Skocz do zawartości

Długie uruchamianie i zamykanie systemu


Rekomendowane odpowiedzi

Witam,

Ostatnio walczyłem z chińskim tabletem i nazbierało mi się trochę syfu, który wydaje mi się że spowodował spowolnienie pracy systemu.

Uruchamianie i zamykanie zawsze przebiegało płynnie i bezproblemowo natomiast teraz zajmuje to trochę więcej czasu.

Przykładowo wczoraj zamykanie systemu trwało ok. 5min

Do przeglądarki przyczepiły się jakieś dziwne cuda, ale udało mi się ich pozbyć - przynajmniej tak mi się wydaje.

 

Prosiłbym o sprawdzenie logów, bo nie podoba mi się obecny stan pracy systemu. 

 

Z góry dziękuję za pomoc. 

 

Logi uzupełnione. 

Addition.txtPobieranie informacji ...

FRST.txtPobieranie informacji ...

Shortcut.txtPobieranie informacji ...

GMER.txtPobieranie informacji ...

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Po inwazji prawie nic widocznego nie zostało, jedno martwe zadanie w Harmonogramie i jeden martwy wpis w folderze Autostart oraz odpadki po tych chińskich softach do ROMów, co nie powinno mieć wpływu na start i zamykanie systemu. O wiele większe podejrzenia budzi matactwo aktywacji i aktywnie ładowane komponenty cracka KMS-R@1n.exe, który startuje z trzech miejsc i wykonuje na dodatek jakieś niesprecyzowane komendy wmi. Crack ten generuje zresztą te błędy w Dzienniku zdarzeń:

 

Dziennik Aplikacja:

==================

Error: (05/01/2016 03:52:58 PM) (Source: Software Protection Platform Service) (EventID: 8198) (User: )

Description: Aktywacja licencji (slui.exe) nie powiodła się, kod błędu:

hr=0xC004F074

Argumenty wiersza polecenia:

RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=73111121-5638-40f6-bc11-f1d7b0d64300;NotificationInterval=1440;Trigger=UserLogon;SessionId=1

 

Error: (05/01/2016 03:52:50 PM) (Source: Software Protection Platform Service) (EventID: 8198) (User: )

Description: Aktywacja licencji (slui.exe) nie powiodła się, kod błędu:

hr=0xC004F074

Argumenty wiersza polecenia:

RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=73111121-5638-40f6-bc11-f1d7b0d64300;NotificationInterval=1440;Trigger=NetworkAvailable

 

Czyli tu moim zdaniem trzeba zacząć od zdjęcia tego cracka. Oczywiście te szczątki chińskich softów i inne też zostaną zaadresowane, ale nie wygląda, by one miały jakiś wpływ na stan obecny. Wstępnie:

 

1. Użyj deinstalator tego cracka, o ile posiadasz go i o ile crack ma taką opcję. Widoczne komponenty i tak zaadresuje poniższy skrypt do FRST.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 KMS-R@1n; C:\Windows\KMS-R@1n.exe [26112 2016-03-24] () [brak podpisu cyfrowego]
IFEO\OSppSvc.exe: [Debugger] KMS-R@1nhook.exe
IFEO\SppExtComObj.exe: [Debugger] KMS-R@1nhook.exe
Task: {4DF3E139-6CF9-4742-BC55-8C30534C7E6E} - System32\Tasks\R@1n-KMS\Windows64Enterprise => wmic
Task: {AC398040-3632-4C2B-A2F3-F214370E30A5} - System32\Tasks\Holuge System => Rundll32.exe "C:\Program Files (x86)\Holuge\hlgSystem.dll",w 
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\R@1n-KMS
Startup: C:\Users\Arek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FZOCgcQLiOBfgSCUICF.lnk [2016-02-29]
FirewallRules: [{773913B0-C635-4130-B227-040210A35F0B}] => (Allow) C:\Windows\KMS-R@1n.exe
FirewallRules: [{DFD26E62-6C08-4E33-ABA6-BD6178C6C10B}] => (Allow) C:\Windows\KMS-R@1n.exe
FirewallRules: [{5AE5CF19-21FF-4D25-9136-366400050415}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\131\tencentdl.exe
FirewallRules: [{E0426F55-1962-4DD4-80B7-37C6505D2EFC}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\131\bugreport_xf.exe
GroupPolicyScripts: Ograniczenia 
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-1585059127-2730434103-678098393-1002\...\Run: [GmailNotifierPro] => C:\Program Files (x86)\Gmail Notifier Pro\GmailNotifierPro.exe /minimized
FF DefaultSearchEngine: hohosearch
FF SelectedSearchEngine: hohosearch
C:\Flashtool
C:\Program Files (x86)\Holuge
C:\Program Files (x86)\iRoot
C:\Program Files (x86)\Kingo ROOT
C:\Program Files (x86)\ROMasterLab
C:\Program Files (x86)\PdaNet for Android
C:\ProgramData\Tencent
C:\Users\Arek\.android
C:\Users\Arek\.flashTool
C:\Users\Arek\.swt
C:\Users\Arek\AppData\Local\AWSToolkit
C:\Users\Arek\AppData\Local\Kingosoft
C:\Users\Arek\AppData\Local\oneClickRoot
C:\Users\Arek\AppData\Roaming\FZOCgcQLiOBfgSCUICF.au3
C:\Users\Arek\AppData\Roaming\KLgeFYabEfiGVZUIg
C:\Users\Arek\AppData\Roaming\Kingosoft
C:\Users\Arek\AppData\Roaming\mgyun
C:\Users\Arek\AppData\Roaming\One Click Root
C:\Users\Arek\AppData\Roaming\Tencent
C:\Users\Arek\AppData\Roaming\zhuodashi
C:\Users\Arek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ˢ»úרĽŇ(׿´óʦ).lnk
C:\Users\Arek\Desktop\Vedia x55\*.lnk
C:\Users\Arek\Downloads\zds_setup_OPDA.exe
C:\Users\Public\Documents\dmp
C:\Windows\KMS-R@1n.exe
C:\WINDOWS\system32\Drivers\pneteth.sys
C:\Windows\System32\Tasks\R@1n-KMS
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "PdaNet Desktop.lnk" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v GoogleChromeAutoLaunch_0A01E58E7C4A04A5C96F62A2ABF82ADB /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v GmailNotifierPro /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v AdobeCEPServiceManager /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8

 

Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition. Dołącz też plik fixlog.txt. Wypowiedz się czy są pozytywne zmiany.

Odnośnik do komentarza

Dzięki za szybką odpowiedź. 

 

Niestety nie znalazłem opcji odinstalowania tego cracka.

Jeśli chodzi o czas uruchamiania i zamykania systemu, to jest znacznie lepiej. Przy uruchamianiu trochę jeszcze myśli, ale sprzęt do najmłodszych nie należy i mam już w planach modernizację. 

Teraz mam przynajmniej pewność, że nic poważniejszego w logach nie widać. 

 

Załączam jeszcze logi po wykonaniu skryptu. 

Addition.txtPobieranie informacji ...

Fixlog.txtPobieranie informacji ...

FRST.txtPobieranie informacji ...

Shortcut.txtPobieranie informacji ...

Odnośnik do komentarza

Nie wiem jakim cudem może być "znacznie lepiej", skoro skrypt nic nie wykonał i żaden obiekt nie został usunięty. Proszę otwórz plik Fixlog i porównaj z Fixlist zadanym przeze mnie. Nie wiem w jaki sposób przeklejałeś skrypt z posta do Notatnika, ale zniszczyłeś formatowanie skryptu - wyzerowałeś wszystkie znaki specjalne (slesze i dwukropki), w rezultacie żadne z wejść nie zostało przetworzone. Powtarzaj punkty 2 i 3 z poprzedniej instrukcji.

Odnośnik do komentarza

Rzeczywiście skrypt nie został wykonany.

Skoro zauważyłem poprawę, to może dopiero po dłuższej pracy ma problemy z wyłączeniem systemu, bo przy kilku krotnym uruchom ponownie nie było tragicznie. 

 

Teraz dopiero skrypt został wykonany i przesyłam jeszcze raz logi po wykonaniu skryptu.

Addition.txtPobieranie informacji ...

Fixlog.txtPobieranie informacji ...

FRST.txtPobieranie informacji ...

Shortcut.txtPobieranie informacji ...

Odnośnik do komentarza

Przepraszam, drobne przeoczenie z mojej strony, rzeczywiście mogło się polepszyć po poprzedniej nieudanej rundzie, bo jedyny wpis który FRST przetworzył to poniższy od cracka:

 

KMS-R@1n => serwis pomyślnie usunięto

 

Tak więc to dowód, że crack mieszał. A w tym podejściu wszystko zrobione. W związku z likwidacją cracka mam pytanie: jak wygląda teraz stan aktywacji systemu?

 

I mini poprawka. Otwórz Notatnik i wklej w nim:

 

S3 pneteth; \SystemRoot\System32\drivers\pneteth.sys [X]
RemoveDirectory: C:\FRST\Quarantine

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix).

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...