Sal Opublikowano 7 Listopada 2017 Zgłoś Udostępnij Opublikowano 7 Listopada 2017 Nastąpiło spore spowolnienie komputera (mimo usuwania tempów i fragmentacji dysku). System uruchamia się i zamyka znacznie dłużej niż dawniej. Bywa że przenoszenie z folderu do folderu nawet najmniejszych (np. 50 kB) prostych plików jpg, png trwa ponad minutę. Często pojawia się pasek z komunikatem "Strona spowalnia działanie przeglądarki" (jak przy pisaniu tego tematu). Niekiedy zawiesza się przeglądarka Firefox. Pojawia się znaczne zwiększenie zużycie procesora, a wentylator wchodzi na najwyższe obroty (mimo dobrego odprowadzania ciepła spod laptopa). Po przejściu FRST pojawił się komunikat jak na screenie. Addition..txt FRST..txt Shortcut..txt Odnośnik do komentarza
Miszel03 Opublikowano 18 Listopada 2017 Zgłoś Udostępnij Opublikowano 18 Listopada 2017 System wygląda na uszkodzony, albo po prostu piracki (wszystkie usług systemowe są niepodpisane przez Microsoft). Jeśli zaś chodzi o raporty to brak jawnej infekcji - odbędzie się sprzątanie resztek. Wdrążę również skan antywirusowy. Problematyczna przeglądarka do deinstalacji. Po wykonaniu tych działań przejdziemy dalej z diagnostyką. 1. Przez Panel Sterownia odinstaluj program adware / PUP: YTD Video Downloader 5.8.2. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => -> Brak pliku ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => syncui.dll -> Brak pliku ContextMenuHandlers1: [Sharing] -> {f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} => ntshrui.dll -> Brak pliku ContextMenuHandlers2: [Sharing] -> {f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} => ntshrui.dll -> Brak pliku ContextMenuHandlers4: [Sharing] -> {f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} => ntshrui.dll -> Brak pliku ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => syncui.dll -> Brak pliku AlternateDataStreams: C:\ProgramData\TEMP:65D36A19 [129] AlternateDataStreams: C:\ProgramData\TEMP:85E5F208 [129] HKLM\...\cmdfile\DefaultIcon: %SystemRoot%\System32\imageres.dll,-68 <==== UWAGA C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Stellar Phoenix Repair for JPEG\Stellar Phoenix Repair for JPEG Help.lnk C:\Users\jan\Desktop\pr do odzyskiwania\Continue Free Video Editor installation.lnk C:\Users\jan\Desktop\pr do odzyskiwania\ACDSee32\Shortcuts\ACDSee32.lnk C:\Users\jan\Desktop\JACEK-SERWIS\Malwarebytes Anti-Malware.lnk Winlogon\Notify\igfxcui: igfxdev.dll [X] CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA SearchScopes: HKLM -> DefaultScope - brak wartości S2 HP LaserJet Service; Brak ImagePath S3 WinHttpAutoProxySvc; winhttp.dll [X] S3 catchme; Brak ImagePath S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwusb_cdcacm; system32\DRIVERS\ew_cdcacm.sys [X] S3 hwusb_cdcecm; system32\DRIVERS\ew_cdcecm.sys [X] S3 IpInIp; system32\DRIVERS\ipinip.sys [X] S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X] S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X] Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Sal Opublikowano 18 Listopada 2017 Autor Zgłoś Udostępnij Opublikowano 18 Listopada 2017 System był oryginalny kupowany wraz z laptopem w sklepie 1. czy możliwe jest więc, że uległ uszkodzeniu, gdy był niegdyś kilka razy oddawany do serwisu, ze względu na zawirusowanie? Albo że go sobie jakoś wtedy zabrali? 2. lub czy możliwe jest, że go sam uszkodziłem, bo chcąc go odchudzić maksymalnie odinstalowałem większość programów, które w nim były, a które mnie nie interesowały - kasowałem masowo też (jak mi się zdawało zbędne) 3. od pewnego czasu, bardzo często przy uruchamianiu laptop zaczyna od "skanowania" całej zawartości dysku Fixlog.txt FRST.txt Addition.txt raport Malwarebytes.txt Odnośnik do komentarza
Miszel03 Opublikowano 20 Listopada 2017 Zgłoś Udostępnij Opublikowano 20 Listopada 2017 Cytat Czy możliwe jest więc, że uległ uszkodzeniu, gdy był niegdyś kilka razy oddawany do serwisu, ze względu na zawirusowanie? Albo że go sobie jakoś wtedy zabrali? Teoretyczne złe leczenie systemu może go uszkodzić, ale nie aż tak (tutaj po prostu żadne pliki Microsoft są niepodpisane cyfrowo, czyli tak jakby nieoryginalne). Kradzież raczej awykonalna. Poproszę picasso żeby rzuciła na to okiem. Cytat Lub czy możliwe jest, że go sam uszkodziłem, bo chcąc go odchudzić maksymalnie odinstalowałem większość programów, które w nim były, a które mnie nie interesowały - kasowałem masowo też (jak mi się zdawało zbędne) Zależy co i jak robiłeś, taki opis jest bardzo ogólny i ja nie wróże z fus. Cytat Od pewnego czasu, bardzo często przy uruchamianiu laptop zaczyna od "skanowania" całej zawartości dysku Nie rozumiem. Poproszę o screen tej akcji. 1. Zagrożenia wykryte przez Malwarebytes daj do kasacji - to resztki po PUP. 2. Poproszę o przefiltrowany raport z opcji sfc /scannow. Odnośnik do komentarza
picasso Opublikowano 20 Listopada 2017 Zgłoś Udostępnij Opublikowano 20 Listopada 2017 Skan SFC na razie opuść. Widać dwa typy uszkodzeń nienaprawialne via SFC: 1. Prawdopodobne naruszenie zmiennej Path ("Brak pliku" na wpisach relatywnych Microsoftu). Niestety niektóre zostały przetworzone w skrypcie FRST i trzeba to odkręcić. S3 WinHttpAutoProxySvc; winhttp.dll [X] HKLM\...\Providers\Internet Print Provider: inetpp.dll HKLM\...\Providers\LanMan Print Services: win32spl.dll HKLM\...\Run: [OA001Cfg.exe] => OA001Cfg.exe Filter: application/octet-stream - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll Brak pliku Filter: application/x-complus - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll Brak pliku Filter: application/x-msdownload - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll Brak pliku ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => syncui.dll -> Brak pliku ContextMenuHandlers1: [Sharing] -> {f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} => ntshrui.dll -> Brak pliku ContextMenuHandlers2: [Sharing] -> {f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} => ntshrui.dll -> Brak pliku ContextMenuHandlers4: [Sharing] -> {f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} => ntshrui.dll -> Brak pliku ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => syncui.dll -> Brak pliku Task: {C8B3025B-D21E-4527-BBC6-CDFBFEB026E1} - System32\Tasks\Microsoft\Windows\Bluetooth\UninstallDeviceTask => BthUdTask.exe UWAGA: ==> Nie można uzyskać dostępu do BCD. 2. Masowy "Brak podpisu cyfrowego" wynika z dysfunkcji Usług kryptograficznych. Log sugeruje uszkodzenie bazy Catroot2, gdyż w Dzienniku widać następujący błąd: Dziennik Aplikacja: ================== Error: (11/18/2017 08:54:39 PM) (Source: Microsoft-Windows-CAPI2) (EventID: 257) (User: ) Description: Zainicjowanie bazy danych wykazu przez Usługi kryptograficzne nie powiodło się. Błąd ESENT: -583. 1. Wstępnie skrypt pobierający dane o zmiennej Path, importujący wcześniej usunięte wpisy z rejestru oraz usuwający drobne śmieci. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: U5 AppMgmt; C:\Windows\system32\svchost.exe [21504 2008-01-21] (Microsoft Corporation) [Brak podpisu cyfrowego] <==== UWAGA (Brak ServiceDLL) HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" MSCONFIG\startupreg: HP Software Update => FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF Extension: (Microsoft .NET Framework Assistant) - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2013-01-17] [Przestarzałe] [Brak podpisu cyfrowego] CHR HKU\S-1-5-21-129483142-3514389360-151311165-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\jan\AppData\Local\Google\Drive\apdfllckaahabafndbhieahigkjlhalf_live.crx <nie znaleziono> DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main CMD: set StartRegedit: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\BriefcaseMenu] @="{85BBD920-42A0-1069-A2E4-08002B30309D}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\Sharing] @="{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shellex\ContextMenuHandlers\Sharing] @="{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing] @="{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\BriefcaseMenu] @="{85BBD920-42A0-1069-A2E4-08002B30309D}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85BBD920-42A0-1069-A2E4-08002B30309D}] @="Briefcase" "InfoTip"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,\ 6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,\ 00,73,00,68,00,65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,\ 2d,00,32,00,32,00,39,00,31,00,37,00,00,00 "LocalizedString"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,\ 6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,\ 00,5c,00,73,00,68,00,65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,\ 2c,00,2d,00,32,00,32,00,39,00,37,00,38,00,00,00 "FriendlyTypeName"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,\ 00,6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,\ 32,00,5c,00,73,00,68,00,65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,\ 00,2c,00,2d,00,32,00,32,00,39,00,37,00,38,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85BBD920-42A0-1069-A2E4-08002B30309D}\DefaultIcon] @=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\ 00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,79,00,\ 6e,00,63,00,75,00,69,00,2e,00,64,00,6c,00,6c,00,2c,00,30,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85BBD920-42A0-1069-A2E4-08002B30309D}\InProcServer32] @="syncui.dll" "ThreadingModel"="Apartment" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85BBD920-42A0-1069-A2E4-08002B30309D}\shellex] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85BBD920-42A0-1069-A2E4-08002B30309D}\shellex\PropertySheetHandlers] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85BBD920-42A0-1069-A2E4-08002B30309D}\shellex\PropertySheetHandlers\{1f2e5c40-9550-11ce-99d2-00aa006e086c}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85BBD920-42A0-1069-A2E4-08002B30309D}\ShellFolder] "Attributes"=dword:70000136 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}] @="Shell extensions for sharing" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}\InProcServer32] @="ntshrui.dll" "ThreadingModel"="Apartment" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinHttpAutoProxySvc] "DisplayName"="@%SystemRoot%\\system32\\winhttp.dll,-100" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\ 00,65,00,00,00 "Description"="@%SystemRoot%\\system32\\winhttp.dll,-101" "ObjectName"="NT AUTHORITY\\LocalService" "ErrorControl"=dword:00000001 "Start"=dword:00000003 "Type"=dword:00000020 "DependOnService"=hex(7):44,00,68,00,63,00,70,00,00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\ 00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,00,6c,\ 00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,00,61,\ 00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "FailureActions"=hex:00,5c,26,05,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinHttpAutoProxySvc\Parameters] "ServiceDll"=hex(2):77,00,69,00,6e,00,68,00,74,00,74,00,70,00,2e,00,64,00,6c,\ 00,6c,00,00,00 "ServiceMain"="WinHttpAutoProxySvcMain" "ServiceDllUnloadOnStop"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinHttpAutoProxySvc\Security] "Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,70,00,05,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,14,00,14,00,00,00,01,01,00,00,00,00,00,05,04,00,00,00,00,00,14,00,14,00,\ 00,00,01,01,00,00,00,00,00,05,06,00,00,00,01,01,00,00,00,00,00,05,12,00,00,\ 00,01,01,00,00,00,00,00,05,12,00,00,00 EndRegedit: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Powstanie kolejny fixlog.txt. 2. Uruchom narzędzie Fix It 50202: KLIK. Zaznacz tryb agresywny - opcja uwzględnia reset bazy Catroot2. 3. Zresetuj system. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Shortcut). Dostarcz też fixlog.txt. Odnośnik do komentarza
Sal Opublikowano 20 Listopada 2017 Autor Zgłoś Udostępnij Opublikowano 20 Listopada 2017 Wykonane, z tym że przy FRST przy pasku pojawił się komunikat, ale pracowało dalej i wykonało logi. Natomiast przy uruchomieniu ponownym zaczęło się skanowanie "spójność danych" FRST.txt Fixlog.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 20 Listopada 2017 Zgłoś Udostępnij Opublikowano 20 Listopada 2017 Wpisy uprzednio usunięte za pomocą skryptu FRST zostały pomyślnie przywrócone (widać je ponownie jako "Brak pliku"). Path definitywnie jest naruszone, tzn. w ogóle brak tej zmiennej, stąd fałszywe odczyty "Brak pliku".W kwestii masowego "Braku podpisu cyfrowego", brak zmian po użyciu Fix It. I problem uszkodzenia bazy Catroot2 wygląda na powiązany z uszkodzeniami struktury plików, o czym mówi zarówno ekran ze sprawdzaniem spójności, jak i komunikat FRST o uszkodzeniu. Uszkodzenia dysku mogą być też przyczyną spowolnienia systemu. Nie jest wykluczone, że jest ogólny problem z dyskiem. Wstępnie: 1. Panel sterowania > System i konserwacja > System > Zaawansowane ustawienia systemu > Zmienne środowiskowe > w sekcji Zmienne systemowe klik w "Nowa", jako nazwę wprowadź Path, a jako wartość zmiennej następujący ciąg:%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\WbemZresetuj system, by zmiany weszły w życie.2. Start > w polu szukania wpisz cmd > z prawokliku "Uruchom jako administrator" > w oknie wklej komendę i ENTER:chkdsk /f /rZatwierdź uruchomienie przy następnym starcie i resetuj system, by checkdisk wykonał pracę. Wynik zostanie nagrany w Dzienniku zdarzeń w gałęzi Aplikacja w postaci rekordu z Wininit. Pobierz szczegóły tego rekordu, skopiuj i wklej do posta statystyki. 3. Na razie pomijam naruszenie Catroot2, trzeba obejrzeć wyniki z naprawiania checkdisk.PS. A temat przenoszę do działu Windows, problemy w ogóle nie są pochodną infekcji. Odnośnik do komentarza
Sal Opublikowano 20 Listopada 2017 Autor Zgłoś Udostępnij Opublikowano 20 Listopada 2017 Zrobiłem pierwsze, i laptop uruchomił się bez tego skanowania. 2. Jakiś czas temu było coś takiego ad wirusu 3. Te różne programy i wpisy usuwałem m.in z użyciem "jv16 PowerTools" 4. Czy to że takie długie są adresy jest poprawne? Odnośnik do komentarza
picasso Opublikowano 20 Listopada 2017 Zgłoś Udostępnij Opublikowano 20 Listopada 2017 Cytat Zrobiłem pierwsze, i laptop uruchomił się bez tego skanowania. Punkt 1 nie był związany ze skanem. Co z punktem 2? Cytat 2. Jakiś czas temu było coś takiego ad wirusu Detekcja custmon32i.dll wygląda na fałszywy alarm. Ten plik jest używany przez różne aplikacje (poprawne i szkodliwe), u Ciebie prawdopodobnie pochodna instalacji PDF Creator. A Kingsoft jako taki i tak był planowany przeze mnie do deinstalacji (po naprawie systemu), bo to stary program i już nierozwijany. Więcej tutaj: KLIK. Cytat 4. Czy to że takie długie są adresy jest poprawne? Co masz na myśli? Odnośnik do komentarza
Sal Opublikowano 20 Listopada 2017 Autor Zgłoś Udostępnij Opublikowano 20 Listopada 2017 Wreszcie skończył się chkdsk, o ile poziomy 1-3 przeszły bardzo szybko, o tyle 4 bardzo długo i nieco krócej poziom 5. 1. Chyba coś źle zrobiłem bo nie mogę znaleźć tych wyników. Wyszukiwanie "wininit" nie daje wyników 2. Jak chodzi o ten długi adres, to chodzi o to jak wygląda na tym "niziutkim" skanie. PS. Czy ew, przywrócić te wpisy usunięte z użyciem "jv16 PowerTools", które są tam w kopiach? Odnośnik do komentarza
picasso Opublikowano 20 Listopada 2017 Zgłoś Udostępnij Opublikowano 20 Listopada 2017 1. Chyba coś źle zrobiłem bo nie mogę znaleźć tych wyników. Wyszukiwanie "wininit" nie daje wyników Szukasz w Eksploratorze Windows, a ja mówiłam o Dzienniku zdarzeń. Start > w polu szukania wpisz eventvwr.msc > rozwiń gałąź Dzienniki systemu Windows > Aplikacja > w kolumnie Źródło szukaj "Wininit". Czy ew, przywrócić te wpisy usunięte z użyciem "jv16 PowerTools", które są tam w kopiach? Jakie wpisy? Usunięte wpisy "Brak pliku", o których tu mówiłam, zostały już odtworzone w moim skrypcie FRST, a fałszywe zgłoszenie "Brak pliku" zniknęło poprzez stworzenie zmiennej Path (o ile wykonałeś). 2. Jak chodzi o ten długi adres, to chodzi o to jak wygląda na tym "niziutkim" skanie. Ten C:\Documents and settings to link symboliczny zapętlony zwrotnie, dlatego ścieżka tak długa. Ta ścieżka Cię nie interesuje, to link, ścieżka zasadnicza to C:\Users. Odnośnik do komentarza
Sal Opublikowano 20 Listopada 2017 Autor Zgłoś Udostępnij Opublikowano 20 Listopada 2017 1. Przepraszam za "niekumatość" + System - Provider [ Name] Microsoft-Windows-Wininit [ Guid] {206f6dea-d3c5-4d10-bc72-989f03c8b84b} [ EventSourceName] Wininit - EventID 1001 [ Qualifiers] 16384 Version 0 Level 4 Task 0 Opcode 0 Keywords 0x80000000000000 - TimeCreated [ SystemTime] 2017-11-20T16:02:47.000Z EventRecordID 22855212 Correlation - Execution [ ProcessID] 0 [ ThreadID] 0 Channel Application Computer jan-PC Security - EventData Sprawdzanie systemu plików na C: Typ systemu plików to NTFS. Etykieta woluminu: OS. Jeden z dysków wymaga sprawdzenia spójności danych. Możesz anulowac to sprawdzenie, ale zaleca sie jego kontynuowanie. System Windows sprawdzi teraz dysk. Przetworzone rekordy plików: 344704. Przetworzone rekordy dużych plików: 1315. Przetworzone rekordy uszkodzonych plików: 0. Przetworzone rekordy atrybutów rozszerzonych: 0. Przetworzone rekordy ponownej analizy: 46. Nie można zlokalizowac atrybutu nazwy pliku wpisu explorer.exe indeksu $I30 z obiektem nadrzednym 0x633 w pliku 0x15487. Usuwanie wpisu indeksu explorer.exe w indeksie $I30 pliku 1587. Przetworzone wpisy indeksu: 402548. CHKDSK odzyskuje utracone pliki. Przetworzone pliki nieindeksowane: 1. Odzyskiwanie oddzielonego pliku explorer.exe (87175) do pliku katalogów 1587. Przetworzone deskryptory zabezpieczeń: 344704. Oczyszczanie 12 nieużywanych wpisów w indeksie $SII pliku 0x9. Oczyszczanie 12 nieużywanych wpisów w indeksie $SDH pliku 0x9. Porzadkowanie 12 nieużywanych deskryptorów zabezpieczeń. Przetworzone pliki danych: 28923. Trwa sprawdzanie dziennika Usn... Przetworzone bajty numerów USN: 34155792. Zakończono sprawdzanie poprawności dziennika Usn. System Windows wprowadził poprawki do systemu plików. 299042135 KB całkowitego miejsca na dysku. 108830616 KB w 285110 plikach. 142360 KB w 28924 indeksach. 0 KB w uszkodzonych sektorach. 462611 KB używanych przez system. 65536 KB zajetych przez plik dziennika. 189606548 KB dostepnych na dysku. 4096 bajtów w każdej jednostce alokacji. 74760533 ogółem jednostek alokacji na dysku. 47401637 jednostek alokacji dostepnych na dysku. Informacje wewnetrzne: 80 42 05 00 be ca 04 00 a0 2e 08 00 00 00 00 00 .B.............. 82 11 00 00 2e 00 00 00 00 00 00 00 00 00 00 00 ................ 48 01 2b 00 48 01 2b 00 aa 07 00 ad 38 79 2c 00 H.+.H.+.....8y,. System Windows zakończył sprawdzanie dysku. Zaczekaj na ponowne uruchomienie systemu. 2. W dniu 20.11.2017 o 21:49, picasso napisał: Jakie wpisy? Usunięte wpisy "Brak pliku", o których tu mówiłam, zostały już odtworzone w moim skrypcie FRST, a fałszywe zgłoszenie "Brak pliku" zniknęło poprzez stworzenie zmiennej Path (o ile wykonałeś Chodzi o takie jak te wpisy usunięte przy pomocy Jv16 PowerTools jak np, na screenie. Odnośnik do komentarza
picasso Opublikowano 20 Listopada 2017 Zgłoś Udostępnij Opublikowano 20 Listopada 2017 Nic już nie przywracaj przy pomocy Jv16 PowerTools. Teraz po skanie chkdsk ponów te działania: Cytat 2. Uruchom narzędzie Fix It 50202: KLIK. Zaznacz tryb agresywny - opcja uwzględnia reset bazy Catroot2. 3. Zresetuj system. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Shortcut). Narzędzie wcześniej było już pobrane, ale czy na pewno zostało poprawnie uruchomione? W ostatnim logu FRST nie było świeżo utworzonego folderu "Catroot2.bak", który powstaje gdy się uruchamia opcję agresywną. Nie zapomnij wybrać trybu "Aggressive". Odnośnik do komentarza
Sal Opublikowano 20 Listopada 2017 Autor Zgłoś Udostępnij Opublikowano 20 Listopada 2017 Poprzednio też zaznaczyłem "Aggresive" FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 20 Listopada 2017 Zgłoś Udostępnij Opublikowano 20 Listopada 2017 O ile wpisy "Brak pliku" zostały poprawnie ukryte po naprawie Path, niestety masowy "Brak podpisu cyfrowego" od góry do dołu. Kolejne podejście: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: StartBatch: net stop CryptSvc ren C:\Windows\System32\catroot2 catroot2.OLD EndBatch: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Nastąpi restart i powstanie kolejny fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Shortcut). Dostarcz też fixlog.txt. Odnośnik do komentarza
Sal Opublikowano 20 Listopada 2017 Autor Zgłoś Udostępnij Opublikowano 20 Listopada 2017 Nowe logi PS.zaczął pojawiać się taki komunikat jak na screenie Fixlog.txt FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 21 Listopada 2017 Zgłoś Udostępnij Opublikowano 21 Listopada 2017 Komunikat z obrazka jest związany ze zintegrowanym w FRST ERUNT i nic w tej kwestii nie można zdziałać. Niestety ostatni Fix również nieskuteczny. Kolejne podejście: 1. Panel sterowania > Programy > zainstalowane aktualizacje > upewnij się że nie ma tam pozycji KB3004394. Jeśli jest. Odinstaluj. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: StartBatch: net stop cryptsvc esentutl /p C:\Windows\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb /o net start cryptsvc EndBatch: Folder: C:\Windows\system32\catroot2 Folder: C:\Windows\system32\catroot2.OLD Folder: C:\Windows\system32\catroot2.bak Folder: C:\Windows\system32\catroot Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
Sal Opublikowano 21 Listopada 2017 Autor Zgłoś Udostępnij Opublikowano 21 Listopada 2017 Ad.1 Nie ma takiej pozycji Ad 2. w załączeniu ===== edit ===== Tydzień później w trakcie pracy laptopa wyłączony został prąd i po włączeniu nie dało się go już uruchomić. Tzn. włącza się, ale pojawia się czarny ekran z napisem "odzyskiwanie po błędzie systemu Windows" (fot.) Gdy wybiorę opcję zalecaną po pewnym czasie pokazuje się niebieski ekran (fot) gdy wybieram opcję 2 zaczyna pracę, ale Windows się nie uruchamia, cały czas "mieli" (fot) Za pomocą klawisza F12 wszedłem i tam po uruchomieniu programu podało że są błędy na HD i Memory (fot.) Co zrobić by naprawić lub przynajmniej uzyskać dostęp do dysku by skopiować z niego fotografie itp. Fixlog.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się