slayne

W c:\windows\system32 mam następujące pliki ini

desktop.ini

esentprf.ini

mqperf.ini

msdtcprf.ini

perfci.ini

perffilt.ini

PerfStringBackup.ini

perfwci.ini

prodspec.ini

pschdprf.ini

rasctrs.ini

rsvp.ini

tcpmon.ini

tslabels.ini

VGAunistlog.ini

Jeśli chodzi o uruchomienie tego bata to wygląda to tak:

C:\>fix.bat

C:\>cd c:\windows\system32\wbem

W tym momencie i było nieoczekiwane.

C:\WINDOWS\system32\wbem>for i

C:\WINDOWS\system32\wbem>

Mam nadzieję, że ten log z ProcessMonitor zrobiłem dobrze bo powstały 2 pliki o łącznym rozmiarze około 300 MB. Spakowałem i wrzuciłem na speedyshare. Oto LINK

Oba.

W oknie nadal występują liczniki w formie liczb. I nie ma Obiektów WMI.

Windows nadal wolno się ładuje i nie ładuje wszystkich ikon w trayu jeśli nie poczekam przed logowaniem około 2 minut.

Odbudowałem wg instrukcji w artykule ale nic się nie zmieniło. Skróciła się jedynie lista tych cyfr ale to były chyba od .NET CLR Data, .NET CLR Networking, .NETFramework.

Teraz wyglada tak. Na początku coś brakuje bo nadal są liczby. Dodatkowo nie ma Obiektów WMI w liście obiektów wydajności. Na drugim kompie sprawdziłem i tam jest na liście taka pozycja jak Obiekty WMIi.

Nadal sprawa ma się tak, że jak na starcie zanim się zaloguję odczekam jakieś 2 minuty, to wszystko się ładnie ładuje a jak od razu się zaloguję to potem nie mam połowy ikon w trayu i programy wolno działają. W Podglądzie zdarzeń nie widać już błędów dotyczących problemu z uruchomieniem WMI.

Wygląda tak:

i jest oprócz 009 jeszcze 015

Lista nie zaczyna się od numeru 1 ale od 2378 i jest w niej coś takiego:

2378

WMI Objects

2380

HiPerf Classes

2382

HiPerf Validity

2384

BatteryStatus

2386

ChargeRate

2388

DischargeRate

2390

RemainingCapacity

2392

Tag

2394

Voltage

2396

ProcessorPerformance

2398

frequency

2400

percentage

2402

power

A potem powtarza się to samo tylko z innymi numerami az do 19236.

C:\WINDOWS\SoftwareDistribution\Download [456.3Mb] - zainstalowałem łatki i opróżniłem folder

C:\WINDOWS\ServicePackFiles\i386 [504.3Mb] - tego nie kasowałem na razie bo nie mam płytki żeby zgrać

C:\WINDOWS\$NtServicePackUninstall$ [243.4Mb] - skasowane

C:\WINDOWS\ie8 [12.5Mb] - skasowane

C:\WINDOWS\$NtUninstallKB... [~200Mb] - skasowane

C:\WINDOWS\$hf_mig$ [~220Mb] - skasowane

C:\WINDOWS\Cache\Adobe Reader 6.0.1\ENUBIG [27.9Mb] - był już odinstalowany, folder skasowałem

C:\Documents and Settings\All Users\Dane aplikacji\Comodo Downloader [41.6Mb] - skasowane

C:\Documents and Settings\uzytkownik\Moje dokumenty\Moje obrazy [30.4Mb] - skasowane

C:\Documents and Settings\uzytkownik\Moje dokumenty\Pobieranie [16.1Mb] - skasowane

C:\Documents and Settings\uzytkownik\Dane aplikacji\Mozilla\Profiles\default\36ho60f9.slt\Cache [50.8Mb] - oczyszczone

C:\Documents and Settings\uzytkownik\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\vouo5rzz.default\Cache [12.6Mb] - opróżnione

C:\Documents and Settings\uzytkownik\Dane aplikacji\Malwarebytes\Malwarebytes' Anti-Malware\Quarantine [2.1Mb] - skasowane

C:\WINDOWS\Minidump [112Kb] - skasowane

Możesz także sprzątnąć w C:\WINDOWS wszystkie pliki *.LOG od aktualizacji, poprawić sprzątanie tymczasowych przez TFC - Temp Cleaner oraz wyresetować Przywracanie systemu raz jeszcze. - to też zrobione

Może dlatego tak szybko, że defragmentacja poszła szybko bo zapuściłem wczoraj raz i szło strasznie długo, a dzisiaj poszło znacznie szybciej.

Zdefragmentowałem za pomocą PerfectDisk 11. Czy ma podobne możliwości do Puran czy lepiej zapuścić jeszcze ten drugi?

Obecnie jest 4,5 GB wolnego miejsca.

A co do tego WMI to skrypt poszedł. Oto wynik jaki wyszedł.

Microsoft Windows XP [Wersja 5.1.2600]

© Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\uzytkownik>cd c:\

C:\>cscript skrypt.vbs

Host skryptów systemu Windows firmy Microsoft ® wersja 5.7

Copyright © Microsoft Corporation 1996-2001. Wszelkie prawa zastrzeżone.

Class name: \\KOMPUTER2\ROOT\wmi:Win32_PerfRawData

Class name: \\KOMPUTER2\ROOT\wmi:MSBatteryClass

Class name: \\KOMPUTER2\ROOT\wmi:BatteryTemperature

Class name: \\KOMPUTER2\ROOT\wmi:BatteryStatus

Class name: \\KOMPUTER2\ROOT\wmi:BatteryRuntime

Class name: \\KOMPUTER2\ROOT\wmi:BatteryFullChargedCapacity

Class name: \\KOMPUTER2\ROOT\wmi:BatteryStaticData

Class name: \\KOMPUTER2\ROOT\wmi:BatteryCycleCount

Class name: \\KOMPUTER2\ROOT\wmi:ProcessorPerformance

Class name: \\KOMPUTER2\ROOT\wmi:Win32_PerfFormattedData

C:\>

W perfmon natomiast zamiast jakichkolwiek obiektów wydajności są same liczby tak jak na screenie ponizej:

Poza tym, czy wykonałeś instrukcje tyczące WmiAdapter podane w artykule MS?

Próbowałem to uruchomić ale jakoś nie potrafię chyba.

Skopiowałem:

' Find all performance classes
computer = "."
namespace = "root\wmi"

Set WMISvc = GetObject("winmgmts:\\" & computer & "\" & namespace)
Set colSWbemObjectSet = WMISvc.Subclassesof("Win32_Perf")
for each cls in colSwbemObjectSet
wscript.echo "Class name: " & cls.path_
next

do notatnika i zapisałem jako skrypt.wsf, a potem z cmd uruchomiłem za pomocą polecenia

cscript skrypt.wsf

Otrzymałem c:\skrypt.wsf(9, 6) Windows Host Script: Odwołanie do niezakończonego elementu - nie znaleziono pasującego ';'

Próbowałem także zapisać z rozszerzeniem vbs, ale wtedy otrzymuję taki komunikat:

c:\skrypt.vbs(2, 12) Microsoft VBScript - błąd kompilacji: Nieprawidłowy znak.

A co do innych zaleceń to jeśli już nie będziemy wracać do poprzedniego stanu to zainstalowałem łatki i wyczyściłem dysk i zrobiłem defragmentację ale znacznej różnicy nie widzę i dalej jest problem z ładowanie tych ikonek, ale tutaj pewnie odpowiedź da skrypt którego nie potrafię uruchomić.

Po wprowadzeniu tych zmian do rejestru Tryb Awaryjny zwykły i z obsługą sieci ładuje się bez problemu.

* Przeprowadź sprawdzanie dysku startując do Konsoli Odzyskiwania i wywołując komendę CHKDSK /P /R

* Pokaż mi także zawartość klucza Trybu awaryjnego. Start > Uruchom > regedit i wyeksportuj do wglądu klucz:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

Przeskanowałem dysk przez CHKDSK z konsoli. W raporcie napisał że wykrył i usunał błędy na dysku, ale po uruchomieniu nie widać poprawy.

Eksport klucza Safeboot:

A oto raport ze Spacesniffera:

spacesniffer

W ogóle wygląda na to że ten komp ma troche mało pamięci. Jest w nim 512 ale na zintegrowaną kartę idzie 128 i do dyspozycji jest 384. W Taskmgr pokazuje często nawet od razu po uruchomieniu szczy w okolicach 480 MB. Poczytałem temat o pamięci wirtualnej i wygląda na to że wypadałoby coś z tym zrobić. Albo pamięci dokupić albo jakieś usługi powyłączać.

Wyglada na to że wszystko ok. Znaczki już są. Komputerek śmiga jak należy.

Zauktualizowałem wszystkie aplikacje. Zainstalowalem Comodo Internet security bez antyvira i do tego Avire. Mam nadzięję, że na jakiś czas będzie spokój z tym kompem.

Dziekuje bardzo za pomoc.

Zrobiłem wg instrukcji ale nie zapisują się zrzuty nie wiem czemu. Informacje na BSOD nie zawierają opliku generującym błąd. Nie ma także nazwy błędu.Jedyne co to liczby w linijce STOP -

Oto one: 0x0000007B (0XF7B63528, 0XC0000034, 0X000000, 0X000000)

Z dysku oczyściłem trochę mp3 i filmów. Obecnie jest prawie 3 GB wolnego miejsca na C: i 1,2 GB na Z:.

Co ciekawe pierwszy restart po skanowaniu tych rzeczy z dysku i wszystko ruszyło normalnie. Załadowały się wszystkie ikony do traya i w miare szybko poszło uruchomienie i potem aplikacje się normalnie uruchamiały. Kolejny restart natomiast to już powrót do znanych problemów. W trayu jest tylko ikonka od sieci, od touchpada, i od aviry.

Pojawiła się także ikonka od aktualizacji że 66 poprawek zostało sciągniętych. Jeszcze ich nie instalowałem bo nie wiem co dalej.

Zapuściłem SpaceSniffer i obecnie z większych katalogów to są:

Windows\Software Distribution\Download- 461 MB (katalogi o losowych nazwach)

Windows\ServicePackFiles\i386 - 507 MB

C:\System Volume Information\_restore{DACE1CAA-BCDD-47C7-BBA0-7E581F725626} -167MB (są w nim katalogi RP206 do RP213)

C:\WINDOWS\$hf_mig$ -236 MB

Pojawił się nowy błąd w podlgądzie zdarzeń w aplikacjach -

żródło WmiAdapter, Indetyfikator zdarzenia 4099

Otwarcie usługi nie powiodło się.

natomiast w SYSTEM są takie nowe błędy:

Limit czasu (30000 milisekund) podczas oczekiwania na połączenie się z usługą Karta wydajności WMI.

oraz

Nie można uruchomić usługi Karta wydajności WMI z powodu następującego błędu:

Usługa nie odpowiada na sygnał uruchomienia lub sygnał sterujący w oczekiwanym czasie.

Błedy o IMAPI oraz e4ldr.sys nie pojawiają się już.

Może po prostu odinstalować wszystko co zainstalowałem i zobaczyć po którym zacznie wszystko działać.

Zauważyłem ciekawą prawidłowość. Wystarczy poczekać na ekranie logowania użytkownika, aż dysk przestanie pracować (około 2 minut) i potem się zalogować i już wszystkie ikonki w trayu ładują się normalnie i system działa dobrze.Wtedy też jak wejdę w dziennik zdarzeń to nie ma błędów dotyczących WMI tylko komunikat, "Do usługi Karta wydajności WMI został pomyślnie wysłany kod sterowania uruchom."a nastepny wpis to: "Usługa Karta wydajności WMI weszła w stan uruchomienia."

Wykonałem skrypt OTL. Wszystko chyba poszło ok chociaż windows zawiesił się podczas restartu po skrypcie. A dokładnie na ekranie Zamykanie systemu windows.

otl_po_skrypcie.txt

Wykonanie odinstalowania Combofix się nie powiodło bo nie odnalazł pliku. Pewnie przez wykonanie Sprzatania w OTL. Foldery przywracania systemu opróżniłem recznie przez wyłączenie i włączenie Przywracania systemu.

Poniżej jeszcze log z MBAM:

mbam-log-2010-08-27 (11-51-23).txt

Dodatkowo chciałbym zaznaczyć że użyłem programu do naprawiania Centrum zabezpieczeń ponieważ wcześniej nie zauwazyłem, że nie uruchamiało się w ogole. A potem podczas instalowania wszystkich uaktualnień chciałem włączyć Aktualizacje automatyczne i zauważyłem, że nie działa całe centrum zabezpieczeń.Może to coś namieszało. Użyłem tego programu co jest opisany tu KLIK

Extras.Txt

OTL.Txt

dziennik zdarzen

Nie wiem co się stało ale po instalacji zalecanych uaktualnień https://www.fixitpc.pl/topic/1199-nie-dziala-opcja-pokaz-ukryte-pliki-infekcja-z-pendrive-abkbat/ system bardzo długo startuje. Cały czas chodzi dysk przez kilka minut od załadowania windowsa. Co ciekawe zniknęły mi ikonki z obszaru przy zegarku. Pokazywały mi się tam i ikonka od Comodo bo takiego zainstalowałem firewalla oraz od Aviry. Nawet ikonka głośności zniknęła. Nie wiem co się mogło stać. Nie zauważyłem dokładnie po instalacji czego to się stało. Co z tym zrobić?

ps.próbowałem wejśc w tryb awaryjny ale komputer się restartuje

Punkty 1 i 2 wykonane.

Log z Antimalware

mbam-log-2010-08-26 (18-32-27).txt

Ok wszystko zadziałało. Opcja się pojawiła i działa. A oprogramowanie do Nokii miało opcję napraw i po jej zastosowaniu już nie wyświetla komunikatu na początku i się uruchamia ładnie.

Po zastosowaniu Fixa Microsoftu siec zaczęła działać. Można dać napraw i ipconfig wyświetla wszystko poprawnie. Jedyne co dziwnego jeszcze zauważyłem to, że w cmd nie wyświetla polskich liter tylko jakieś krzaczki jak np uruchamiam komendę ipconfig /all

Jeśli chodzi o konsolę odzyskiwania to po prostu się nie zainstalowała. Podczas uruchomienia Combofix w momencie jak ma instalowackonsole wyskoczył komunikat, że "Nie udało się pobrać wymaganych plików. Anulowanie" Dodatkowo wystąpił problem z Gmerem. Jak wcześniej uruchamiał się bez problemu,tak teraz tylko prescan przechodzi. Nawet w trybie awaryjnym. Dodatkowo zrobiłem loga z RootRepeal

ps. Internet dalej nie działa. W ipconfig otrzymuję komunikat:"Konfiguracja IP systemu Windows" natomiast jakbym chciał na połączeniu sieciowym zrobić napraw to: "Nie można zbadać ustawień protokołu TCP/IP dla teg połączenia. NIe można kontynuować.

Dołączam pliki z logami:

combofix.txt

UsbFix.txt

OTL.Txt

Extras.Txt

RootRepeal report 08-26-10 (14-16-15).txt

gmer_preskan.txt

Opcja pokaż ukryte pliki działa i zapisuje stan po zatwierdzeniu ale nadal nie ma w ogole opcji Ukryj chronione pliki systemu operacyjnego.Wogole nie ma jej na liście do wyboru

Dodatkow zapomiałem jeszcze wspomnieć o tym, że podczas startu windowsa wyskakuje okienko:

Launch~1.exe - Uruchomienie tej aplikacji nie powiodło się, ponieważ nie znaleziono ConnAPI.dll. Ponowne zainstalowanie aplikacji może naprawićten problem;.

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.

Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

No rootkits found!

File "C:\WINDOWS\System32\sdra64.exe" deleted successfully.

File "C:\WINDOWS\System32\gasretyw0.dll" deleted successfully.

File "C:\WINDOWS\System32\ADADIX16wa.dll" deleted successfully.

Program "C:\FIX.REG" successfully queued to run on reboot.

Completed script processing.

*******************

Finished! Terminate.

OTL.Txt

gmer.txt

UsbFix.txt

Logi:

gmer.txt

OTL.Txt

OTL_z_uruchomienia_skryptu.txt

UsbFix.txt

NA samym wstępie chciałbym zaznaczyć że ten temat dotyczy drugiego komputera mojego znajomego.Temat dotyczący pierwszego komputera to: KLIK

Tu sytuacja ma się trochę inaczej ale też są jakieś infekcje. Z objawów jakie mogę opisać to:

- Nie działa opcja pokaż ukryte pliki (radiobutton się przełącza ale jak się wejdzie za chwile w opcje to znowu jest na opcji Nie pokazuj.

- zniknęła opcja żeby nie ukrywał plików systemowych,

- dziwne pliki w autostarcie yyjnldu.exe, xnxlufi.exe i w katalogach głównych dysków (jak podpiąłem pendrive'a to od razu stworzyły się pliki: autorun.inf, nhbivui.exe oraz abk.exe. Stworzył się także folder Recycled z plikiem ctfmon.exe,ale nie wiem czy to też jakaś infekcja.

Nie zauważyłem więcej niepokojących objawów, ale te dwa komputery chodzą w tej samej sieci więc może coś jeszcze z jednego na drugi przeszło.

Z góry dzięki za pomoc.

OTL.Txt

Extras.Txt

gmer.txt

UsbFix.txt

TdssKiller wykrył 3 zagrożenia. Dwa automatycznie ustawił na Skip, jedno na Cure. Tak go uruchomiłem i z tego przedstawiam skan.

W czasie uruchamiania ComboFix otrzymałem komunikat, że posiadam aktywną ochronę rezydentną PCtools Spyware Doctor + Antiwirus. Z tym, że ja go odinstalowałem przed uruchomieniem, wiec nie wiem dlaczego taki komunikat dostałem. Druga sprawa, że po Combofixie przestał mi działać internet. Internet mam z netii, podłączony przez router. wpisując ipconfig nie mam żadnych informacji tylko wyskakuje linijka Konfiguracja IP systemu windows czy jakoś podobnie, W ogole nie wyświetla jakie mam sieciówki. Kiedyś pamiętam, że miałem tak jak był zawirusowany plik ndis.sys. Nawet chyba z tą infekcją zwracałem się o pomoc do Was ale chyba jeszcze na SE. Udało się wtedy to wyleczyć chociaż był jakiś problem bo raz na jakiś czas wspomniany PCtools podmieniał mi plik na starą wersję i wtedy internet nie działał, ale jak ręcznie sobie podmieniałem na czysty plik podesłany przez Was to działało. I nie było problemu z podmianą pliku a teraz nie da rady i nawet nie można go skopiować w inne miejsce bo brak dostępu. A ten plik co miałem do podmiany to inny rozmiar miał, także coś chyba jest na rzeczy. Naprawianie połączenia sieciowego z prawokliku i Napraw nic nie daje.

TDSSKiller.2.4.1.2_25.08.2010_21.33.23_log.txt

combofix.txt

Dodatkowa informacja.

Okazało się, że znajomy ma jeszcze jeden komputer który chodzi w tej samej sieci. Oczywiście przeskanowałem go i też nie jest czysty. Załozyłem dla niego oddzielny temat. Być może taka informacja pomoże w diagnostyce. A oczyszczenie jednego chyba mija się z celem.

oto ten temat: KLIK

Witam

Znajomy poprosił mnie o pomoc w zdezyfekowania komputera, jednak przeskanowałem system OTL i Gmerem i postanowiłem się zwrócić do Was bo chyba nie wygląda to za ciekawie.

Oprócz tego co w logach to z takich widocznych objawów wystepują:

- ciągła praca dysku po załadowaniu systemu

- otwierają się stronki o treści xxx w IE ale dopiero jak się wejdzie w IE, a jak się go nie uruchomi to się nie odpalają - zauważyłem ze jest IE ma w wersji 6.0 to zrobie aktualizację

- otwiera się po kilka okien linii poleceń z różnymi plikami z c:\windows\temp\ np neqlua.exe, obscior.exe,ebhupsf..exe

- w trayu nie ładują się te ikonki co zwykle tylko jedna od głośności i aktualizacje, a wcześniej było gg, narzedzie od dysku WD, ikonka od sieci,

- uruchomiłem Drweb antiwirus to wykrył TDSS,

Oto logi

Extras.Txt

OTL.Txt

gmer.txt

Załączym jeszcze log z USBFix bo na pewno jest zainfekowany jeden z pendrivów bo są jakieś podejrzane pliki o dziwnych nazwach których nie mogę usunać.

UsbFix.txt

Z góry dzięki za pomoc.

Odzyskałem dysk i po podłączeniu okazało się, że na nim są także takie pliki jak były na dyskach. Zapuściłem Avirę i usunęła 77 plików.

Log z aviry:

avira.txt

Potem zrobiłem log z USBFix na wszelki wypadek.

UsbFix3.txt

Ok.

Zrobiłem 1 i 2 punkt. Aktualizacje właśnie się sciągają.

Ponawiam jeszce pytanie co do tego zewnetrznego dysku co posiadam. Czy jak go podłączę to nawet jakby były na nim jakieś infekcje to nie przejdą na komputer bo za pomocą USBFix zabezpieczyliśmy dyski? Po podłączeniu po prostu usunać te pliki z losowymi nazwami?

ps. na dysku D: pozostał mi taki folder recovery z dziwnymi plikami i zajmuje około 1,5 GB. Czy mogę to usunąć? Co to jest?

Poniżej screen listy plików.