Skocz do zawartości

Błąd aplikacji przy instalacji programu


Rekomendowane odpowiedzi

Witam

 

Mam problem z zainstalowaniem programu z powodu takieg błędu.

Próbowałem kilka razy i się cały czas powtarza.

 

Przesyłam log FRST.

Wczoraj uzyłem wise registry cleaner - nie wiem czy to moze mieć związek.

A może wada aplikacji (chociaż pobrana ze strony producenta).

 

Podobny komunikat wyświetlił się przy próbie instalacji mcafee (do maleware).

 

Także przy wyłączonym comodo.

 

Typ zdarzenia:    Błąd

Źródło zdarzenia:    Application Error

Kategoria zdarzenia:    Brak

Identyfikator zdarzenia:    1000

Data:        2014-12-18

Godzina:        19:00:32

Użytkownik:        Brak

Komputer:    H-13F81598AAAB4

Opis:

Aplikacja powodująca błąd roguekiller.exe, wersja 10.1.0.0, moduł powodujący błąd roguekiller.exe, wersja 10.1.0.0, adres błędu 0x001a38b0.

 

Aby znaleźć więcej informacji, zobacz hxxp://go.microsoft.com/fwlink/events.asp w Centrum pomocy i obsługi technicznej.

Dane:

0000: 41 70 70 6c 69 63 61 74   Applicat

0008: 69 6f 6e 20 46 61 69 6c   ion Fail

0010: 75 72 65 20 20 72 6f 67   ure  rog

0018: 75 65 6b 69 6c 6c 65 72   uekiller

0020: 2e 65 78 65 20 31 30 2e   .exe 10.

0028: 31 2e 30 2e 30 20 69 6e   1.0.0 in

0030: 20 72 6f 67 75 65 6b 69    rogueki

0038: 6c 6c 65 72 2e 65 78 65   ller.exe

0040: 20 31 30 2e 31 2e 30 2e    10.1.0.

0048: 30 20 61 74 20 6f 66 66   0 at off

0050: 73 65 74 20 30 30 31 61   set 001a

0058: 33 38 62 30 0d 0a         38b0..  

 

 

Za pomoc z góry dziękuję.

FRST.txt

Addition.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Używany był tu ComboFix i na ten temat: KLIK. Poza tym, widzę na dysku logi OTL (a nie zostały tu dołączone) i co niepokojące plik o nazwie skrypt z netu.txt - co to za plik, czy to miał być "skrypt do OTL"?

 

Brakuje FRST Shortcut oraz GMER. Póki co, w raportach widoczne następujące problemy:

- Polityki oprogramowania, choć nie jest pewne do końca ich pochodzenie.

- Uszkodzenie bazy Usług kryptograficznych (catroot lub catroot2) - od góry do dołu usługi i sterowniki Microsoftu są przedstawione jako niepodpisane cyfrowo ([File not signed]).

 

Wstępnie:

 

1. Uruchom narzędzie Fix It 50202: KLIK. Narzędzie działa na XP. Zaznacz tryb agresywny - w jego skład wchodzi reset bazy catroot2.

 

2. Pozostałe poprawki, dwa skrypty, gdyż wypięcie odpadkowych dzienników Dr. Web i TuneUp wymaga tymczasowego wyłączenia usługi Dziennik zdarzeń:

 

Adnotacja dla innych czytających: skrypty unikatowe - dopasowane tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

----> Otwórz Notatnik i wklej w nim:

 

CMD: sc config Eventlog start= disabled
Reboot:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny (logując się na swoje konto Primus Girrafus a nie wbudowanego Administratora), gdyż COMODO przeszkodzi pracy FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart, opuść Tryb awaryjny - start Windows może być nieco dłuższy ze względu na wyłączony Dziennik. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (przekopiuj go gdzieś indziej).

 

----> Otwórz Notatnik i wklej w nim:

 

CloseProcesses:

HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%

HKLM Group Policy restriction on software: C:\Program Files\uTorrent\uTorrent.exe

HKLM Group Policy restriction on software: C:\Program Files\eMule\emule.exe

HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe

HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe

HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%

HKU\S-1-5-21-776561741-1935655697-839522115-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction

URLSearchHook: HKLM - Default Value = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D}

S2 ATE_PROCMON; \??\C:\Program Files\Anti Trojan Elite\ATEPMon.sys [X]

S3 catchme; \??\C:\DOCUME~1\PRIMUS~1\USTAWI~1\Temp\catchme.sys [X]

S3 pccsmcfd; system32\DRIVERS\pccsmcfd.sys [X]

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service"

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver"

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver"

C:\Documents and Settings\All Users\Dane aplikacji\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F}

C:\Documents and Settings\All Users\Dane aplikacji\Doctor Web

C:\Documents and Settings\All Users\Dane aplikacji\TuneUp Software

C:\Documents and Settings\Primus Girrafus\Doctor Web

C:\Documents and Settings\Primus Girrafus\Dane aplikacji\TuneUp Software

C:\Documents and Settings\Primus Girrafus\Ustawienia lokalne\Dane aplikacji\nsf40.tmp

C:\Program Files\TuneUp Utilities 2013

C:\WINNT\system32\config\Doctor Web.evt

C:\WINNT\system32\config\TuneUp.evt

CMD: sc config Eventlog start= auto

Reg: reg add "HKLM\Software\Microsoft\Internet Explorer\Main" /v "Local Page" /t REG_SZ /d C:\WINNT\System32\blank.htm /f

Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /v Tabs /f

Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f

Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f

Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f

EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny. Uruchom FRST i kliknij w Fix. Nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (nadpisuje poprzedni).

 

3. Zrób nowy log FRST z opcji Scan (brakujący Shortcut ma zostać zaznaczony). Dołącz też oba pliki fixlog.txt. Opisz co się dzieje.

Odnośnik do komentarza

Plik o nazwie skrypt z netu.txt nie był użyty i nie jest z tym zamiarem na dysku - mój przypadek przedstawiam tylko tutaj.

 

 

pkt1 zrobione

 

pk2

zrobiony pierwszy skrypt i skopiowany fixlog

drugi skrypt - po wybraniu opcji "fix" komputer od razu się zrestartował i uruchomił w trybie normalnym z komunikatem że system odzyskał sprawność po błędzie.

 

po próbie ponownego uruchomienia programów od których zacząłem ten wątek zmienił się komunikat o błędzie - chąc skopiować z dziennika treść błędu nie można wyświetlić danych - użyłem PrtScr

 

zrobiłem ponowny skan FRST

 

wczoraj jeszcze zanim zabrałem się dzisiaj do komputera odinstalowałem comodo.

Fixlog.txt

FRST.txt

Shortcut.txt

Addition.txt

post-14696-0-89500000-1419017770_thumb.jpg

post-14696-0-89340000-1419017771_thumb.jpg

Odnośnik do komentarza

Masowa usterka [File not signed] naprawiona. Natomiast pierwszy skrypt FRST wyłączył Dziennik zdarzeń, drugi miał go włączyć ponownie. Drugi skrypt jednak w ogóle nie wykonany. Powtórz akcję, ale bez komend CloseProcesses: + EmptyTemp:, czyli zastosuj fixlist o postaci:

 

HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% 
HKLM Group Policy restriction on software: C:\Program Files\uTorrent\uTorrent.exe 
HKLM Group Policy restriction on software: C:\Program Files\eMule\emule.exe 
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe 
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe 
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% 
HKU\S-1-5-21-776561741-1935655697-839522115-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
URLSearchHook: HKLM - Default Value = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D}
S2 ATE_PROCMON; \??\C:\Program Files\Anti Trojan Elite\ATEPMon.sys [X]
S3 catchme; \??\C:\DOCUME~1\PRIMUS~1\USTAWI~1\Temp\catchme.sys [X]
S3 pccsmcfd; system32\DRIVERS\pccsmcfd.sys [X]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver"
C:\Documents and Settings\All Users\Dane aplikacji\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F}
C:\Documents and Settings\All Users\Dane aplikacji\Doctor Web
C:\Documents and Settings\All Users\Dane aplikacji\TuneUp Software
C:\Documents and Settings\Primus Girrafus\Doctor Web
C:\Documents and Settings\Primus Girrafus\Dane aplikacji\TuneUp Software
C:\Documents and Settings\Primus Girrafus\Ustawienia lokalne\Dane aplikacji\nsf40.tmp
C:\Program Files\TuneUp Utilities 2013
C:\WINNT\system32\config\Doctor Web.evt
C:\WINNT\system32\config\TuneUp.evt
CMD: sc config Eventlog start= auto
Reg: reg add "HKLM\Software\Microsoft\Internet Explorer\Main" /v "Local Page" /t REG_SZ /d C:\WINNT\System32\blank.htm /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /v Tabs /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reboot:

 

Przedstaw wynikowy fixlog.txt oraz zrób nowy skan FRST po akcji.

Odnośnik do komentarza
  • 3 tygodnie później...

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...