego pomysłu (aczkolwiek .... zastanowił mnie SUPERAntispyware widziany w pierwszych logach). Temat mocno odbiegł merytoryką od działu, tzn. nie zostało wykryte żadne prawdziwe malware, więc zostanie przeniesiony do sekcji XP.

 

 

.

Odnośnik do komentarza

Witam.

Zastanawiałem się czy leciwe składniki maszyny i 512 MB ramu też mogą stanowić przyczyny lenistwa systemu.

Brak rozwoju i inwestycji w nowszy osprzęt do stacjonarnego zabytku na rzecz mobilnego komputera powoduje, że staram się o niego dbać, gdyż wciąż jeszcze się przydaje.

 

obecność jednego samotnego konta w systemie. Przy jego defekcie, nie masz konta serwisowego, które ewentualnie można zastosować do ratowania się

Zatem pozostawiam jak jest. Przeżyję.

 

podsumowanie: kilka dziwnych zjawisk dało się tu wyjaśnić, zamykanie systemu naprawione (zlikwidowane errory WU), atrybuty plików systemowych przywrócone, błędy Office naprawione, niemożność uruchomienia VBS naprawiona, karty we Właściwościach ekranu przywrócone.

To więcej rozwiązań niż przewidywałem otrzymać a do niedawna nie uwierzyłbym, że system jeszcze tak zaszaleje : ) W dodatku mam też pewność, że to nie wina szkodników.

Ad Wolne otwieranie folderów... jeżeli dobrze zrozumiałem: dla testu odinstalowałem SUPERAntiSpyware. Posprzątałem po nim i w ogóle ale nie zauważyłem różnicy. Wstawiłem SAS wersję portable ale coś mu nie pasowało bo wciąż się zwieszał, więc wywaliłem i ją. Chyba na ponów zainstaluję nomen omen instalacyjną wersję bo to przydatny program jest, a skoro nie widać różnicy... To tak informacyjnie, poza tym one problem - no problem. Poszukam przyczyny, poczytam tu i tam a może dojdę do tego sam, zresztą upieranie się przy jednym problemie byłoby roszczeniowe.

 

Tym samym, za wszelką pomoc w spektrum zdarzeń i czas nań poświęcony - serdecznie dziękuję i pozdrawiam !!

Szacunek Ludziom Dobrej Woli

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...