JeT

Odnosząc się do tego:
    Error 1706.No valid source could be found for product Microsoft .NET Framework 1.1.

    Uszkodzone źródło Instalatora Windows wersji .NET 1.1. Wg Twojej listy zainstalowanych posiadasz następujące wersje .NET:

    

========== HKEY_LOCAL_MACHINE Uninstall List ==========

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
    "{5AF71003-1797-4D93-9F37-4F2125CBF539}" = Microsoft .NET Framework 2.0 Language Pack - PLK
    "{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
    "{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
    "{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
    "{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
    "Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
    "Microsoft .NET Framework 2.0 Language Pack - PLK" = Microsoft .NET Framework 2.0 — pakiet języka polskiego
    "Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1

    .NET Framework 1.1 nie jest Ci nawet potrzebne przy obecności wersji 3.5 SP1. Aplikacje zbudowane na jedynce mogą automatycznie w większości przypadków korzystać z dwójki (wbudowana w pakiet 3.5). Skoro źródło instalacyjne uszkodzone, tym bardziej powód dla wyczyszczenia tego:

    - Przez Dodaj/Usuń programy spróbuj odinstalować Microsoft .NET Framework 1.1. Przypuszczalnie nie da rady ze względu na cytowany błąd.

Wprawdzie w Remove programs pokazywało, że nie ma to żadnej objętości (nie było ani size ani też żadnej informacji) to jednak odinstalowywało(?) bez problemów.

    - Następnie użyj .NET Framework Cleanup Tool wskazując narzędziu na usuwanie wersję 1.1 (reszty nie ruszaj).
    - Ręcznie dokasuj w C:\WINDOWS\Installer te repliki plików o jednakowym rozmiarze oraz opróżnij cały katalog C:\WINDOWS\SoftwareDistribution\Download.

Zrobione.

    - Zresetuj system. Podaj wyniki czy nadal jest problem aktualizacji (powinny ustać próby aktualizacji już nieistniejącego .NET 1.1) oraz powstawania tych plików w Installer. 

Nie ma już tego problemu aktualizacji. Nie powstają nowe pliki. Przyspieszyło, ale chyba jeszcze nie tak całkiem.

1. Bo momentami jednak wolne. (Mam teraz ok 15% dysku wolnego, zrobiłem defragmentację przez Puran z Boot Time).

2. I ponadto pojawiają się (choć znacznie rzadziej) informacje o błędach, że jakiś skrypt nie działa

3. Problem przy zamknięciu pojawił się komunikat w stylu że "NsAppShell" nie działa.

 

4. Nie wiem z czego wynika inny błąd. Otóż często przy próbie otwierania przeglądarki (firefox) pojawia się komunikat "not respond", i się zawiesza, nie daje się wówczas zamknąć, także przez menadżer. ew. zamykanie trwa bardzo długo.

 

"
 

Nadal brak raportu z GMER.

 

1. Jak napisałem, gmer niestety nie daje raportu, zawiesza się, ale jeszcze spróbuję

 

 

Do szczegółowej analizy miejsca na dysku skorzystaj z aplikacji SpaceSniffer.

 

Być może to brak miejsca na dysku jest jedną z przyczyn.

 

2. Do lepszego obejrzenia zawartości dysku, użyłem SequoiaView i właśnie dzięki niemu stwierdziłem istnienie dużego bloku jednakowych wielkościowo plików.

 

3. Ale tak źle się działo też, gdy było 10% miejsca wolnego.

 

 

Ale w Twoim Dzienniku zdarzeń widzę też taki rodzaj błędów instalacji .NET Framework 1.1: (...)

 

Błędy Windows Installer. Czy przypadkiem już nie ruszałeś czegoś stąd:

 

4. Nie ruszałem (sam) wcześniej niczego z folderu C:\WINDOWS\Installer (jak i całego Windows). Odnoszę wrażenie że ten błąd pojawia się od kilku miesięcy. Zaczął się niedługo po poprzedniej naprawie z jakiejś dziwnej (schowanej) infekcji. Ale początkowo nie zwróciłem na niego uwagi. Czy może to być efekt jakiegoś działania kogoś z zewnątrz? Bo mam podejrzenie o taką sytuację.

 

 

Mówisz że one zajmują około 4GB, co i tak nie wyjaśnia gdzie jest reszta wolnego na dysku obliczonym na około 35 GB. Na razie to trzeba zdiagnozować do czego te pliki należą, nie wolno usuwać na oko.

 

5. Odnoszę wrażenie, patrząc na daty, że te pliki to efekt właśnie braku finalizacji aktualizacji, że ładują się od nowa przy każdej połączeniu aktualizacyjnym i stąd taka ich liczba.

Ponieważ odpowiedź na forum nie pojawiała się, to testowo przeniosłem je na inny dysk i od tego czasu w tym folderze pojawiło się kilka nowych plików z takimiż samymi jak wcześniej datami i takiej samej wielkości. I żadnych nowych problemów i proszenia o uzupełnienie składników nie ma.

 

 

Zrób szukanie w rejestrze na te nazwy plików i podaj czy masz jakieś wyniki i do jakiego zainstalowanego produktu kierują.

 

6. Niestety nie wiem jak.

Dodane

1. Komputer działa niezwykle wolno, niekiedy wręcz stoi, często się zawiesza, i do tego stopnia, że tylko odłączenie od prądu można to go wyłączyć.

 

2. Jak tylko zwolnię więcej miejsca na kompie to natychmiast nadwyżka w znacznej części znika, nawet gdy niczego się nie robi. Dodam że czyszczenie do zera tempów itp. nie przynosi odzyskania tej straconej przestrzeni.

 

3. Za każdym zamknięciem, od kilku już miesięcy, pojawia się komunikat o ładowaniu aktualizacji Windowsa, ale chyba się to nie udaje, gdyż później pojawia się komunikat o wysyłaniu do Mikrosotf informacji o błędzie.

 

4. Czasem gdy się zawiesza pojawiają się informacje o błędach, że jakiś skrypt nie działa.

 

5. Przy zamykaniu też pokazuje czasem że są jakieś problemy, ostatnio z "sndvol32"

 

6. Może wyjaśnieniem jest zagadkowe nagromadzenie ponad 200 plików (Windows Installer Patch) jednakowej wielkości (19 577 KB) i mających jednakowe daty utworzenia (różnią się jedynie datą dostępu), zajmujących ok.4 GB.

 

Znajdują się one w folderze C:\WINDOWS\Installer

 

Jest tam też sporo plików z rozwinięciem tmp (jeden z nich ma 75 MB inne są znacznie mniejsze)

 

Czy można coś tego usunąć (zwłaszcza te ponad 200 plików jednakowej wielkości, i z jednakową datą utworzenia)?

 

 

W załączeniu pliki OTL

 

Gemer po pewnym czasie skanowania zawiesza komputer, i nie daje loga.

OTL na fix.Txt

Extras na fix.Txt

Jeśli pozwolisz sprawdzę jeszcze wszystko na spokojnie jutro i wtedy się odezwę. Dziękuję i życzę Dobrej nocy.

Prewencyjnie, ponieważ nie jestem w stanie przewidzieć co malował rootkit w MBR, lepiej działać nawet na wyrost niż potem płakać. Ten typ infekcji może przechwytywać takie dane jak hasła ...

 

Pytałem o to, bo mogła to być świadoma działalność kogoś, i ciekawiło mnie czy taki rootkit dawał dostęp np. do poczty na dysku itp.

 

 

I wypowiedz się wyraźnie czy po usunięciu rootkita w MBR + korekcji transferu dysku PIO > DMA nastąpiła wyraźna poprawa w działaniu Windows.

 

Wyraźnie widać, że przestała "skakać" /szarpać mysz - znów porusza się płynnie. Otwiera się też szybciej. Nie zwróciłem tylko uwagi w wyniku którego działania doszło do tego.

Sprawa jest rozwiązana, PIO skorygowane do DMA. Po tej operacji powinna się poprawić operatywność Windows, potwierdź to.

 

Z całości tematu wynika, że przechodzimy już do wykończeń:

 

1. Popraw sobie usługę Centrum zabezpieczeń tym plikiem REG.

 

2. Skasuj z dysku GMER, OTL i TDSSKiller oraz jego folder C:\TDSSKiller_Quarantine

 

Już zrobiłem

 

 

4. Prewencyjnie zmień hasła logowania w serwisach.

 

Ważne dla mnie pytanie. Czy to tylko prewencyjnie, czy ten rootkit i te niekasowalne pliki dostępu do outlooka oznaczały że ktoś mógł w ten sposób mieć dostęp do zawartości kompa?

Mówiłam o plikach REG, czyli Centrum też poprzez import klucza, to automatyczne narzędzie naprawcze nie gwarantuje pełnej rekonstrukcji. Gdzieś tu nawet był na forum temat, w którym po jego użyciu nadal były braki w kluczu usługi.

 

Ok. to drugie zrobiłem też przez fix.reg.

 

Przecież wytypowałeś wyraźnie kanał na którym jest PIO. Czyli: w menu Widok ustaw Urządzenia wg połączeń, rozwiń gałęzie aż do kanałów IDE, klikasz prawym na dany kanał, na którym jest dysk twardy z bieżącym trybem PIO, z menu kontekstowego wybierasz opcję Odinstaluj. Restart systemu.

 

Zrobiłem już.

 

Ale teraz nadal nie ma tam opcji zmiany.

Z tym że w polu (0) bieżący transfer (gdzie było PIO) jest "Ultra DMA Mode 5"

A przy drugim (1) jest jak było "Ultra DMA Mode 2".

Czy wykonałeś również rekonstrukcję brakujących usług?

 

Mam nadzieję że rekonstrukcję zrobiłem poprawnie. tzn. jedno przez fix.reg, drugie przez narzędzie.wscfix.

 

 

To jest przyczyna mulenia. Z prawokliku na ten kanał odinstaluj go i zresetuj system. Windows przebuduje urządzenie i przypisze DMA.

 

Nie bardzo wiem jak to zrobić i gdzie?

Dlatego mówię o użyciu tego szczególnego narzędzia (zabija procesy + stosuje technikę usuwania przy restarcie). Zastosuj od razu i podaj nie budzące wątpliwości wyniki.

 

Zastosowałem. Usunęło te pliki. Jakie podać wyniki? Loga nie widzę.

Jeszcze nie zastosowałem TFC

Ale na piechotę te stare pliki (z czasu kiedy chyba pojawiły się problemy) nadal nie dają się usunąć. Okazało się że jako jedyne nie znikały przy regularnym stosowaniu ATF-Cleanera.

 

w załączeniu FSS

FSS .txt

Zgodnie z sugestią programu wybierz Cure i zresetuj system. Na dysku C powstanie log z leczenia, dołącz. I spróbuj jeszcze raz podjąć się próby zrobienia GMER.

 

1. Zrobiłem jak nakazał Kaspersky. Log w załączeniu.

 

1a) Kiedy zajrzałem do tego loga, komputer się zawiesił - pokazał się niebieski ekran. Musiałem restartować przez wyłączenie z prądu.

 

2. Gmer chodził długo, ale potem się zawiesił i też pojawił się niebieski ekran. I znów musiałem restartować przez wyłączenie z prądu.

 

Zmieniony plik.

TDSSKiller_log.txt

Nie został jednak wdrożony skan pod kątem rootkitów, to na wszelki wypadek sprawdź co widzi Kaspersky TDSSKiller.

 

Ten program wykazał że jest malware: Rootkit.Boot.Sinowal.b na \Device\Harddisk\DR0

 

Zgodnie z zaleceniami podanym w tamtym poście nie podjąłem żadnych działań choć Kaspersky nakazał "cure".

 

 

1. Jest tu bardzo mało miejsca na dysku, a na takim skraweczku defragmentacja może być nieefektywna (i jeszcze pytanie czym defragmentujesz):

 

Defragmentacja robiona jest Puran Defrag (z opcją Boot...)

Miewałem nawet o połowę mniej wolnego miejsca i defragmentacja udawała się, i chodziło znacznie szybciej/inaczej

 

 

2. Sprawdź tryb transferu dysku, DMA czy PIO: KLIK (ustęp Optymalizacja wydajności HDD i CD/DVD-ROMów - Włączenie DMA). Oceniasz linię "bieżący tryb transferu".

 

W bieżącym trybie transferu jest PIO - ale nie ma możliwości przestawienia w tym kanale (możność zmiany jest tylko w kanale trybu transferu0

 

 

W podanym przykładzie nie widzę nic dziwnego. Przykład ten mówi, że był uruchamiany Outlook Express i jego strona startowa. Dopóki będzie startowany, pliki będą regenerowane. Do czyszczenia Tempów możesz zastosować TFC - Temp Cleaner.

 

Tu nie chodzi o regenerowanie się serii takich plików, ale o to że choć są w tempach to ok. 30 takich plików sprzed kilku tygodni jest niekasowalnych. Jak się podobne pliki pojawiają teraz, to bez problemu się je da skasować.

Spowolnienie komputera, zawieszanie się, niemożność skasowania plików w folderze "Temporary Internet Files"

 

Dzień dobry,

mam uciążliwy problem z komputerem, nie wiem dlaczego nie można skasować plików w "Temporary Internet Files":

 

1. Komputer mimo regularnego usuwania tempów i defragmentacji działa bardzo wolno. Bywa że nawet prosta czynność kopiowana niewielkiego pliku tekstowego zajmuje minuty. Zaczął "szarpać" kursor.

 

2 Nierzadko się zawiesza, i wymaga restartu przez wyłączenie z prądu.

 

3. W folderze "Temporary Internet Files" są dziwne pliki, których nie daje się skasować, mimo wywłączania opcji tylko do odczytu.

Mają adres zaczynający:np.: res:// C: \ Program Files\Outlook Express \msoeres.dll/frntpage.htm

 

W załączeniu pliki OTL

 

Gemer po pewnym czasie skanowania zawiesza komputer, i nie daje loga.

Extras przed.Txt

OTL przed.Txt