mallach Opublikowano 30 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 30 Kwietnia 2016 Witam. Po zainstalowaniu i przeskanowaniu programem z tematu, niestety muszę się przyznać do wielkiej głupoty z mojej strony, że usunąłem ręcznie kilka wpisów z rejestru i efekt taki, że komputer nie chce się uruchomić. Dochodzi do ekranu z napisem Microsoft Windows i koniec. W trybie awaryjnym jest to samo. Uruchomiłem środowisko WinRE a następnie Farbar Recovery Scan Tool. W załączniku jest wygenerowany log. Bardzo proszę o sprawdzenie, czy jest szansa na powstanie systemu, za co z góry dziękuję. W załączniku dodałem także log ze skanowania z SpyHuntera. FRST.txt scanlog.txt Odnośnik do komentarza
picasso Opublikowano 1 Maja 2016 Zgłoś Udostępnij Opublikowano 1 Maja 2016 mallach, nie wiadomo co konkretnie zostało uszkodzone w rejestrze, bo raport SpyHunter może nie odpowiadać temu co rzeczywiście usunięto. W raporcie FRST są tylko pośrednie ślady, że conajmniej rozwalono klasy Windows, niestety FRST ogranicza skan tylko do wybranych punktów i owe odczyty nie dają informacji jak daleko posunięto się w tym obszarze oraz co jeszcze zmalowano w innej partii rejestru. Opisywane objawy sugerują, że naruszone jest więcej niż klasy, bo "Microsoft Windows" to ekran ładowania sterowników. Tu wypadałoby przywrócić poprzednią postać rejestru, tylko ciężka sprawa z kopiami zapasowymi. System nie ma w ogóle punktów Przywracania systemu, ani żadnych znaków, że zrobiono dodatkową kopię jakimś narzędziem. W tej sytuacji jedyna możliwość to przywrócenie fabrycznego rejestru (o ile w ogóle istnieje) z folderu Repair pozbawionego jakichkolwiek wtórnych instalacji. Na dysku widać jakąś kombinację z plikiem rejestru SYSTEM, replika z suffiksem "old". Czy wiesz w jaki sposób ten plik został wygenerowany? Czy data jego utworzenia to już czas po uszkodzeniu systemu? 2016-04-29 00:10 - 2012-10-31 04:06 - 19660800 _____ C:\Windows\System32\config\systemold Na początek podaj mi spis plików rejestru. Przygotuj w Notatniku plik o treści: Folder: C:\Windows\Repair Folder: C:\Windows\system32\config Zapisz pod nazwą fixlist.txt tam skąd uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
mallach Opublikowano 1 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 1 Maja 2016 Odnośnie pliku systemold to został on przeze mnie utworzony już po uszkodzeniu systemu jako kopia. Dysk podłączyłem pod inny komputer i podpiąłem gałęzie rejestru znajdujące się w tym pliku do edytora rejestru komputera do którego podłączyłem dysk, aby usunąć wpis uruchamiający SpyHunter z klucza HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, mając niewielką nadzieje, że to coś pomoże, tonący brzytwy się chwyta. Nic więcej nie zmieniałem w rejestrze od momentu uszkodzenia systemu. Z fixloga wynika, że w katlogu C:\Windows\Repair jest kopia rejestru ze stycznia 2016, utworzona przez system, bo ja nie przypominam sobie bym tworzył. Punktów przywracania nie ma bo sam je wyłączyłem, bo bardzo dużo wirusów w tym katalogu umiejscawiało się. Pozwoliłem sobie na dołączenie loga z rejestrowanego trybu uruchamiania. Może w nim jest wskazówka dlaczego system padł. Fixlog.txt ntbtlog.txt Odnośnik do komentarza
picasso Opublikowano 1 Maja 2016 Zgłoś Udostępnij Opublikowano 1 Maja 2016 Log ntbtlog.txt nie daje żadnych wskazówek. W wykazie plików rejestru jest znak, że jedyny plik który na pewno podlegał modyfikacji, to plik SYSTEM (ma świeżą datę, pozostałe starą), ale to może być wynik Twoich późniejszych manipulacji z montowaniem. Spróbuj więc podstawić kopie SOFTWARE + SYSTEM z Repair i zobaczymy co z tego wyniknie. Tylko jak mówiłam, to "czysta" kopia, nie uwzględnia zainstalowanych później programów i mogą być duże rozbieżności. 1. Przygotuj skrypt do FRST. Do Notatnika wklej: CMD: ren C:\Windows\system32\config\software software.old CMD: ren C:\Windows\system32\config\system system.old CMD: copy /y C:\Windows\Repair\software C:\Windows\system32\config\software CMD: copy /y C:\Windows\Repair\system C:\Windows\system32\config\system Zapisz jako fixlist.txt tam skąd uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Spróbuj wejść do systemu. Jeśli się uda, zrób logi FRST spod Windows: KLIK. Odnośnik do komentarza
mallach Opublikowano 2 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 2 Maja 2016 1. Niestety skrypt wyrzucił błędy, szczegóły w logu. 2. Oczywiście uruchomić system się nie udało, ale te dwa pliki - system i software podmieniłem ręcznie i system wstał. Logi z FRST w załącznikach. Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 3 Maja 2016 Zgłoś Udostępnij Opublikowano 3 Maja 2016 Miałam pełne zaćmienie umysłu. Oczywiście "proces w użyciu", ponieważ jest to konsekwencja uruchomienia FRST (i to bez podejmowania w nim żadnych czynności). Uruchomienie FRST automatycznie montuje pliki SOFTWARE i SYSTEM w rejestrze RE, by FRST mógł je przeskanować. Problem "w użyciu" wystąpi zawsze, gdy zostanie uruchomiony FRST, niezależnie od tego czy zamiana plików jest robiona skryptem FRST czy "z palca". Sprawę już wydedukowałeś. Ten rejestr z Repair, pomimo że powinien być w stanie "czystym", jednak zawiera różne wtórne instalacje, więc ubytków zbyt dużych nie powinieneś notować. Ale notowalna rozbieżność wersji Internet Explorer: FRST wykrywa jako bieżącą wersję archaiczny IE6, przy czym na liście zainstalowanych pozycja "Windows Internet Explorer 8". Poza tym, widać tu błąd charakterystyczny dla naruszonego repozytorium WMI i repozytorium będzie resetowane: Dziennik Aplikacja: ================== Error: (05/02/2016 04:16:44 PM) (Source: SecurityCenter) (EventID: 1802) (User: ) Description: Usługa Centrum zabezpieczeń systemu Windows nie może ustanowić kwerend zdarzeń z WMI, aby monitorować zaporę i program antywirusowy innej firmy. Zapomniałam wcześniej zapytać jaki był powód uruchamiania SpyHunter, tzn. czy podejrzewałeś jakąś infekcję? W podanych raportach brak oznak czynnej infekcji, widać odpadki po starych adware (adware PriceMInuus w Firefox, ślady po Google Chrome typu "dev" i jakieś inne drobnostki) oraz szczątki SpyHuntera. Możesz więc sobie doczyścić różne wpisy śmieciowe / puste. Akcje do wdrożenia: 1. W Firefox w menedżerze dodatków wymontuj adware PriceMInuus. 2. Odinstaluj stare wersje, zbędne programy i naruszony IE: Adobe AIR, Adobe Flash Player 20 ActiveX, Adobe Flash Player 20 NPAPI, Adobe Flash Player 20 PPAPI, Adobe Shockwave Player 12.0, AVG Security Toolbar, Google Talk Plugin (już nie działa i jest też uszkodzony), Java 7 Update 51, Java SE Development Kit 7 Update 21, Opera 12.17, Windows Internet Explorer 8. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicyScripts: Ograniczenia GroupPolicyScripts\User: Ograniczenia Task: C:\WINDOWS\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\WINDOWS\TEMP\{9554DDB6-5D5F-439B-B464-1CA5742166B3}.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-117609710-854245398-725345543-1003Core.job => C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-117609710-854245398-725345543-1003UA.job => C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe S2 Apache2.2; "C:\xampp\apache\bin\httpd.exe" -k runservice [X] S3 AvgAMPS; "C:\Program Files\AVG\Av\avgamps.exe" [X] S0 BMLoad; system32\drivers\BMLoad.sys [X] HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k HKLM\...\Run: [iSkysoft Helper Compact.exe] => C:\Program Files\Common Files\iSkysoft\iSkysoft Helper Compact\ISHelper.exe [1667072 2012-02-28] (iSkySoft) HKU\S-1-5-21-117609710-854245398-725345543-1003\...\Run: [LightShot] => C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Skillbrains\lightshot\Lightshot.exe Toolbar: HKU\S-1-5-21-117609710-854245398-725345543-1003 -> Brak nazwy - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - Brak pliku DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Update DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox\Extensions DeleteKey: HKLM\SOFTWARE\MozillaPlugins C:\Documents and Settings\admin\Dane aplikacji\LiveSupport.exe_log.txt C:\Documents and Settings\admin\Dane aplikacji\regsvr32.exe_log.txt C:\Documents and Settings\admin\Dane aplikacji\Enigma Software Group C:\Documents and Settings\admin\Pulpit\SpyHunter-Installer.exe C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\uninstall.html C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\updater.log C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\UserProducts.xml C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Program Files\Mozilla Firefoxavg-secure-search.xml C:\Program Files\Enigma Software Group C:\Program Files\Mozilla Firefox\plugins C:\Program Files\Common Files\iSkysoft C:\sh4ldr C:\WINDOWS\system32\Drivers\EsgScanner.sys CMD: netsh firewall reset CMD: rundll32 wbemupgd, UpgradeRepository EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zainstaluj IE8 i nowe wersje Adobe Flash oraz zaktualizuj Adobe Reader. Instalatory w przyklejonym: KLIK. 5. Wyczyść Dzienniki zdarzeń: Start > Uruchom > eventvwr.msc i opróżnij z prawokliku gałęzie Aplikacja i System. Zresetuj system, by nagrały się nowe rekordy. 6. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition oraz Shortcut którego poprzednio zabrakło. Dołącz też plik fixlog.txt. Odnośnik do komentarza
mallach Opublikowano 4 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 4 Maja 2016 Trochę zeszło mi na uporządkowaniu i doprowadzeniu do porządku. Starałem się skrupulatnie wykonać wszystkie procedury. Laptop działa w porządku, przyspieszył, choć pewne problemy z oprogramowaniem będą wychodzić w "praniu". Będę wdzięczny za analizę załączonych logów i całą pomoc w rozwiązaniu problemu. Wielkie dzięki picasso. Addition.txt Fixlog.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 5 Maja 2016 Zgłoś Udostępnij Opublikowano 5 Maja 2016 (edytowane) Prawie wszystko zrobione (w tym wersja IE uzgodniona i po resecie repozytorium nie pojawił się już błąd WMI w Dzienniku), z wyjątkiem: 1. W Firefox nadal widzę adware PriceMInuus. On siedzi w drugim profilu Firefox "tzd2h352.Tomek". Zamknij Firefox. Start > Uruchom > wklej "C:\Program Files\Mozilla Firefox\firefox.exe" -p i w menedżerze profilów usuń ten profil z dysku. 2. Nadal stoi stara wersja Adobe Reader 11.0.00. Z przyklejonego trzeba domontować dwie łaty podbijające do wersji 11.0.15. Montaż ręczny powinien się udać na XP, to automatyczna aktualizacja blokuje instalację do wersji "08". Zapomniałam też podać do deinstalacji bardzo stary Real Alternative 2.0.2. 3. W pliku Shortcut rekordy "brak pliku". Otwórz ten plik w Notatniku i na podstawie wyszukiwania tej frazy ręcznie pousuwaj elementy z dysku. A programy które przestały działać po zrzuceniu wcześniejszej postaci rejestru trzeba przeinstalować. Edytowane 7 Czerwca 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi