Skocz do zawartości

Problem z Kaspersky Internet Security 2011


Rekomendowane odpowiedzi

Wiedziałam, że o czymś zapomniałam. Dostarcz mi jeszcze nagranie z momentu uruchamiania Harmonogramu, może z takiego loga coś wyniknie. Uruchom Process Monitor jako Administrator. Od razu zatrzymaj nagrywanie klikając w przycisk lupki (zmieni się w przekreśloną) i wyczyść okno bieżące opcją Edit > Clear Display. Następnie uruchom jako Administrator przystawkę services.msc, w Process Monitor rozpocznij nagrywanie klikając w lupkę by ją odkreślić, wyprodukuj błąd próbując uruchomić usługę Harmonogramu, na koniec zatrzymaj nagrywanie w Process Monitor. Zapisz wyniki do pliku z menu File > Save > końcowy plik PML zapakuj do ZIP i podeślij tu.

 

 

oto zawartość katalogów

 

To potem porównam, jak dostarczysz log z Process Monitor.

 

 

pkt 2. co dokładnie mam przefiltrować

 

Tam jest podane:

 

PRZEGLĄDANIE RAPORTU CBS.LOG:

 

Narzędzie SFC nagrywa swoje operacje do zbiorczego C:\WINDOWS\LOGS\CBS\CBS.LOG. Plik raportu trzyma szersze informacje niż tylko to. (...) Zamiast sprawdzania ręcznego możliwa metoda automatyczna:

 

1. Uruchom linię poleceń jako Administrator:

 

cmdelevated.gif

 

2. Wpisz polecenie:

 

findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt

 

 

(plik sfc.txt jest tworzony w bieżącym katalogu linii poleceń czyli C:\WINDOWS\system32, można to dostosować wybierając własną ścieżkę dostępu)

 

3. Zostanie automatycznie otworzony w Notatniku ten plik.

 

Czyli: w cmd wklepujesz sfc /scannow i czekasz aż komenda ukończy. Następnie produkujesz raport tekstowy wg kroków cytowanych powyżej.

 

 

Jeśli chodzi o aktualizacje IE, kiedyś jak pobrałem ową aktualizację, przestały działać gadżety windowsa i pojawiło się jakieś L w Zones. Dlatego taki pomysł, że znów coś się zawiesiło przy tym.

 

Tylko, że to "L" w Zones to jest klucz infekcji a nie aktualizacji Internet Explorer. Problem szczegółowo opisany w moim tutorialu o gadżetach: KLIK.

 

 

punkt 4 gdzie dokładnie sprawdzić te reguły. Mogę na nowo odinstalować KIS

 

Opcje firewalla w KIS. Nie mam tego programu pod ręką, toteż nie mogę Cię naprowadzić precyzyjnie. W wolnej chwili na wirtualnej maszynie postaram się zainstalować KIS, ale nie obiecuję, że sprawa pójdzie szybko, bo strasznie brakuje mi czasu.

 

 

 

 

 

.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

raport sfc/scannow :

http://wklej.org/id/546757/

 

 

reguły sieciowe KIS dla svchost( w ustawieniach zaawansowanych, w zakładce zagrożenia i wykluczenia svchost znajduje się w zaufanych apkilacjach):

http://www.otofotki.pl/img22/mr8710_kis2.jpg.html

 

Proces Monitor

http://www.speedyshare.com/files/28979413/Logfile.zip

 

5. KIS w tle powinien wykluczyć aktywność systemowego firewalla, nie mam podstaw by przypuszczać, że problem stanowi zapora systemu, ale ostatecznie możesz i ją na próbę zresetować: uruchom cmd jako Administrator i wklep netsh advfirewall reset.

zrobiłem tak i teraz jest włączona zapora systemowa i z KIS, czyli mogę spokojnie wyłączyć zaporę systemową?

Odnośnik do komentarza

Niestety nie widzę tu nic definitywnego. SFC i brak namierzonych nieprawidłowości, konstrukcja folderów Tasks zdaje się być poprawna - pomijając pewne niuanse + brak zadania Przywracania (ale to usuwaliśmy ręcznie próbując majstrować przy błędzie i zadanie oczywiście się nie zrekonstruowało, bo Harmonogram nie działa wcale) - zaś w Process Monitor nie widzę odpowiedzi. Czarno to widzę..... Na temat KIS:

 

1. Wejdź w reguły sieci i pokaż co tam widzisz. Domyślnie KIS montuje regułę blokowania ruchu przychodzącego na porcie 135 (port RPC) i to nie powinno tu wadzić. Interesuje mnie czy tam nie jest coś dodane, układ domyślny:

 

kisrules.th.png

 

2. Sprawdź ten KIS kompleksowo po raz drugi go deinstalując, ale tym razem po deinstalacji użyj dla pewności Kaspersky Remover. Po użyciu zastartuj regedit i upewnij się, że zniknęły poniższe klucze (jeśli nie, skasuj je).

 

HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab

 

Następnie zweryfikuj czy na 100% zdjęły się filtry z kart sieciowych. Panel sterowania > Sieć i Internet > Centrum sieci i udostępniania > Zmień ustawienia karty sieciowej > z prawokliku na wszystkie dostępne połączenia pobierz Właściwości > jeśli pozostanie ślad po Kasperskym, podświetl i odinstaluj:

 

kisndis.th.png

 

Po wszystkim pełny restart komputera.

 

I brak pomysłów. Błąd Harmonogramu (zatrzymanie usługi natychmiast po jej starcie i żadnych innych błędów) sugeruje zablokowany port na którym operuje RPC. Ale już nie wiem gdzie szukać: ustawienia DCOM/RPC są poprawne (sprawdzany rejestr i brak klucza "Internet" a EnableDCOM równe Y), zapora systemowa została zresetowana, Kaspersky jak widać wyżej. Również konfig usługi jest prawidłowy, wykluczone zostały uszkodzenia plików systemowych + wpływ zadań niedomyślnych.

 

 

zrobiłem tak i teraz jest włączona zapora systemowa i z KIS, czyli mogę spokojnie wyłączyć zaporę systemową?

 

Tak, zaporę możesz wyłączyć jeśli KIS działa równolegle.

 

 

Nie wiem czemu, ale komputer długo się zaczyna ładować. Wcześniej tego nie było.

 

Bazując na ostatnim dostarczonym OTL, prócz punktowanego KIS jako potencjalnej przyczyny dla długiego startu:

 

1. Wyłącz systemowy Windows Defender. W Autoruns w karcie Services odfajkuj poniższą pozycję:

 

SRV:64bit: - [2009-07-14 03:41:27 | 001,011,712 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)

W karcie Logon można zdeaktywować zadania Nero i WinFast:

 

O4 - HKLM..\Run: [NBKeyScan] C:\Program Files (x86)\Nero\Nero8\Nero BackItUp\NBKeyScan.exe (Nero AG)

O4 - HKU\S-1-5-21-4162628400-1900528479-3526456126-1000..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Program Files (x86)\Common Files\Nero\Lib\NMBgMonitor.exe (Nero AG)

 

O4 - HKLM..\Run: [WinFastDTV] C:\Program Files\WinFast\WFDTV\DTVSchdl.exe (Leadtek Research Inc.)

O4 - HKU\S-1-5-21-4162628400-1900528479-3526456126-1000..\Run: [WinFast Schedule] C:\Program Files\WinFast\WFDTV\WFWIZ.exe (Leadtek Research Inc.)

2. Podejrzany wydaje mi się Internet Download Manager, z którym na forum były problemy. Operuje na sterowniku i notuję tu jakieś nowe odświeżenie tego pliku. Na próbę odinstaluj.

 

3. I może zaktualizuj ten starawy Alcohol.

 

 

 

 

.

Odnośnik do komentarza

 

1. Wejdź w reguły sieci i pokaż co tam widzisz. Domyślnie KIS montuje regułę blokowania ruchu przychodzącego na porcie 135 (port RPC) i to nie powinno tu wadzić. Interesuje mnie czy tam nie jest coś dodane, układ domyślny:

 

kisrules.th.png

.

 

Takie coś jest u mnie w regułach sieciowych

http://www.otofotki.pl/img22/hy6068_reg_siec.jpg.html

 

to biorę się za kolejne punkty.

Odnośnik do komentarza

KIS odinstalowany, żadnych pozostałości nie ma. Mam sprawdzić to selektywne uruchamianie systemu? Teraz nie działa harmonogram po deinstalacji.

 

 

Przy "czystym rozruchu" harmonogram też się nie uruchamia

 

w msconfig z zakładce usługi (po zaptaszkowaniu ukryj wszystkie usługi Microsoft) znajdują się ta pozycja zatrzymana:

FLEXnet Licensing Service 64

 

można ją uruchomić manualnie w services.msc (ale po czasie znów się zatrzymuje)

 

 

 

Jakieś propozycje co można dalej zrobić?

Odnośnik do komentarza
  • 4 tygodnie później...

Skoro KIS na pewno dobrze odinstalowany, a nadal Harmonogram nie działa, to KIS nie wygląda na winowajcę.

 

 

Mam sprawdzić to selektywne uruchamianie systemu?

 

Mówiłeś, że to już sprawdzałeś (post nr 21):

 

Te punkty przeprowadziłem i dalej nie można uruchomić harmonogramu.

 

Nie było więc sensu tego akurat ponawiać.

 

 

w msconfig z zakładce usługi (po zaptaszkowaniu ukryj wszystkie usługi Microsoft) znajdują się ta pozycja zatrzymana:

FLEXnet Licensing Service 64

 

można ją uruchomić manualnie w services.msc (ale po czasie znów się zatrzymuje)

 

Tu nie ma nic nadzwyczajnego.

 

 

Przejrzałam ponownie wszystkie materiały, które dostarczyłeś (rejestr / Dzienniki zdarzeń), nic z tego nie wynika, gdzie może być defekt. Błędy Schedule zaczęły się 20 kwietnia, blisko tego punktu nie widzę nic wyraźnego, choć wtedy były błędy SLOW-PCFigher (umieszcza zadania w Harmonogramie).

 

Jako ostatni eksperyment spróbowałabym wyzerować dokumentnie wszystkie zadania, spustoszyć TaskCache (w ostatnim ze sprawdzanych przeze mnie materiałów są tam tylko zadania MS + ew. po reinstalacji TuneUp pewnie się dodało) i sparowane pliki w folderze Tasks, by wymusić odbudowę struktury. Klucza tego nie powinno się usuwać w całości, wprawdzie usługa Harmonogramu mimo to może działać, ale wymiotuje błędami w Dzienniku (Usługa Harmonogram zadań nie może załadować zadań podczas uruchamiania usługi. Dane dodatkowe: Wartość błędu: 2147942402.). Jeśli jednak pozostanie goły klucz TaskCache, takich błędów nie ma i klucz zaczyna się powoli zapełniać zadaniami, o ile takowe się uruchomi.

 

 

1. Wykonaj kopie zapasowe. Skopiuj na Pulpit cały folder C:\Windows\system32\Tasks + wyeksportuj do pliku *.REG aktualny klucz HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache.

 

2. Skasuj wszystkie pliki z folderu C:\Windows\system32\Tasks, ale nie narusz struktury folderów. W folderze tym jest podfolder Windows, w nim kolejne podfoldery. Żadnego z tych folderów nie usuwaj, masz tylko wyrzucić pliki bez rozszerzeń zlokalizowane w folderach. Powtarzam: pliki a nie foldery. Pliki muszą być usunięte, gdyż przy braku kluczy w TaskCache, ale pozostawieniu plików zadań próba uruchomienia danej akcji tworzącej zadanie może zwrócić błąd "nie można utworzyć pliku, który już istnieje".

 

3. Skasuj całą zawartość klucza TaskCache. Stwórz nowy FIX.REG o poniższej zawartości i uruchom go wg podanej wcześniej metody komendą psexec -s -d REG IMPORT C:\FIX.REG

 

Windows Registry Editor Version 5.00
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache]

4. Restart systemu. Sprawdź czy usługa Harmonogramu zastartowała. Jeśli tak, przełącz status Ochrony systemu (wyłączyć + następnie włączyć), co w kluczu TaskCache oraz folderze Tasks odbuduje pierwsze z zadań przynależne do Przywracania systemu. Kolejne zadania zaczną się pojawiać, jeśli w Windows zostanie uruchomiona dana funkcja bazująca na zadaniu.

 

 

 

.

Odnośnik do komentarza
przywróciłem wszystkie pliki

 

Ale co to akcja? No to było bez sensu.

 

 

Po tym zrobiłem jeszcze raz wszystko(tym razem) wg instrukcji i po resecie dalej usługi Harmonogramu nie można włączyć

 

W związku z tym, że mam wątpliwości na temat prawidłowości zadania, poproszę o wykonanie skanu potwierdzającego aktualną zawartość dysku i rejestru. Uruchom podany już w temacie SystemLook i do skanu wklej:

 

:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule /s
 
:dir
C:\Windows\system32\Tasks /s

 

 

Jeśli rzeczywiście zadanie zostało jednak wykonane, to ja rozkładam ręce i jako metoda naprawy nasuwa się nakładkowa reperacja Windows (KLIK) ..... Podsumowanie: były sprawdzane ustawienia RPC / DCOM (brak klucza Internet i inne wartości też OK), ustawienia usługi Harmonogramu (prawidłowe), niedomyślne zadania Harmonogramu (wszystkie wywalone), Kaspersky (kompletna deinstalacja), wpływ procesów (czysty rozruch), ewentualne naruszenie plików (SFC nie wykazuje błędów), a teraz dochodzi kompletne wyzerowanie zadań. Brak konkretów w Dzienniku zdarzeń + Process Monitor. Cofanie systemu przez Przywracanie systemu do stanu sprzed usterki (nawet nie wiadomo kiedy zaistniała) nie zostało tu podane, bo Ochrona jako taka zwraca błąd (Harmonogram nie działa). Nie mam widoków na naprawę.

 

 

 

.

Odnośnik do komentarza

No i wychodzi ze skanu, że zadanie wcale nie jest wykonane. Klucz TaskCache nie został opróżniony. Nie wiem jaki jest dla tego powód, skoro robiony import pliku FIX.REG przez psexec. Zrób to ręcznie.

 

Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator i wejdź do klucza:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache

 

Z tego klucza masz skasować wszystko co w nim jest, tylko klucz TaskCache ma zostać jako zupełnie pusty. Do podkluczy Administratorzy nie mają dostępu, dlatego musisz wyresetować uprawnienia, by kasacje się udały: KLIK. Gdy już klucz TaskCache będzie goły, restart komputera.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...