0x81000203 - przywracanie systemu

[KuchtaPC2015]

Nie działa przywracanie systemu 0x81000203 

Nie pomaga nawet rozwiązanie z metody 1 i 2

Link edytowany

Opisany klucz rejestru niema klucza SystemRestore

 

Z powodu iż wklej.org ma jakieś awarie są problemy z dodaniem nowych wklejek a stare nie działały, wklej.to ucina więc dałem w plikach txt

Nowe logi

FRST
http://www100.zippyshare.com/v/LzlSFKy5/file.html

Addition
http://www100.zippyshare.com/v/8wEBbz1y/file.html

Shortcut
http://www100.zippyshare.com/v/gdyHtdkM/file.html

[KuchtaPC2015]

Ref - aktualizacja

[Groszexxx]

Sprawdź logi, które wrzuciłeś - frst i addition.

[KuchtaPC2015]

W dniu 3.09.2017 o 21:06, Groszexxx napisał:

Sprawdź logi, które wrzuciłeś - frst i addition.

awaria serwisu, dlatego są ucięte, wcześniej były w całości, teraz nawet załadować linków nie można ani dodać nowych wklejek

 

EDIT: Z powodu iż wklej.org ma jakieś awarie są problemy z dodaniem nowych wklejek a stare nie działały, wklej.to ucina więc dałem w plikach txt

 

EDIT2: zrobiłem instalacje nakładkową systemu i przywracanie systemu (Ochrona systemu) już działa.
Jeśli ktoś wie co mogło być przyczyną i ewentualnie sprawdzić czy w logach były ślady infekcji będę wdzięczny. Bo nadal martwi mnie problem który miałem na początku

[Miszel03]

Wykonałeś sporą modyfikację i te raporty nic mi już nie mówią. 

 

Dostarcz nowy zestaw logów FRST w celu sprawdzenia systemu pod kątem infekcji (postaram się dziś odpowiedzieć).

[KuchtaPC2015]

kurde znowu padła ta opcja świeżo po instalacji nakładkowej.

Dodam nowe raporty.

Opcja padła po przenoszeniu katalogów TEMP, kilku skryptach reg, optymalizacji usług i optymalizacji Wise Care 365 Pro (wszystkie opcje)

Dostarczę pliki reg których używam

 

To co wykonałem po instalacji nakładkowej i po restarcie komputera padło przywracanie systemu

http://www97.zippyshare.com/v/E1ZxDcot/file.html

Nowe logi

FRST

http://www100.zippyshare.com/v/LzlSFKy5/file.html

Addition

http://www100.zippyshare.com/v/8wEBbz1y/file.html

Shortcut

http://www100.zippyshare.com/v/gdyHtdkM/file.html

[Miszel03]

System wygląda na uszkodzony (ale z drugiej strony kto wie czy to nie jest spowodowane Twoim manipulacjami w rejestrze):

 

S3 PrintWorkflowUserSvc_6291d; C:\WINDOWS\system32\svchost.exe [45024 2017-08-26] (Microsoft Corporation) <==== UWAGA (Brak ServiceDLL)
S3 PrintWorkflowUserSvc_6291d; C:\WINDOWS\SysWOW64\svchost.exe [40344 2017-08-26] (Microsoft Corporation) <==== UWAGA (Brak ServiceDLL)
C:\WINDOWS\system32\codeintegrity\Bootcat.cache BRAK <==== UWAGA

 

To tym się teraz będziemy zajmować. Sprawy poboczne to kasacja szczątkowych wpisów oraz zastanawiający Tryb testu, który nie wiedzieć czemu jest włączony. Infekcji tutaj nie widzę.

 

Na początek poproszę o przefiltrowany raport SFC z opcji scannow oraz dodatkowo raport z Farbar Service Scanner (stan usługi Przywracania). 

 

Te wszystkie Twoje manipulacje w rejestrze...ja to muszę na spokojnie przejrzeć. Od razu powiem: cześć tego co tam jest da się w sposób normalny wyłączyć z poziomu systemu.

[KuchtaPC2015]

Tryb testu to ja włączyłem - wyłączenie wymuszania podpisu cyfrowego. Potrzebne mi czasem przy sterach Realteka
 

bcdedit -set loadoptions DISABLE_INTEGRITY_CHECKS
bcdedit -set TESTSIGNING ON

 

O to wszystko co robię po każdym formacie
Link wycinam - w ogóle odradzam takich zabiegów wraz z Groszexxx. //Miszel03

FSS:

http://www43.zippyshare.com/v/oyf81ANs/file.html
 
SFC (przed instalacją nakładową wykrywał tylko zmiany w menu start robione przeze mnie).
http://www32.zippyshare.com/v/kbyoUgHm/file.html

EDIT:

 

Ale opowiem jak wyglądała sytuacja po której przestało działać.

Przeniosłem TEMP na C:\TEMP i dla ścieżki system i użytkownik - restart ok

Przeniosłem Temporary..... wylogowanie i ok działa

ale potem stwierdziłem że przywrócę do domyślnej lokalizacji - przy wylogowywaniu nastąpił czarny ekran (czasem się to zdarza i nie wiem czy to wina sterownika grafiki, systemu, czy dzieje się tak tylko na Win10 + UEFI/GPT) musiałem zrobić ręczny restart i wtedy przywracanie już nie działało

 

Ma coś do rzeczy użycie kompresji LZX ? odziwo na maszynie wirtualnej nic się do tej pory nie dzieje

 

Co do 
C:\WINDOWS\system32\codeintegrity
to możliwe że Dism++ usunął przy czyszczeniu ten plik boot...

[picasso]

Temat przenoszę do stosownego działu Windows.

 

 

Kuchta:

Usuwam ten zły link. ugetfix.com to lewy serwis promujący niepożądane aplikacje typu "Reimage Repair".

 

Cytat

EDIT2: zrobiłem instalacje nakładkową systemu i przywracanie systemu (Ochrona systemu) już działa.
Jeśli ktoś wie co mogło być przyczyną i ewentualnie sprawdzić czy w logach były ślady infekcji będę wdzięczny. Bo nadal martwi mnie problem który miałem na początku

 
Wg Dziennika zdarzeń sprawa się kręciła wokół SW_PROV:
 

Error: (09/04/2017 06:38:59 PM) (Source: VSS) (EventID: 12292) (User: )
Description: Błąd Usługi kopiowania woluminów w tle: błąd tworzenia klasy COM dostawcy kopii w tle z identyfikatorem CLSID: {65ee1dba-8ff4-4a58-ac1c-3470ee2f376a} [0x80070422, Nie można uruchomić określonej usługi, ponieważ jest ona wyłączona lub ponieważ nie są włączone skojarzone z nią urządzenia.

Operacja:
Uzyskaj możliwy do wywołania interfejs dla tego dostawcy
Wyświetl listę interfejsów dla wszystkich dostawców obsługujących ten kontekst
Badaj kopie w tle

Kontekst:
Identyfikator dostawcy: {b5946137-7b9f-4925-af80-51abd60b20d5}
Identyfikator klasy: {65ee1dba-8ff4-4a58-ac1c-3470ee2f376a}
Kontekst migawki: 13
Kontekst migawki: 13
Kontekst wykonywania: Coordinator


Error: (09/04/2017 06:38:59 PM) (Source: VSS) (EventID: 13) (User: )
Description: Informacje Usługi kopiowania woluminów w tle: nie można uruchomić serwera usługi COM z identyfikatorem CLSID {65ee1dba-8ff4-4a58-ac1c-3470ee2f376a} i nazwą SW_PROV. [0x80070422, Nie można uruchomić określonej usługi, ponieważ jest ona wyłączona lub ponieważ nie są włączone skojarzone z nią urządzenia.

Operacja:
Uzyskaj możliwy do wywołania interfejs dla tego dostawcy
Wyświetl listę interfejsów dla wszystkich dostawców obsługujących ten kontekst
Badaj kopie w tle

Kontekst:
Identyfikator dostawcy: {b5946137-7b9f-4925-af80-51abd60b20d5}
Identyfikator klasy: {65ee1dba-8ff4-4a58-ac1c-3470ee2f376a}
Kontekst migawki: 13
Kontekst migawki: 13
Kontekst wykonywania: Coordinator

 

Sprawdzałeś inną usługę wymienianą w usuniętym już linku, czyli Kopiowanie woluminów w tle (VSS). A wg błędu prędzej należało sprawdzić stan usługi Dostawca kopiowania w tle oprogramowania firmy Microsoft (swprv):

HKLM\SYSTEM\CurrentControlSet\Services\swprv

System przeinstalowany, nie masz już pewnie kopii rejestru C:\FRST\Hives. Ale jeśli jest, wyłuskaj plik SYSTEM i prześlij do wglądu.
 
 

W dniu 4.09.2017 o 20:04, Miszel03 napisał:

System wygląda na uszkodzony (ale z drugiej strony kto wie czy to nie jest spowodowane Twoim manipulacjami w rejestrze):
 

S3 PrintWorkflowUserSvc_6291d; C:\WINDOWS\system32\svchost.exe [45024 2017-08-26] (Microsoft Corporation) <==== UWAGA (Brak ServiceDLL)
S3 PrintWorkflowUserSvc_6291d; C:\WINDOWS\SysWOW64\svchost.exe [40344 2017-08-26] (Microsoft Corporation) <==== UWAGA (Brak ServiceDLL)
C:\WINDOWS\system32\codeintegrity\Bootcat.cache BRAK <==== UWAGA

 

 
To błąd w FRST, usługa nie filtrowana + flagowana określoną rutyną na odpadkowe usługi. Te usługi *UserSvc_* domyślnie nie mają ServiceDLL i powinny być ukryte na liście filtrowania. Farbar jest na wakacjach i nie może tego naprawić.

 

[KuchtaPC2015]

Zrobiłem instalację nakładkową i teraz już działa mi nawet skanowanie dysku na obecność błędów (wcześniej się coś zepsuło) i okazało się że Easy Service Optimizer blokował mi na ustawieniach ekstremalnych usługę Dostawca kopiowania woluminów w tle, mimo że w services.msc była na ręcznym i dawało się ją włączyć. To coś jednak było w niej blokowane.

Odtworzyłem błąd aż 2x i z powodzeniem udało mi się problemu pozbyć