kasper93
-
Postów
18 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez kasper93
-
-
Dziękuje. Oczywiście hasła zmienię, ale mam też nadzieje, że dużo danych nie wyszło "na zewnątrz".
Temat można zamknąć.
Pozdrawiam
EDIT:
Jeżeli chodzi o ten plik
[2012-03-02 20:18:55 | 000,005,046 | ---- | M] () -- C:\ProgramData\mxnhytee.feu
jest on tworzony podczas uruchamiania wersji testowej ProgDVB Pro i najprawdopodobniej ma związek właśnie z okresem testowym. W każdym bądź razie można uznać ten plik jako bezpieczny i jeżeli używamy ProgDVB to nie trzeba się nim przejmować.
-
Logi:
Tak, nie ma już tego folderu folderów.Przy okazji, sprawdź czy cały katalog C:\Windows\SysWOW64\windir jest na pewno skasowany.Dzięki wielkie za pomoc, bo chyba już tylko pozostało sprzątanie po OTL
-
Szczerze mówią nie kojarzę tych plików, ale najprawdopodobniej sam jest stworzyłem wklepując coś tam w konsole. Natomiast dziwne, że są puste, tak samo jak te .mkv bo pewnie chciałem coś tam zapisać, ale widocznie to wyniki literówek w komendzie. Usunąłem te pliki.
Proszę oto logi:
EDIT:
Mam jeszcze pytanie, od czego jest ten driver?
DRV - [2007-12-22 15:41:18 | 000,013,880 | ---- | M] (Zeal SoftStudio) [Kernel | Auto | Running] -- C:\Windows\System32\drivers\zntport.sys -- (zntport)
-
Wczoraj, a właściwie dzisiaj w nocy zauważyłem dziwny proces, mianowicie svchost.exe, ale w złym folderze i uruchamiający proces firefoxa, ale okno się nie pojawiało. O dziwo pierwszy raz pojawił się w C:\Windows\SysWOW64\windir\ (lub coś obok, bo nie pamiętam ) i spróbowałem go ręcznie usunąć to oczywiście się odtworzył po chwili. Zainstalowałem kasperskiego jako, że akurat nie miałem antivirusa :| I nawet po przeskanowaniu nie wykrył tego pliku jako zagrożenie, ale sam plik po usunięciu już się nie odtworzył, było późno to poszedłem spać i dzisiaj po włączeniu komputera wszystko wyglądało ok, ale kaspersky po ok 40 minutach znalazł %appdata%\windir\svchost.exe i tym razem wykrył go jako Net-Worm.Win32.Kolad.azgu (wczoraj pewnie też już tam był). Koniec historyjki.
No i teraz prośba do was o sprawdzenie logów na wypadek, gdyby te pliki były tylko czubkiem góry lodowej, bo jest bardzo możliwe, że coś głębiej siedzi i tylko tworzy te pliki.
-
Niestety nie mogę stworzyć loga z tej aplikacji, po chwili od uruchomienia wyskoczył błąd:
Szczegółowe informacje na temat wywoływania debugowania w trybie JIT (just in time)
zamiast tego okna dialogowego znajdują się na końcu tego komunikatu.
************** Tekst wyjątku **************
System.Runtime.InteropServices.COMException (0x80040154): Klasa niezarejestrowana. (Wyjątek od HRESULT: 0x80040154 (REGDB_E_CLASSNOTREG))
w System.Management.ManagementScope.Initialize()
w System.Management.ManagementObjectSearcher.Initialize()
w System.Management.ManagementObjectSearcher.Get()
w SysInfo.SysInfo.GetApps()
w SysInfo.SysInfo.Orb_Click(Object sender, EventArgs e)
w System.Windows.Forms.Control.OnClick(EventArgs e)
w System.Windows.Forms.Control.WmMouseUp(Message& m, MouseButtons button, Int32 clicks)
w System.Windows.Forms.Control.WndProc(Message& m)
w System.Windows.Forms.Control.ControlNativeWindow.WndProc(Message& m)
w System.Windows.Forms.NativeWindow.Callback(IntPtr hWnd, Int32 msg, IntPtr wparam, IntPtr lparam)
************** Zestawy załadowane **************
mscorlib
Wersja zestawu: 2.0.0.0
Wersja Win32: 2.0.50727.5420 (Win7SP1.050727-5400)
CodeBase: file:///C:/Windows/Microsoft.NET/Framework64/v2.0.50727/mscorlib.dll
----------------------------------------
SysInfo
Wersja zestawu: 1.0.0.0
Wersja Win32: 1.0.0.0
CodeBase: file:///E:/Programy/Pobieranie/VistaForums%20SysInfo.exe
----------------------------------------
Microsoft.VisualBasic
Wersja zestawu: 8.0.0.0
Wersja Win32: 8.0.50727.5420 (Win7SP1.050727-5400)
CodeBase: file:///C:/Windows/assembly/GAC_MSIL/Microsoft.VisualBasic/8.0.0.0__b03f5f7f11d50a3a/Microsoft.VisualBasic.dll
----------------------------------------
System
Wersja zestawu: 2.0.0.0
Wersja Win32: 2.0.50727.5420 (Win7SP1.050727-5400)
CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System/2.0.0.0__b77a5c561934e089/System.dll
----------------------------------------
System.Windows.Forms
Wersja zestawu: 2.0.0.0
Wersja Win32: 2.0.50727.5420 (Win7SP1.050727-5400)
CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System.Windows.Forms/2.0.0.0__b77a5c561934e089/System.Windows.Forms.dll
----------------------------------------
System.Drawing
Wersja zestawu: 2.0.0.0
Wersja Win32: 2.0.50727.5420 (Win7SP1.050727-5400)
CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System.Drawing/2.0.0.0__b03f5f7f11d50a3a/System.Drawing.dll
----------------------------------------
System.Runtime.Remoting
Wersja zestawu: 2.0.0.0
Wersja Win32: 2.0.50727.5420 (Win7SP1.050727-5400)
CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System.Runtime.Remoting/2.0.0.0__b77a5c561934e089/System.Runtime.Remoting.dll
----------------------------------------
System.Configuration
Wersja zestawu: 2.0.0.0
Wersja Win32: 2.0.50727.5420 (Win7SP1.050727-5400)
CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System.Configuration/2.0.0.0__b03f5f7f11d50a3a/System.Configuration.dll
----------------------------------------
System.Xml
Wersja zestawu: 2.0.0.0
Wersja Win32: 2.0.50727.5420 (Win7SP1.050727-5400)
CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System.Xml/2.0.0.0__b77a5c561934e089/System.Xml.dll
----------------------------------------
mscorlib.resources
Wersja zestawu: 2.0.0.0
Wersja Win32: 2.0.50727.5420 (Win7SP1.050727-5400)
CodeBase: file:///C:/Windows/Microsoft.NET/Framework64/v2.0.50727/mscorlib.dll
----------------------------------------
Microsoft.VisualBasic.resources
Wersja zestawu: 8.0.0.0
Wersja Win32: 8.0.50727.4927 (NetFXspW7.050727-4900)
CodeBase: file:///C:/Windows/assembly/GAC_MSIL/Microsoft.VisualBasic.resources/8.0.0.0_pl_b03f5f7f11d50a3a/Microsoft.VisualBasic.resources.dll
----------------------------------------
System.Management
Wersja zestawu: 2.0.0.0
Wersja Win32: 2.0.50727.5420 (Win7SP1.050727-5400)
CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System.Management/2.0.0.0__b03f5f7f11d50a3a/System.Management.dll
----------------------------------------
System.Windows.Forms.resources
Wersja zestawu: 2.0.0.0
Wersja Win32: 2.0.50727.4927 (NetFXspW7.050727-4900)
CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System.Windows.Forms.resources/2.0.0.0_pl_b77a5c561934e089/System.Windows.Forms.resources.dll
----------------------------------------
************** Debugowanie w trybie JIT **************
Aby włączyć debugowanie w trybie JIT (just-in-time), plik .config tej
aplikacji lub komputera (machine.config) musi mieć
wartość jitDebugging ustawioną w sekcji system.windows.forms.
Aplikacja musi być również skompilowana z włączonym
debugowaniem.
Na przykład:
<configuration>
<system.windows.forms jitDebugging="true" />
</configuration>
Gdy debugowanie JIT jest włączone, wszystkie nieobsługiwane wyjątki
są wysyłane do debugera JIT zarejestrowanego na komputerze
i nie są obsługiwane w tym oknie dialogowym.
Podobny błąd "Interfacje: klasa niezarejestrowana" wyskakuje gdy próbuje sprawdzić zależności usług...
Niestety http://support.microsoft.com/kb/899965 nie ma u mnie zastosowania bo w dcomcnfg nie ma tej klasy (może to jest problem):
HKEY_CLASSES_ROOT\CLSID\{89115307-8248-448f-ADA0-F3F3718A9B2A}
HKEY_CLASSES_ROOT\Wow6432Node\CLSID\{89115307-8248-448f-ADA0-F3F3718A9B2A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{89115307-8248-448f-ADA0-F3F3718A9B2A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{89115307-8248-448f-ADA0-F3F3718A9B2A}
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{89115307-8248-448f-ADA0-F3F3718A9B2A}
APPID = {F135BE18-BF34-4CBD-B1D5-55D49F0DEDCC} według resetru, ale w błędzie jest "niedostępny". Zmierzam do tego, że ani w dcomcnfg ani w screen z HKEY_CLASSES_ROOT\AppID nie ma takiej klasy, zresztą nic tu nie ma, a wydaj mi się, że powinno być trochę więcej... W między czasie doszedł błąd taki sam, tylko z klasą {1BE1F766-5536-11D1-B726-00C04FB926AF} , ale sytuacja wygląda tak samo jak z tą wcześniej...
EDIT:
Przeanalizowałem cały wczorajszy dzień i co robiłem itd. Po jakimś czasie mnie olśniło i przypomniałem sobie, że usuwałem PDVD w revo uninastaller i to właśnie ten program był winowajcą. Kurcze przeglądałem co usuwam, ale chyba za słabo (zmęczenie) bo wywaliłem 2000 wpisów z rejestru ;/ No cóż na szczęście autorzy programu przewidzieli, że pojawią się tacy pacani jak ja i usuwane klucze są backupowane. Przywróciłem i wszystko wróciło do normy. Dziękuje Flavius za pomoc, bo bez niej nie doszedłbym czego brakuje i czym mogło się to usunąć A ja muszę bardziej uważać na przyszłość.
-
Niestety coś namieszałem i musicie mi pomóc odkręcić. Zaczęło się od odinstalowania powerdvd10, później zobaczyłem, że pełno filtrów directshow zostało po nim (oczywiście nie działające, ale w MPC-HC były widoczne.) Odpaliłem jakąś aplikacje do przeglądania tych filtrów (nic nie robiłem w niej...) i teraz największy pech, o ile można to tak nazwać. Pisałem coś w przeglądarce i po zakończeniu kliknąłem enter równocześnie spoglądając na ekran (przy pisaniu nie patrzyłem) i zobaczyłem jakieś znikające okienku, pewnie cholera coś zaakceptowałem i usunąłem... Wydaje mi się, że to jest przyczyną, ale może to coś zupełnie innego.
W dzienniki sypie takimi błędami, nie działa dźwięk, i cały system zachowuje się "niepoprawnie" wyświetla się ikonka o braku połączenia sieciowego, mimo, że ono działa, nie dział sfc /scannow i pewnie jest tego więcej, ale nie chcę się denerwować. Mój system to windows 7 64bit. Pewnie powiecie po co grzebałem i racja, ale to był wypadek przy pracy...
[codeplain]Nazwa dziennika:System
Źródło: Microsoft-Windows-DistributedCOM
Data: 2011-04-29 23:44:49
Identyfikator zdarzenia:10016
Kategoria zadania:Brak
Poziom: Błędy
Słowa kluczowe:Klasyczny
Użytkownik: USŁUGA LOKALNA
Komputer: Domek
Opis:
Zgodnie z ustawieniami uprawnienia domyślne ustawienia komputera nie jest udzielane uprawnienie Lokalny Aktywacja do aplikacji serwera COM z identyfikatorem klasy CLSID
{89115307-8248-448F-ADA0-F3F3718A9B2A}
i identyfikatorem aplikacji APPID
Niedostępny
użytkownikowi ZARZĄDZANIE NT\USŁUGA LOKALNA o identyfikatorze zabezpieczeń SID (S-1-5-19) z adresu LocalHost (użycie LRPC). To uprawnienie zabezpieczeń można modyfikować przy użyciu narzędzia administracyjnego Usługi składowe.
Kod XML zdarzenia:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-DistributedCOM" Guid="{1B562E86-B7AA-4131-BADC-B6F3A001407E}" EventSourceName="DCOM" />
<EventID Qualifiers="49152">10016</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2011-04-29T21:44:49.000000000Z" />
<EventRecordID>17886724</EventRecordID>
<Correlation />
<Execution ProcessID="0" ThreadID="0" />
<Channel>System</Channel>
<Computer>Domek</Computer>
<Security UserID="S-1-5-19" />
</System>
<EventData>
<Data Name="param1">domyślne ustawienia komputera</Data>
<Data Name="param2">Lokalny</Data>
<Data Name="param3">Aktywacja</Data>
<Data Name="param4">{89115307-8248-448F-ADA0-F3F3718A9B2A}</Data>
<Data Name="param5">Niedostępny</Data>
<Data Name="param6">ZARZĄDZANIE NT</Data>
<Data Name="param7">USŁUGA LOKALNA</Data>
<Data Name="param8">S-1-5-19</Data>
<Data Name="param9">LocalHost (użycie LRPC)</Data>
</EventData>
</Event>[/codeplain]
EDIT Ten błąd zaczął się o 22:31 (po ponownym uruchomieniu komputera). Później doszły inne.
[codeplain]Błąd Usługi kopiowania woluminów w tle: Krytyczny składnik wymagany przez Usługę kopiowania woluminów w tle nie jest zarejestrowany. Mogło to nastąpić, jeżeli podczas instalacji systemu Windows lub dostawcy kopii w tle wystąpił błąd. Funkcja CoCreateInstance wykonywana na klasie z identyfikatorem CLSID {4e14fba2-2e22-11d1-9964-00c04fbbb345} i nazwą CEventSystem zwróciła błąd [0x80040154, Klasa niezarejestrowana.
].
Operacja:
Subskrybowanie modułu zapisującego
Kontekst:
Identyfikator klasy modułu zapisującego: {a6ad56c2-b509-4e6c-bb19-49d8f43532f0}
Nazwa modułu zapisującego: WMI Writer
Identyfikator wystąpienia modułu zapisującego: {061ca4ca-6c19-4c91-a8fe-5a09715baa9c}[/code]Błąd Usługi kopiowania woluminów w tle: nieoczekiwany błąd podczas wywoływania procedury CoCreateInstance. hr = 0x80040154, Klasa niezarejestrowana. . Operacja: Subskrybowanie modułu zapisującego Kontekst: Identyfikator klasy modułu zapisującego: {a6ad56c2-b509-4e6c-bb19-49d8f43532f0} Nazwa modułu zapisującego: WMI Writer Identyfikator wystąpienia modułu zapisującego: {061ca4ca-6c19-4c91-a8fe-5a09715baa9c}
Podczas wewnętrznego przetwarzania system zdarzeń modelu COM+ wykrył zły kod powrotny. Wynik HRESULT: 80070005 z wiersza 200 z d:\w7rtm\com\complus\src\events\tier2\service.cpp. Tego ostrzeżenia można się spodziewać, jeśli komputer ma mało zasobów. Jeśli komputer nie ma małej ilości zasobów, a te ostrzeżenia się powtarzają, może to wskazywać na problem obecny w systemie zdarzeń modelu COM+.
Usługa Usługa powiadamiania o zdarzeniach systemowych zależy od usługi System zdarzeń COM+, której nie można uruchomić z powodu następującego błędu:
Operacja ukończona pomyślnie.[/codeplain]
Znalazłem http://akadmin.blogspot.com/2011/02/event-id-4609-com-event-system-unable.html ale nie wiem jak to się ma do mojego systemu, po za tym nie mam zdrowego systemu żeby porównać... Mam nadzieję, że mi pomożecie, bo to nie wygląda na skomplikowany problem, a bardzo bym nie chciał reinstalować systemu ;/
-
Witam,
Tak jak w temacie mam problem z defragmentacją $MFT. Zabrałem się za defragmentacje partycji systemowej, cóż czasem trzeba. Całą operacje przeprowadziłem w oo defrag 14 pro. Po zakończeniu wszystko było ładnie tylko pagefile i $mft był nadal pofragmentowany, ustawiłem defragmentacje podczas startu systemu, ale oo defrag nie zrobił nic. Nadal pofragmentowane. pagefile chwilowo usunąłem, po przywróceniu jest w całości, lecz nadal pozostaje sprawa $mft. Ściągnąłem darmowy defragmentator puran i on z pięciu fragmentów zrobił dwa i bardziej się nie da.
Analiza w dafragu systemowym:
Główna tabela plików (MFT): Rozmiar MFT = 306,50 MB Licznik rekordów MFT = 313855 Użycie MFT = 100% Całkowita liczba fragmentów MFT = 2
Ogólnie w "clusters view" wygląda tak:
http://dl.dropbox.com/u/16282309/fixitpc/oo.png
na początku widzimy reserved for mft i na środku to pofragmentowane pole(czerwone) to $MFT.
Sprawdzałem partycje i nie było żadnych błędów w chkdsk.
Wszystkie wskazówki mile widziane.
EDIT
Stworzyłem kilkaset małych plików co rozszerzyło trochę MFT i przy następnej próbie defragmentacji udało się.
Przepraszam za temat...
-
Witam,
Mam problem instalacją SP1. Kod błędu 80070570. Zastosowałem to http://support.microsoft.com/kb/971058 narzędzie w trybie agresywnym oraz http://www.thewindowsclub.com/repair-fix-windows-updates-with-fix-wu-utility . Niestety nie pomogło.
Przeglądając inne tematy widziałem, że prosicie o cbs.log, za chwilę go zamieszczę.
EDIT:
Za którymś razem z kolei, zadziałało. Przepraszam za przedwczesne napisanie tematu.
Jedyne co zauważyłem dziwnego to po zastosowaniu msfix system się dłużej ładuje, ale będzie trzeba z tym żyć.
Pozdrawiam.
Ps. Temat do kosza...
-
Dobra, zrobione w trybie awaryjnym, ale niestety nie rozwiązało to problemu. Zdaje sobie sprawę, że wyłączenie usługi pomoże, ale przydaje się indeksowanie, bo często czegoś szukam. Jakieś inne propozycje?
-
Chodzi o pod punkt "RESET METADANYCH TRANSAKCJI"? Już się zabieram...
-
W podglądzie zdarzeń pojawiły się trzy występujące razem błędy usługi wyszukiwania.
Nazwa dziennika:Application Źródło: Microsoft-Windows-Search Data: 2010-10-28 23:04:29 Identyfikator zdarzenia:3006 Kategoria zadania:Program zbierający Poziom: Błędy Słowa kluczowe:Klasyczny Użytkownik: Nie dotyczy Komputer: Domek Opis: Nie można zainicjować monitorowania wydajności dla usługi zbierającej, ponieważ liczniki nie są załadowane lub nie można otworzyć obiektu pamięci współużytkowanej. Wpływa to tylko na dostępność liczników monitora wydajności. Uruchom ponownie komputer. Kod XML zdarzenia: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-Search" Guid="{CA4E628D-8567-4896-AB6B-835B221F373F}" EventSourceName="Windows Search Service" /> <EventID Qualifiers="49152">3006</EventID> <Version>0</Version> <Level>2</Level> <Task>3</Task> <Opcode>0</Opcode> <Keywords>0x80000000000000</Keywords> <TimeCreated SystemTime="2010-10-28T21:04:29.000000000Z" /> <EventRecordID>40546</EventRecordID> <Correlation /> <Execution ProcessID="0" ThreadID="0" /> <Channel>Application</Channel> <Computer>Domek</Computer> <Security /> </System> <EventData> <Data Name="ExtraInfo"> </Data> </EventData> </Event>
Nazwa dziennika:Application Źródło: Microsoft-Windows-Search Data: 2010-10-28 23:04:29 Identyfikator zdarzenia:3007 Kategoria zadania:Program zbierający Poziom: Błędy Słowa kluczowe:Klasyczny Użytkownik: Nie dotyczy Komputer: Domek Opis: Nie można zainicjować monitorowania wydajności dla obiektu programu zbierającego, ponieważ liczniki nie są załadowane lub nie można otworzyć obiektu pamięci współużytkowanej. Wpływa to tylko na dostępność liczników monitora wydajności. Uruchom ponownie komputer. Kontekst: aplikacja , wykaz SystemIndex Kod XML zdarzenia: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-Search" Guid="{CA4E628D-8567-4896-AB6B-835B221F373F}" EventSourceName="Windows Search Service" /> <EventID Qualifiers="49152">3007</EventID> <Version>0</Version> <Level>2</Level> <Task>3</Task> <Opcode>0</Opcode> <Keywords>0x80000000000000</Keywords> <TimeCreated SystemTime="2010-10-28T21:04:29.000000000Z" /> <EventRecordID>40547</EventRecordID> <Correlation /> <Execution ProcessID="0" ThreadID="0" /> <Channel>Application</Channel> <Computer>Domek</Computer> <Security /> </System> <EventData> <Data Name="ExtraInfo"> Kontekst: aplikacja , wykaz SystemIndex </Data> </EventData> </Event>
Nazwa dziennika:Application Źródło: Microsoft-Windows-Search Data: 2010-10-28 23:04:31 Identyfikator zdarzenia:10021 Kategoria zadania:Usługa wyszukiwania Poziom: Błędy Słowa kluczowe:Klasyczny Użytkownik: Nie dotyczy Komputer: Domek Opis: Nie można uzyskać informacji rejestru licznika wydajności dla elementu WSearchIdxPi w wystąpieniu z powodu następującego błędu: Operacja ukończona pomyślnie. 0x0. Kod XML zdarzenia: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-Search" Guid="{CA4E628D-8567-4896-AB6B-835B221F373F}" EventSourceName="Windows Search Service" /> <EventID Qualifiers="32768">10021</EventID> <Version>0</Version> <Level>2</Level> <Task>1</Task> <Opcode>0</Opcode> <Keywords>0x80000000000000</Keywords> <TimeCreated SystemTime="2010-10-28T21:04:31.000000000Z" /> <EventRecordID>40553</EventRecordID> <Correlation /> <Execution ProcessID="0" ThreadID="0" /> <Channel>Application</Channel> <Computer>Domek</Computer> <Security /> </System> <EventData> <Data Name="Driver">WSearchIdxPi</Data> <Data Name="InstanceName"> </Data> <Data Name="InstanceNum"> </Data> <Data Name="ErrorMessage">Operacja ukończona pomyślnie. 0x0</Data> </EventData> </Event>
Co można z tym zrobić? Znalaźłem to na stronie Microsoftu, ale niestety dużo nie pomogło. Mam wstawić ten raport z prefmon'u, o którym piszą w linku? A i sorry za taki tytuł, ale nie mogłem bardziej odpowiedniego wymyślić.
Pozdro
-
Tego to akurat nie powinieneś ruszać bo to nie ma związku z infekcją.
Ach, bo ja czasem nie przemyśle co robię. Zmyliło mnie, że autoruns nie zweryfikował podpisu i było dwa razy wpisane z różnymi opisami. Od czego to dll? I jakie powinny być prawidłowe wpisy i skąd pobrać to dll. (dużo w google, ale nie wiem czemu ufać)
Logi wyglądają na czyste, ale trzeba jeszcze wykonać parę rzeczy dla pewności.1. Start > Uruchom > regedit i w kluczu:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
Dwuklik na wartość Startup i zamieniasz ciągi wklepując %USERPROFILE%\Menu Start\Programy\Autostart
Już wcześniej wykonałem tę operację, przy pozbywaniu się foldery "My Application"
2. Sporządź log z Gmer na takim ustawieniu:Rootkit >>> zaznaczyć tylko Usługi >>> zaznaczyć Pokaż wszystko >>> Szukaj >>> Zapisz
W załączniku.
-
Witam,
Dorwałem komputer na którym jestem średnio co kilka miesięcy i zabrałem się za czyszczenie itp... I zamiast usunąć jeden pliczek, odpaliłem go. ;/ No nieważne...
Złapałem i pozbyłem się pliku "Windows Defender Apps Control.exe" i folderu w którym był, który się opierał podobnie jak w temacie [sE]/Rootkit-Windows-Defender-Apps-Controlexe-t136845.html
Myślałem, że to wszystko, ale przy przeglądaniu autoruns'a zauważyłem c:\windows\system32\LMRTREND.dll usunąłem plik i wywaliłem z
HKLM\Software\Classes\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance
No i teraz chciałbym, abyście zidentyfikowali czy coś jeszcze "niedobrego" siedzi.
Chwilowo nie ma AV bo się licencja skończyła, więc nie krzyczeć, najpierw chce się pozbyć infekcji, później zainstaluje AV.
-
Dzięki, za pomoc. Zobaczymy jeżeli się powtórzy to będziemy walczyć. Na razie jest dobrze. Temperatury mam w normie. Wszystko jest dobrze wietrzone, a temperatury są na bieżąco monitorowane coretemp+smartgurdian+msi afterburner. Zobaczymy, myślałem, że to dysk, ale przetestowałem całą macierz i żadnych błędów.
Jednak szczerze wydaje mi się, że problemem była myszka i źle wciśnięte USB. Bo po BSOD jak pisałem tego posta myszka mi się "zacięła", ale komputer działał bo migał kursor, poprawiłem kabel i wygląda na to, że jest dobrze. Ale nie chce zapeszać.
Kurcze mały gryzoń, a tyle problemów
BTW: Jest jakiś szybko sposób na sprawdzenie S.M.A.R.T w dyskach spiętych w RAID0? Jakiś BOOT CD, który to olewa? Czy trzeba rozpiąć RAID'a?
-
@deFco247 Zawiera krzaczki bo trzeba rozszerzenie zmienić... No chyba, że coś się źle wgrało...
Ale mniejsza, zrobiłem tak jak pisałeś - pliczek był jeden i log b=jest krótki to wstawiam:
================================================== Dump File : 070910-16988-01.dmp Crash Time : 2010-07-09 13:13:00 Bug Check String : MACHINE_CHECK_EXCEPTION Bug Check Code : 0x0000009c Parameter 1 : 00000000`00000000 Parameter 2 : fffff880`0396cb70 Parameter 3 : 00000000`00000000 Parameter 4 : 00000000`00000000 Caused By Driver : hal.dll Caused By Address : hal.dll+126e0 File Description : Product Name : Company : File Version : Processor : x64 Computer Name : Full Path : C:\Windows\Minidump\070910-16988-01.dmp Processors Count : 4 Major Version : 15 Minor Version : 7600 ==================================================
hal.dll jest od pamięci RAM, tak? Mam gdzieś na płycie memtesta to mogę przelecieć...
-
Witam,
Niestety dzisiaj wywaliło mi BSOD'a i chciał bym się upewnić co jest powodem.
Podpis problemu: Nazwa zdarzenia problemu: BlueScreen Wersja systemu operacyjnego: 6.1.7600.2.0.0.256.1 Identyfikator ustawień regionalnych: 1045 Dodatkowe informacje o problemie: BCCode: 9c BCP1: 0000000000000000 BCP2: FFFFF8800396CB70 BCP3: 0000000000000000 BCP4: 0000000000000000 OS Version: 6_1_7600 Service Pack: 0_0 Product: 256_1 Pliki pomagające opisać problem: C:\Windows\Minidump\070910-16988-01.dmp C:\Tmp\WER-26176-0.sysdata.xml Przeczytaj w trybie online nasze zasady zachowania poufności informacji: http://go.microsoft.com/fwlink/?linkid=104288&clcid=0x0415 Jeśli zasady zachowania poufności informacji w trybie online nie są dostępne, przeczytaj nasze zasady zachowania poufności informacji w trybie offline: C:\Windows\system32\pl-PL\erofflps.txt
Wiem, że "9c" to hardware problem czyli coś ze sprzętem, tylko pomóżcie zidentyfikować z czym dokładnie. No mam jednego kandydata, ale BARDZO bym nie chciał, żeby to było to co myślę...
Jeszcze tylko mój sprzęt:
Płyta główna: DFI LanParty UT X58-T3eH8 Procesor: i7 920 Pamięć RAM: DDR3 G.SKILL TRIDENT 3x2 GB 1600MHZ CL6 Karta graficzna: Szafirek HD5870 Zasilacz: Corsair HX750 Dysk twardy: 2xSamsung SpinPoint F3 HD502HJ (RAID0) Napęd optyczny: NEC AD-7240S System operacyjny: Windows 7 64bit
Pozdro
EDIT
Zapomniałem napisać: BSOD wyskoczył podczas słuchania muzyki, przeglądania internetu i pobierania jakiegoś pliku. Czyli praktycznie w IDLU - tylko dysk się mógł męczyć, ale one muszą być sprawne!! (oby)
EDIT2
Załączniki usuwam, bo i tak są ze zmienionym rozszerzeniem. Jeżeli się powtórzy problem zamieszczę świeże pliki na jakiś hosting plików.
-
Nie ma co instalować starego, nie wspieranego systemu jakim jest win 98. Większość gier, odpalisz na XP, tryb zgodności jest pomocny. Jeżeli jakieś tytuły nie będą działać to można, tak jak kolega wyżej mówił, użyć DOSbox'a. Jest też drugie rozwiązanie (lepsze moim zdaniem), jako że gry niedziałające na XP będą raczej mało wymagające sprzętowo można postawić 98 na maszynie wirtualnej. http://www.microsoft.com/windows/virtual-pc/ od M$, będzie działać nawet na CPU nie obsługującym wirtualizacji.
Jaki jest powód/powody infekcji - ukash, weelsof itp.
w Oprogramowanie zabezpieczające
Opublikowano · Edytowane przez picasso
Post przeklejony z wątku dyskusyjnego poświęconego innym zagadnieniom. //picasso
Pozwolę sobie zapytać, bo ostatnio się zastanawiałem. Jakim kanałem rozprzestrzenia się ten ukash? Ogromna fala jest aktualnie, a z powietrza się to nie bierze... Z internetu, ale skąd? Wiem naiwne pytanie