Restart zamiast wyłączenia, Yontoo w dodaj usuń programy, programy nie uruchamiają się

[chaos]

Witam

 

   Mam problem z kompem który ktoś wcześniej próbował naprawiać. System to  Windows XP Home OEM. Pierwsze co mi się rzuciło w oczy to brak msconfiga - a dokłaniej nie uruchamia się ani z menu uruchom, ani w konsoli. Trzeba wejść do C:\WINDOWS\pchealt\helpctr\binaries i stamtąd uruchomić z dwukliku. Nie wiem czemu ikonka dysku D:\ wygląda jak ikonka modemu.

   Potem wyłączyłem usługi eseta bo co chwilę wyskakiwało okienko błąd aplikacji. Przeglądarki - Chrome i IE - nie uruchamiają się, też błąd aplikacji przy starcie, po doinstalowaniu firefoxa to samo. Dopiero w trybie awaryjnym uruchomiła się któraś, - aktualnie firefox i IE działają tylko w trybie awaryjnym, powyłączałem im też wszystkie dodatki w stylu java, flash, silverlight i jakieś playery. FRST - też błąd aplikacji ale zadziałał w trybie awaryjnym. Większość programów i instalatorów ma ten błąd. Gmer i MBAM uruchomiły się. Z dodaj usuń programy nie idzie usunąć Yontoo 1.10.03 - wyskakuje okienko: "Tarma@ Installer", z komunikatem: Setup initialization error, w trybie awaryjnym tak samo.

 

  W usługach mam dwie podejrzane jak na mnie:

 

Pierwsza:

"BrowserProtect" - ścieżka do tego - C:\Documents and Settings\All Users\Dane aplikacji\BrowserProtect\2.6.1095.52.\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe

 

Druga:

"SerialKeys" - ścieżka do tego - C:\WINDOWS\System32\skeys.exe

 

  Najpierw przeskanowałem kompa esetem online ale nie usunąłem tego co znalazł, potem uruchomiłem gmera, potem jeszcze raz eset online tym razem z usuwaniem znalezionych, i jeszcze MBAM, dr. Web, rkill - ale dokładnie nie pamiętam w jakiej kolejności i z jakim efektem.

 

   System uruchamia się bardzo długo, tak samo długo usiłuje się wyłączyć. Usiłuje ponieważ w trakcie wyłączania wyskakuje okienko: "SAS window: winlogon.exe - Błąd aplikacji" z komunikatem: Instrukcja spod "0x77c634f" odwołuje się do pamięci pod adresem "0xed8503e9". Pamięć nie może być "written". Po czym komp zamiast się wyłączyć - restartuje. W trybie awaryjnym wyłącza się normalnie.

 Dodam że mentest nie znalazł błędów w ramach.

 

  Z eseta online chyba nie zrobiłem logu tylko skopiowałem listę tego co znalazł, tak że tylko to z eseta będzie.

 

  To na tyle, sorki za rozpisanie - Dzięki za przeczytanie

gmer.txt

Addition.txt

FRST.txt

Shortcut.txt

cureit.txt

MBAMraport.txt

wynik-eset-online.txt

[picasso]

Infekcja jest prawdopodobnie w pliku systemowym rpcss.dll, nie jest podpisany cyfrowo, a jego suma kontrolna jest unikatowa (b81b8dd052af396b3ef36e73b9d179c9):

 

R2 DcomLaunch; C:\WINDOWS\system32\rpcss.dll [401408 2009-02-09] (Microsoft Corporation) [File not signed]

S3 ImapiService; C:\WINDOWS\system32\imapi.exe [150528 2008-04-15] (Microsoft Corporation) [File not signed]

R2 RpcSs; C:\WINDOWS\system32\rpcss.dll [401408 2009-02-09] (Microsoft Corporation) [File not signed]

 

Inne problemy:

- Strasznie archaiczna wersja ESET z 2009, na dodatek scrackowana.

- Adware (BrowserProtect, Delta, Yoonto), ale siedzi ono w systemie od lat, to stare aplikacje już nie występuje w świeżych miotach adware.

 

 

Druga:

"SerialKeys" - ścieżka do tego - C:\WINDOWS\System32\skeys.exe

To poprawna usługa od Microsoft Serial Keys Utility (SKeys):

 

S2 SerialKeys; C:\WINDOWS\system32\skeys.exe [26112 2008-04-15] (Microsoft Corporation)

 

Nie wiem czemu ikonka dysku D:\ wygląda jak ikonka modemu.

Prawdopodobnie w root dysku jest ukryty nieszkodliwy plik autorun.inf związany z tym procesem: KLIK.

 

 

 

Na początek poproszę o spis kopii plików Microsoftu oznaczonych jako niesygnowane. Uruchom FRST, w polu Search wklej:

 

rpcss.dll;imapi.exe

 

Klik w Search Files i dostarcz wynikowy log.

[chaos]

Jest log - a odnoście ESETa - i tak potrzebny jest pewnie nowy antyvirus, czyli rozumie odinstalować?

Yoonto nie umie wywalić. A BrowserProtecta i Delty nie widze w zainstalowanych.

Search.txt

[picasso]

ESET i adware było wzmiankowane w ramach ogólnego podsumowania co widzę, a nie jako wskazówka, że masz się zabierać za deinstalację. Tu jest ścisła kolejność zadań, każdy krok ma określone następstwa i rozpisuję szczegółowe instrukcje. Yontoo nie możesz odinstalować, bo uszkodziłeś go skanerami (zawsze należy deinstalować w pierwszej kolejności przed użyciem skanerów), BrowserProtect i Delta nie widnieją zaś na liście zainstalowanych, są/były w innych miejscach. Nie zauważyłam, że podane tu logi są stare - FRST pochodzi sprzed wielu dni (22 luty), na dodatek został zrobiony przed usuwaniem MBAM (23 luty), który zmienił to co widać w FRST. Temat powstał 26 lutego, dane mam zupełnie nieadekwatne i muszę się gimnastykować z nanoszeniem poprawki na zmiany poczynione przez skanery. Ale jest pewne, że w chwili obecnej pliki Windows są zmodyfikowane, bo skan FRST Search to potwierdza.

 

 

Działania do przeprowadzenia:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
Replace: C:\WINDOWS\$hf_mig$\KB956572\SP3QFE\rpcss.dll C:\WINDOWS\system32\rpcss.dll
Replace: C:\WINDOWS\system32\dllcache\imapi.exe C:\WINDOWS\system32\imapi.exe
S4 BrowserProtect; C:\Documents and Settings\All Users\Dane aplikacji\BrowserProtect\2.6.1095.52\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe [0 2013-02-11] () 
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_cdcecm; system32\DRIVERS\ew_jucdcecm.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X]
S3 HWiNFO32; \??\C:\DOCUME~1\KaMiLa\USTAWI~1\Temp\HWiNFO32.SYS [X]
S3 RT80x86; system32\DRIVERS\RT2860.sys [X]
HKLM\...\Run: [userFaultCheck] => %systemroot%\system32\dumprep 0 -u
ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll No File
ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll No File
ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll No File
ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll No File
CustomCLSID: HKU\S-1-5-21-1123561945-776561741-1801674531-1004_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Documents and Settings\KaMiLa\Dane aplikacji\GG\ggdrive\ggdrive-menu.dll No File
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKU\S-1-5-21-1123561945-776561741-1801674531-1004\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://www.delta-search.com/?affID=119370&babsrc=NT_ss&mntrId=80c1e2a600000000000000b08c069ac4" 
SearchScopes: HKU\S-1-5-21-1123561945-776561741-1801674531-1004 -> {F10D8717-BF7A-4144-9CA6-E4AE455F60B4} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^PL&apn_uid=57C20B5C-425A-4691-B7EB-B63C4AB36C04&apn_sauid=D13AA595-CBAC-4E16-834E-B02F7B260CEB
BHO: delta Helper Object -> {C1AF5FA5-852C-4C90-812E-A7F75E011D87} -> C:\Program Files\Delta\delta\1.8.10.0\bh\delta.dll (Delta-search.com)
Toolbar: HKLM - Delta Toolbar - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files\Delta\delta\1.8.10.0\deltaTlbr.dll (Delta-search.com)
Toolbar: HKU\S-1-5-21-1123561945-776561741-1801674531-1004 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
C:\Documents and Settings\All Users\Dane aplikacji\BrowserProtect
C:\Documents and Settings\KaMiLa\Dane aplikacji\DSite
C:\Documents and Settings\KaMiLa\Dane aplikacji\PDF Creator Packages
C:\Documents and Settings\KaMiLa\Menu Start\Programy\BrowserProtect
C:\Documents and Settings\KaMiLa\Menu Start\Programy\eGames
C:\Program Files\GUT2.tmp
C:\Program Files\GUM1.tmp
C:\Program Files\Delta
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\DSite /f
Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\PDF Creator Packages" /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{889DF117-14D1-44EE-9F31-C5FB5D47F68B} /f
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
CMD: dir /a D:\

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Sprawdź czy jesteś w stanie odinstalować przez Dodaj/Usuń programy stare wersje: Adobe Flash Player 11 ActiveX, ESET NOD32 Antivirus, Google Chrome, Java 7 Update 11.

 

3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się jakie problemy notujesz.

[chaos]

.. ekhm... sory za problemy - nie zwróciłem uwagi na daty, a działałem wcześniej dość chaotycznie.

 

A z resztą tak: Adobe Flash Player 11 ActiveX i Java 7 Update 11 - odinstalowane. Google Chrome nie widzę w ogóle w Dodaj/Usuń programy. ESET NOD32 Antyvirus ma tylko opcję "zmień". Usługi ESETA wyłączyłem, są tam trzy: ESET HTTP Server, ESET Service, ESET Trial Reset.

 

  FRST wykonał ten fixlist.txt chyba w 2 sekundy - to tak szybko miało iść...? Wpis Yontoo zniknął.

  Skanowanie musiałem znowu wykonać w trybie awaryjnym, w normalnym trybie chwilę po uruchomieniu wyskakuje komunikat: "Wystąpił problem z aplikacją FRST.exe i zostanie ona zamknięta, po czym komunikat znika... i tyle widziałem FRST. W firefoxie podobnie uruchamia się, nawet załaduje stronę z ostatniej sesji i wyskakuje najpierw okienko firefoxa o awarii, a po tym systemowe o błędzie. Przy wyłączaniu za pierwszym razem wyłączył się normalnie, ale potem znowy ten sam błąd winlogona i restart zamiast wyłączenia.

  A i przed tym jeszcze przy włączaniu trybu awaryjnego system zawisł na pliku ntoskrnl.exe, wyłączyłem go na obudowie i tryb awaryjny działa.

 

Addition.txt

FRST.txt

Fixlog.txt

[picasso]

FRST wykonał ten fixlist.txt chyba w 2 sekundy - to tak szybko miało iść...? Wpis Yontoo zniknął.

W sprzyjających okolicznościach i w zależności od użytych komend Fix może wejść jak burza. Czasem FRST się na czymś wiesza (trudno przewidzieć na czym) i stosuję ostrzeżenia dla użytkowników, by nie przerywali pracy. Wpis Yontoo zniknął, gdyż załączyłam w skrypcie komendę usuwania klucza Yontoo z Uninstall.

 

 

Google Chrome nie widzę w ogóle w Dodaj/Usuń programy.

Skutek podania starych logów FRST. Wg FRST wpis na liście wcześniej był, obecnie już nie ma (czyli odinstalowałeś), ale ostał się ukryty updater. Podobnie z Firefox: otrzymałam logi pokazujące, że go brak i cięłam w skrypcie FRST klucze Mozilla, a tu się okazuje że Firefox w międzyczasie został doinstalowany i moja operacja uszkodziła określone fragmenty. Z tym że MozillaPlugins nie były istotne, klucze wtyczek i tak się przebudowują, o ile działa soft który je wprowadził.

 

 

ESET NOD32 Antyvirus ma tylko opcję "zmień". Usługi ESETA wyłączyłem, są tam trzy: ESET HTTP Server, ESET Service, ESET Trial Reset.

Czy po kliku w Zmień pokazuje się okno ESET podające do wyboru kolejne opcje, a wśród nich deinstalację? I deinstalacja jest możliwa tylko w Trybie normalnym, w awaryjnym nie działa usługa Instalatora Windows. A wyłączenie usług ESET to stanowczo za mało, w tle pracują jeszcze nadrzędne sterowniki, które nie są dostępne do manipulacji z poziomu przystawki services.msc czy msconfig.

 

 

Pliki Windows pomyślnie podstawione, obecnie już stoi odczyt sygnatury cyfrowej dla kluczowego:

 

C:\WINDOWS\system32\rpcss.dll => File is digitally signed

 

Ale to nie koniec - nie wiem jak to się stało, ale przegapiłam trzeci niesygnowany plik z system32 od usługi WZCSVC. Na razie omijam niepodpisany cyfrowo od Office. Kolejna porcja czynności:

 

1. Z poziomu Trybu awaryjnego zastosuj ESET Uninstaller.

 

2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście szczątek Google Update Helper > Dalej.

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
S4 .EsetTrialReset; C:\WINDOWS\system32\regedt32.exe /s C:\WINDOWS\esettrialreset.reg
HKLM\...\Run: [userFaultCheck] => %systemroot%\system32\dumprep 0 -u
FF Plugin: @java.com/DTPlugin,version=10.11.2 -> C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation)
C:\Documents and Settings\KaMiLa\Ustawienia lokalne\Dane aplikacji\Google
C:\Program Files\Google
C:\Program Files\PDFCreator
C:\WINDOWS\esettrialreset.reg
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BrowserChoice" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\egui" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GG" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\UserFaultCheck" /f
CMD: regsvr32 /u /s "C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll"
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Tym razem może być dłużej. Nastąpi restart i powstanie kolejny fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). W polu Search wklej wzcsvc.dll, klik w Search Files i ten log też dostarcz. Dołącz również plik fixlog.txt.

[chaos]

Czy po kliku w Zmień pokazuje się okno ESET podające do wyboru kolejne opcje, a wśród nich deinstalację?

Tak pokazuje się do wyboru: napraw i usuń.  Cóż... znowu czegoś nie zauważyłem. Spróbuje tak odinstalować.

 

 

ESET odinstalowany, zniknęły usługi ESET HTTP Server i ESET Service. Ale została ESET Trial Reset więc użyje tego ESET Uninstaller.

[picasso]

ESET Uninstaller i tak do zastosowania jako poprawka, na wypadek gdyby normalna deinstalacja coś ominęła. Ty cały czas oceniasz tylko usługi programowe, a nie sterowniki i wpięcia na urządzeniach. Ale ESET Trial Reset to crack ESET poza obszarem zainteresowań narzędzia firmowego ESET - ta usługa jest załączona do usunięcia w skrypcie FRST.

[chaos]

2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście szczątek Google Update Helper > Dalej.

To nie przeszło, najpierw musialem ściagnac .NET Framework żeby w ogóle ruszył, a kiedy już ruszyl to oczywiscie znowu błąd aplikacji i tyle. W trybie awaryjnym nie odpale bo tam znowu .NET Framework nie ruszy. Dlatego przeszłem do punktu 3. FRST używam caly czas w trybie awaryjnym, firefoxa w trybie awaryjnym z obsługa sieci - pisze o tym bo nie wiem czy to ma jakieś znaczenie.

 

W pliku Search.txt było tylko tyle:

 

Farbar Recovery Scan Tool (x86) Version: 25-02-2015 01

Ran by KaMiLa at 2015-02-27 04:58:59

Running from C:\Documents and Settings\KaMiLa\Pulpit

Boot Mode: Safe Mode (with Networking)

 

================== Search Files: "wzcsvc.dll" =============

 

C:\WINDOWS\system32\wzcsvc.dll

[2008-04-14 23:51][2008-04-15 13:00] 0483840 ____A (Microsoft Corporation)

 

====== End Of Search ======

FRST.txt

Fixlog.txt

[picasso]

W systemie nie ma poprawnej kopii pliku wzcsvc.dll - ten plik ewentualnie dostarczę z własnej wirtualnej maszyny XP, gdy znajdę czas. I mnie się wydaje, że tu może być inny problem ogólny, spoza infekcji - coś za dużo niesygnowanych plików. FRST ma bardzo ograniczoną weryfikację, sprawdza tylko podstawową pulę, a możliwości spoza widoczności raportu jest tu multum. Może być znacznie więcej takich kwiatków w systemie. Czy posiadasz płytę Windows XP Home OEM SP3, którą można byłoby użyć do zapuszczenia polecenia sfc /scannow?

[chaos]

Czy posiadasz płytę Windows XP Home OEM SP3, którą można byłoby użyć do zapuszczenia polecenia sfc /scannow?

Mogę posiadać, ale... nieoficjalną płytę Windows XP Professional SP3... może być?

System na kompie oficjalny - nalepka jest na obudowie.

 

 Pożyczyłem tę płytkę, odpaliłem konsolę - po wpisaniu help nie pokazało sfc na liście dostępnych komend - tak że mogę odpowiedzieć sam sobie - nie może być...

 

Edit.

  Zdarzył się cud!- udało się uruchomić i FRST i firefox'a w normalnym trybie! A doszło do tego tak. Postanowiłem zobaczyć co się uruchamia z FRST jak wyskakuje ten błąd aplikacji. Więc popatrzyłem na podgląd zdarzeń. W zakładce aplikacja komunikat: "Plik dziennika zdarzeń jest uszkodzony." W zakładce system zobaczyłe z dwie czy trzy usługi których już nie pamiętam. Ostatecznie zmieniłem tryb uruchamiania z ręcznego na wyłączony czterem usługom: Usługa odnajdowania SSDP, Menedze usługi dostęp zdalny, Menedzer autopołączenia dostępu zdalnego, Telefonia.

 

Po tym zrestartowałem kompa i uruchomiłem FRST - ku mojemu zdziwieniu zadziałał i nawet zgodził się na skanowanie..., uruchomiłem firefox'a - też zadziałał. Przy wyłączaniu nie ma błędu winlogona i normalnie się zamyka, a nie restartuje.

 

  Wyniki skanu FRST w załącznikach.

 

  Niestety "Microsoft Fix it" za to twierdzi że nie ma .NET Framework, a w Dodaj/Usuń programy mam to co zainstalowałem: "Microsoft .NET Framework 4 Client Profile" i "Microsoft .NET Framework 4 Extended". Chyba że zainstalowałem nie to co trzeba... - nie wiem.

 

Edit2.

  Już wien - doczytałem wreszcie że .NET Framework 4 nie jest dla XP tylko nowszych. Zainstalowałem .NET Framework 2 i "Microsoft Fix it" zadziałał - więc odinstalowałem Google Update Helper - po tym znowu skan FRST i wyniki w załącznikach poniżej. Dodaje jeszcze wynik skanu Emsisoft Emergency Kit.

 Po wpisaniu msconfig w Start->Uruchom wypisuje komunikat "System Windows nie może odnaleźć pliku msconfig."

FRST.txt

Addition.txt

Shortcut.txt

Emsisoft Emergency Kit_150302-211709.txt

Edytowane 3 Marca 2015 przez chaos

[picasso]

Temat przenoszę do działu Windows. To moim zdaniem nie jest problem infekcji.

 

 

W zakładce aplikacja komunikat: "Plik dziennika zdarzeń jest uszkodzony." W zakładce system zobaczyłe z dwie czy trzy usługi których już nie pamiętam. Ostatecznie zmieniłem tryb uruchamiania z ręcznego na wyłączony czterem usługom: Usługa odnajdowania SSDP, Menedze usługi dostęp zdalny, Menedzer autopołączenia dostępu zdalnego, Telefonia.

To nadal wskazuje na uszkodzone pliki i jeszcze wychodzi na to, że są uszkodzone pliki EVT Dziennika zdarzeń. Pod kątem Dziennika zdarzeń, operacja sprowadza się do usunięcia plików EVT i ich regeneracji. Akcja wymaga tymczasowego wyłączenia usługi Dziennik zdarzeń, więc są dwa etapy zadania:

 

1. Otwórz Notatnik i wklej w nim:

 

CMD: sc config Eventlog start= disabled
Reboot:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zostanie wymuszony restart. Zachowaj wynikowy fixlog.txt.

 

2. Otwórz Notatnik i wklej w nim:

 

C:\WINDOWS\system32\config\*.evt


CMD: sc config Eventlog start= auto

Reboot:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zostanie wymuszony restart. Powstanie kolejny fixlog.txt. Przedstaw oba pliki fixlog.txt.

 

 

Po wpisaniu msconfig w Start->Uruchom wypisuje komunikat "System Windows nie może odnaleźć pliku msconfig."

To z kolei wskazuje na uszkodzone Zmienne środowiskowe.

 

Panel sterowania > System > Zaawansowane > Zmienne środowiskowe > w sekcji Zmienne systemu sprawdź czy widnieje zmienna Path równa:

 

%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem

 

Jeśli w ogóle jej nie ma, opcją Nowa... utwórz. Jeśli jest, ale punktuje inny ciąg, zedytuj.

 

 

Pożyczyłem tę płytkę, odpaliłem konsolę - po wpisaniu help nie pokazało sfc na liście dostępnych komend - tak że mogę odpowiedzieć sam sobie - nie może być...

Ale w której konsoli wklepałeś polecenie? Konsola Odzyskiwania uruchomiona z poziomu bootowalnej płyty nie udostępnia tej funkcji. sfc /scannow jest wykonalne tylko z poziomu działającego Windows. Jak rozumiem pożyczyłeś płytę Pro, a jest tu edycja Home. Proponuję inną akcję zamiennie:

 

1. Ściągnij pakiet SP3: KLIK. Pobrany plik o nazwie WindowsXP-KB936929-SP3-x86-PLK.exe zapisz bezpośrednio na dysku C.

 

2. Wyekstraktuj pakiet: Start > Uruchom > wklej komendę C:\WindowsXP-KB936929-SP3-x86-PLK.exe /x:C:\SP. Service Pack się rozpakuje do katalogu C:\SP.

 

3. Uruchom sprawdzanie plików: Start > Uruchom > sfc /scannow > gdy zostniesz poproszony o "płytę" / wskazanie ścieżki, nakieruj narzędzie na folder C:\SP\i386.

[chaos]

 Pierwszy fixlog:

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 04-03-2015
Ran by KaMiLa at 2015-03-04 18:38:21 Run:3
Running from C:\Documents and Settings\KaMiLa\Moje dokumenty\Pobrane
Loaded Profiles: KaMiLa (Available profiles: KaMiLa)
Boot Mode: Normal

==============================================

Content of fixlist:
*****************
CMD: sc config Eventlog start= disabled
Reboot:
*****************


=========  sc config Eventlog start= disabled =========

[sC] ChangeServiceConfig SUCCESS

========= End of CMD: =========



The system needed a reboot.

==== End of Fixlog 18:38:22 ====

 

Drugi fixlog:

 

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 04-03-2015
Ran by KaMiLa at 2015-03-04 18:48:07 Run:4
Running from C:\Documents and Settings\KaMiLa\Moje dokumenty\Pobrane
Loaded Profiles: KaMiLa (Available profiles: KaMiLa)
Boot Mode: Normal

==============================================

Content of fixlist:
*****************
C:\WINDOWS\system32\config\*.evt
CMD: sc config Eventlog start= auto
Reboot:
*****************

C:\WINDOWS\system32\config\*.evt => Moved successfully.

=========  sc config Eventlog start= auto =========

[sC] ChangeServiceConfig SUCCESS

========= End of CMD: =========



The system needed a reboot.

==== End of Fixlog 18:48:08 ====

 

 Dziennik zdarzeń działa.

 

 Co się tyczy zmiennej Path to wygląda ona u mnie tak:

 "%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\WINDOWS\system32\WindowsPowerShell\v1.0". Po usunięciu części: ";C:\WINDOWS\system32\WindowsPowerShell\v1.0" dalej to samo, więc zostawiłem jak było. Jeżeli w "Start->Uruchom" wpisze pełną ścieżkę to jest: "C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe" - uruchamia się normalnie. Tak wogóle to w msconfigu w zakładce uruchamianie pojawił się wpis (nie wiem po których zmianach): "dumprep O -u"  ścieżka do tego: C:\WINDOWS\system32\dumprep.exe

 Po dodaniu klucza: "KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\    MSCONFIG.EXE" z dwoma podkluczami:
  1) Domyślny "C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe"
  2) Path "C:\WINDOWS\PCHealth\HelpCtr\Binaries"
 Teraz msconfig uruchamia się z Start->Uruchom.

 

PS. nie wiedziałem czy fixlogi dać tu czy jako załącznik, ostatecznie dałem tak.

 

 Dwa problemy:

  1. sfc pyta się o płytę cd-rom sp3(lub xp home, lub xp pro), ale jako opcję mam tylko: "Ponów próbę, Więcej informacji, Anuluj". Nigdzie nie widzę opcji do wskazania ścieżki.

  2. Raz pyta o service pack, raz o xp home, raz o xp professional.

 Zrobiłem tak, w rejestrze w kluczu: "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup" wartość ServicePackSourcePath i SourcePath zmieniłem z "E:\" na "C:\SP",dzięki temu przy sfc /scannow nie pytał już o SP3, ale i tak chciał płytkę z XP Professional. Za to zniknęły błędy z dziennika zdarzeń poza jednym: "Nie można skopiować pliku systemowego c:\windows\system32\tscupgrd.exe do buforu DLL. Określony kod błędu: 0x00000000 [Operacja zakończona pomyślnie.]. Ten plik jest niezbędny do utrzymania stabilności systemu."

 

Odinstalowałem dwie gry - przy jednej z nich wiem czemu uruchamiała się usługa telefonii, po czym wyłączała po wyjściu z gry - to normalne ?

Poza tym odinstalowałem Windows Media Playera i jakieś kodeki do niego w wersji 11 - przed tym nie szło filmów uruchamiać z dwukliku, po odinstalowaniu już się da. I do tego jeszcze defragmentacja partycji systemowej.

 

 System niby działa dobrze, tylko jak dłużej pochodzi pojawił się problem przy wyłączaniu z dwie minuty czekania po naciśnięciu Start->Wyłącz komputer, a potem chyba z cztery razy dłużej się wyłącza. Komunikat w dzienniku zdarzeń: "Serwer {9B1F122C-2982-4391-AA8B-E071D54F2A4D} nie zarejestrował się w modelu DCOM w wymaganym czasie." - Rozwiązane, znalazłem na necie że ten serwer należy do programu dial-a-fix i aby go naprawić są dwa wyjścia: pierwsze przestawić jakąś opcję w tym programie; drugie usunąć z rejestru klucze o tym numerze. Ponieważ nie miałem dial-a-fix zainstalowanego wybrałem opcję drugą, w rejestrze znalazłem dwa takie klucze które usunąłem i po problemie.

 

Zdarzyły się też dwa bsody, pierwszy: STOP 0x00000024 (0x001902fe, 0xf6cda638, 0xf6cda334, 0xf73d1d6e)  NTFS_FILE_SYSTEM, caused by driver: Ntfs.sys

drugi: STOP 0x00000050 (0xbad0b114, 0x00000000, 0x805687d0, 0x00000002) PAGE_FAULT_N0NPAGED_AREA.

 Przy pierwszym wyłączyłem kompa i uruchomiłem jeszcze raz, wtedy wyskoczył drugi, znowu zrestartowałem i na ekranie nic się nie pokazało nawet napisy biosu, ale dioda od dysku świeciła. Wyłączyłem po chamsku przytrzymując power do skutku. Poprzekładałem ramy wyszło że w jednym slocie nie chcą się uruchomić - komp piszczy jakby ich tam nie było(są dwie kości 256 i 512 DDR). Na tym sprawnym system uruchomił się. Potem dołożyłem i do niesprawnego i wykrywa całe 768...?  W każdym razie działa. Kość 512 w memteście nie wykazała żadnych błędów po 3 przebiegach, 256 jescze sprawdzę. Później i na tym "uszkodzonym" slocie system chodził. Dysk sprawdziłem szybkim testem programem od western digital'a - nie znalazł błędów.

 

Dodatkow system przeczyszczony ccleanerem i adwcleanerem.

Załączam minidumpy które znalazł BlueScreenView, i resztę.

 

edit.

   Mam pytanie, co zrobić z kwarantanną frst, znajduję się w niej część plików PDFCreator'a którego chce usunąć ?
  I w ogóle co z kwarantanną ?

  Ogólnie komp wydaje się chodzić już normalnie. Ale np. jak chciałem zainstalować avirę znowu wyskoczył błąd  aplikacji(zainstalowałem ostatecznie AVG 2015 free). Idzie jakoś prosto sprawdzić czy wszystko z systemem w miarę  w porządku ?

AdwCleanerR2.txt

minidump12032015.txt

minidump10112014.txt

minidump09202014.txt

minidump09202014-2.txt

minidump09202014-3.txt

FRST.txt

Addition.txt

Shortcut.txt

Edytowane 22 Marca 2015 przez chaos

[chaos]

 Komp musiał już wrócić do właściciela, tak że to by było na tyle. Chyba że się dowiem że znowu coś nie działa .

Dziękuje za pomoc i poświęcony czas.

Temat do zamknięcia.