Skocz do zawartości

Problem z systemem


Rekomendowane odpowiedzi

Witam,

 

Od paru dni mam problem z systemem. Problemy zaczęły się od próby odinstalowania Kasperskyego IS 2011. Nigdy nie miałem z nim problemu, zawsze się bez problemowo odinstalowywał. 2 dni temu niestety po próbie wywalenia Kisa spowodowała destabilizacje systemu. Usuwałem go standardowo poprzez dodaj usuń programy,zawsze wystarczało. Zorientowałem się,że pozostałości dalej są wiec resztki usunąłem za pomocą programu danego od producenta Kaspersky Removal tool. Usunęło. Zainstalowałem chwilę później Vipre, niby okej, lecz nagle nie chciał uruchomić się mi WMP, nie działał, następnie odkryłem,że opcja start wyszukaj znikła, został tylko piesek na dole a cała niebieska ramka została bez pozostałych napisów pusto. Pakiet Office się wykrzaczał, przywracanie systemu nie działało, oraz parę programów odnotowały wieczne zwiechy , jedynie zabicie procesu pomagało . Próbowałem programów czyszczących rejestr, od zbędnych śmieci itp, nic nie pomogło. Próbowałem z trybu awaryjnego przywrócić system lecz gdy klikłem na ikonkę przywracania pojawiała się tylko pusta ramka w środku białe tło, 0 reakcji. Postanowiłem uruchomić następnie kompa z trybu awaryjnego z wiersza poleceń i wpisałem komendę c:\windows\system32\restore\rstrui.exe i tak samo tylko biała ramka wiec 1 deska ratunku przepadła. Postanowiłem odpalić instalatora Windows i dać napraw lub dać opcje uaktualnij , aby zainstalowało być może uszkodzone stare pliki/ usługi windowsa , lecz napotkałem problem w postaci komunikatu,że nie może być wykonana akcja ponieważ nie działa czy nieprawidłowy czy nie można odszukać pliku boot.inni. Faktycznie sprawdziłem na dysku C odblokowałem opcje pokaż ukryte foldery i pliki i nie było go. Jakoś tą sprawę załatwiłem , kolega z forum przesłał mi swój plik i przekopiowałem go. Następnie napotkałem problem po ponownym uruchomieniu kompa, zainstalowaniu plików menu start nastąpiła dalsza część instalacji . Kolejny problem polegał na tym,że dostałem komunikat,że nie może odnaleźć pliku argjldps.sys. Zalogowałem się ponownie na windows i próbowałem znaleźć ten plik na necie za co odpowiada, ale nie było tego nawet. Jeszcze raz próbuję i tym razem nie ten plik nie może odszukać tylko tym razem ayl7uamo sys.. Sprawdziłem znów na necie i też google go nie zna. Kolega z którym się kontaktowałem sugerował rootkita,że zaingerował w system dlatego takie nazwy wyskakują. Na wszelki wypadek zeskanowałem folder windows, rejestr systemowy, pamięć , tempy itp.. przywracania systemu nie dało się bo folder system Volume Information znikł, pewnie dlatego nie mogę uruchomić przywracanie systemu. Więc zeskanowałem Pc-ta Esetem Online scanner, Malwarebytes, Hitmanem Pro, Vipre i czysto. Nie znalazły programy ślady rootkita. W managerze zadań według mnie nie ma podejrzanych procesów, niby nie, internet osiąga prędkość jaką powinien mieć. Teoretycznie Office udało mi się poskładać do kupy, ale nie mogę zainstalować WMP zarówno najnowszej jak wersje wcześniejsze, co chwile errory różnego typu. Zwracam się z prośbą bo sam już nie dam radę system przez Kisa się nieźle zdestabilizował . System nie był formatowany z 2 lata, ostro eksploatowany instalacjami różnego typu programami zwłaszcza zabezpieczającymi do testów i co logi wykażą zostały ich szczątki mimo regularnego sprzątania programami czy ręcznego usuwania miejscami. W logach jest straszny bajzel przez errory przez tą awarię i wysłużony system , lecz mam nadzieję usunąć te śmieci za pomocą wykonanych skryptów, nie uśmiecha mi się formatować system od nowa:) Na tą chwilę załączam logi z OTL i extras, gmer dorzucę później jak skończy się skanowanie.

Extras.Txt

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

To nie jest problem malware i pojedziemy do działu XP.

 

 

Zainstalowałem chwilę później Vipre, niby okej, lecz nagle nie chciał uruchomić się mi WMP, nie działał, następnie odkryłem,że opcja start wyszukaj znikła, został tylko piesek na dole a cała niebieska ramka została bez pozostałych napisów pusto. Pakiet Office się wykrzaczał, przywracanie systemu nie działało, oraz parę programów odnotowały wieczne zwiechy , jedynie zabicie procesu pomagało . Próbowałem programów czyszczących rejestr, od zbędnych śmieci itp, nic nie pomogło. Próbowałem z trybu awaryjnego przywrócić system lecz gdy klikłem na ikonkę przywracania pojawiała się tylko pusta ramka w środku białe tło, 0 reakcji.

Rozwiązywałam to już kilka razy, na starym forum i tu (KLIK / KLIK). To skutek nieprawidłowej deinstalacji Kasperskiego i błędu w zdejmowaniu osłony skryptowej. Wyrejestrował maszynę skryptową Windows. Na tej maszynie chodzi m.in. właśnie wyszukiwanie z pieskiem i interfejs Przywracania systemu. W związku z tym powinien być także problem widoczny na Internet Explorer przy otwieraniu wszystkich stron operujących skryptowo (pierwszy z brzegu przykład: Onet). Nie dotyczy przeglądarek bazujących na własnych maszynach (Firefox).

 

Start > Uruchom > wklep komendy:

 

regsvr32 vbscript.dll

regsvr32 jscript.dll

 

Dla pewności przeładuj system.

 

 

przywracania systemu nie dało się bo folder system Volume Information znikł, pewnie dlatego nie mogę uruchomić przywracanie systemu

Kolejna sprawa tycząca Przywracania systemu: ono jest i tak nieczynne. Nadrzędny Sterownik filtru Przywracania ma Start równy 4:

 

========== System Restore Settings ===========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]

"DisableSR" = 1

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]

"Start" = 4

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]

"Start" = 2

 

Wzoruj się na tym temacie: KLIK. Zacznij od próby włączenia sterownika SR, a jeśli zawiedzie, wdróż komendę reinstalacji Przywracania.

 

 

nie mogę zainstalować WMP zarówno najnowszej jak wersje wcześniejsze, co chwile errory różnego typu

Rozpisz te errory precyzyjnie.

 

 

Kolejny problem polegał na tym,że dostałem komunikat,że nie może odnaleźć pliku argjldps.sys. Zalogowałem się ponownie na windows i próbowałem znaleźć ten plik na necie za co odpowiada, ale nie było tego nawet. Jeszcze raz próbuję i tym razem nie ten plik nie może odszukać tylko tym razem ayl7uamo sys.. Sprawdziłem znów na necie i też google go nie zna. Kolega z którym się kontaktowałem sugerował rootkita,że zaingerował w system dlatego takie nazwy wyskakują.

Te dwa wyglądają na pochodne sterownika SPTD od emulacji napędów, a sterownik posiadasz:

 

DRV - [2010-12-06 16:49:17 | 000,436,792 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)

Przy każdym restarcie jest generowane losowo urządzenie "SCSI" o zmiennej nazwie usługi i powiązanego pliku *.SYS (pliku nie znajdziesz na dysku, za to w programach typu GMER widać ślady po jego aktywności). Tu poglądowo z mojej wirtualnej maszyny co się dzieje po zainstalowaniu Alcohola (oczywiście akmlsgsa to tylko jedna ze "złapanych nazw", po restarcie widać już całkiem inną składnię):

 

scsi.png

 

To urządzenie będzie (i po usuwaniu wróci) czynne dopóki działa główny sterownik SPTD.

 

 

Z logiem z Gmera będzie problem. Przy pierwszym skanie pochodził z 20 min po czym się zwiesił a za nim reszta systemu, pomógł tylko restart. Za drugim razem od razu się zawiesił po uruchomieniu i daniu skanu

Nie zdjąłeś emulacji SPTD. Instrukcje w ogłoszeniu: KLIK. Choć ja tu nie sądzę, że GMER jest konieczny.

 

 


O logach:

 

- Z Internet Explorer jesteś na bakier. Nie jest aktualizowany, a powinien = system transparetnie wykorzystuje ten silnik.

- Są wtręty po sponsorach: strona HopSurf i preferencje Firefox przejęte przez Ask (odpadki po starej wersji Comodo), DAEMON Tools Toolbar + zbędny WinAmp Toolbar w obu przeglądarkach. Mam bardzo niską tolerancję dla takich działań instalatorów.

- Szczątki KIS = cały set działających pełną parą sterowników:

 

DRV - [2010-12-25 11:36:29 | 000,475,736 | ---- | M] (Kaspersky Lab) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\klif.sys -- (KLIF)

DRV - [2010-06-09 16:43:52 | 000,011,352 | ---- | M] (Kaspersky Lab ZAO) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\kl2.sys -- (kl2)

DRV - [2010-06-09 16:43:50 | 000,132,184 | ---- | M] (Kaspersky Lab ZAO) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\kl1.sys -- (KL1)

DRV - [2010-05-07 11:06:26 | 000,032,856 | ---- | M] (Kaspersky Lab ZAO) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\klim5.sys -- (klim5)

DRV - [2009-11-02 19:27:24 | 000,019,472 | ---- | M] (Kaspersky Lab) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\klmouflt.sys -- (klmouflt)

Zakładam, że to log z OTL po deinstalacji + użyciu narzędzia Kaspersky Removal Tool.

 

 

1. Upewnij się, że nie ma filtrów Kasperskiego na kartach sieciowych, bo jeśli są, wywalenie w/w zaowocuje padem sieci. Panel sterowania > Połączenia sieciowe > z prawokliku na każde pobierz Właściwości i w pierwszej karcie patrz na komponenty jakich używa sieć. Jeśli coś znajdziesz od Kasperskiego, podświetl i odinstaluj, restart kompa.

 

2. Następnie Start > Uruchom > devmgmt.msc > z menu Widok włącz pokazywanie ukrytych:

  • W ujawnionej gałęzi Sterowników niezgodnych z Plug and Play szukaj wszystkich wyżej wyliczonych. W OTL są nazwy systemowe, tam będą wyświetlane. W razie wątpliwości pokaż mi całkowity screen z tej partii sterowników. Znalezione odinstaluj i reset kompa.
  • Rozwiń i gałąź Karty sieciowe. Jest możliwe, że ujrzysz "kartę" od Kasperskiego. Daj znać czy coś takiego jest, to powiem gdzie tego szukać i jak to skasować, bo przez menedżer urządzeń się nie da (będzie komunikat "urządzenie potrzebne do rozruchu ... bla bla".
3. Drobnostka: odinstaluj DAEMON Tools Toolbar, P2P_Torrent Toolbar i WinAmp Toolbar.

 

Po wykonaniu wszystkich trzech punktów przedstaw nowe logi z OTL i zadam końcową kosmetykę usuwania "not found" i co tam jeszcze się ujawni.

Odnośnik do komentarza

Dzięki picasso za szybką odpowiedź :)

 

Więc sprawa 1.

regsvr32 vbscript.dll

regsvr32 jscript.dll

Wpisałem te komendy , działają bez problemu, 1 problem mniej.

 

Sprawa 2." Nadrzędny Sterownik filtru Przywracania ma Start równy 4" Zmieniłem jak w tamtym temacie na 0, dałem res kompa, działa :)

 

Sprawa 3, Już errory nie występują . Po zabiegach, odinstalowałem zepsutego WMP i po ponownej próbie instalacji wszystko gra :)

 

Sprawa 4. Jak Gmer nie jest konieczny wiec w tej kwestii nic nie zrobiłem :)

Sprawa 5. Nie jestem na bakier tylko nie używam tej przeglądarki, nie odpalam jej, moją główną przeglądarką jest FF 3.6 jest aktualizowana systematycznie, dodatkową Opera która też aktualizuję. Wiem,że są nowe wersje IE, zacofany nie jestem, tylko jej nie używam wiec nie dbam o jej aktualizację:)

Sprawa 6. Tak, ask był gdy instalowałem dawno Pakiet Comodo domyślnie jeszcze wtedy się instalował razem z Cisem, ale usunąłem go, przeczyściłem wszystko, ale jak widać zostały głęboko ślady:) System mam stary wiec widać ślady toolbarów, widać nawet wpisy Zonealarma, sygate itp. Ich też dawno nie używałem, dużo testowałem skąd ich obecność:) Demona i winampa toolbary teraz usunąłem.

Sprawa 7. Co do Kisa, miałaś rację, były filtry na kartach , jeden dokładnie, usunąłem go już po restarcie kompa nie powrócił. Co do niezbędnych sterów też usunąłem i dałem resa.

"Zakładam, że to log z OTL po deinstalacji + użyciu narzędzia Kaspersky Removal Tool. " Tak właśnie było:)

Sprawa 8 " Rozwiń i gałąź Karty sieciowe. Jest możliwe, że ujrzysz "kartę" od Kasperskiego." Nic takiego nie miałem na szczęście :)

 

"Drobnostka: odinstaluj DAEMON Tools Toolbar, P2P_Torrent Toolbar i WinAmp Toolbar." Odinstalowane.

 

Zaraz zapodam logi ponowne z OTla i Extrasa, chwilka.

 

Edt. OTL.TXT dodany, Extras muszę ponownie bo przez przypadek wyłączyłem zamiast zapisać :unsure:

OTL.Txt

Odnośnik do komentarza

Skoro zdjąłeś filtr z kart sieciowych oraz odinstalowałeś sterowniki Kasperskiego w Menedżerze urządzeń (na pewno wszystkie?), możemy przejść do wywalania usług Kasperskiego na chama. Aczkolwiek zastosuję tu asekurację, bo to jednak sterowniki typu boot / system.

 

 

1. Do ręki Autoruns i w kartach Services + Drivers usuń wszystkie oznaczone tu jako "not found". Ale te od Kasperskiego, które są "Running", tylko odptaszkuj z rozruchu. Zresetuj komputer. Jeśli wszystko zastartuje prawidłowo (Kaspersky za to już się nie uruchomi), w Autoruns możesz całkowicie skasować te usługi i ręcznie wywalić widzialne tu pliki z C:\WINDOWS\system32\drivers.

 

SRV - File not found [Auto | Stopped] -- C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe -- (AVP)

SRV - File not found [Auto | Stopped] -- C:\DOCUME~1\KOMAND~2.KOM\USTAWI~1\Temp\025906~1.EXE -- (0259061293286507mcinstcleanup) McAfee Application Installer Cleanup (0259061293286507)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\klim5.sys -- (klim5)

DRV - [2010-06-09 16:43:52 | 000,011,352 | ---- | M] (Kaspersky Lab ZAO) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\kl2.sys -- (kl2)

DRV - [2010-06-09 16:43:50 | 000,132,184 | ---- | M] (Kaspersky Lab ZAO) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\kl1.sys -- (KL1)

DRV - [2009-11-02 19:27:24 | 000,019,472 | ---- | M] (Kaspersky Lab) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\klmouflt.sys -- (klmouflt)

DRV - [2010-12-25 11:36:29 | 000,475,736 | ---- | M] (Kaspersky Lab) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\klif.sys -- (KLIF)

 

2. Resztę defektów w rejestrze skorygujesz tym importem rejestru:

 

Windows Registry Editor Version 5.00
 
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{4F07DA45-8170-4859-9B5F-037EF2970034}"=-
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{68282C51-9459-467B-95BF-3C0E89627E55}]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}]
 
[-HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}]
 
[-HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{68282C51-9459-467B-95BF-3C0E89627E55}]
 
[-HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}]
 
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"=-
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"=-
 
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"=-
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"=-
 
[HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions]
"{eea12ec4-729d-4703-bc37-106ce9879ce2}"=-

 

3. Następnie pod młotek konfiguracja Firefox:

 

FF - prefs.js..browser.search.defaultenginename: "Winamp Search"

FF - prefs.js..browser.search.defaulturl: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query="

FF - prefs.js..browser.search.order.1: "Ask"

FF - prefs.js..browser.search.selectedEngine: "Winamp Search"

FF - prefs.js..keyword.URL: "http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q="

W pasku adresów wklep about:config i po kolei wyszukaj wartości browser.* oraz keyword.URL i z prawokliku zresetuj do poziomu domyślnego.

 

 

4. Do kasacji z dysku pliki i foldery:

 

Wiadomo:

 

[2009-06-21 11:33:54 | 000,000,681 | ---- | M] () -- C:\Documents and Settings\komandos.KOMANDOS-53A56F\Dane aplikacji\Mozilla\Firefox\Profiles\5b8cw86o.default\searchplugins\ask.xml

[2010-04-12 18:10:31 | 000,002,059 | ---- | M] () -- C:\Documents and Settings\komandos.KOMANDOS-53A56F\Dane aplikacji\Mozilla\Firefox\Profiles\5b8cw86o.default\searchplugins\daemon-search.xml

[2010-12-06 14:17:33 | 000,001,196 | ---- | M] () -- C:\Documents and Settings\komandos.KOMANDOS-53A56F\Dane aplikacji\Mozilla\Firefox\Profiles\5b8cw86o.default\searchplugins\winamp-search.xml

[2010-12-25 11:38:44 | 000,000,000 | ---D | M] -- C:\Program Files\Mozilla Firefox\extensions\linkfilter@kaspersky.ru

C:\WINDOWS\system32\klogon.dll (Kaspersky Lab ZAO)

 

Odpadki po nakładkowej Reperacji Windows:

 

[2011-03-17 13:12:04 | 000,000,000 | ---D | C] -- C:\$WIN_NT$.~BT

[2011-03-17 12:49:48 | 000,476,232 | R--- | C] () -- C:\txtsetup.sif

[2011-03-17 12:49:48 | 000,262,416 | R--- | C] () -- C:\$LDR$

 

Odpadek po rozpakowaniu instalatora aktualizacji:

 

[2011-03-16 07:37:00 | 000,000,000 | ---D | C] -- C:\30da39fa8b342d36eb

Folder alfanumeryczny stawi opór. Jest zapewne zablokowany przez uprawnienia. W jego Właściwościach przejmij go na własność + przyznaj dla swojego konta Pełną kontrolę.

 

 

Sprawa 5. Nie jestem na bakier tylko nie używam tej przeglądarki, nie odpalam jej, moją główną przeglądarką jest FF 3.6 jest aktualizowana systematycznie, dodatkową Opera która też aktualizuję. Wiem,że są nowe wersje IE, zacofany nie jestem, tylko jej nie używam wiec nie dbam o jej aktualizację

 

Jest dla mnie raczej oczywiste, że nie używasz jej i co jest obrotach zamiennie (lista Dodaj / Usuń mówi sama za siebie), ale zaznaczam brak aktualizacji z całkiem innego powodu. Czy tego chcesz czy nie, jest zbyt dużo obiektów systemowych (oraz aplikacji trzecich), które używają samodzielnie maszynę bazową oraz ustawienia zabezpieczeń IE (i nie tylko np. proxy). Poza tym, "niespodzianka". Firefox nie ma niezależności i opiera się o ustawienia stref zabezpieczeń Windows (które to są konfigurowane m.in. via interfejs IE). Pierwszy z brzegu przykład opisany masz w moim artykule o ADS (KLIK) oraz w artykule MozillaZine (KLIK). Jak widać przestawia się opcje w Internet Explorer, by wpłynąć na zachowanie Firefox.

 

I niekonsekwentnie. Skoro montujesz nowy WMP 11, to tym bardziej IE. To jest "w parze" i WMP ma w poważaniu alternatywne przeglądarki, jeśli będzie potrzebował, sięgnie do IE. Zaktualizuj do IE8 i po bożemu zostaw sobie odłogiem. Nie musisz na niego patrzeć, byle był zaktualizowany i nie zostały żadne furtki. I tak sądzę, że elegancko mnie spławisz. :P

 

 

widać nawet wpisy Zonealarma, sygate itp. Ich też dawno nie używałem, dużo testowałem skąd ich obecność

 

Gdzie to widzisz? Dostarczony materiał nie pokazuje takich komponentów. To nie ma związku:

 

========== Security Center Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

Jest to na każdym systemie XP out-of-box, prekonfig MS. Tu obrazek z systemu, który nigdy w życiu nie miał zainstalowanego żadnego z powyższych, bo jest to czysty fabryczny XP Mode Windows 7:

 

seccenter.th.png

 

To co natomiast może być brudne, a z czego tu nie mam wyciągów, to Repozytorium WMI (KLIK). Możesz sobie to sprawdzić co jest zarejestrowane i w razie czego wyrejestrować odpadki.

 

 

.

Odnośnik do komentarza

Ok. Loga z Extrasa dziwnym sposobem nie mogę wygerować. Próbowałem 2 razy tak samo jak wcześniejszy w tym samym środowisku, ale tylko log OTl ponownie się generuje, extrasa nie ma. Próbowałem wyszukać może gdzieś się zapisał, lecz wyszukiwarka nie znalazła.

 

Tak zdjąłem filtr , sprawdziłem jeszcze raz, sterownik Kaspra usunąłem co zaznaczyłaś.

 

Ad1. Usunąłem no found zarówno w zakładce services jak i drivers, zwłaszcza w tym drugim było trochę sporo. Zrestartowałem komputer.

Ad.2 Druga czynność wykonana, skorygowane defekty, import wykonany:)

ad.3 Też wykonane, usunąłem do poziomu domyślnego, wszystko gra.

ad.4 Tego nie kapuję zwłaszcza ten wypowiedzi :) "Folder alfanumeryczny stawi opór. Jest zapewne zablokowany przez uprawnienia. W jego Właściwościach przejmij go na własność + przyznaj dla swojego konta Pełną kontrolę. " Gdzie znajduje się ten folder i te śmieci usunąć ręcznie czy za pomocą skryptu:)

 

ad.5 Dobra ogarnę tego IE, ale raczej w pon. bo zaraz muszę iść na zajęcia na uczelnię i nie mam zbytnio czasu nie mówiąc o sobocie czy niedzieli, cały dzień w budzie.:)

 

ad.6 Tak oto mi chodziło te wpisy widziałem. Myślałem,że to pozostałości po programach które instalowałem:)

 

Postaram się zarzucić nowy log z OTL, może Extras nie da ciała:)

Odnośnik do komentarza
Ok. Loga z Extrasa dziwnym sposobem nie mogę wygerować. Próbowałem 2 razy tak samo jak wcześniejszy w tym samym środowisku, ale tylko log OTl ponownie się generuje, extrasa nie ma. Próbowałem wyszukać może gdzieś się zapisał, lecz wyszukiwarka nie znalazła.

 

Jeśli OTL jest uruchomiony więcej niż raz, opcja "Rejestr - skan dodatkowy" przestawia się na "Brak" i należy ręcznie zaznaczyć "Użyj filtrowania". Ta opcja decyduje o generowaniu Extras. Extras nie jest mi już jednak potrzebne, wszystko jest dla mnie jasne.

 

 

Usunąłem no found zarówno w zakładce services jak i drivers, zwłaszcza w tym drugim było trochę sporo

 

Zaznaczałam do wyrzucania tylko określone obiekty. Jako, że słówko "sporo" sugeruje, iż posunąłeś się dalej, prawdopodobnie wywaliłeś wpisy systemu. XP montuje domyślnie całkiem pokażną liczbę usług, które są puste (nie ma dysku pliku). Jest to normalne i nic się z tym nie robi. No skoro to machnąłeś, nic też takiego się nie stało.

 

 

ad.4 Tego nie kapuję zwłaszcza ten wypowiedzi :) "Folder alfanumeryczny stawi opór. Jest zapewne zablokowany przez uprawnienia. W jego Właściwościach przejmij go na własność + przyznaj dla swojego konta Pełną kontrolę. " Gdzie znajduje się ten folder i te śmieci usunąć ręcznie czy za pomocą skryptu:)

 

Skryptu nie dawałam, to znaczy że ręcznie. Nie jest to przecież dużo roboty. Masz po prostu skasować z dysku pliki i foldery, które zaznaczyłam. Ścieżki dobrze widać, copy and paste w pasku eksploratora. Zaś folder alfanumeryczny to ten poniżej. Z prawokliku masz pobrać jego Właściwości > karta Zabezpieczenia > przyznać sobie Właścicielstwo a następnie Pełną kontrolę (KLIK). Po co to: taki rodzaj folderów-odpadków po aktualizacji ma to do siebie na systemie plików NTFS, że nie daje dostępu Administratorom i przy próbie kasacji "Odmowa dostępu".

 

[2011-03-16 07:37:00 | 000,000,000 | ---D | C] -- C:\30da39fa8b342d36eb

 

 

 

Z dyskusji wynika, że wszystko naprawione. Czy coś jeszcze jest do roboty?

 

 

 

.

Odnośnik do komentarza

Witam :)

 

Jestem znajomym LikwidatoR'a, dzwonił dziś z prośbą abym coś tu dopisał odnośnie jego problemu gdyż pojawiły się nowe objawy a mianowicie:

 

Z tego co mówił po wykonaniu czynności wg. zamieszczonych tutaj porad i naprawie problemów o których wspomniał na początku posłuszeństwa odmówiła mu myszka (podpięta pod usb), nie działa nawet po przepięciu do innego portu. Jako że problemu upatruje w wykonywanych czynnościach, zastanawia się czy jest na to jakiś sposób aby przywrócić jej działanie [jak dla mnie to mógł usunąć windowsową obsługę myszy]. Same porty usb działają, podpięty pendrive jest wykrywany jak również inne sprzęty pod usb, myszka jest sprawna a próba podłączenia innej również nie daje rezultatu.

 

Chyba o niczym nie zapomniałem,proszę o pomoc przekaże mu wszystkie rady drogą telefoniczną lub osobiście:)

Odnośnik do komentarza
odmówiła mu myszka (podpięta pod usb), nie działa nawet po przepięciu do innego portu

 

To ja tu widzę tę możliwość, driver Kasperskiego, to właśnie sterownik związany z myszkami:

 

DRV - [2009-11-02 19:27:24 | 000,019,472 | ---- | M] (Kaspersky Lab) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\klmouflt.sys -- (klmouflt)

Z objawów wynika, że sterownik miał filtr w stanie czynnym. Po usunięciu sterownika (a nie zdjęciu filtra) pada oczywiście urządzenie filtrowane.

 

By usunąć filtr z klasy myszek (gdy nie działa mysz): jako wzornik ten temat: KLIK. W skrócie = w podanym kluczu klasy myszy:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318}

 

Należy tak zedytować wartość UpperFilters, by miała tylko odnośnik systemowy mouclass.

 

Rozumiem, że klawiatura działa, czyli Winkey + R, wpisać regedit i ENTER, będzie ciężko z nawigacją samą klawiaturą strzałkami po gałęziach rejestru, ale to się da zrobić, bo kiedyś byłam w bardzo podobnej sytuacji (też mnie załatwiły filtry sprzętowe). A jeśli nie da rady, to jak w temacie opisane można skorzystać z płyty Live i podmontować rejestr do edycji.

 

 

EDIT:

 

A jeszcze, zamiast klawiaturą po rejestrze, można wklepać od razu polecenie w CMD dodawania domyślnej wartości (to powinno nadpisać nadwyżkę). Czyli Winkey+R, wklepać cmd i ENTER, w oknie wklepać dokładnie to polecenie (uwaga na lokalizację spacji) i ENTER:

 

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318} /v UpperFilters /t REG_MULTI_SZ /d mouclass /f

 

Po tym restart systemu.

 

 

 

.

Edytowane przez picasso
Odnośnik do komentarza

Jestem:)

Dzięki Picasso za uratowanie tyłka.;) Widzę,że kolega polar dał info co i jak. Jakimś cudem udało mi się wejść na forum poprzez historię przeglądania w FF do tematu.

 

Pomogła ta komenda :

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318} /v UpperFilters /t REG_MULTI_SZ /d mouclass /f

 

Przez regedit było strasznie ciężko się poruszać . W ogóle user bez myszki jak żołnierz bez karabinu:D

 

Punkt 4 wykonam później, teraz i tak jestem spóźniony na uczelni , muszę lecieć, jak wykonam pozostałe czynności zarzucę nowe Logi do oceny, Pozdro:)

Odnośnik do komentarza

Dobra wróciłem.:)

 

AD.4 Wykonane, usunąłem Odpadki po nakładkowej Reperacji Windows, Odpadek po rozpakowaniu instalatora aktualizacji oraz w danych aplikacji Firefoxa te 3 rzeczy, ręcznie poszło bez problemu.:)

 

IE zaktualizuję jak się obrobię w czasie jak wcześniej zaznaczyłem.

 

Zapomniałem powiedzieć ,że gdy zwiesił mi się system po skanie Gmera o czym wspomniałem wyżej w którymś poście , musiałem posłużyć się resetem , ponieważ totalna zwiecha. Od tego momentu ładowanie się Windowsa na czarnym tle zajmuje 2 razy dłużej , komputer się długo ładuje , ale po zalogownaiu chodzi okej. Druga sprawa gdy odpalam muze nie zależnie od programu do odtwarzania dźwięk muzy wygląda jakby się ścinała, takie dziwne odgłosy mutowania, albo bym porównał to do programu który zmienia głos , nieregularna melodia jest. Wszystko to zaczęło się dziać po resie podczas skanu Gmerem. Lukłem na menadżer zadań czy procka nie ma 100% , ale czy jest obciążony czy nie tak samo jest, jak wspomniałem nie zależnie od programu. Jak widać Gmer narobił troszkę spustoszenia. Zapodaje nowy log z OTL po wszystkich operacjach , odzyskania sprawności myszki:)

OTL.Txt

Odnośnik do komentarza

Tak jeszcze patrząc na chronologię, to przed postem Twojego kolegi coś tu chyba kombinowałeś ze sterownikami myszki, gdyż uległ odświeżeniu ten plik (moje działania nic w tym obszarze nie kręciły):

 

[2011-03-18 10:45:48 | 000,012,160 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mouhid.sys

PS. Co mnie dziwi z tą historią, to fakt, że zadałam deinstalację sterowników Kasperskiego via Menedżer urządzeń przed wywalaniem usług. Z uzyskanego wyniku końcowego wynika, że ten proces w ogóle nie rozwiązał zależności i należało się zainteresować filtrem na myszce w sposób odrębny.

 

 

AD.4 Wykonane, usunąłem Odpadki po nakładkowej Reperacji Windows, Odpadek po rozpakowaniu instalatora aktualizacji oraz w danych aplikacji Firefoxa te 3 rzeczy, ręcznie poszło bez problemu.

 

Chyba zapomniałeś o tych dwóch od Kasperskiego (wnioskuję to po jawnej obecności pierwszego w logu):

 

C:\Program Files\Mozilla Firefox\extensions\linkfilter@kaspersky.ru

C:\WINDOWS\system32\klogon.dll

 

I widzę także nadal te pozostałości po Reperacji:

 

C:\$WIN_NT$.~BT

C:\txtsetup.sif

 

 

Zapomniałem powiedzieć ,że gdy zwiesił mi się system po skanie Gmera o czym wspomniałem wyżej w którymś poście , musiałem posłużyć się resetem , ponieważ totalna zwiecha. Od tego momentu ładowanie się Windowsa na czarnym tle zajmuje 2 razy dłużej , komputer się długo ładuje , ale po zalogownaiu chodzi okej. Druga sprawa gdy odpalam muze nie zależnie od programu do odtwarzania dźwięk muzy wygląda jakby się ścinała

 

1. Hmmm, skoro tu był wymuszony reset, to może sprawdź dysk pod kątem błędów, czy coś się nie naruszyło w systemie plików. Gdyby nie to, że to reset do tego doprowadził, o przestój na tym ekranie podejrzewałabym raczej któreś sterowniki (Look'n'Stop, Zemana, KeyScrambler, Vipre, TuneUp, Norton Ghost) lub wredny sterownik emulacji SPTD. Ekran, na którym notujesz usterkę, to ta faza (sterowniki / kernel).

 

 

2. Uprzednio zahaczyłam wzrokiem o Dziennik zdarzeń w Extras i tam odnotowałam:

 

----> Błąd sterownika TuneUp (ale nie wiem czy to był incydent, czy istnieje powtarzalność):

 

Error - 2011-03-17 08:20:50 | Computer Name = KOMANDOS-53A56F | Source = Service Control Manager | ID = 7000

Description = Nie można uruchomić usługi TuneUpUtilitiesDrv z powodu następującego

błędu: %%87

Zrób test. Autoruns ponownie w ręce i w karcie Drivers wyszukaj TuneUpUtilitiesDrv i go odptaszkuj, zaś w karcie Services odptaszkuj podległe sterownikowi serwisy TuneUp.ProgramStatisticsSvc + TuneUp.Defrag. Restart kompa i zdaj relację czy widzisz jakąś zmianę w starcie systemu. Jeśli tak = TuneUp będzie do reinstalacji. Jeśli nie, wszystko z powrotem zaptaszkuj.

 

 

----> Błąd związany z urządzeniami perferyjnymi (skanery / drukarki i tego typu majdan):

 

Error - 2011-03-17 10:07:31 | Computer Name = KOMANDOS-53A56F | Source = DCOM | ID = 10005

Description = Model DCOM odebrał błąd "%1058" podczas próby uruchomienia usługi

StiSvc z argumentami "" w celu uruchomienia serwera: {A1F4E726-8CF1-11D1-BF92-0060081ED811}

Usługa WIA się wiesza. Zrób kolejny test, czy wyłączenie tej usługi ma znaczenie dla startu systemu (aczkolwiek to już jest logon, czyli faza po czarnym ekranie): W Autoruns odptaszkuj StiSvc w karcie Services > restart komputera > podaj rezultaty. W związku z w/w błędem: czy nie masz aby dodatkowego problemu z bardzo długim otwieraniem Mój komputer? To jest typowy objaw przy tym błędzie. Twój EPSON - jak stare sterowniki tu są? Przy tym błędzie robi się dwie rzeczy: albo się wyłącza usługę WIA, albo szuka aktualizacji oprogramowania peryferyjnego.

 

 

3. I zaprezentuj kompletne Dzienniki zdarzeń do wglądu (OTL filtruje zdarzenia). Start > Uruchom > eventvwr.msc > wszystkie gałązki zapisz do plików EVT, te do ZIP i na hosting.

 

 

Przez regedit było strasznie ciężko się poruszać . W ogóle user bez myszki jak żołnierz bez karabinu:D

 

Dla mnie mysz = ręka. Swoje przeżyłam. :P Za pierwszym razem załatwił mnie VirtualBox, filtr na myszkach, regedit obsługiwałam z klawiatury, a było to wtedy gdy jeszcze nie wiedziałam o filtrach i dopiero szukałam w rejestrze o co chodzi, to sobie można wyobrazić co to była za rozkosz :lol:. Za drugim razem znokautował mnie ThreatFire - to był gorszy przypadek, czyli filtr na klawiaturze. Nie można było wejść do systemu z powodu oczywistego ekranu logowania i wymogu wpisywania hasła. W owym czasie posłużyłam się płytą Live, by podmontować rejestr i zdjąć filtr z klawiatury.

 

 

 

.

Odnośnik do komentarza

Ok wiec tak:

C:\Program Files\Mozilla Firefox\extensions\linkfilter@kaspersky.ru

C:\WINDOWS\system32\klogon.dll

C:\$WIN_NT$.~BT

C:\txtsetup.sif

 

Usunąłem, dałem resa, nie wróciło więc gra gitara:)

 

Co do Tuneupa to zrobiłem jak kazałaś, odhaczyłem z zakładki services i Driver te usługi dałem resa, dalej tak samo wiec załączyłem je z powrotem :)

 

Kolejna sprawa: "odptaszkuj StiSvc w karcie Services" Zdziwiłem się bo nie było tego w services, sprawdziłem na wszelki wypadek w driver i też pusto:>

 

Co do dzienniku zdarzeń zrobiłem co trza było i wrzucone na hosting : http://wyslijto.pl/files/download/69ewy3qad0

 

Hehe, miałem TheatFire , problemów nie sprawiał, lecz wywaliłem bo walił straszne Fp na wysokim poziomie ochrony 4, nie mówiąc o 5:D Jednak experci też mają problemy nie tylko ja:P

Odnośnik do komentarza

Dziennik zanalizuję potem, bo chwilowo nie mam czasu.

 

Kolejna sprawa: "odptaszkuj StiSvc w karcie Services" Zdziwiłem się bo nie było tego w services, sprawdziłem na wszelki wypadek w driver i też pusto:>

 

Włącz w menu pokazywanie wejść Microsoftu i Windows. I to na pewno jest w Services, nie Drivers. To nie jest sterownik kernel. Jeśli jednak tego naprawdę tam nie ma, to znaczy, że usługa jest już wyłączona (Autoruns nie pokazuje usług nieczynnych). Weryfikację możesz wykonać i w konsoli services.msc, patrząc jaki jest status usługi Windows Image Acquisition (WIA).

 

 

.

Odnośnik do komentarza

Przejrzałam Dzienniki:

 

SYSTEM + APLIKACJE:

 

1. Dwa razy wystąpił błąd z SPTD od wirtuali. To mocny podejrzany, ładuje się w odpowiedniej fazie pasującej do zgłaszanej usterki, oraz ma zezębienie z akcją GMER (to się nie lubi razem). Sprawdźmy ten wariant. Wyłącz SPTD przez Defogger i restart (oczywiście padnie Alcohol i Daemon, więc nie próbuj ich w tym stadium uruchamiać). Ponów raz jeszcze restart. Podaj wyniki czy ma to wymierne skutki. Jeśli będzie miało, SPTD do reinstalacji z nowego instalatora SPTDinst pobranego z tego samego linka gdzie jest Defogger.

 

2. Powtarza się w cyklach i różnych konfiguracjach skomasowany zestaw błędów Windows Search:

 

7031 Usługa Windows Search niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. W przeciągu 30000 milisekund zostanie podjęta następująca czynność korekcyjna: Uruchom usługę ponownie.

 

7022 Usługa Windows Search zawiesiła się podczas uruchamiania.

 

7011 Limit czasu (30000 milisekund) podczas oczekiwania na odpowiedź transakcji z usługi WSearch.

 

26 Podręczne okno aplikacji: SearchIndexer.exe - Błąd aplikacji : Instrukcja spod "0x00000000" odwołuje się do pamięci pod adresem "0x00000000". Pamięć nie może być "read".

W gałęzi Aplikacje też sypie błędami, non stop mieli to:

 

1000 Aplikacja powodująca błąd SearchIndexer.exe, wersja 7.0.6001.16503, moduł powodujący błąd unknown, wersja 0.0.0.0, adres błędu 0x00000000.

Notuję w logu świeże elementy na dysku od Windows Search, czy to nowy nabytek / instalowane co dopiero? Na wypadek gdyby indeks miał uszkodzenie: Panel sterowania > Opcje indeksowania > wejdź w Zaawansowane i wykonaj przywracanie do domyślnych ustawień i przebudowę indeksu. Jeśli nie korzystasz z wyszukiwania Windows Desktop Search, to opcją jest wyłączenia w services.msc usługi "Windows Search" (to jednak nie zdejmie wszystkiego, zostaje np. ładowanie modułu w ShellExecuteHooks), a nawet mocniej: całkowita deinstalacja Windows Search, skoro tu są same błędy.

 

3. Dręczy i w kółko odnośniki do WIA i w tej kwestii:

 

 

Sprawdziłem status, masz rację jest wyłączony dlatego nie pokazuje w Autoruns

 

To może tu należy postąpić odwrotnie - usługę włączyć, skoro Dziennik krzyczy o próbach jej uruchomienia. Przestaw na Ręczny.

 

 

 

PS. Próbowałeś chkdsk do sprawdzenia dysku?

 

 

 

.

Odnośnik do komentarza

Ok:

 

Wyłączyłem SPTD przez program deffoger dałem restart, w sumie program sam poprosił, później kolejny restart , ale nic nie pomogło, dalej to samo. Następnie zrobiłem jak poleciłaś reinstalacje SPTD przez SPTDinst i nie pomogło. Jeszcze na wszelki wypadek zainstalowałem też przez SPTdinst i też lipa więc usunąłem jak przedtem .

 

Tak instalowałem nie dawno z czystej ciekawości, nic więcej:) Wyłączyłem opcje Windows search w usługach. Chciałem nawet usunąć jak poleciłaś , ale w dodaj usuń nie ma tego, sprawdziłem w Revo też nie wykrywa do usunięcia więc pozostało tylko na wyłączeniu usługi.

 

WIA w usługach z wyłączonego dałem na ręczny :)

 

Nie próbowałem chdsk:)

Odnośnik do komentarza

To zrób jeszcze chkdsk dla dysku C (był wymuszony reset), potem spróbuj "Boot Time" defragmentacji dla dysku C. Osobiście wątpię w rezultaty, ale to nie zaszkodzi zrobić, sumienie czyste. Ja tu jednak nadal podejrzewam sterowniki któregoś softu. W raportach najświeższe sterowniki to te od Look'n'Stop (dzień przed założeniem tematu) oraz jakaś tajemnicza aktualizacja sterownika Symantec (z dnia w którym założyłeś temat):

 

DRV - [2011-03-17 13:55:04 | 000,076,920 | ---- | M] (Symantec Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\SMR162.SYS -- (SMR162)

DRV - [2011-03-16 21:50:06 | 000,082,176 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\lnsfw1.sys -- (lnsfw1)

DRV - [2011-03-16 21:50:06 | 000,059,488 | ---- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\lnsfw.sys -- (SFilter)

Niestety LikwidatoR nie da rady sprawdzić tego w polubowny sposób, mechanizmy oprogramowania tego typu są nie do wyłączenia (tzn. da się, ale się zarobisz na śmierć przy deaktywacjach i znacznie szybciej pójdzie testowa deinstalacja).

Sprawdź czy długi boot występuje przy przechodzeniu w Tryb awaryjny. Jeśli będzie znaczna różnica na korzyść awaryjnego = koncepcja sterowników jest wiodąca.

 

 

Następnie zrobiłem jak poleciłaś reinstalacje SPTD przez SPTDinst i nie pomogło.

 

O tym mówiłam w kontekście: jeśli pomoże wyłączenie sterownika. Nie pomogło.

 

 

Tak instalowałem nie dawno z czystej ciekawości, nic więcej:) Wyłączyłem opcje Windows search w usługach. Chciałem nawet usunąć jak poleciłaś , ale w dodaj usuń nie ma tego, sprawdziłem w Revo też nie wykrywa do usunięcia więc pozostało tylko na wyłączeniu usługi.

 

Skoro to tylko ciekawość, to możemy ciąć, bo błędów jest stanowczo za dużo. To powinno być w Dodaj / Usuń, skoro tego nie widzisz, to włącz pokazywanie łatek i sprawdź czy to aby nie figuruje pod nazwą KB940157.

 

1. Jeśli tego nie znajdziesz, to prawdopodobne, że w jakiś sposób usunąłeś folder deinstalacji C:\Windows\$NtUninstallKB940157$ (w Twoim spisie widzę CCleaner = on właśnie ma opcję katrupienia folderów deinstalacji łat ...), zaś któryś czyściciel rejestru wychwycił, że wejście Dodaj / Usuń jest martwe i je załatwił. W takich okolicznościach pozostaje: pozbycie się tego metodą brutalną lub nadpisanie z nowego instalatora, by uzupełnił brakujące wejście Dodaj / Usuń, następnie skorzystanie z dodanej pozycji deinstalacji. Ten drugi wariant może być awykonalny, jeśli instalator znajdzie definicję w rejestrze, że łata jest zainstalowana i nie pozwoli drugi raz zainstalować tego samego.

 

2. Jeśli zaś znajdziesz KB940157, po deinstalacji pokaż raport z OTL, bo miałam już taki temat z Windows Search, gdzie to deinstalacja niestety nie wyrejestrowała modułów i nie zdjęła tego wszczepienia do powłoki:

 

O28 - HKLM ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Program Files\Windows Desktop Search\MSNLNamespaceMgr.dll (Microsoft Corporation)

 

 

 

.

Odnośnik do komentarza

Dzięki za odpowiedź :) Nawiasem mówiąc Ty chyba w ogóle nie śpisz :P

 

Sprawdziłem uruchomienie z trybu awaryjnego i od włączenia kompa do logowanie na konto zajmuje 45 s. Normalnie aż 1 min 45 s . Dramat. Przed resetem system ogólnie na pulpit włączał się z 40 s lepiej niż teraz w awaryjnym, ale to coś znaczy,że o 1 min dłużej się załącza na tą chwile w porównaniu z awaryjnym:)

 

Co do Symanteca to nie wiem co to jest, Nie mam Nisa, Nava, Nortona Ghosta wieki nie odpalałem, tylko do skanu dodatkowo przejechałem w poszukiwaniu rootkitów Nortonem Power Eraiser ale on nie wymaga instalacji :)

 

Łatka KB940157 nie figuruje w dodaj/usuń. Możliwe,że Ccleaner wyczyścił bo go używam systematycznie.

Nadpisać się nie da bo jak próbuje zainstalować wyskakuje błąd Windows search . Instaluje się gdzieś do 1/3 i wyskakuje okienko z błędem i instalator się rozłącza.

 

Boot Time nic nie dał, znów miałaś racje :)

Odnośnik do komentarza
tylko do skanu dodatkowo przejechałem w poszukiwaniu rootkitów Nortonem Power Eraiser ale on nie wymaga instalacji

 

No to już jasne co to za sterownik w logu. To jest właśnie sterownik Power Erasera:

 

poereraser.th.png

 

Notabene: to nic nie oznacza, że dany program nie ma instalatora, a zwłaszcza przy skanerach antymalware. Te skanery "non install" typu CureIt czy Power Eraser muszą pracować na poziomie kernel (jeśli mają mieć zdolność wychwycenia ingerencji rootkit), dlatego ekstraktują driver i go montują, a zależnie od programu odładowują go po ukończeniu zadania albo i nie (i trzeba ręcznie to zlikwidować). "Portable" to mit.

 

EDIT: Ale porównałam dwa logi między sobą, pierwszy i ostatni, ten sterownik gdzieś w akcji zaginął (może program go odładował). Skoro awaryjny wykazuje aż taką różnicę, to przejdźmy do bardziej ingerencyjnych testów. Zaczynam od tego co jawi się jako najnowsze: testowa deinstalacja Look'n'Stop.

 

 

Łatka KB940157 nie figuruje w dodaj/usuń. Możliwe,że Ccleaner wyczyścił bo go używam systematycznie.

Nadpisać się nie da bo jak próbuje zainstalować wyskakuje błąd Windows search . Instaluje się gdzieś do 1/3 i wyskakuje okienko z błędem i instalator się rozłącza.

 

Może przed wyrywaniem na siłę spróbujmy to oszukać. Przesyłam folder deinstalacji, pozyskany z wirtualnej maszyny z instalacji polskiej wersji Windows Search: KLIK. Wstaw tego dolarowca tymczasowo do C:\WINDOWS. Uruchom plik C:\Windows\$NtUninstallKB940157$\spuninst\spuninst.exe. Jeśli się uda, zresetuj system i pokaż log z OTL. Gdy zniknie ShellExecuteHooks i foldery z dysku, to uznam deinstalację za udaną.

 

 

Nawiasem mówiąc Ty chyba w ogóle nie śpisz

 

Na bakier jestem z czasoprzestrzenią :P. To ze studiów na ASP mi pozostało.

 

 

 

.

Edytowane przez picasso
Odnośnik do komentarza

Więc tak: Autoruns nie odnalazł w zakładce drivers usługi Powera Eraisera i nie ma go, oto dowód: http://oi56.tinypic.com/2i8dm9v.jpg

 

Druga sprawa: Pobrałem od Ciebie z tego linku przekopiowałem , otworzyłem plik, odinstalował się , kolejny res i znikł ten search, została domyślna podstawowa wyszukiwarka :)

 

Zamieszczam niżej logi.

Extras.Txt

OTL.Txt

Odnośnik do komentarza

1. Windows Search z głowy, po Twoim opisie + naocznie sprawdzonym braku wpisu w rejestrze wnioskuję, że deinstalacja zrobiła ile mogła. Pozostały te katalogi na dysku do kasacji (przypuszczalnie w środku zieje pustką, jeśli porównam INF deinstalacyjny = kasuje zawartość ale nie DIR nadrzędny):

 

[2011-03-16 09:13:42 | 000,000,000 | ---D | C] -- C:\Documents and Settings\komandos.KOMANDOS-53A56F\Dane aplikacji\Windows Search

[2011-03-16 07:52:47 | 000,000,000 | ---D | C] -- C:\Program Files\Windows Desktop Search

Nawiasem mówiąc: czy po zdjęciu modułów Windows Search (co równa się wyeliminowaniu wszystkich błędów Windows Search z Dziennika) nie notujesz aby poprawy działania odtwarzaczy / lepszego performance systemu?

 

 

2. Spoza tego tematu, jeszcze w Autoruns w karcie Logon odznacz ten zbędnik DivX ze startu:

 

O4 - HKLM..\Run: [DivXUpdate] C:\Program Files\DivX\DivX Update\DivXUpdate.exe ()

I pytanie na temat tego wpisu:

 

O4 - HKLM..\Run: [DivX Download Manager] C:\Program Files\DivX\DivX Plus Web Player\DDmService.exe (DivX, LLC)

Która to wersja DivX Plus Web Player? Z jego DivX Download Manager nie zawsze było różowo (KLIK).

 

 

Więc tak: Autoruns nie odnalazł w zakładce drivers usługi Powera Eraisera i nie ma go, oto dowód: http://oi56.tinypic.com/2i8dm9v.jpg

 

Tak, czytałeś poprzedni post przed moją edycją:

 

EDIT: Ale porównałam dwa logi między sobą, pierwszy i ostatni, ten sterownik gdzieś w akcji zaginął (może program go odładował). Skoro awaryjny wykazuje aż taką różnicę, to przejdźmy do bardziej ingerencyjnych testów. Zaczynam od tego co jawi się jako najnowsze: testowa deinstalacja Look'n'Stop.

Sterowniki tego programu są oznaczone jako bardzo świeże, dlatego ten program jest dla mnie punktem startowym:

 

DRV - [2011-03-16 21:50:06 | 000,082,176 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\lnsfw1.sys -- (lnsfw1)

DRV - [2011-03-16 21:50:06 | 000,059,488 | ---- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\lnsfw.sys -- (SFilter)

 

 

 

.

Odnośnik do komentarza

Ok, katalogi usunięte ręcznie , to mamy z głowy:) Nic nie pomogło, dalej długi czas ładowania się Windowsa oraz dziwne dźwięki przy odtwarzaniu muzy :)

 

Odznaczyłem w autoruns usługę divixa jak kazałaś.

 

Wersja Divx Web Plus player to 1.0.0.793

 

 

Tak w ogóle to system lepiej chodzi po zalogowaniu na pulpit, jakby lepiej w porównaniu do stanu przed zgłoszeniu usterki , tylko te długie ładowanie i ten dźwięk , słuchanie muzy nie sprawia przyjemności , wręcz męczy. Wiesz co , tak sobie myślę, że jeśli po daniu resetu podczas zwiechy gdy skanowałem Gmerem się w tych kwestiach zaczęły cyrki dziać a jak sama wspomniałaś Gmer nie przypada za deamonem i alcoholem to może odinstaluje programy kompletnie może coś pomoże, sam nie wiem oraz FW Look'n' Stop. Zostały tylko 2 możliwości. Fw albo demon z alcoholem:) Jak uważasz?

Odnośnik do komentarza
Nic nie pomogło, dalej długi czas ładowania się Windowsa

 

To co mówię na temat Windows Search i DivX nie mogło pomóc w tej kwestii. Nie ta faza ładowania (to już późniejszy logon). To były akcje "kosmetyzujące", jeśli to można tak ująć.

 

 

Wiesz co , tak sobie myślę, że jeśli po daniu resetu podczas zwiechy gdy skanowałem Gmerem się w tych kwestiach zaczęły cyrki dziać a jak sama wspomniałaś Gmer nie przypada za deamonem i alcoholem to może odinstaluje programy kompletnie może coś pomoże, sam nie wiem oraz FW Look'n' Stop. Zostały tylko 2 możliwości. Fw albo demon z alcoholem:) Jak uważasz?

 

1. Jeśli chodzi o Alcohol / Daemon, to przecież sprawdzaliśmy główny pociąg tych obiektów = SPTD (Defogger jeszcze wyłączał poboczne serwisy Alcohola). W ostatnim logu ten sterownik ma status wyłączony i brak pliku (załatwił go SPTDinst):

 

DRV - File not found [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)

Wątpię czy odmontowanie Alcohol / Daemon pomoże (SPTD to jest ten o który chodzi z GMERem), choć możesz to zrobić. Na dokładkę, nie da się tego zrobić jeśli SPTD jest nieczynny, dostaniesz błąd o "naruszeniu instalacji". By móc odinstalować te programy, należy przywrócić SPTD do statusu "Running". Ponadto, deinstalacja obu programów nie usuwa SPTD, on zawsze po nich pozostaje i musi być usuwany odrębnie za pomocą narzędzia SPTDinst.

 

2. Zaczynaj z Look'n'Stop. Jak mówiłam, szybciej i dokładniej pójdzie testowa deinstalacja niż miotanie się z punktowym wyłączaniem (to byłaby strata czasu).

 

3. O checkdisku jeszcze nic tu nie powiedziałeś, czy go wykonałeś.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...