Skocz do zawartości

Długie uruchamianie i zamykanie systemu


Rekomendowane odpowiedzi

Witam,

Ostatnio walczyłem z chińskim tabletem i nazbierało mi się trochę syfu, który wydaje mi się że spowodował spowolnienie pracy systemu.

Uruchamianie i zamykanie zawsze przebiegało płynnie i bezproblemowo natomiast teraz zajmuje to trochę więcej czasu.

Przykładowo wczoraj zamykanie systemu trwało ok. 5min

Do przeglądarki przyczepiły się jakieś dziwne cuda, ale udało mi się ich pozbyć - przynajmniej tak mi się wydaje.

 

Prosiłbym o sprawdzenie logów, bo nie podoba mi się obecny stan pracy systemu. 

 

Z góry dziękuję za pomoc. 

 

Logi uzupełnione. 

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Po inwazji prawie nic widocznego nie zostało, jedno martwe zadanie w Harmonogramie i jeden martwy wpis w folderze Autostart oraz odpadki po tych chińskich softach do ROMów, co nie powinno mieć wpływu na start i zamykanie systemu. O wiele większe podejrzenia budzi matactwo aktywacji i aktywnie ładowane komponenty cracka KMS-R@1n.exe, który startuje z trzech miejsc i wykonuje na dodatek jakieś niesprecyzowane komendy wmi. Crack ten generuje zresztą te błędy w Dzienniku zdarzeń:

 

Dziennik Aplikacja:

==================

Error: (05/01/2016 03:52:58 PM) (Source: Software Protection Platform Service) (EventID: 8198) (User: )

Description: Aktywacja licencji (slui.exe) nie powiodła się, kod błędu:

hr=0xC004F074

Argumenty wiersza polecenia:

RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=73111121-5638-40f6-bc11-f1d7b0d64300;NotificationInterval=1440;Trigger=UserLogon;SessionId=1

 

Error: (05/01/2016 03:52:50 PM) (Source: Software Protection Platform Service) (EventID: 8198) (User: )

Description: Aktywacja licencji (slui.exe) nie powiodła się, kod błędu:

hr=0xC004F074

Argumenty wiersza polecenia:

RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=73111121-5638-40f6-bc11-f1d7b0d64300;NotificationInterval=1440;Trigger=NetworkAvailable

 

Czyli tu moim zdaniem trzeba zacząć od zdjęcia tego cracka. Oczywiście te szczątki chińskich softów i inne też zostaną zaadresowane, ale nie wygląda, by one miały jakiś wpływ na stan obecny. Wstępnie:

 

1. Użyj deinstalator tego cracka, o ile posiadasz go i o ile crack ma taką opcję. Widoczne komponenty i tak zaadresuje poniższy skrypt do FRST.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 KMS-R@1n; C:\Windows\KMS-R@1n.exe [26112 2016-03-24] () [brak podpisu cyfrowego]
IFEO\OSppSvc.exe: [Debugger] KMS-R@1nhook.exe
IFEO\SppExtComObj.exe: [Debugger] KMS-R@1nhook.exe
Task: {4DF3E139-6CF9-4742-BC55-8C30534C7E6E} - System32\Tasks\R@1n-KMS\Windows64Enterprise => wmic
Task: {AC398040-3632-4C2B-A2F3-F214370E30A5} - System32\Tasks\Holuge System => Rundll32.exe "C:\Program Files (x86)\Holuge\hlgSystem.dll",w 
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\R@1n-KMS
Startup: C:\Users\Arek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FZOCgcQLiOBfgSCUICF.lnk [2016-02-29]
FirewallRules: [{773913B0-C635-4130-B227-040210A35F0B}] => (Allow) C:\Windows\KMS-R@1n.exe
FirewallRules: [{DFD26E62-6C08-4E33-ABA6-BD6178C6C10B}] => (Allow) C:\Windows\KMS-R@1n.exe
FirewallRules: [{5AE5CF19-21FF-4D25-9136-366400050415}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\131\tencentdl.exe
FirewallRules: [{E0426F55-1962-4DD4-80B7-37C6505D2EFC}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\131\bugreport_xf.exe
GroupPolicyScripts: Ograniczenia 
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-1585059127-2730434103-678098393-1002\...\Run: [GmailNotifierPro] => C:\Program Files (x86)\Gmail Notifier Pro\GmailNotifierPro.exe /minimized
FF DefaultSearchEngine: hohosearch
FF SelectedSearchEngine: hohosearch
C:\Flashtool
C:\Program Files (x86)\Holuge
C:\Program Files (x86)\iRoot
C:\Program Files (x86)\Kingo ROOT
C:\Program Files (x86)\ROMasterLab
C:\Program Files (x86)\PdaNet for Android
C:\ProgramData\Tencent
C:\Users\Arek\.android
C:\Users\Arek\.flashTool
C:\Users\Arek\.swt
C:\Users\Arek\AppData\Local\AWSToolkit
C:\Users\Arek\AppData\Local\Kingosoft
C:\Users\Arek\AppData\Local\oneClickRoot
C:\Users\Arek\AppData\Roaming\FZOCgcQLiOBfgSCUICF.au3
C:\Users\Arek\AppData\Roaming\KLgeFYabEfiGVZUIg
C:\Users\Arek\AppData\Roaming\Kingosoft
C:\Users\Arek\AppData\Roaming\mgyun
C:\Users\Arek\AppData\Roaming\One Click Root
C:\Users\Arek\AppData\Roaming\Tencent
C:\Users\Arek\AppData\Roaming\zhuodashi
C:\Users\Arek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ˢ»úרĽŇ(׿´óʦ).lnk
C:\Users\Arek\Desktop\Vedia x55\*.lnk
C:\Users\Arek\Downloads\zds_setup_OPDA.exe
C:\Users\Public\Documents\dmp
C:\Windows\KMS-R@1n.exe
C:\WINDOWS\system32\Drivers\pneteth.sys
C:\Windows\System32\Tasks\R@1n-KMS
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "PdaNet Desktop.lnk" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v GoogleChromeAutoLaunch_0A01E58E7C4A04A5C96F62A2ABF82ADB /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v GmailNotifierPro /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v AdobeCEPServiceManager /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8

 

Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition. Dołącz też plik fixlog.txt. Wypowiedz się czy są pozytywne zmiany.

Odnośnik do komentarza

Dzięki za szybką odpowiedź. 

 

Niestety nie znalazłem opcji odinstalowania tego cracka.

Jeśli chodzi o czas uruchamiania i zamykania systemu, to jest znacznie lepiej. Przy uruchamianiu trochę jeszcze myśli, ale sprzęt do najmłodszych nie należy i mam już w planach modernizację. 

Teraz mam przynajmniej pewność, że nic poważniejszego w logach nie widać. 

 

Załączam jeszcze logi po wykonaniu skryptu. 

Addition.txt

Fixlog.txt

FRST.txt

Shortcut.txt

Odnośnik do komentarza

Nie wiem jakim cudem może być "znacznie lepiej", skoro skrypt nic nie wykonał i żaden obiekt nie został usunięty. Proszę otwórz plik Fixlog i porównaj z Fixlist zadanym przeze mnie. Nie wiem w jaki sposób przeklejałeś skrypt z posta do Notatnika, ale zniszczyłeś formatowanie skryptu - wyzerowałeś wszystkie znaki specjalne (slesze i dwukropki), w rezultacie żadne z wejść nie zostało przetworzone. Powtarzaj punkty 2 i 3 z poprzedniej instrukcji.

Odnośnik do komentarza

Przepraszam, drobne przeoczenie z mojej strony, rzeczywiście mogło się polepszyć po poprzedniej nieudanej rundzie, bo jedyny wpis który FRST przetworzył to poniższy od cracka:

 

KMS-R@1n => serwis pomyślnie usunięto

 

Tak więc to dowód, że crack mieszał. A w tym podejściu wszystko zrobione. W związku z likwidacją cracka mam pytanie: jak wygląda teraz stan aktywacji systemu?

 

I mini poprawka. Otwórz Notatnik i wklej w nim:

 

S3 pneteth; \SystemRoot\System32\drivers\pneteth.sys [X]
RemoveDirectory: C:\FRST\Quarantine

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix).

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...