mingus

Tak, wcześniej pousuwałem to i owo ręcznie. To ja dziękuję

Nie sygnalizowany wymóg umieszczenia logu z DelFix - choć na linkowanej stronie pisze, że owszem Dziękuję picasso za poświęcenie czasu i fachową pomoc (nie pierwszy raz). Postaram się w najbliższym czasie jakąś darowizną wspomóc forum. Pozdrawiam. __________________________________________ edit: co do możliwego konfliktu, to zamierzam niedługo czegoś tam się pozbyć. System jednak od dawna pracuje b.dobrze, więc trochę zdziwiony byłem tymi komunikatami o ewentualnym rootkicie. Jeszcze raz pozdrawiam. DelFix.txt

Wykonane. Fixlog.txt

Zmiana kodowania na UTF-8 ?

To zaszyfrowane przeze mnie zdjęcie. Fixlog.txt FRST.txt

Witam. Nie mam żadnej pewności, czy tytułowy rootkit u mnie zagościł, ale wolę się upewnić i proszę o wskazówki. Objawy: od 2-3 miesięcy zdarzyła się parokrotnie następująca sytuacja z MBAM Premium: Na tę okoliczność pozwoliłem programowi na skan przy starcie systemu. Nic ciekawego nie pokazał, poza tym że potem musiałem zrobić twardy restart, bo jakieś zamrożenie nastąpiło. Nie za bardzo się tym przejąłem, ponieważ dość się naczytałem o "narowach" Premium. Ostatnio jednak testując triala UnHackMe zawarty w nim RegRun Reanimator wyświetlił mi po skanowaniu takie coś: Mam tylko ten zrzut, bo log gdzieś przepadł. Skany TDSSKiller, MBAM i ESETa nic podejrzanego nie wykazały. System jest też skanowany przez Hitmana Pro po każdym starcie, i też nic. Oczywiście od razu zapuściłem GMERa i coś tam na czerwono jest, a konkretnie chyba te chińskie krzaki w usługach: Tak to wygląda we "Właściwościach" jedna z tych pozycji: Przetłumaczyłem nazwę usługi w translatorze google i jest jakieś " Jianaihonglang Mameicuoyu t ". Tylko na jednym rosyjskim forum coś o tym jest, ale bez rozwiązania. Jeszcze jedno forum znalazłem i jest tam sugestia, że to może coś związane z uszkodzonym pakietem językowym. RegRun pokazał chyba odpowiadające tym pozycjom wpisy w rejestrze, które tez juz kiedyś zdążyłem zobaczyć. Proszę Szanowną picasso o ocenę, czy to rootkit, czy FP. Nie dostarczam raportów OTL, gdyż raz za razem mi się programik zawiesza (w trybie awaryjnym też). Staje w momencie, gdy na tapecie są ustawienia Firefoxa. FRST.txt Addition.txt Shortcut.txt GMER.txt

Znalazłem bezpośredni powód zawalania się systemu. Odinstalowanie programu do robienia kopii zapasowych - Aomei Backuper (nowy i niesprawdzony) za pomocą Revo Pro coś usuwało z rejestru. Objawem tego, że system mi się sypie było to, że Eksplorator Windows przestał widzieć dołączonego pendrive'a. Nie mogłem się w tym wszystkim połapać, bo hurtem odinstalowywałem z 6-7 programów. Niepotrzebnie trzy razy przywracałem part.systemową, ech. No w każdym razie cofnąłem się z tą kopią do czasu sprzed Twojej picasso pomocy dla mnie w tym temacie: http://www.fixitpc.p...141#entry109141 Wobec tego zrobiłem jeszcze raz skan OTL, porównałem do starego (wszystko prawie to samo) i powtórzyłem skrypt i wsad do rejestru. Coś to dało, bo przynajmniej próbowało się zainstalować Sandboxie, na którym mi zależy-choć i tak się nie udało. Po Twoich zaleconych naprawach zainstalowałem go wcześniej bez problemu, a teraz kicha. Coś się dzieje jednak dalej z systemem, bo dzisiaj nie mogłem np. zainstalować jednej aktualizacji z Windows Update (związaną z IE) i użycie dwóch narzędzi ściągniętych z Microsoftu nie pomogło (choć jedno twierdziło,że błąd naprawiony).

Witam ponownie. Ten wątek to w zasadzie c.d. zamkniętego już tematu: http://www.fixitpc.p...na-poziomie-25/ Trzykrotnie już musiałem przywracać part.systemową, ponieważ nie miałem sposobu by uruchomić Windowsa. Oczywiście i tryb awaryjny nie działał. Przez ułamek sekundy pojawiał się bluescreen z jakimś błędem. Narzędzie do naprawy systemu podczas uruchamiania nie poradziło sobie z tym problemem (przez zapomnienie nie spróbowałem wykorzystać dysk naprawy Windows 7). Po przywróceniu systemowej sprawdziłem "chkdsk" (brak błędów) oraz S.M.A.R.T. (stan dobry), a także sprawdziłem pliki systemowe (sfc /scannow). Część plików nie została naprawiona: Log jest bardzo długi, więc wklepałem komendę "findstr /C:"[sR] Cannot repair member file" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt". Poniżej podaje log z tego skanu. Również Centrum akcji pokazało, że jest jakiś problem. Pliki zostały przesłane do Microsoftu i potem pokazało to: Sposób rozwiązania ma się podobno pojawić w Centrum akcji, ale na razie nic nie ma. Poza tym nie wiem, czy te wszystkie rzeczy można ze sobą wiązać i co jest tak naprawdę przyczyną tych katastrof systemu. Jeśli picasso miałaby chwilkę czasu i chciała swoim fachowym okiem przyjrzeć się mojemu problemowi byłbym wdzięczny. Teraz siedzę trochę jak na rozżarzonym węglu, bo za chwilę znowu system może się zawalić.

Dodam tylko, że wyłączyłem proces taskhost.exe, ale po restarcie systemu proces oczywiście wraca. Pełna nazwa: proces hosta dla zadań systemu Windows. Zarządzanie NT/Usługa lokalna. Proces nadrzędny: 692-services.exe. proces wykryty 06.02.2013. Ścieżka-C:\Windows\System32\taskhost.exe (info z AnVir Task Manager) Przepraszam za brak edycji powyżej. --------------------------------------------------------------------------------------------------------------------------------------------------------- Znalazłem taki sposób na problem z taskhost.exe: 1. Wyłączyć proces taskhost.exe w menadżerze zadań 2. Później szybko przejść do C:\Program Data\Microsoft\RAC i zanim proces się odnowi usunąć wszystkie pliki w podfolderach. AnVir Task Manager tak pokazuje te pliki: 3. Restart komputera i...ponoć odnowi to prawidłowe bazy danych. Nie mam pojęcia czy to bezpieczne i w związku z tym prosiłbym o opinię. ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ Niemiły ciąg dalszy nastąpił. Kolejne programy zaczęły odmawiać współpracy wyrzucając błędy, że niby nie są przeznaczone do instalowania w tym systemie (sic!). Później zaś nastąpił atak jakichś sterowników od kart sieciowych, które zaczęły się na chama instalować i zanim cokolwiek zrobiłem, rozwaliły mi połączenie z netem. Uratował mnie Paragon B&R i kopia p.systemowej Morał jest taki, że bez backup'ów można porządnie oberwać po tyłku. To by było na tyle. Temat do zamknięcia.

Miałem wczoraj pewną katastrofę na laptopie. Musiałbym wstawić długi wstęp, żeby to wszystko przedstawić. Ogólnie rzecz biorąc, doszło do automatycznej defragmentacji narzędziem systemowym (zapomniałem wyłączyć), co przy obecności programu RestoreIT ( coś podobnego do Comodo Time Machine) nie powinno się zdarzyć, ponieważ nie można defragmentować dysku z tym programem. Po restarcie nie mogłem już uruchomić kompa. Windows sam nie potrafił naprawić sektora rozruchowego. Wobec tego użyłem do odzyskania systemu właśnie jednej z migawek RestoreIT za pomocą konsoli. Gdy trwało to o wiele za długo to domyśliłem się, że to sprawka defragmentacji ( miałem już podobny przypadek z O&O Defrag). Po przywracaniu migawki wywaliło taką masę błędów, że przez prawię godzinę przed uruchomieniem Windowsa trwała naprawa (chkdsk). Później po uruchomieniu systemu (Windows 7 HP) parę programów wykazywało błędy przy uruchamianiu. Odinstalowałem je na razie-włącznie z RestoreIT. No i tu zaczyna się prawdziwy problem, bo nagle ( jakieś 10 minut po starcie Windowsa) włacza się taskhost.exe i ciągle obciąza procesor na poziomie ok.25%. Próbowałem zastosować ten pomysł: http://forum.benchmark.pl/topic/36860-taskhostexe-25-cpu/ ale już po drodze przy harmonogramie zadań wyskakuje to: http://vpx.pl/i/2013...ogram_zadan.png a gdy już dochodzę do RAC to pojawia się to: http://vpx.pl/i/2013/02/07/RAC.png Proszę o pomoc w unieszkodliwieniu tego taskhost.exe, bo sam nie mam pomysłu co z tym zrobić. Jest to niezwykle uciążliwe.

Potwierdzam, temat do zamknięcia. Jeszcze raz bardzo dziękuję i miłego dnia picasso.

Tak więc okazuję się, że teraz już działa. Przed recovery błąd wywalało zarówno w trybie normalnym jak i awaryjnym. Pewnie wtedy coś skopałem przy dzieleniu partycji (narzędzie systemowe nie dało rady,to skorzystałem z Aomei). Później miałem już większe pojęcie jak bezpiecznie to zrobić. Za pomocą linuksowego Parted Magic (GParted) już dobrze poszło. Tylko pytanie, czy jest sens na stałe to włączać? Zajmuje trochę miejsca na dysku, a już ukryta partycja na kopie programu RestorelT zajmuje mi na partycji D ponad 40 GB.

To już stara historia, ale zachowałem zrzut komunikatu o błedzie jaki pojawiał się po nieudanej próbie przywracania systemu do okr.punktu. Włączyłem ochronę dysku i wszystko wygląda normalnie...tylko pewnie jakby przyszło co do czego z przywracaniem, to byłaby powtórka z rozrywki.

Wsad do rejestru zrobiony. Co do przywracania systemu, to mam to wyłączone od jakiegoś czasu i żadnych kopii nie mam. Dwa m-ce temu reinstalowałem system z partycji recovery i od tego czasu nie mam tej funkcji, Przed recovery zmieniałem partycje i przywracanie padło. Po recovery też zmieniłem partycje i nawet nie sprawdzałem czy przywracanie działa (pewnie nie), tylko wyłączyłem. Zamiast tego zainstalowałem program RestorelT (konsola+migawki). Wielkie dzięki picasso za pomoc i poświęcony czas.

Jedyne co mi do głowy przychodzi, to Registry First Aid. Trzy tygodnie temu po raz pierwszy czyścił mi i naprawiał błędy w rejestrze. Znalazł tego ok.1400, z czego pozwoliłem usunąć lub naprawić 1200 (żółtych i czerwonych wpisów nie ruszałem). Chyba tylko to "ostre" narzędzie wchodzi w grę, bo raczej softy typu Jet Clean, Wise Care 365 oraz jeszcze delikatniejsze CCleaner czy TuneUp nic by tu nie pomieszały. SystemLook 30.07.11 by jpshortstuff Log created at 11:57 on 29/01/2013 by robert Administrator - Elevation successful ========== reg ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System] "EnableLUA"= 0x0000000001 (1) "EnableUIADesktopToggle"= 0x0000000000 (0) "dontdisplaylastusername"= 0x0000000000 (0) "legalnoticecaption"="" "legalnoticetext"="" "scforceoption"= 0x0000000000 (0) "shutdownwithoutlogon"= 0x0000000001 (1) "undockwithoutlogon"= 0x0000000001 (1) "DisableCMD"= 0x0000000000 (0) "DisableRegistryTools"= 0x0000000000 (0) "DisableTaskMgr"= 0x0000000000 (0) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI] (No values found) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard] (No values found) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats] "CF_TEXT"= 0x0000000001 (1) "CF_BITMAP"= 0x0000000002 (2) "CF_OEMTEXT"= 0x0000000007 (7) "CF_DIB"= 0x0000000008 (8) "CF_PALETTE"= 0x0000000009 (9) "CF_UNICODETEXT"= 0x000000000d (13) "CF_DIBV5"= 0x0000000011 (17) -= EOF =-