Skocz do zawartości

Zamykające się programy i ogólny chaos


Rekomendowane odpowiedzi

Witam, posiadam system windows vista 32 bit.

 

Pierwszym objawem był wyskakujący co kilka sekund komunikat z błędem pliku wininet.dll, teraz tego komunikatu nei ma i niestety nie jestem w stanie go skopiować co pisało dokładnie.

Aktualnie, nie da włączyć się "Mój komputer" przy próbie wejścia gdzieś poprzez start/programy następuje komunikat "program explorator windows przestał działać, nastąpi jego zamknięcie" to samo pojawia się przy uruchamianiu innych programów ale nei wszystkich (np adobe reader, winamp ) na szczęście google chrom działa.

Wczoraj avira wykryła TR/Crypt.ZPACK.Gen [trojan]' detected in file 'C:\Program Files\Google\Picasa3\Uninstall.exe. ale był to jedynie jednorazowy monit o infekcji

Przeklejam logi

 

OTL

http://wklej.org/id/531990/

http://wklej.org/id/531991/

 

GMER

http://wklej.org/id/531992/

 

Z góry dzięki Wam za pomoc!

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Posługujesz się przestarzałym OTL (to narzędzie zawsze należy pobierać od nowa): OTL by OldTimer - Version 3.2.10.0. Czy jest jakiś konkretny powód, że uruchomiłeś wersję OTL.scr a nie standardową OTL.exe? Log z GMER robiony w nieprawidłowy sposób, przy czynnej emulacji napędów wirtualnych (KLIK).

 

DRV - [2011-05-18 23:08:42 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\Drivers\sptd.sys -- (sptd)

 

Oceniając wszystkie logi, tylko jeden element wygląda podejrzanie:

 

O4 - HKLM..\Run: [Win2k ServicesLogg] C:\Windows\serviceslogg.exe (Electronic Arts ™)

 

Pierwszym objawem był wyskakujący co kilka sekund komunikat z błędem pliku wininet.dll, teraz tego komunikatu nei ma i niestety nie jestem w stanie go skopiować co pisało dokładnie.

 

Widzę, że coś tu kręciłeś:

 

[2011-05-18 21:57:00 | 000,916,480 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\wininet.dll.bak

[2011-05-18 20:05:13 | 000,583,680 | ---- | C] (Microsoft Corporation) -- C:\Users\Slimowski\Desktop\wininet.dll

Skąd był brany plik wininet.dll na zamianę, w jakiej wersji plik?

 

 


Przechodząc do usuwania powyższego wpisu i innych drobnostek:

 

1. Pobierz najnowszą wersję OTL. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [Win2k ServicesLogg] C:\Windows\serviceslogg.exe (Electronic Arts ™)
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O3 - HKU\S-1-5-21-190565856-1351053188-3155495308-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"TCP Query User{384F67ED-4E83-452D-9C6D-CBD253A67CB4}C:\program files\sopcast\adv\sopadver.exe"=-
"TCP Query User{3DB6C016-FB02-48F0-B2DF-561FF32495A0}C:\program files\sopcast\adv\sopadver.exe"=-
"TCP Query User{F5FCD242-9187-44B3-A5B7-B4F95BA21454}C:\windows\serviceslogg.exe"=-
"UDP Query User{5ADDC4B6-FE02-4F06-B49E-5BB8DFAE1131}C:\program files\sopcast\adv\sopadver.exe"=-
"UDP Query User{8A653DF0-CED7-4246-9879-E173743C7FBE}C:\windows\serviceslogg.exe"=-
"UDP Query User{D016B6DE-B59C-4CFF-8D51-658D32A2E06D}C:\program files\sopcast\adv\sopadver.exe"=-
 
:Commands
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz z tego działania log.

 

2. Przejdź do apletu deinstalacji programów i pozbądź się zbędnika Akamai NetSession Interface.

 

3. Zrób skanowanie na dostosowanym warunku. W sekcji Własne opcje skanowania / skrypt wklej:

 

/md5start

wininet.dll

/md5stop

Klik w Skanuj (a nie Wykonaj skrypt!). Prócz tego raportu, dostarcz i ten wygenerowany usuwaniem w punkcie 1.

 

 

 

.

Odnośnik do komentarza

Ściągnąłem OTL teraz bezpośrednio z linków z forum. exe niestety mi się zawiesza, z .com tez był problem dlatego użyłem .scr. Jednak przy nowych logach udało mi się odpalić z pliku .com.

Przeoczyłem w swoim komputerze iso burner, teraz już chyba nie ma żadnych napędów wirtualnych.

Z tym kręceniem to fakt, podmieniłem winnet.dll z tej strony, http://www.dll-files.com/dllindex/dll-files.shtml? wininet nie spodziewałem się konsekwencji jakie może wywołać taka podmiana, bo już kiedyś zdarzało mi się coś podobnego robić.

 

1.

Wykonałem skanowanie jak w pierwszym punkcie, niestety zawiesił mi się komputer i nie zapisałem logów, czy da się jeszcze je jakoś uzyskać?

 

2.

Niestety nie mam możliwości uruchomienia panelu sterowania, ani innych narzędzi systemowych w tym apletu to odinstalowywania programów

 

3.

Aktualnie logi z otl

http://wklej.org/id/532070/

http://wklej.org/id/532071/

 

GMER aktualnie skanuje, po zrobieniu loga dołącze go do tego postu

Odnośnik do komentarza
Wykonałem skanowanie jak w pierwszym punkcie, niestety zawiesił mi się komputer i nie zapisałem logów, czy da się jeszcze je jakoś uzyskać?

 

Log powinien być w C:\_OTL. Aczkolwiek nie jest mi już potrzebny. Po aktualnym wyglądzie OTL widać, że został wykonany.

 

 

Z tym kręceniem to fakt, podmieniłem winnet.dll z tej strony, http://www.dll-files...ll-files.shtml? wininet nie spodziewałem się konsekwencji jakie może wywołać taka podmiana, bo już kiedyś zdarzało mi się coś podobnego robić.

 

Takich rzeczy się po prostu nie robi, ten typ plików nie jest "międzyplatformowy". Pliki muszą być ekstraktowane ze źródeł, które gwarantują zgodność systemową (wyszukanie kopii pliku w systemie, płyta Vista, rozpakowany SP dla Vista, polecenie sfc /scannow w Vista ...), co więcej pliki muszą mieć zbliżony lub taki sam status aktualizacji (czyli jeśli system ma SP2, należy dosztukować plik w wersji SP2). Ewidentnie wstawiłeś plik, który nie pasuje, rok 2001 (!), czyli to musi pochodzić prawdopodobnie z wersji "gold" XP lub nawet gorzej:

 

[2001-08-17 22:34:06 | 000,583,680 | ---- | M] (Microsoft Corporation) MD5=6D9444B32CE64207103BB9F7291A4D23 -- C:\Users\Slimowski\Desktop\wininet.dll

[2001-08-17 22:34:06 | 000,583,680 | ---- | M] (Microsoft Corporation) MD5=6D9444B32CE64207103BB9F7291A4D23 -- C:\Windows\System32\wininet.dll

Być może to ten plik generuje wszystkie problemy (a ja się dziwię, że system nie stawił większego oporu) .... Należy odkręcić jego status. W systemie masz kopii tego pliku w bród, jedna zgadza się z wersją Vista SP2 RTM:

 

[2009-04-11 08:28:25 | 000,828,416 | ---- | M] (Microsoft Corporation) MD5=8777B44511D8BCCF47B5A7CBDC02DE11 -- C:\Windows\winsxs\x86_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_6.0.6002.18005_none_03d46c899ef4dd32\wininet.dll

 

 


1. Rozpocznij od naturalnej dla systemu drogi ewentualnej podmiany pliku, czyli SFC. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i wklep komendę:

 

sfc /scanfile=C:\Windows\System32\wininet.dll

 

Jeżeli komenda przetworzy plik:

 

2. Zrób log z OTL ustawiony wg warunków: wszystkie sekcje ustawione na Brak + Żadne, a w polu Własne opcje skanowania / skrypt wklejone to co poprzednio:

 

/md5start
wininet.dll
/md5stop

Klik w Skanuj.

 

 

.

Odnośnik do komentarza

Teraz pojawił się problem, i nie wiem czy będzie jakieś wyjście żeby go obejść.

Chciałem uruchomić cmd.exe z prawo kliku ze startu. Jednak do tego musiałem zmienić wygląd menu start z klasycznego, na domyślny z visty. Zaowocowało to niestety ciągłym wywalaniem exploratora windows. Teraz nie jestem w stanie przywrócić poprzedniego wyglądu (który się aż tak bardzo nie sypał) i nie mogę uruchomić cmd.exe (chyba że jakoś dostanę się poprzez totalcommandera bo o dziwo on się odpala)

Odnośnik do komentarza

Zastartuj do Trybu awaryjnego z wierszem polecenia (brak powłoki graficznej) i wklep tam podaną wcześniej komendę. Dodatkowo, w związku z jakąś niejasną wypowiedzią "już kiedyś zdarzało mi się coś podobnego robić" i ogólnym obrazkiem tu zastanym, dodaję jeszcze globalną komendę naprawczą obejmującą całość: sfc /scannow. W podanym linku o SFC jest napisane jak zrobić raport z CBS.log ekstraktujący wyniki tej komendy.

Odnośnik do komentarza

OK. Plik został przywrócony przez SFC do postaci zgodnej z systemem. Reszta wyników z SFC:

 

2011-05-19 16:13:53, Info                  CSI    000001da [sR] Cannot repair member file [l:30{15}]"XInput9_1_0.dll" of Microsoft-Windows-DirectX-XInput, Version = 6.0.6000.16386, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch

2011-05-19 16:13:53, Info CSI 000001dc [sR] Cannot repair member file [l:24{12}]"settings.ini" of Microsoft-Windows-Sidebar, Version = 6.0.6002.18005, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch

2011-05-19 16:13:53, Info CSI 000001de [sR] Cannot repair member file [l:30{15}]"XInput9_1_0.dll" of Microsoft-Windows-DirectX-XInput, Version = 6.0.6000.16386, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch

2011-05-19 16:13:53, Info CSI 000001df [sR] This component was referenced by [l:238{119}]"Microsoft-Windows-Client-Features-Package~31bf3856ad364e35~x86~~6.0.6000.16386.Microsoft-Windows-Client-Features-Update"

2011-05-19 16:13:53, Info CSI 000001e2 [sR] Could not reproject corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:30{15}]"XInput9_1_0.dll"; source file in store is also corrupted

2011-05-19 16:13:53, Info CSI 000001e4 [sR] Cannot repair member file [l:24{12}]"settings.ini" of Microsoft-Windows-Sidebar, Version = 6.0.6002.18005, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch

2011-05-19 16:13:53, Info CSI 000001e5 [sR] This component was referenced by [l:158{79}]"Package_16_for_KB948465~31bf3856ad364e35~x86~~6.0.1.18005.948465-49_neutral_GDR"

Odczyt z settings.ini nie liczy się (KB947595). Natomiast z tym nienaprawialnym XInput9_1_0.dll z "hash mismatch" nie jest jasne. Podaj nowy skan z OTL robiony na warunku: wszystko na Brak + Żadne (i to znaczy to dokładnie - poprzednio nie odznaczyłeś wyszukiwania plików), a do skanu wklejasz co niżej.

 

/md5start
XInput9_1_0.dll
/md5stop

 


Gdy ukończymy diagnostykę pliku XInput9_1_0.dll, wykonasz kroki końcowe, które już teraz rozpisuję:

 

1. Ów Akamai NetSession Interface nadal aktualny, chyba że został już wyeliminowany.

 

2. W OTL wywołaj funkcję Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

4. Software do aktualizacji:

 

Internet Explorer (Version = 8.0.6001.19048)

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216012FF}" = Java™ 6 Update 24

"{3248F0A8-6813-11D6-A77B-00B0D0160060}" = Java™ 6 Update 6

"Nowe Gadu-Gadu" = Nowe Gadu-Gadu

 

========== HKEY_USERS Uninstall List ==========

 

[HKEY_USERS\S-1-5-21-190565856-1351053188-3155495308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"FileZilla Client" = FileZilla Client 3.2.7.1

- Aktualizacja przeglądarki systemowej, Java i klienta FTP: INSTRUKCJE.

- Proponuję także zamienić "Nowe Gadu" lżejszą alternatywą z obsługą sieci Gadu 8/10. Spójrz w temat Darmowe komunikatory na opisy: AQQ, Kadu, WTW, Miranda. Osobiście polecam WTW (lekki, zero reklam, obsługa wszystkich ważnych cech protokołu GG8/10).

 

 

 

.

Odnośnik do komentarza

Więc po kolei

Logi z otl, http://wklej.org/id/532256/

mam nadzieje że teraz wszystko prawidłowo odznaczyłem.

Akmai net session odinstalowane, resztę punktów zrobię jak potwierdzisz że już jest wszystko ok z system :)

 

+++

Dokonałem już aktualizacji IE, javy i całej reszty, mam nadzieje że to w żaden sposób nie koliduje?

Dzięki wielkie za pomoc w tym temacie, dopiero dzisiaj dowiedziałem się gdzie można Cię znowu znaleźć (a wielokrotnie pomagałaś mi na "searchengi...")

 

Jeżeli mogła byś, prosił bym o rzucenie okiem na ten temat, może tutaj też mnie poratujesz?

KLIK

Pozdrawiam

Odnośnik do komentarza

Owszem, plik (i jego kopia) nie ma sygnatury MS i nie zgadzają się inne detale:

 

[2008-07-07 15:56:28 | 000,065,536 | ---- | M] () MD5=CD11FE34B514600D79BD8C0F664F1E96 -- C:\Windows\System32\XInput9_1_0.dll

[2008-07-07 15:56:28 | 000,065,536 | ---- | M] () MD5=CD11FE34B514600D79BD8C0F664F1E96 -- C:\Windows\winsxs\x86_microsoft-windows-directx-xinput_31bf3856ad364e35_6.0.6000.16386_none_30c1042e410776d2\XInput9_1_0.dll

Oto parametry pliku z Vista SP2:

 

[2006-11-02 14:32:24 | 000,026,112 | ---- | M] (Microsoft Corporation) MD5=1105F267E9A50528EBC88A000652F2A3 -- C:\Windows\System32\XInput9_1_0.dll

[2006-11-02 14:32:24 | 000,026,112 | ---- | M] (Microsoft Corporation) MD5=1105F267E9A50528EBC88A000652F2A3 -- C:\Windows\winsxs\x86_microsoft-windows-directx-xinput_31bf3856ad364e35_6.0.6000.16386_none_30c1042e410776d2\XInput9_1_0.dll

 

1. Przesyłam plik: KLIK. Plik masz wstawić do dwóch widzianych tu miejsc. Bazując na tutorialu (KLIK):

  • C:\Windows\System32\XInput9_1_0.dll = zmień Właściciela z TrustedInstaller na swoje konto + swoje konto dodaj na listę i przyznaj mu Pełną kontrolę. Zamień plik moją kopią. Przywróć uprawnienia oryginalne.
  • C:\Windows\winsxs\x86_microsoft-windows-directx-xinput_31bf3856ad364e35_6.0.6000.16386_none_30c1042e410776d2 = dla katalogu tego postąp ponownie jak wyżej, a następnie zamień w nim pliki. Przywróć uprawnienia oryginalne.

2. Po zamianie plików na wszelki wypadek jeszcze raz wywołaj komendę SFC. Jeśli ten plik nie zjawi się w wynikach, koniec zadania.

 

 

Dokonałem już aktualizacji IE, javy i całej reszty, mam nadzieje że to w żaden sposób nie koliduje?

 

Nie, ale czyszczenie Przywracania systemu zrobisz raz jeszcze, po ukończeniu operacji z wyżej wymienionym plikiem, by system nie "zapamiętał" złej jego wersji w starych punktach.

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...