wertumnus

Czy jest jeszcze coś do zrobienia?

raport:

sfc.txt

Pominąłem kroki dla BFC ale mimo ręcznej rekonstrukcji uprawnień nie mogę scalić MpsSvc.reg (reszta poszła bez problemu).

oto skopiowany z cmd "sukces" dla działania SetACL:

C:\Windows\system32>SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\BFE" -ot
reg -actn restore -bckp C:\fix.txt
INFO: The restore action ignores the object name parameter (paths are read from
the backup file). However, other actions that require the object name may be com
bined with -restore.
Input file for restore operation opened: 'C:\fix.txt'
Restoring SD of: <machine\SYSTEM\CurrentControlSet\Services\BFE>
Writing SD to <machine\SYSTEM\CurrentControlSet\Services\BFE> failed with: Odmow
a dostępu.
Restoring SD of: <machine\SYSTEM\CurrentControlSet\Services\BFE\Parameters>
Writing SD to <machine\SYSTEM\CurrentControlSet\Services\BFE\Parameters> failed
with: Odmowa dostępu.
Restoring SD of: <machine\SYSTEM\CurrentControlSet\Services\BFE\Parameters\Polic
y>
Restoring SD of: <machine\SYSTEM\CurrentControlSet\Services\BFE\Parameters\Polic
y\BootTime>
Restoring SD of: <machine\SYSTEM\CurrentControlSet\Services\BFE\Parameters\Polic
y\BootTime\Filter>
Restoring SD of: <machine\SYSTEM\CurrentControlSet\Services\BFE\Parameters\Polic
y\Persistent>
Restoring SD of: <machine\SYSTEM\CurrentControlSet\Services\BFE\Parameters\Polic
y\Persistent\Filter>
Restoring SD of: <machine\SYSTEM\CurrentControlSet\Services\BFE\Parameters\Polic
y\Persistent\Provider>
Restoring SD of: <machine\SYSTEM\CurrentControlSet\Services\BFE\Parameters\Polic
y\Persistent\SubLayer>


SetACL finished successfully.

Avast juz zainstalowany. nadal nie mogę uruchomić zapory:

Zapora systemu Windows nie może zmienić niektórych ustawień.

Kod błędu: 0x80070437

Avast teraz i wcześniej zainstalowany w wersji free - czyli bez zapory. Korzystałem z systemowej. 

Tyle, że avasta nie mogę aktywować do ochrony. Pokazuje mi stan jako wyłączony. Mam go przeinstalować?

BFE już działa (musiałem użyć trybu awaryjnego) ale zapora nadal nie chce się włączyć. Mimo ustawienia auto ma stan zatrzymane. Przy próbie uruchomienia pokazuje się monit:

System Windows nie może uruchomić usługi Zapora systemu Windows na komputerze Komputer lokalny.

Błąd 1079: Konto podane dla tej usługi różni się od konta podanego dla innych usług działających w tym samym procesie.

Dodam, że próbowałem naprawić usługi wcześniej już używanym Services Repair.

Proszę

Fixlog.txt

Programu używałem już wcześniej ale i tym razem nic się nie zmieniło. Po restarcie ciągle usługa zatrzymana i odmowa dostępu. 

Niestety nic to nie dało. Stan usługi ciągle jako zatrzymano zaś przy próbie uruchomienia odmowa dostępu.

Dzięki jessi za zainteresowanie. Usługa nie chce się włączyć: odmowa dostępu (włączone z prawami administratora).

W logu wg mnie wszystko w porządku (zaznaczyłem wszystkie opcje skanowania). Muszę przeprowadzić kilka przelewów bankowych z internetu ale obawiam się o bezpieczeństwo bo w zasadzie od początku zdarzenia nie działa mi firewall i antywirus. Dlatego czas gra dla mnie istotna rolę.

Proszę tylko dać znać, czy jeszcze chwilę poczekać czy lepiej przeinstalować windowsa. Nie ukrywam, że druga opcja jest dla mnie mało atrakcyjna i wolałbym jej uniknąć.

FSS.txt

Czy jest szansa, że ktoś zajmie się opisanym problemem?

Podczas uruchomienia jeszcze na czarnym tle z okienkiem windows pokazały się jakieś komponenty dodawane do rejestru (chyba głównie do HKLM) w ramach "aktualizacji". Później BSOD i w trybie naprawy przywróciłem system do poprzedniego punktu. Jednak po uruchomieniu znów pojawiło się dodawanie wpisów do rejestru. Jeszcze raz przywróciłem system z punktu i wyłączyłem aktualizacje. Do tego błędy na dysku, które naprawiałem w trybie naprawy chkdsk /f. Po uruchomieniu windowsa Avast i zapora były wyłączone. Avast nie dawał się uruchomić więc w panelu zainstalowanych programów został naprawiony i już działa. Z zaporą podstawowe działania nie dały efektu (włączanie z usług, szczepionka MS).

Podejrzewam, ze infekcja mogła nastąpić w chwili pobrania plików od znajomego przez skypa chociaz ich skan avastem nic nie wykazał. To były spakowane zipem pliki modyfikujące interface gry. Nic innego nie przychodzi mi do głowy.

Znalazłem jeszcze w dzienniku zdarzeń ostrzeżenie o tym, ze skype coś mieszał w rejestrze więc zamieszczam tutaj opis.

Ponadto przy bezczynności proces svchost zabiera 50% + i mam wrażenie, że strony otwierają się wolno. W tym momencie nie chce sie uruchomić ani zapora ani antywirus. ewidentnie coś jest nie tak, bardzo proszę o pomoc.

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

OTL.Txt

Extras.Txt

Z dziennika zdarzen.txt

Nie mogę scalić MpsSvc z powodu używania kluczy bądź ich części przez jakiś proces. Podobnie było z BFE ale w awaryjnym poszło dalej a z MpsSvc nie. Próbowałem również kroków z drugiej części dla wpisów z MpsSvc ale i to nie pomogło w scaleniu.

Temat w tutkach przeczytany ale z uwagi na moja małą znajomość zagadnień na temat zapory sam nie jestem w stanie zinterpretować wyników ostatniego skanu.

Ponieważ zdecydowałem się na użycie automatu "ServicesRepair" po uprzednim wykonaniu kroku 1 z postu 74 sprawdziłem log z FRST odnośnie odczytu o MpsSvc. Okazuje się, że jest taki sam w dwóch logach ale ja nie wiem co jest z nim nie tak. Dlatego czekam na jakieś konkrety by nie wydłużać niepotrzebnie przydługiego wątku.

Co do rootkita: podałem jedynie sugestię avasta o przyczynie ukrytej usługi. Samemu zwróciłem uwagę na to, że jest zmieniona literka więc sprawa wydała mi się podejrzana. Ocenę pozostawiłem specjalistom.

Podsumowując: mam wykonać wszystkie kroki z przytaczanego tematu czy czekać na jakąś konkretną odpowiedź?

FRST http://wklej.org/id/1410062/

Addition http://wklej.org/id/1410066/

Widzę, że

S2 MpsSvc; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)

jest również w tym najnowszym raporcie.

Edytor rejestru w Avira Rescue System usunął klucz bez problemu. W ogóle to bardzo ciekawa płytka z narzędziami. Stokrotne dzięki @Bonifacy.

Aktualnie po powrocie do zwykłego trybu pracy nie ma w rejestrze wspomnianego klucza. Jeśli jest jeszcze coś do zrobienia dla sfinalizowania całej sprawy to proszę o szczegóły. Chciałbym mieć pewność, że klucz nie pojawi się za chwilę znowu.

Jeśli wszystko jest OK to bardzo dziękuję za zaangażowanie i pomoc wszystkich osób piszących w temacie, czyli użytkownikom:

@Jessica

@Bonifacy

@Picasso

@Zappa  <- który poświęcił najwięcej czasu i pokazał kilka ciekawych narzędzi (naprawdę doceniam taką pomoc)

@KolegaDudysa

Jeśli już nie ma potrzeby dalszego działania temat można zamknąć.

Link do pliku na PM. Chkdsk /r odbębniony bo jak wcześniej pisałem zdarzają mi sie problemy z systemem plików przy niektórych wyłączeniach (zwłaszcza nagłych). Partycja systemowa nie ma żadnych błędów.

Zanim jeszcze zapoznam się ze wskazanym tematem śpieszę przypomnieć, że PC regedit po załadowaniu większej swojej części odmawia współpracy z powodu:

Video is ATI Technologies Inc Unknown device 6719, using Xorg(ati) Server

Czyli mam sprawdzić partycję systemową chkdsk /f /r a jeśli nie pomoże to podsyłać plik rejestru? Sprawdzić nie zaszkodzi tylko z "/r" to trochę trwa.

Wypada mi życzyć rychłego powrotu do zdrowia.

Wracając do tematu to Kaspersky nie mógł usunąć klucza.

src=http://www.sendspace.pl/file/pic/e1915382751a54bdba83678/3

Na zdjęciu monit tyczy się klucza ...Audo... mimi, że przesunęło zaznaczenie na właściwy klucz ...Auto...

Przepraszam za słabą jakość ale zdjęcie robione telefonem

Log z sfc:

http://wklej.org/id/1409227/

klucza jeszcze nie usunąłem bo nie wiem jak użyć DeleteKey: HKLM\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc w FRST

a jestem w trakcie wypalania Kasperskyego. Jak usunę klucz dam znać

P.S. mam nadzieję, że już całkiem zdrowa

Jakby dysk był w porządku nie byłoby sprawdzania typu chkdsk.

To sprawdzanie samemu aplikuję.

http://www.sendspace.pl/file/pic/fa5c532cdac3d9520e89185/view

Dysk mam w porządku, mój komputer tak ma najprawdopodobniej z powodu kości pamięci, które słabo współpracują z płytą główną (zwłaszcza przy kręceniu). Wielokrotnie sprawdzałem dysk bootowalnymi programami (MHDD - skan parę godzin) i nie ma tam żadnych błędów. Czasem tylko przy takim nagłym wyłączeniu pojawiają mi się błędy zwłaszcza na partycji D (a nie systemowej). Standardowo chkdsk d: /f pomaga. Zawsze przy okazji (i jako pierwszy) "naprawiam" partycje systemową. Dawniej na searchengines juz zajmowałem się tym problemem i żadnych błędów nie znaleziono (chociaż wtedy Picasso też chyba była chora albo zwyczajnie niedostępna).

Zdecydowanie bardziej wolałbym zająć się problemem z tematu.

CrystalDiskInfo podaje status jako dobry i nie ma żadnych błędów

Witam ponownie i przepraszam za opóźnienia (mam prawdziwy kocioł w pracy). Płyta z windowsem 7 zacina się w pewnym momencie i nie rusza dalej. Druga płyta z windowsem pokazuje, że to inna wersja. Obraz mialem właśnie do tej drugiej więc klapa. Sprawdziłem przy okazji PCRegedit z bootowalnej płyty i po załadowaniu części programu pojawia mi się komunikat:

Video is ATI Technologies Inc Unknown device 6719, using Xorg(ati) Server

Dlatego zmajstrowałem płytę naprawy i z niej uruchomiłem regedita. ponieważ płyta była tworzona przed chwilą, sprawdziłem czy na zabootowanym rejestrze jest feralny wpis i było czysto.

Dalej postąpiłem jak wskazałeś w komie nr 51 z tą różnicą, że podmontowałem:

D:\WINDOWS\system32\config\SYSTEM

zamiast SOFTWARE (bo w software nie było szukanego klucza). Dysk "D" ponieważ mój systemowy został przesunięty podobnie jak się dzieje w uruchamianiu w trybie naprawy (za to dokładnie sprawdziłem, że to ten właściwy)

Ponieważ przeszukując to co podmontowałem jako TEST nie buło "CurrentControlSet" (czy jakoś tak), sprawdziłem Control Set 001 i 002 i w obu były feralne klucze. 

Z Control Set 002 udało mi się usunąć (i klucz był pokazany z krzyżykiem rozwinięcia) a z Control Set 001 (gdzie był pokazany bez krzyżyka rozwinięcia) nie udało mi się usunąć, bo ukazał sie komunikat, że nie ma tam pliku/zawartości.

Wygląda to tak jakby istniała sama nazwa klucza bez zawartości. Oczywiście nie mogłem jej podglądać poza tym z Control Set 002 - tam mogłem rozwijać i wszystko wygladało jak w kluczu WinHttpAutoProxySvc.

Jeszcze mam jedno spostrzeżenie: odpalenie z płyty naprawy nie różniło się niczym od odpalenia w trybie naprawy bo w obu przypadkach ładowany jest "system" niezależny od systemu z normalnego trybu uruchomieniowego. Oczywiście biorę poprawke na to, że ekspertem nie jestem ale na to wskazują porównania  rozruchów.

Pomyśląłem o jeszcze jednej rzeczy. Ponieważ na jednej partycji mam zainstalowane Ubuntu (tylko teraz nieaktywne i nie ruszane od ostatniego przeinsatlowywania windowsa, to może z tamtego poziomu da się pogrzebać w rejestrze i usunąc tamten klucz? tylko musiałbym sobie przypomniec jak wpisac uruchamianie Ubuntu do listy rozruchowej (bo już długi czas nie dodawałem i zwyczajnie zapomniałem). Oczywiscie jeśli nie widzisz w tym większego sensu to nie będę sie trudził. Druga sprawa, że być może nie bedę mógł sie dogrzebać do rejestru.

Wczoraj coś mi pod wieczór wypadło i byłem z dala od kompa za to znalazłem płytkę ale już było za późno na zabawy. Dzisiaj dopiero wróciłem więc też nie pobrykam. Proszę o odrobinę wyrozumiałości i nie zamykanie wątku. Jutro po pracy podejmę temat i zdam relację.

Zawsze robię obrazy ważniejszych dla mnie płyt i tak jest również w przypadku windowsa. Jakoś nie mogę jej teraz znaleźć więc pewnie szybciej będzie wypalić ale zastanawia mnie czy rzeczywiście jej potrzebuję bo przecież można wystartować w trybie naprawy i zdaje się, że wtedy ładują się narzędzia z tej ukrytej partycji około 100MB, którą proponuje windows przy instalacji (zmienia literę systemu z c: na jakąś kolejną - u mnie chyba e: ale to zawsze można sprawdzić). Ja tak czasem naprawiam system bo przy nagłym wyłączeniu (np: odcięcie prądu) pojawiają mi się często błędy na partycjach i musze je z wiersza poleceń traktować chkdsk.

Run as System sprawdzałem ale nic z tego. Tak czy inaczej dzięki za pomoc