picasso Opublikowano 14 Czerwca 2011 Zgłoś Udostępnij Opublikowano 14 Czerwca 2011 Wiedziałam, że o czymś zapomniałam. Dostarcz mi jeszcze nagranie z momentu uruchamiania Harmonogramu, może z takiego loga coś wyniknie. Uruchom Process Monitor jako Administrator. Od razu zatrzymaj nagrywanie klikając w przycisk lupki (zmieni się w przekreśloną) i wyczyść okno bieżące opcją Edit > Clear Display. Następnie uruchom jako Administrator przystawkę services.msc, w Process Monitor rozpocznij nagrywanie klikając w lupkę by ją odkreślić, wyprodukuj błąd próbując uruchomić usługę Harmonogramu, na koniec zatrzymaj nagrywanie w Process Monitor. Zapisz wyniki do pliku z menu File > Save > końcowy plik PML zapakuj do ZIP i podeślij tu. oto zawartość katalogów To potem porównam, jak dostarczysz log z Process Monitor. pkt 2. co dokładnie mam przefiltrować Tam jest podane: PRZEGLĄDANIE RAPORTU CBS.LOG: Narzędzie SFC nagrywa swoje operacje do zbiorczego C:\WINDOWS\LOGS\CBS\CBS.LOG. Plik raportu trzyma szersze informacje niż tylko to. (...) Zamiast sprawdzania ręcznego możliwa metoda automatyczna: 1. Uruchom linię poleceń jako Administrator: 2. Wpisz polecenie: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt (plik sfc.txt jest tworzony w bieżącym katalogu linii poleceń czyli C:\WINDOWS\system32, można to dostosować wybierając własną ścieżkę dostępu) 3. Zostanie automatycznie otworzony w Notatniku ten plik. Czyli: w cmd wklepujesz sfc /scannow i czekasz aż komenda ukończy. Następnie produkujesz raport tekstowy wg kroków cytowanych powyżej. Jeśli chodzi o aktualizacje IE, kiedyś jak pobrałem ową aktualizację, przestały działać gadżety windowsa i pojawiło się jakieś L w Zones. Dlatego taki pomysł, że znów coś się zawiesiło przy tym. Tylko, że to "L" w Zones to jest klucz infekcji a nie aktualizacji Internet Explorer. Problem szczegółowo opisany w moim tutorialu o gadżetach: KLIK. punkt 4 gdzie dokładnie sprawdzić te reguły. Mogę na nowo odinstalować KIS Opcje firewalla w KIS. Nie mam tego programu pod ręką, toteż nie mogę Cię naprowadzić precyzyjnie. W wolnej chwili na wirtualnej maszynie postaram się zainstalować KIS, ale nie obiecuję, że sprawa pójdzie szybko, bo strasznie brakuje mi czasu. . Odnośnik do komentarza
luksa85 Opublikowano 14 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 14 Czerwca 2011 http://www.otofotki.pl/img22/cj1977_kis.jpg.html znalazłem coś takiego odnośnie svchost w kasperskim i tam jest wszystko na zielono Odnośnik do komentarza
picasso Opublikowano 14 Czerwca 2011 Zgłoś Udostępnij Opublikowano 14 Czerwca 2011 Czekam na raporty: wyniki komendy sfc /scannow oraz nagranie błędu w Process Monitor. znalazłem coś takiego odnośnie svchost w kasperskim i tam jest wszystko na zielono To na pewno dobry obrazek? Nie widzę tu nic pasującego. Prędzej sprawdzaj w karcie o nazwie "Reguły sieciowe". . Odnośnik do komentarza
luksa85 Opublikowano 14 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 14 Czerwca 2011 raport sfc/scannow : http://wklej.org/id/546757/ reguły sieciowe KIS dla svchost( w ustawieniach zaawansowanych, w zakładce zagrożenia i wykluczenia svchost znajduje się w zaufanych apkilacjach): http://www.otofotki.pl/img22/mr8710_kis2.jpg.html Proces Monitor http://www.speedyshare.com/files/28979413/Logfile.zip 5. KIS w tle powinien wykluczyć aktywność systemowego firewalla, nie mam podstaw by przypuszczać, że problem stanowi zapora systemu, ale ostatecznie możesz i ją na próbę zresetować: uruchom cmd jako Administrator i wklep netsh advfirewall reset. zrobiłem tak i teraz jest włączona zapora systemowa i z KIS, czyli mogę spokojnie wyłączyć zaporę systemową? Odnośnik do komentarza
picasso Opublikowano 20 Czerwca 2011 Zgłoś Udostępnij Opublikowano 20 Czerwca 2011 Niestety nie widzę tu nic definitywnego. SFC i brak namierzonych nieprawidłowości, konstrukcja folderów Tasks zdaje się być poprawna - pomijając pewne niuanse + brak zadania Przywracania (ale to usuwaliśmy ręcznie próbując majstrować przy błędzie i zadanie oczywiście się nie zrekonstruowało, bo Harmonogram nie działa wcale) - zaś w Process Monitor nie widzę odpowiedzi. Czarno to widzę..... Na temat KIS: 1. Wejdź w reguły sieci i pokaż co tam widzisz. Domyślnie KIS montuje regułę blokowania ruchu przychodzącego na porcie 135 (port RPC) i to nie powinno tu wadzić. Interesuje mnie czy tam nie jest coś dodane, układ domyślny: 2. Sprawdź ten KIS kompleksowo po raz drugi go deinstalując, ale tym razem po deinstalacji użyj dla pewności Kaspersky Remover. Po użyciu zastartuj regedit i upewnij się, że zniknęły poniższe klucze (jeśli nie, skasuj je). HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab Następnie zweryfikuj czy na 100% zdjęły się filtry z kart sieciowych. Panel sterowania > Sieć i Internet > Centrum sieci i udostępniania > Zmień ustawienia karty sieciowej > z prawokliku na wszystkie dostępne połączenia pobierz Właściwości > jeśli pozostanie ślad po Kasperskym, podświetl i odinstaluj: Po wszystkim pełny restart komputera. I brak pomysłów. Błąd Harmonogramu (zatrzymanie usługi natychmiast po jej starcie i żadnych innych błędów) sugeruje zablokowany port na którym operuje RPC. Ale już nie wiem gdzie szukać: ustawienia DCOM/RPC są poprawne (sprawdzany rejestr i brak klucza "Internet" a EnableDCOM równe Y), zapora systemowa została zresetowana, Kaspersky jak widać wyżej. Również konfig usługi jest prawidłowy, wykluczone zostały uszkodzenia plików systemowych + wpływ zadań niedomyślnych. zrobiłem tak i teraz jest włączona zapora systemowa i z KIS, czyli mogę spokojnie wyłączyć zaporę systemową? Tak, zaporę możesz wyłączyć jeśli KIS działa równolegle. Nie wiem czemu, ale komputer długo się zaczyna ładować. Wcześniej tego nie było. Bazując na ostatnim dostarczonym OTL, prócz punktowanego KIS jako potencjalnej przyczyny dla długiego startu: 1. Wyłącz systemowy Windows Defender. W Autoruns w karcie Services odfajkuj poniższą pozycję: SRV:64bit: - [2009-07-14 03:41:27 | 001,011,712 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend) W karcie Logon można zdeaktywować zadania Nero i WinFast: O4 - HKLM..\Run: [NBKeyScan] C:\Program Files (x86)\Nero\Nero8\Nero BackItUp\NBKeyScan.exe (Nero AG)O4 - HKU\S-1-5-21-4162628400-1900528479-3526456126-1000..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Program Files (x86)\Common Files\Nero\Lib\NMBgMonitor.exe (Nero AG) O4 - HKLM..\Run: [WinFastDTV] C:\Program Files\WinFast\WFDTV\DTVSchdl.exe (Leadtek Research Inc.)O4 - HKU\S-1-5-21-4162628400-1900528479-3526456126-1000..\Run: [WinFast Schedule] C:\Program Files\WinFast\WFDTV\WFWIZ.exe (Leadtek Research Inc.) 2. Podejrzany wydaje mi się Internet Download Manager, z którym na forum były problemy. Operuje na sterowniku i notuję tu jakieś nowe odświeżenie tego pliku. Na próbę odinstaluj. 3. I może zaktualizuj ten starawy Alcohol. . Odnośnik do komentarza
luksa85 Opublikowano 20 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 20 Czerwca 2011 1. Wejdź w reguły sieci i pokaż co tam widzisz. Domyślnie KIS montuje regułę blokowania ruchu przychodzącego na porcie 135 (port RPC) i to nie powinno tu wadzić. Interesuje mnie czy tam nie jest coś dodane, układ domyślny: . Takie coś jest u mnie w regułach sieciowych http://www.otofotki.pl/img22/hy6068_reg_siec.jpg.html to biorę się za kolejne punkty. Odnośnik do komentarza
picasso Opublikowano 20 Czerwca 2011 Zgłoś Udostępnij Opublikowano 20 Czerwca 2011 Wygląda to przecież tak samo jak pokazany układ domyślny z mojej wirtualnej maszyny. No cóż, zostaje jeszcze na przetrenowanie porządna deinstalacja KIS. Odnośnik do komentarza
luksa85 Opublikowano 20 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 20 Czerwca 2011 KIS odinstalowany, żadnych pozostałości nie ma. Mam sprawdzić to selektywne uruchamianie systemu? Teraz nie działa harmonogram po deinstalacji. Przy "czystym rozruchu" harmonogram też się nie uruchamia w msconfig z zakładce usługi (po zaptaszkowaniu ukryj wszystkie usługi Microsoft) znajdują się ta pozycja zatrzymana: FLEXnet Licensing Service 64 można ją uruchomić manualnie w services.msc (ale po czasie znów się zatrzymuje) Jakieś propozycje co można dalej zrobić? Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2011 Zgłoś Udostępnij Opublikowano 13 Lipca 2011 Skoro KIS na pewno dobrze odinstalowany, a nadal Harmonogram nie działa, to KIS nie wygląda na winowajcę. Mam sprawdzić to selektywne uruchamianie systemu? Mówiłeś, że to już sprawdzałeś (post nr 21): Te punkty przeprowadziłem i dalej nie można uruchomić harmonogramu. Nie było więc sensu tego akurat ponawiać. w msconfig z zakładce usługi (po zaptaszkowaniu ukryj wszystkie usługi Microsoft) znajdują się ta pozycja zatrzymana:FLEXnet Licensing Service 64 można ją uruchomić manualnie w services.msc (ale po czasie znów się zatrzymuje) Tu nie ma nic nadzwyczajnego. Przejrzałam ponownie wszystkie materiały, które dostarczyłeś (rejestr / Dzienniki zdarzeń), nic z tego nie wynika, gdzie może być defekt. Błędy Schedule zaczęły się 20 kwietnia, blisko tego punktu nie widzę nic wyraźnego, choć wtedy były błędy SLOW-PCFigher (umieszcza zadania w Harmonogramie). Jako ostatni eksperyment spróbowałabym wyzerować dokumentnie wszystkie zadania, spustoszyć TaskCache (w ostatnim ze sprawdzanych przeze mnie materiałów są tam tylko zadania MS + ew. po reinstalacji TuneUp pewnie się dodało) i sparowane pliki w folderze Tasks, by wymusić odbudowę struktury. Klucza tego nie powinno się usuwać w całości, wprawdzie usługa Harmonogramu mimo to może działać, ale wymiotuje błędami w Dzienniku (Usługa Harmonogram zadań nie może załadować zadań podczas uruchamiania usługi. Dane dodatkowe: Wartość błędu: 2147942402.). Jeśli jednak pozostanie goły klucz TaskCache, takich błędów nie ma i klucz zaczyna się powoli zapełniać zadaniami, o ile takowe się uruchomi. 1. Wykonaj kopie zapasowe. Skopiuj na Pulpit cały folder C:\Windows\system32\Tasks + wyeksportuj do pliku *.REG aktualny klucz HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache. 2. Skasuj wszystkie pliki z folderu C:\Windows\system32\Tasks, ale nie narusz struktury folderów. W folderze tym jest podfolder Windows, w nim kolejne podfoldery. Żadnego z tych folderów nie usuwaj, masz tylko wyrzucić pliki bez rozszerzeń zlokalizowane w folderach. Powtarzam: pliki a nie foldery. Pliki muszą być usunięte, gdyż przy braku kluczy w TaskCache, ale pozostawieniu plików zadań próba uruchomienia danej akcji tworzącej zadanie może zwrócić błąd "nie można utworzyć pliku, który już istnieje". 3. Skasuj całą zawartość klucza TaskCache. Stwórz nowy FIX.REG o poniższej zawartości i uruchom go wg podanej wcześniej metody komendą psexec -s -d REG IMPORT C:\FIX.REG Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache] 4. Restart systemu. Sprawdź czy usługa Harmonogramu zastartowała. Jeśli tak, przełącz status Ochrony systemu (wyłączyć + następnie włączyć), co w kluczu TaskCache oraz folderze Tasks odbuduje pierwsze z zadań przynależne do Przywracania systemu. Kolejne zadania zaczną się pojawiać, jeśli w Windows zostanie uruchomiona dana funkcja bazująca na zadaniu. . Odnośnik do komentarza
luksa85 Opublikowano 14 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 14 Lipca 2011 niestety usługa Harmonogramu dalej nie startuje, aha nie skasowałem klucza, zaraz poprawiam) Odnośnik do komentarza
picasso Opublikowano 14 Lipca 2011 Zgłoś Udostępnij Opublikowano 14 Lipca 2011 aha nie skasowałem klucza Jeśli nie skasowałeś, to zadanie nie wykonane. Tu musi być kasacja zawartości klucza (za pomocą FIX.REG) po kasacji plików i dopiero po tym restart. Odnośnik do komentarza
luksa85 Opublikowano 14 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 14 Lipca 2011 przywróciłem wszystkie pliki, ten klucz w rejestrze, zrestartowałem komputer. Po tym zrobiłem jeszcze raz wszystko(tym razem) wg instrukcji i po resecie dalej usługi Harmonogramu nie można włączyć Odnośnik do komentarza
picasso Opublikowano 14 Lipca 2011 Zgłoś Udostępnij Opublikowano 14 Lipca 2011 przywróciłem wszystkie pliki Ale co to akcja? No to było bez sensu. Po tym zrobiłem jeszcze raz wszystko(tym razem) wg instrukcji i po resecie dalej usługi Harmonogramu nie można włączyć W związku z tym, że mam wątpliwości na temat prawidłowości zadania, poproszę o wykonanie skanu potwierdzającego aktualną zawartość dysku i rejestru. Uruchom podany już w temacie SystemLook i do skanu wklej: :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule /s :dir C:\Windows\system32\Tasks /s Jeśli rzeczywiście zadanie zostało jednak wykonane, to ja rozkładam ręce i jako metoda naprawy nasuwa się nakładkowa reperacja Windows (KLIK) ..... Podsumowanie: były sprawdzane ustawienia RPC / DCOM (brak klucza Internet i inne wartości też OK), ustawienia usługi Harmonogramu (prawidłowe), niedomyślne zadania Harmonogramu (wszystkie wywalone), Kaspersky (kompletna deinstalacja), wpływ procesów (czysty rozruch), ewentualne naruszenie plików (SFC nie wykazuje błędów), a teraz dochodzi kompletne wyzerowanie zadań. Brak konkretów w Dzienniku zdarzeń + Process Monitor. Cofanie systemu przez Przywracanie systemu do stanu sprzed usterki (nawet nie wiadomo kiedy zaistniała) nie zostało tu podane, bo Ochrona jako taka zwraca błąd (Harmonogram nie działa). Nie mam widoków na naprawę. . Odnośnik do komentarza
luksa85 Opublikowano 14 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 14 Lipca 2011 W związku z tym, że mam wątpliwości na temat prawidłowości zadania, poproszę o wykonanie skanu potwierdzającego aktualną zawartość dysku i rejestru. Uruchom podany już w temacie SystemLook i do skanu wklej (..) to wyszło po skanie http://wklej.org/id/561618/ Odnośnik do komentarza
picasso Opublikowano 14 Lipca 2011 Zgłoś Udostępnij Opublikowano 14 Lipca 2011 No i wychodzi ze skanu, że zadanie wcale nie jest wykonane. Klucz TaskCache nie został opróżniony. Nie wiem jaki jest dla tego powód, skoro robiony import pliku FIX.REG przez psexec. Zrób to ręcznie. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator i wejdź do klucza: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache Z tego klucza masz skasować wszystko co w nim jest, tylko klucz TaskCache ma zostać jako zupełnie pusty. Do podkluczy Administratorzy nie mają dostępu, dlatego musisz wyresetować uprawnienia, by kasacje się udały: KLIK. Gdy już klucz TaskCache będzie goły, restart komputera. . Odnośnik do komentarza
luksa85 Opublikowano 14 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 14 Lipca 2011 usunąłem ręcznie, był restart i nic się nie zmieniło, tzn. harmonogram dalej stoi. TaskCache jest pusty. Chyba zostaje mi tylko reparacja systemu, lub instalacja go na nowo Odnośnik do komentarza
picasso Opublikowano 14 Lipca 2011 Zgłoś Udostępnij Opublikowano 14 Lipca 2011 Tylko na wszelki wypadek pokaż mi nowy skan z SystemLook. luksa85 przykro mi, tu już nic nie wymyślę. Odnośnik do komentarza
luksa85 Opublikowano 14 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 14 Lipca 2011 nowy skan http://wklej.org/id/561628/ W porządku i tak dziękuję za dotychczasową pomoc Odnośnik do komentarza
picasso Opublikowano 14 Lipca 2011 Zgłoś Udostępnij Opublikowano 14 Lipca 2011 No cóż. A decydujesz się na reperację nakładkową czy nową instalację? Odnośnik do komentarza
luksa85 Opublikowano 14 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 14 Lipca 2011 nie wiem co lepiej, w sumie to wolałbym aby nie potraciły mi się ważne dane z komputera. Reparacji nigdy dotąd jeszcze nie przeprowadzałem Odnośnik do komentarza
picasso Opublikowano 14 Lipca 2011 Zgłoś Udostępnij Opublikowano 14 Lipca 2011 "Lepiej", zależy w którym rozumieniu. System postawiony na nowo z pewnością czystością przewyższa system reperowany i wyklucza wystąpienia usterek, których reperacja może jednak nie wyrównać. Jednakże chcąc zachować określone ustawienia, to daje to reperacja. Odnośnik do komentarza
luksa85 Opublikowano 14 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 14 Lipca 2011 (edytowane) to pewnie instalacja na nowo będzie.. Edytowane 14 Lipca 2011 przez picasso Temat w takim układzie zamykam. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi