zielonyy52 Opublikowano 15 Listopada 2011 Zgłoś Udostępnij Opublikowano 15 Listopada 2011 Witam. jakiś czas temu zaczeły zaczoł wyskakiwac mi komunikat "system windows nie może odnaleźć pliku "C:\Windows\system32\mrt.exe"...z jakiegos powodu ten plik był na dysku D a nie na C przeniosłem go w inne miejsce ale to nic nie dało. Plik mrt.exe na dysku D nie był w jdnym folderze a w kilku o różnych nazwach i różnej pojemnosci nie do wszystkich mam dostep a to dziwne skoro jestem administratorem. ciągle dostaje komuniakt poproś o uprawnienia wtf?? pszedłem tym tropem i co sie okazało nie mam dostepu do takiej opcji jak kontrola rodzicielska,zmień typ mojego konta itd wszędzie jest taka tarcza żółto-niebieska.do tego sa problemy z touchpadem co jakiś czas zawiesza sie i albo musze konczyć akcje programu zeby znów zadziałał czasami wylogowywac a czasami nawte wyłaczać tez nie wiem o co chodzi. próbowałem zainstalwać ważny dla mnie program bez którego ani rusz(autocad) ale po ściagnieciu i próbie uruchomienia wyskakuje komunikat ze nie można jakiegoś pliku odnaleźć tak więc klapa...pomyslałem ze to jakis wirus. mcafee który miaęm nie działał nic nie szło zrobic ani odinstalowac ani skanowac ciągle jakies problemy. sciagnołem combofixa i w systemie awaryjnym uruchomiłem jedyna możliwość kiedy dało rade co kolwiek zrobic ale nic nie wykryło.avast również nic. bedać w systemie awaryjnym nie ma w ogóle takiej opcji jak kontrola rodzicielska ale przynajmniej mozna zmienic typ konta. załóżyłem drugie konto zmieniłem typ na administartora ale to nic nie pomogło a od dzisiaj komputer twierdzi ze np foldery sa puste i nie mam do niczego dostepu..na studiach bez kompa ani rusz wiec nie jako bardzo przydałaby mi sie pomoc Odnośnik do komentarza
picasso Opublikowano 15 Listopada 2011 Zgłoś Udostępnij Opublikowano 15 Listopada 2011 Z takimi danymi daleko nie zajedziemy. Poproszę o logi z OTL. sciagnołem combofixa i w systemie awaryjnym uruchomiłem jedyna możliwość kiedy dało rade co kolwiek zrobic ale nic nie wykryło.avast również nic. Na przyszłość (KLIK): to nie jest narzędzie domowego użytku i ktoś kto nie potrafi sam rozwiązać problemów i wykonać poprawnej analizy raportu nie powinien tego nawet ruszać, a narzędzie nie służy do rozwiązywania wszystkich problemów jak leci, ma określony smak. A skoro go użyłeś, to musisz pokazać co robił, czyli przedstaw plik C:\ComboFix.txt. próbowałem zainstalwać ważny dla mnie program bez którego ani rusz(autocad) ale po ściagnieciu i próbie uruchomienia wyskakuje komunikat ze nie można jakiegoś pliku odnaleźć tak więc klapa... Proszę o większą precyzję: jakiego pliku? Przepisz komunikat 1:1. bedać w systemie awaryjnym nie ma w ogóle takiej opcji jak kontrola rodzicielska ale przynajmniej mozna zmienic typ konta W Trybie awaryjnym nie działają niektóre usługi, dlatego określone funkcję są niedostępne. . Odnośnik do komentarza
zielonyy52 Opublikowano 15 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 15 Listopada 2011 próbowałem zrobic ten raport jednak wyskoczył mi taki komunikat jak w dodanym ponizej pliku (otl.exe) podobnie jest przy otl.com natomiast otl.scr wyskakuje mi tylko nowa karta i about:blank. na innym komputerze wszystkie odnośniki działają. dodałem jeszcze kilka komunikatów które regularnie wyskakuja. dodaje jeszcze raport z combofixa ComboFix.txt Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2011 Zgłoś Udostępnij Opublikowano 16 Listopada 2011 Chwilowo opuszczam analizę ComboFix, zajmę się tym jak wyjdziemy z podstawowego problemu. Te błędy "nie można odnaleźć pliku..." przy oczywistej obecności pliku na dysku sugerują uszkodzoną strukturę Zmiennych środowiskowych. Zastartuj do Trybu awaryjnego, uruchom plik C:\Windows\regedit.exe, wyszukaj ścieżkę: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment Z prawokliku Eksportuj i zapisz zawartość klucza do pliku REG. Dostarcz tu ten plik REG do wglądu. . Odnośnik do komentarza
zielonyy52 Opublikowano 16 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 16 Listopada 2011 no to jest mały problem...w awaryjnym nie działa net tak wiec zapisałem znowu uruchomiłem kompa i chciałem załączyć plik jednak na forum wyskakuje komunikat ze nie mam uprawnień do wysyłania tego typu plików. wysłałem mailem i na drugim kompie też twierdzi ze nie mam uprawnień Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2011 Zgłoś Udostępnij Opublikowano 16 Listopada 2011 Oczywiście nie załączysz pliku REG wprost w Załącznikach forum, bo nie pozwalam ładować tu takiego formatu (dopuszczone tylko TXT i wybrane graficzne). Chodziło mi o przeklejenie zawartości tego pliku. Możesz także zmienić rozszerzenie REG na TXT i posłużyć się Załącznikami forum. . Odnośnik do komentarza
zielonyy52 Opublikowano 16 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 16 Listopada 2011 chyba ok reg.txt Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2011 Zgłoś Udostępnij Opublikowano 16 Listopada 2011 Tutaj się wszystko jakoby zgadza, ale to nie jedyne miejsce gdzie są zdefiniowane zmienne (np. jeszcze w ProfileList są zlokalizowane ciągi). Może prześlij mi kompletną kopię rejestru do wglądu. Skorzystaj z narzędzia RegBack, narzędzie umieść w katalogu C:\Windows, przejdź w Tryb awaryjny i uruchom ten program klikając bezpośrednio jego plik w C:\Windows, a wynikową kopię rejestru zapakuj do ZIP i wyślij na jakiś serwis hostingowy podając mi tu link. . Odnośnik do komentarza
zielonyy52 Opublikowano 16 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 16 Listopada 2011 http://www.crocko.co...0267A/ERDNT.rar http://hotfile.com/dl/135204826/1ef3f2f/ERDNT.rar.html Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2011 Zgłoś Udostępnij Opublikowano 16 Listopada 2011 Mówiłam o narzędziu RegBack a nie ERUNT ... Ale OK, skoro ERUNT zadziałał. Przeleciałam bardzo szybko rejestr (i niedokładnie), ale jest ubytek. Brakuje całego 32-bitowego klucza (jego odpowiednik 64-bitowy jest OK): HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\ProfileList Klucz ten ma zdefiniowane ścieżki rozumiane przez 32-bitowe programy: A z tego co tu widzę właśnie 32-bitowe zgłaszają ów błąd "nie można znaleźć" (OTL to 32-bit, on tylko przez sztuczkę z aliasem Sysnative pobiera dane o 64-bitowych komponentach). Natomiast z MRT: komunikat "system windows nie może odnaleźć pliku "C:\Windows\system32\mrt.exe"...z jakiegos powodu ten plik był na dysku D a nie na C przeniosłem go w inne miejsce ale to nic nie dało. Plik mrt.exe na dysku D nie był w jdnym folderze a w kilku o różnych nazwach i różnej pojemnosci nie do wszystkich mam dostep a to dziwne skoro jestem administratorem. ciągle dostaje komuniakt poproś o uprawnienia wtf?? To mi wygląda na całkiem inny problem (wpis ten też należy do gałęzi 64-bit a nie 32-bit), ponieważ wyraźnie mówisz, że pliku na C nie było (czyli błąd "nie można znaleźć..." byłby innego rodzaju i usunięcie narzędzia może mieć uzasadnienie w infekcji, która tu była). Ten wpis MRT w ogóle jest dziwny, ponieważ jedyny plik Windows pasujący do takiej nazwy to "Malicious Software Removal Tool" (Narzędzie Microsoft Windows do usuwania złośliwego oprogramowania), narzędzie to nie dodaje się do Autostartu .... I bardzo mi się nie podoba, że Ty go "znalazłeś" na dysku D i przekopiowałeś. To może być wirus / trojan.... Dokładnie mi podaj skąd ten plik kopiowałeś. Infekcja także tu jest, 32-bitowa wartość Taskman kierująca do pliku C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe. Na teraz akcja: Rekonstrukcja 32-bitowego ProfileList oraz usunięcie Taskman i MRT ze startu. 1. Otwórz plik C:\Windows\notepad.exe, w Notatniku wklej: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\ProfileList] "ProfilesDirectory"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,44,00,72,\ 00,69,00,76,00,65,00,25,00,5c,00,55,00,73,00,65,00,72,00,73,00,00,00 "Default"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,44,00,72,00,69,00,\ 76,00,65,00,25,00,5c,00,55,00,73,00,65,00,72,00,73,00,5c,00,44,00,65,00,66,\ 00,61,00,75,00,6c,00,74,00,00,00 "Public"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,44,00,72,00,69,00,76,\ 00,65,00,25,00,5c,00,55,00,73,00,65,00,72,00,73,00,5c,00,50,00,75,00,62,00,\ 6c,00,69,00,63,00,00,00 "ProgramData"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,44,00,72,00,69,\ 00,76,00,65,00,25,00,5c,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,44,00,\ 61,00,74,00,61,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-18] "Flags"=dword:0000000c "State"=dword:00000000 "RefCount"=dword:00000001 "Sid"=hex:01,01,00,00,00,00,00,05,12,00,00,00 "ProfileImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,\ 00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,\ 5c,00,63,00,6f,00,6e,00,66,00,69,00,67,00,5c,00,73,00,79,00,73,00,74,00,65,\ 00,6d,00,70,00,72,00,6f,00,66,00,69,00,6c,00,65,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-19] "ProfileImagePath"=hex(2):43,00,3a,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,\ 00,73,00,5c,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,50,00,72,00,6f,00,\ 66,00,69,00,6c,00,65,00,73,00,5c,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,\ 00,72,00,76,00,69,00,63,00,65,00,00,00 "Flags"=dword:00000000 "State"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-20] "ProfileImagePath"=hex(2):43,00,3a,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,\ 00,73,00,5c,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,50,00,72,00,6f,00,\ 66,00,69,00,6c,00,65,00,73,00,5c,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,\ 00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,00,00 "Flags"=dword:00000000 "State"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-4080397756-3411104926-3550076618-1000] "ProfileImagePath"=hex(2):43,00,3a,00,5c,00,55,00,73,00,65,00,72,00,73,00,5c,\ 00,43,00,41,00,52,00,52,00,45,00,46,00,4f,00,55,00,52,00,00,00 "Flags"=dword:00000000 "State"=dword:00000100 "Sid"=hex:01,05,00,00,00,00,00,05,15,00,00,00,bc,ed,35,f3,9e,54,51,cb,ca,de,99,\ d3,e8,03,00,00 "ProfileLoadTimeLow"=dword:00000000 "ProfileLoadTimeHigh"=dword:00000000 "RefCount"=dword:00000001 "RunLogonScriptSync"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-4080397756-3411104926-3550076618-1004] "ProfileImagePath"=hex(2):43,00,3a,00,5c,00,55,00,73,00,65,00,72,00,73,00,5c,\ 00,70,00,61,00,74,00,72,00,79,00,6b,00,00,00 "Flags"=dword:00000000 "State"=dword:00000100 "Sid"=hex:01,05,00,00,00,00,00,05,15,00,00,00,bc,ed,35,f3,9e,54,51,cb,ca,de,99,\ d3,ec,03,00,00 "ProfileLoadTimeLow"=dword:00000000 "ProfileLoadTimeHigh"=dword:00000000 "RefCount"=dword:00000000 "RunLogonScriptSync"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon] "Taskman"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MRT"=- Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG 2. Zastartuj do Trybu awaryjnego, uruchom regedit i z menu Plik zaimportuj FIX.REG. 3. Zresetuj system, wejdź w Tryb normalny i sprawdź czy widzisz zmianę, tzn. czy narzędzie OTL nadal nie może się uruchomić i są inne dziwactwa. . Odnośnik do komentarza
zielonyy52 Opublikowano 16 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 16 Listopada 2011 coś się zmieniło ponieważ komunikat o MRT.EXE nie wyskoczył po włączeniu tak jak miało to miejsce za każdym razem. jednak przy próbie uruchomienia otl wyskoczył komunikat "system nie może odnaleźć pliku..." komunikat o zaberg równiez się pojawił Odnośnik do komentarza
picasso Opublikowano 17 Listopada 2011 Zgłoś Udostępnij Opublikowano 17 Listopada 2011 coś się zmieniło ponieważ komunikat o MRT.EXE nie wyskoczył po włączeniu tak jak miało to miejsce za każdym razem To oczywiste, przecież mówiłam, że wpis startowy MRT usuwam. jednak przy próbie uruchomienia otl wyskoczył komunikat "system nie może odnaleźć pliku..." Komunikat jest identyczny także w Trybie awaryjnym? Sprawdź czy zmiana sytuacji wystąpi, gdy go przemieścisz z C:\Users\Carrefour\Downloads do C:\Windows i stamtąd spróbujesz uruchomić. Tu są także dla mnie niejasności: mcafee który miaęm nie działał nic nie szło zrobic ani odinstalowac ani skanowac ciągle jakies problemy To w jaki sposób McAfee został odinstalowany, skoro go nie widać w ComboFix? nie mam dostepu do takiej opcji jak kontrola rodzicielska,zmień typ mojego konta itd wszędzie jest taka tarcza żółto-niebieska Pokaż mi konkretnie w jaki sposób widać te tarcze UAC. Obrazek z tego zrób. komunikat o zaberg równiez się pojawił Gdzie widzisz ten komunikat? FIX.REG miał w zamiarze usunąć wartość Taskman. Czy na pewno FIX.REG się zaimportował prawidłowo? Uruchom regedit i sprawdź poniższe klucze: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon Czy zniknęła wartość Taskman. HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\ProfileList Czy w ogóle istnieje klucz ProfileList. . Odnośnik do komentarza
zielonyy52 Opublikowano 17 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 17 Listopada 2011 Jeżeli chodzi o mcafee to nie wiem być moze został uznany za szkodliewe oprogramowanie i usuniety w kazdym bądx razie kiedy próbowałem go odinstalować nie mógł odnależć pliku i nic nie usuwało przez to. Komunikat o zaberg jest tuż po włączeniu na pulpicie. w oknie tym jest taka informacja jak usuniety występuje tam data zawsze równa z tą kiedy włacza sie kompa. niejako usuwa za kazdym razem przy właczeniu tak to rozumiem Regedit w trybie normalnym nie działa cały czas nie może znaleźć pliku natomiast w awaryjnym działa normalnie oraz taki klucz istnieje: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\ProfileList w przypadku tego klucza: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon -GPExtensions -Notify -SpecialAccounts w przypadku otl w trybie awaryjnym nie wyskakuje komunikat nie musiałem również przenosić zadziałał w pierwotnej lokalizacji. ponizej dodaje raport z otl oraz jak wygladają te tarcze. wszędzie gdzie wystąpi taka żółto-niebieska tarcza nie da się wejść. zero reakcji OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 17 Listopada 2011 Zgłoś Udostępnij Opublikowano 17 Listopada 2011 Temat przenoszę do Malware. Widzisz, wcale nie został dostarczony komplet plików rejestru, zabrakło NTUSER.DAT z profilu użytkownika. To w tym pliku byłoby widać owego "zaberga" startującego z jeszcze innego miejsca niż Taskman (konkretniej: Shell oraz wpis w Run). Aktualnie w sumie są aż trzy miejsca inicjujące tę infekcję plus "Gijijo": O4 - HKU\S-1-5-21-4080397756-3411104926-3550076618-1000..\Run: [Gijijo] C:\Users\CARREFOUR\AppData\Roaming\Gijijo.exe ()O4 - HKU\S-1-5-21-4080397756-3411104926-3550076618-1000..\Run: [zaber0] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe ()O20 - HKLM Winlogon: TaskMan - (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe) -C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe ()O20 - HKU\S-1-5-21-4080397756-3411104926-3550076618-1000 Winlogon: Shell - (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe) -C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe () w przypadku otl w trybie awaryjnym nie wyskakuje komunikat nie musiałem również przenosić zadziałał w pierwotnej lokalizacji Z tego wynika, że owe błędy zachodzą tylko w trybie normalnym a nie awaryjnym, co sugeruje, że od A do Z przyczynia się do tego infekcja. ponizej dodaje (...) jak wygladają te tarcze. Teraz widzę o co Ci chodzi. Ależ ... to normalne i ja też je mam. To oznaczenie systemu, że skorzystanie z tych opcji wymaga przejścia przez UAC (Kontrolę konta użytkownika). Tak, konta administracyjne podlegają temu procesowi. Przechodząc do usuwania infekcji: 1. Z poziomu Trybu awaryjnego uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files rd /s /q C:\RECYCLER /C del /q "C:\Users\CARREFOUR\AppData\Roaming\Gijijo.exe" /C :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon] "Taskman"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Gijijo"=- "zaber0"=- :Commands [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i automatycznie powinien się otworzyć log w Notatniku z wynikami usuwania. 2. Z poziomu Trybu normalnego Windows sprawdź czy zaczął działać OTL (jeśli nie, zrób nowy log opcją Skanuj z poziomu Trybu awaryjnego). Przedstaw nowy log oraz dołącz i ten z wynikami usuwania z punktu 1. . Odnośnik do komentarza
zielonyy52 Opublikowano 17 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 17 Listopada 2011 Jak przejść przez ten UAC?? komunikat o zaberg już nie pojawia się po uruchomieniu systemu wynikają z powodu infekcji: czyli antywirus za słaby nie zadziałał?? W trybie normalnym nadal otl nie działa nie może odnaleźć pliku. oto raport z otl w trybie awaryjnym po wykonaniu pkt 1 oraz log, z tym że extras.txt nie pojawił sie po zrobieniu skanu OTL(1).Txt 11172011_135301.txt Odnośnik do komentarza
picasso Opublikowano 18 Listopada 2011 Zgłoś Udostępnij Opublikowano 18 Listopada 2011 Jak przejść przez ten UAC?? Nie rozumiem pytania. UAC (którym steruje się w Panel sterowania > Konta użytkowników i filtr rodzinny > Konta użytkowników > Zmień ustawienia funkcji Kontrola konta użytkownika) to wbudowana funkcja Windows 7. Owe tarcze, które pokazujesz, są najzupełniej normalne (posiadam je wszędzie tam gdzie Ty) i nie podejmuje się tu żadnych dodatkowych działań. Kliknięcie w opcję z takim oznaczeniem w trybie cichym wykonuje podnoszenie uprawnień i po prostu opcja sama się otwiera .... Sprecyzuj, co to w ogóle znaczy: nie mam dostepu do takiej opcji jak kontrola rodzicielska,zmień typ mojego konta itd Na czym polega "brak dostępu", jaki błąd widzisz? W trybie normalnym nadal otl nie działa nie może odnaleźć pliku W związku z tym, że nic więcej nie widzę w raporcie, wykonaj następujące czynności: 1. Usunięcie McAfee z systemu do teraz niejasne. Na wszelki wypadek przejedź ten system za pomocą narzędzia McAfee Consumer Products Removal tool. 2. Skoro błąd "nie można odznaleźć" występuje tylko w Trybie normalnym, przetestuj czy to samo się ujawnia na tzw. czystym rozruchu: KB929135. 3. Przeskanuj system za pomocą Kaspersky Virus Removal Tool. Otwórz konfigurację skanera w prawym górnym rogu i zaznacz wszystkie obszary do skanowania. Przeklej zagrożenia (karta Detected Threats), o ile jakieś zostaną wykryte. . Odnośnik do komentarza
zielonyy52 Opublikowano 22 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 22 Listopada 2011 tak więc pytałem jak przejśc przez ten UAC ponieważ w momencie kiedy chce wejsc w >zmień ustawienia funkcji Kontrola konta użytkownika to nic sie nie dzieje tylko cos jakby odświeżenie okna. wszedzie gdzie jest tarcza tak jak na 1 i 2 screenie tam ja nie mam dostepu tzn. po naciśnieciu nic sie nie dzieje nic się nie otwiera tylko to niby odswiezenie okna. co do mcafee moje konto wygasło i zalogowanie sie nic nie da a narzedzie MCPR.exe oczywiście nie moze znaleźć pliku....ale jak widac na nastepnym screenie jakaś pozostałośc pozostała. czysty rozruch w trybie normalnym jest nie mozliwy wyskakuje jak zwykle komunikat ze nie moze odnaleźc pliku w trybie awaryjnym np. pole "załaduj elementy startowe " jest dostepny a na karcie usługi po wyłączeniu usług firmy microsoft opcja wyłącz wszystkie jest niedostępna idąc dalej przeskanowanie systemu za pomoca kasperskiego jest równiez nie możliwe ponieważ nie może odnaleźć pliku. w trybie awaryjnym nic nie wykrył. po przejściu na nowo z tryby awaryjnego do normalnego po nieudanej próbie czystego rozruchu i przeskanowaniu kasperskym systemu wyskoczył taki komunikat jak na 4 screenie. nie wiem czy ma to cos wspólnego z tymi problemami o których tutaj piszę ale czesto zdarza sie ze touchpad się zawiesza tzn brak reakcji musze prawo i lewo klik wiele razy nacisnąć az wyskoczy mi okienko w którym program toshiby bede mógł zamknac i działa wtedy normalnie choć ostatnio coraz częściej musze wylogowywac i zalogowywac sie bo nic sie nie da zrobic. przy kursorze wtedy wyskakuje szare kólko niestety nie moge przesąłc screena poniewaz po zawieszeniu naciśnieciu klawisza print screen owa funkcja jest nie dostepna tzn naciskam klawisz wchodze w painta i nie został zrobiony screen. Odnośnik do komentarza
zielonyy52 Opublikowano 22 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 22 Listopada 2011 spróbowalem jeszcze MCPR.exe uruchomic w systemie awaryjnym ale jak widac na screenie nic nie wskurałem Odnośnik do komentarza
picasso Opublikowano 22 Listopada 2011 Zgłoś Udostępnij Opublikowano 22 Listopada 2011 Mam pytanie: czy posiadasz punkt Przywracania systemu sprzed wystąpienia problemu? Interfejs Przywracania systemu uruchom z poziomu Trybu awaryjnego Windows i sprawdź czy w ogóle jest punkt cofania systemu. spróbowalem jeszcze MCPR.exe uruchomic w systemie awaryjnym ale jak widac na screenie nic nie wskurałem W innym temacie był identyczny błąd, a narzędzie zadanie wykonało. . Odnośnik do komentarza
zielonyy52 Opublikowano 22 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 22 Listopada 2011 niestety nie mam zadnego punktu przywracania sprzed okresu w którym wystąpiły komplikacje w tej sytuacji powaznie już myślę o formacie Odnośnik do komentarza
picasso Opublikowano 24 Listopada 2011 Zgłoś Udostępnij Opublikowano 24 Listopada 2011 (edytowane) niestety nie mam zadnego punktu przywracania sprzed okresu w którym wystąpiły komplikacje Ta opcja z reinstalacją Windows nie taka głupia. Hmmm ... Tryb awaryjny jest w porządku, co nasuwa podejrzenia (może to zwodnicze), że raczej jest coś niedobrego ładowane w normalnym a nie, że są globalne uszkodzenia. Dostarcz mi jeszcze pełne Dzienniki zdarzeń do analizy: KLIK. czysty rozruch w trybie normalnym jest nie mozliwy To sprawdź symulację tego zachowania przeprowadzoną przez obejście. Zakładam, że w msconfig odznaczyłeś wszystkie elementy startowe, które się dało. Z poziomu Trybu awaryjnego uruchom aplikację ServiWin. W menu View przestaw z Drivers na Services, następnie przez klik w kolumnę "Company" ułóż wszystkie usługi tak, by Microsoft był razem w bloku, a inni producenci poza. Usługi opisane jako "Microsoft" omijasz, a wśród pozostałych szukasz tych pozycji (chodzi o końcową (nazwę w nawiasach)): SRV:64bit: - [2010-03-14 04:52:27 | 001,030,600 | ---- | M] (Macrovision Europe Ltd.) [On_Demand | Stopped] -- C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe -- (FLEXnet Licensing Service 64)SRV:64bit: - [2009-08-27 13:38:22 | 000,251,760 | ---- | M] (TOSHIBA Corporation) [Auto | Stopped] -- C:\Program Files\TOSHIBA\TECO\TecoService.exe -- (TOSHIBA eco Utility Service)SRV:64bit: - [2009-08-05 14:20:12 | 000,488,800 | ---- | M] (TOSHIBA Corporation) [Auto | Stopped] -- C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe -- (TosCoSrv)SRV:64bit: - [2009-08-04 11:15:06 | 000,826,224 | ---- | M] (TOSHIBA Corporation) [On_Demand | Stopped] -- C:\Program Files\TOSHIBA\TPHM\TPCHSrv.exe -- (TPCHSrv)SRV:64bit: - [2009-08-03 17:17:56 | 000,137,560 | ---- | M] (TOSHIBA Corporation) [On_Demand | Stopped] -- C:\Program Files\TOSHIBA\TOSHIBA HDD SSD Alert\TosSmartSrv.exe -- (TOSHIBA HDD SSD Alert Service)SRV:64bit: - [2009-07-28 14:48:06 | 000,140,632 | ---- | M] (TOSHIBA Corporation) [Auto | Stopped] -- C:\Windows\SysNative\TODDSrv.exe -- (TODDSrv)SRV - [2011-11-16 02:04:17 | 003,313,240 | ---- | M] () [Auto | Stopped] -- c:\program files (x86)\common files\akamai/netsession_win_3c5db2f.dll -- (Akamai)SRV - [2010-05-08 12:48:36 | 000,229,376 | ---- | M] () [Auto | Stopped] -- C:\ProgramData\DatacardService\DCService.exe -- (DCService.exe)SRV - [2009-09-15 13:38:28 | 000,241,664 | ---- | M] () [Auto | Stopped] -- C:\Program Files (x86)\blueconnect\AssistantServices.exe -- (UI Assistant Service)SRV - [2009-08-17 10:48:42 | 000,051,512 | ---- | M] (TOSHIBA Corporation) [On_Demand | Stopped] -- C:\Program Files (x86)\TOSHIBA\TOSHIBA Service Station\TMachInfo.exe -- (TMachInfo)SRV - [2009-08-10 19:55:58 | 000,248,688 | ---- | M] (TOSHIBA CORPORATION) [Auto | Stopped] -- C:\Program Files (x86)\TOSHIBA\ConfigFree\CFIWmxSvcs64.exe -- (cfWiMAXService)SRV - [2009-08-06 15:02:50 | 000,116,104 | ---- | M] (Toshiba Europe GmbH) [Auto | Stopped] -- C:\Program Files (x86)\Toshiba TEMPRO\TemproSvc.exe -- (TemproMonitoringService) Notebook Performance Tuning Service (TEMPRO)SRV - [2009-07-14 19:10:30 | 000,042,368 | ---- | M] (TOSHIBA CORPORATION) [Auto | Stopped] -- C:\Program Files (x86)\TOSHIBA\ConfigFree\CFProcSRVC.exe -- (ConfigFree Gadget Service)SRV - [2009-05-14 17:07:14 | 000,759,048 | ---- | M] (ABBYY) [Auto | Stopped] -- C:\Program Files (x86)\Common Files\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe -- (ABBYY.Licensing.FineReader.Sprint.9.0)SRV - [2009-03-10 18:51:20 | 000,046,448 | ---- | M] (TOSHIBA CORPORATION) [Auto | Stopped] -- C:\Program Files (x86)\TOSHIBA\ConfigFree\CFSvcs.exe -- (ConfigFree Service) Z prawokliu na każdą z tych pozycji wybierz z menu opcję Change Startup Type > Disable. Zresetuj system do trybu normalnego i powiedz czy są jakieś skutki. . Edytowane 7 Stycznia 2012 przez picasso 7.01.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi