Znajdź zawartość

Cześć Mam podobny problem jak pewien użytkownik parę lat wcześniej. Włącza się Windows, ale bez explorer.exe. Jest czarne tło z okienkiem cmd.exe Włączenie manualne menedżer zadań i uruchomienie procesu explorer.exe rozwiązuje problem - ale mimo wszystko jest problem. Czy ktoś wie jak to naprawić ? :) Addition_17-03-2022 09.59.05.txt FRST_17-03-2022 09.59.05.txt

Jest ruska infekcja, ale ona na pewno nie powoduje problemu z "cmd". Trudno zgadnąć, co jest powodem problemu. Na wszelki wypadek usuniemy kilka nietypowych Zaplanowanych Zadań, może któreś z nich jest powodem? Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) W FRST kliknij na Fix (NAPRAW). Napisz, czy to coś dało? jessi

Tak jak w temacie przy uruchomieniu systemu cmd.exe wyskakujący na sekundę, i zamykający się. Za każdym razem przy uruchomianiu skanowanie dysku Przesyłam logi z FRST i proszę o pomoc, gdyż jest to strasznie irytujące. Problem występuję od kilku dni, wcześniej nie występował FRST_25-01-2022 11.33.47.txt Addition_25-01-2022 11.33.47.txt

Proszę o pomoc, Przy starcie systemu pojawia sie tylko czarne tło z programem cmd. Microsoft Windows [Version 10.0.19043.1348] (c) Microsoft Corporation. Wszelkie prawa zastrzeżone. C:\WINDOWS\system32> Ponizej podysłam logi FRST.txt Addition.txt

Proszę o pomoc, Przy starcie systemu pojawia sie tylko czarne tło z programem cmd. Microsoft Windows [Version 10.0.19043.1348] (c) Microsoft Corporation. Wszelkie prawa zastrzeżone. C:\WINDOWS\system32>

FRST.txtAddition.txt

Witam!!! zainstalowałem windows tool i z niego na pendriva i ustawiałem w biosie bootowanien a pendriva itd. Nie wiem co się dzieje, obecnie przy uruchomieniu laptopa włączają mi się dwa okna cmd.exe po uruchomieniu. odnośnie ataku no nie wiem czy jest nadal backdoor po reinstalacji systemu podsyłam Addition_23-10-2021 15.01.51.txtShortcut_23-10-2021 15.01.51.txtFRST_23-10-2021 15.01.51.txtlogi :) możliwe że będzie coś źle ponieważ KASPERSKY TOTAL SECURITY BYŁ WŁACZONY podczas skanu FRSTR. Pozderki czekam na odpowiedź :)

Od jakiegoś czasu mam problem z wyskakującym okienkiem cmd na ułamek sekundy. Nie jestem w stanie zauważyć co tam jest napisane. Jest to strasznie irytujące zwłaszcza podczas gry bo minimalizuje okienko. Mógłby ktoś rzucić okiem? Extras.Txt OTL.Txt

Jak sprawdzić ile maksymalnie pamięci RAM można zainstalować w komputerze na Windows 7? W Windows 10 jest komenda w CMD i powershellu, ale nie działa w Win 7.

Cmd mielił chyba koło 1 godziny, może dłużej. Załączam log z ostatniego lekarstwa... Fixlog.txt

Jasne, wklej logi po odinstalowaniu. Na zakończenie szukania problemów z długim startem uruchom jeszcze Check Disk. Uruchom cmd jako administrator, a w nim polecenie chkdsk /f /r Kolejno uruchom narzędzie do rozwiązywania problemów.

Cześć ćwiczę sobie zadania z kursu kwalifikacyjnego zawodowego technik informatyk. Nie mogę poprawnie wyświetlić zadania: Wyświetl informacje o plikach: które posiadają maksymalnie 2 znakowe rozszerzenie nazwy. Mam w folderze 5 plików z czego powinien wyświetlić się moim zdaniem tylko jeden o rozszerzeniu .b2, czy dobrze myślę? Jeśli tak jakiego polecenia użyć? Ja próbówałem różnych kombinacji dir *.?? była najbardziej trafną jednak nie poprawną gdyż wyświetlała jeszcze 2 pliki bez rozszerzenia. Poproszę o podanie właściwiego polecenia. Chciałbym jeszcze poprosić o jakieś źródła gdzie najpewniej mógłbym doczytać o konsoli. Szukałem na googlu jest tego trochę pdfy, strona microsoftu jednak jakby ktoś miał sprawdzone, poproszęo podanie. Mogą być także książki czy ebooki, dzięki z góry

To mój pierwszy post :) Muszę wpisywać w cmd: explorer.exe by dostać się do pulpitu. Ściągnąłem program FRST i zrobiłem szczegółowe raporty. Wklejałem coś do naprawy, ale to nic nie daje. Bardzo proszę o pomoc :) Addition.txt FRST.txt

Brak oznak infekcji. Temat przenoszę do działu Windows. Co widać w Menedżerze zadań w momencie owej aktywności, czy któryś z procesów ma oznaczenie wysokiej aktywności (procesora, pamięci, dysku)? Jednym z podejrzanych może być usługa "Adobe Genuine Software Service" (AGMService), bo widziałam zgłoszenia na temat wysokiej konsumpcji zasobów przez ten proces. Aktywność poszczególnych procesów może być jednak kroplą w morzu, bo wg statystyk pamięci w raporcie FRST bieda, aż 95% zajęte: ==================== Statystyki pamięci =========================== Procent pamięci w użyciu: 95% Całkowita pamięć fizyczna: 8140.59 MB Dostępna pamięć fizyczna: 353.89 MB Całkowita pamięć wirtualna: 17365.73 MB Dostępna pamięć wirtualna: 2182.75 MB Na chwilę obecną jedyne co mogę poradzić to: 1. Redukcja uruchamianych automatycznie procesów. W pierwszej kolejności sugeruję odinstalować następujące aplikacje: Bonjour - Jego zadania produkują błędy w Dzienniku zdarzeń. Qualcomm Atheros Killer Performance Suite - To zbędne "fajerwerki", które na dodatek poprzez filtr na kartach sieciowych mogą produkować problemy z szybkością sieci. Potrzebne są tylko czyste sterowniki Qualcomm Atheros Killer E220x Drivers (instalacja jest ukryta, ale obecna w systemie). Programy których nie używasz. Potem w drugiej fazie zajmiemy się wyłączaniem programów uruchamianych przy starcie systemu. 2. W Dzienniku zdarzeń są następujące błędy: Error: (07/07/2021 08:59:06 PM) (Source: Software Protection Platform Service) (EventID: 8198) (User: ) Description: Aktywacja licencji (slui.exe) nie powiodła się, kod błędu: hr=0x8007232B Argumenty wiersza polecenia: RuleId=dca14e37-0c5c-444f-9b35-1e2f161f5ac3;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=UserLogon;SessionId=53 Error: (07/07/2021 08:58:54 PM) (Source: Software Protection Platform Service) (EventID: 8198) (User: ) Description: Aktywacja licencji (slui.exe) nie powiodła się, kod błędu: hr=0x8007139F Argumenty wiersza polecenia: RuleId=dca14e37-0c5c-444f-9b35-1e2f161f5ac3;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable Czy Windows jest zaktywowany? Jeśli tak to przy udziale jakiej metody, skąd pochodzi klucz? Error: (07/07/2021 01:19:10 AM) (Source: Bonjour Service) (EventID: 100) (User: ) Description: Task Scheduling Error: m->NextScheduledSPRetry 15532 To już omówiłam powyżej. Error: (07/07/2021 09:02:44 PM) (Source: DCOM) (EventID: 10010) (User: ZARZĄDZANIE NT) Description: Serwer {784E29F4-5EBE-4279-9948-1E8FE941646D} nie zarejestrował się w modelu DCOM w wymaganym czasie. Error: (07/07/2021 01:18:36 AM) (Source: DCOM) (EventID: 10010) (User: Tymek) Description: Serwer {3EB3C877-1F16-487C-9050-104DBCD66683} nie zarejestrował się w modelu DCOM w wymaganym czasie. Z klawiatury klawisz z flagą Windows + R, w polu Uruchom wklej dcomcnfg. Podczas uruchamiania przystawka wykonuje automatyczną reperację uszkodzonych klas DCOM. Po otwarciu okna po prostu je zamknij. 3. Po wykonaniu powyższych działań uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} cmd: ipconfig /flushdns cmd: type "C:\Windows\System32\Tasks\Microsoft\Windows Live\SOXE\Extractor Definitions Update Task" cmd: type "C:\Windows\System32\Tasks\Microsoft\Windows\SkyDrive\Idle Sync Maintenance Task" cmd: type "C:\Windows\System32\Tasks\Microsoft\Windows\SkyDrive\Routine Maintenance Task" cmd: type "C:\Windows\System32\Tasks\Microsoft\Windows\Shell\FamilySafetyUpload" cmd: type "C:\Windows\System32\Tasks\Microsoft\Windows\PerfTrack\BackgroundConfigSurveyor" Edge Extension: (Brak nazwy) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nie znaleziono] Edge Extension: (Brak nazwy) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [nie znaleziono] Edge Extension: (Brak nazwy) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nie znaleziono] Edge Extension: (Brak nazwy) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [nie znaleziono] Handler: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - Brak pliku FF Homepage: Mozilla\Firefox\Profiles\ztnsqm76.default-release -> hxxp://www.gazeta.pl/0,0.html?p=190 FF Homepage: Mozilla\Firefox\Profiles\kca76ew1.default-1482360270345 -> hxxp://www.gazeta.pl/0,0.html?p=190 DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), włącznie z Addition. Dołącz też plik fixlog.txt. Przedstaw czy działania w punkcie 1 i 2 wniosły coś do sprawy.

Prawie wszystko wykonane, jedna z komend nie weszła, bo zrobiłam literówkę. Drobne poprawki na szczątki: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: S2 AvastWscReporter; "C:\Program Files\Avast Software\Avast\wsc_proxy.exe" /runassvc /rpcserver [X] Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA Task: {0E6E755C-3DC4-44B0-9631-BA03889AF8F2} - System32\Tasks\Opera scheduled assistant Autoupdate 1617867835 => C:\Users\Patryk\AppData\Local\Programs\Opera\launcher.exe -> --scheduledautoupdate --component-name=assistant --component-path="C:\Users\Patryk\AppData\Local\Programs\Opera\assistant" $(Arg0) Task: {F576E1D0-412F-41AF-8B4E-8C4CBD23AE7E} - System32\Tasks\Opera scheduled Autoupdate 1617867827 => C:\Users\Patryk\AppData\Local\Programs\Opera\launcher.exe FF NewTab: Mozilla\Firefox\Profiles\oqzqupfm.default -> hxxps://securesearch.org/homepage?hp=2&pId=BC180101&iDate=2021-02-10 12:07:21&iid=dd3fccea-c12b-4ab4-a0f7-3f3931a0d5f4&bName= 2021-07-04 02:47 - 2021-07-04 02:58 - 000000000 ____D C:\Users\Patryk\AppData\Local\Avast Software 2021-07-04 12:59 - 2020-12-30 15:45 - 000000000 ____D C:\Program Files (x86)\QuickTime 2021-07-04 12:58 - 2020-11-24 08:25 - 000000000 ____D C:\Users\Patryk\AppData\Local\Windows Live DeleteQuarantine: cmd: netsh advfirewall reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Plik > Zapisz. Następnie w oknie FRST klik w Napraw. Tym razem nie będzie restartu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona). Otwórz Panel Google. Na dole kliknij Resetuj synchronizację. Nie loguj się na konto Google, dopóki nie zostanie ukończone czyszczenie komputera. W pasku adresów wpisz chrome://settings i ENTER. Zaawansowane > Resetowanie komputera i czyszczenie danych > Przywróć ustawienia do wartości domyślnych. Zakładki i hasła nie zostaną naruszone. 3. W systemie nagle pojawił się sterownik SPTD. Jeśli został omyłkowo zainstalowany, zastosuj dedykowany deinstalator tego sterownika dostępny w przyklejonym temacie: KLIK. 4. Zrób nowy log FRST z opcji Skanuj (Scan). Dołącz też plik fixlog.txt. Podsumuj obecny stan systemu.

Z tego wynika, że narzędzie nie może pracować w kontekście konta SYSTEM. Na teraz jedyne co mi jeszcze przychodzi do głowy w kwestii zrzucenia oryginalnych uprawnień, to zmiana kontekstu SetACL. Przenieś z Pulpitu plik do ścieżki C:\fix.txt. Uruchom cmd jako SYSTEM przy pomocy wcześniej podanych programów i wklej komendę: SetACL -on "C:\ProgramData\Microsoft\Search\Data" -ot file -actn restore -bckp C:\fix.txt Jeśli pojawi się ponownie błąd "SetACL error message: The SID for a trustee could not be found" zaprzestajemy prób z tą metodą.

Do przeprowadzenia następujące działania: 1. Przez Panel sterowania odinstaluj stare nieaktualizowane programy: Adobe AIR, Adobe Flash Player 32 NPAPI, Apple Software Update, Microsoft Security Essentials, Obsługa programów Apple, Podstawowe programy Windows Live, QuickTime 7. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: S3 updater; C:\Program Files (x86)\WinXT\blog\nssm.exe [368640 2017-04-26] (Iain Patterson) [Brak podpisu cyfrowego] R2 WinLoading; C:\Program Files (x86)\WinXT\blog\nssm.exe [368640 2017-04-26] (Iain Patterson) [Brak podpisu cyfrowego] S2 Freemake Improver; C:\ProgramData\Freemake\FreemakeUtilsService\FreemakeUtilsService.exe [X] S2 RealtekWlanU; C:\Program Files (x86)\Realtek\USB Wireless LAN Utility\RtlService.exe [X] S2 RTLDHCPService; C:\Program Files (x86)\Realtek\USB Wireless LAN Utility\RTLDHCP.exe [X] S2 tcsd_win32.exe; "C:\Program Files\Dell\Dell Data Protection\Drivers\TSS\bin\tcsd_win32.exe" [X] U3 aswbdisk; Brak ImagePath S3 MpKsl3090a9b1; \??\c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{DC7417DE-B453-406D-94AC-47B94F3D2947}\MpKslDrv.sys [X] S3 MpKsla6fb2b65; \??\c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{DC7417DE-B453-406D-94AC-47B94F3D2947}\MpKslDrv.sys [X] S1 UimBus; system32\DRIVERS\uimbus.sys [X] S1 Uim_DEVIM; system32\DRIVERS\uimdevim.sys [X] HKU\S-1-5-21-3725637032-4102558920-3925882777-1003\...\Run: [CubeDesktop] => [X] HKU\S-1-5-21-3725637032-4102558920-3925882777-1003\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize HKU\S-1-5-21-3725637032-4102558920-3925882777-1003\...\MountPoints2: {acc5441f-464c-11eb-9cbd-4c809385d8b9} - E:\HiSuiteDownLoader.exe HKU\S-1-5-18\...\Run: [] => [X] Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\$McRebootA5E6DEAA56$.lnk [2021-06-19] GroupPolicy: Ograniczenia ? <==== UWAGA Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA Task: {09B572F6-0A13-43E8-BCD0-C330BF54BD1E} - System32\Tasks\{BF8082B2-2A07-43AD-86CF-94B15450E06B} => C:\Windows\system32\pcalua.exe -a C:\Users\Patryk\Downloads\xsplit_5fef816b62342_5fef816b62344\xsplit_5fef816e9d4bd\FileSetup-v36.21.43\FileSetup-v36.21.43.exe -d C:\Users\Patryk\Downloads\xsplit_5fef816b62342_5fef816b62344\xsplit_5fef816e9d4bd\FileSetup-v36.21.43 Task: {0AE17C69-41B9-428A-B974-AC91D326B19D} - System32\Tasks\{8C4C2114-2C65-4EC2-B2DC-81926C769511} => C:\Windows\system32\pcalua.exe -a "C:\Users\Patryk\Downloads\Festo FluidSim V3.6 Full\Festo FluidSim V3.6 Full\FluidSim.English.Pack.by.CHEOPE.exe" -d "C:\Users\Patryk\Downloads\Festo FluidSim V3.6 Full\Festo FluidSim V3.6 Full" Task: {3716D836-C7EC-4976-A60B-7FF64FD01D07} - System32\Tasks\updater2 => C:\Program Files (x86)\WinXT\blog\updater.exe [593920 2021-06-26] (WinXT) [Brak podpisu cyfrowego] <==== UWAGA Task: {4417B143-FDB0-44DE-8CBE-581389A7A029} - System32\Tasks\{6FA8C712-99F7-4BB3-B798-2D44B4956EBD} => C:\Windows\system32\pcalua.exe -a "C:\Users\Patryk\Downloads\MONKEY ISLAND THE SECRET.exe" -d C:\Users\Patryk\Downloads Task: {745C632E-46C1-4637-B65E-B54E601CEC70} - System32\Tasks\{AA15F915-B94A-4A61-A962-60526CA625A6} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\SplitMediaLabs\XSplit\XSplit_Plugin_Installer.exe" -d "C:\Program Files (x86)\SplitMediaLabs\XSplit" Task: {D871A0E0-05A5-4077-8DA6-E07E07B597DD} - System32\Tasks\{69FF0014-B755-47E8-95A7-ECE035E474CB} => C:\Windows\system32\pcalua.exe -a C:\Users\Patryk\Downloads\CubeDesktop\CubeDesktopTryOut.exe -d C:\Users\Patryk\Downloads\CubeDesktop Task: C:\Windows\Tasks\updater2.job => C:\Program Files (x86)\WinXT\blog\updater.exe <==== UWAGA 2021-06-28 12:07 - 2021-06-28 12:07 - 000000000 ____D C:\ProgramData\WinXT 2021-06-26 22:20 - 2021-06-26 22:20 - 000000000 ____D C:\Users\Patryk\AppData\Roaming\WinXT 2021-06-26 22:20 - 2021-06-26 22:20 - 000000000 ____D C:\Program Files (x86)\WinXT 2021-06-19 11:37 - 2021-06-19 23:01 - 000000000 ____D C:\ProgramData\Avast Software 2021-06-19 12:19 - 2021-04-08 09:42 - 000000000 ____D C:\Program Files\McAfee 2021-02-11 12:47 - 2021-02-11 12:53 - 000000004 _____ () C:\ProgramData\lock.dat 2021-02-11 12:48 - 2021-02-11 12:53 - 000000004 _____ () C:\ProgramData\rc.dat 2021-02-11 12:47 - 2021-02-11 12:47 - 000000008 _____ () C:\ProgramData\ts.dat FF NewTab: Mozilla\Firefox\Profiles\oqzqupfm.default -> hxxps://securesearch.org/homepage?hp=2&pId=BC180101&iDate=2021-02-10 12:07:21&iid=dd3fccea-c12b-4ab4-a0f7-3f3931a0d5f4&bName= FF NewTab: Mozilla\Firefox\Profiles\bb786d85.default-release -> hxxps://securesearch.org/homepage?hp=2&pId=BC180101&iDate=2021-02-10 12:07:21&iid=dd3fccea-c12b-4ab4-a0f7-3f3931a0d5f4&bName= CHR DefaultSearchURL: Default -> hxxps://pl.search.yahoo.com/search?fr=mcafee_uninternational&type=E210PL91105G0&p={searchTerms} CHR HKLM-x32\...\Chrome\Extension: [ofoeigeaodhbjogdigckajfhjbonaofg] HKU\S-1-5-21-3725637032-4102558920-3925882777-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://securesearch.org/homepage?hp=2&pId=BC180101&iDate=2021-02-10 12:07:21&iid=dd3fccea-c12b-4ab4-a0f7-3f3931a0d5f4&bName= SearchScopes: HKU\S-1-5-21-3725637032-4102558920-3925882777-1003 -> {993F5746-4C15-42BC-99C1-064A1764271B} URL = hxxps://securesearch.org?q={searchTerms} IE trusted site: HKU\S-1-5-21-3725637032-4102558920-3925882777-1003\...\webcompanion.com -> hxxp://webcompanion.com DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\":: WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99] WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate] cmd: netsh adfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan) włącznie z Addition. Dołącz też plik fixlog.txt. Wypowiedz się czy nastąpiła poprawa.

Nadal jest ten sam błąd i nie wiem dlaczego. Sprawdź jeszcze co się stanie po zastąpieniu pierwszej komendy ze skryptu przez reset uprawnień FRST: Unlock: C:\ProgramData\Microsoft\Search\Data cmd: SetACL -on "C:\ProgramData\Microsoft\Search\Data" -ot file -actn restore -bckp C:\Users\Andman\Desktop\fix.txt

Pojawił się błąd podczas zrzucania kopii uprawnień. Spróbuj zmodyfikowanej wersji (zastępującej polską nazwę grupy przez SID) i przedstaw fixlog.txt: cmd: SetACL -on "C:\ProgramData\Microsoft\Search\Data" -ot file -actn setowner -ownr n:S-1-5-32-544 -rec cont_obj cmd: SetACL -on "C:\ProgramData\Microsoft\Search\Data" -ot file -actn restore -bckp C:\Users\Andman\Desktop\fix.txt

Ostatecznie możemy jeszcze spróbować ustawić uprawnienia na identyczne jak moje. 1. Pobierz SetACL (klik w "Administrators: Download the EXE version of SetACL.."). Rozpakuj pobraną paczkę i z folderu x64 przekopiuj plik SetACL.exe do katalogu C:\Windows. 2. Otwórz Notatnik i wklej w nim: "\\?\C:\ProgramData\Microsoft\Search\Data",1,"O:SYD:(A;OIIO;GA;;;BA)(A;CI;FA;;;BA)(A;OIIO;GA;;;SY)(A;CI;FA;;;SY)" "\\?\C:\ProgramData\Microsoft\Search\Data\Applications",1,"O:SY" "\\?\C:\ProgramData\Microsoft\Search\Data\Applications\Windows",1,"O:SY" "\\?\C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Config",1,"O:SY" "\\?\C:\ProgramData\Microsoft\Search\Data\Applications\Windows\GatherLogs",1,"O:SY" "\\?\C:\ProgramData\Microsoft\Search\Data\Applications\Windows\GatherLogs\SystemIndex",1,"O:SY" "\\?\C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects",1,"O:SY" "\\?\C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex",1,"O:SY" "\\?\C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\PropMap",1,"O:SY" "\\?\C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\SecStore",1,"O:SY" "\\?\C:\ProgramData\Microsoft\Search\Data\Temp",1,"O:SY" "\\?\C:\ProgramData\Microsoft\Search\Data\Temp\usgthrsvc",1,"O:SY" Plik zapisz pod nazwą fix.txt na Pulpicie. Zarówno nazwa pliku jak i lokalizacja są obligatoryjne, gdyż te parametry zostaną użyte w skrypcie przywracającym uprawnienia podanym poniżej. 3. Uruchom FRST. Z klawiatury CTRL+Y i wklej do pliku następującą treść: cmd: SetACL -on "C:\ProgramData\Microsoft\Search\Data" -ot file -actn setowner -ownr n:Administratorzy -rec cont_obj cmd: SetACL -on "C:\ProgramData\Microsoft\Search\Data" -ot file -actn restore -bckp C:\Users\Andman\Desktop\fix.txt Z klawiatury CTRL+S. Następnie klik w Napraw. Przedstaw wynikowy fixlog.txt. Po operacji sprawdź co mówi diagnostyk.

Szczerze mówiąc to nie jest pewne czy zwracany błąd odbija rzeczywistą przyczynę, bo wydaje mi się że powinny się tam jednak pojawić detale o jakie uprawnienia chodzi. W tej sytuacji spróbuj przeładować komponent wyszukiwania: 1. Uruchom cmd jako Administrator i wklej komendę: dism /Online /Disable-Feature /FeatureName:"SearchEngine-Client-Package" Jeśli wykona się pomyślnie, zresetuj system. 2. Następnie komponent włącz ponownie przy udziale: dism /Online /Enable-Feature /FeatureName:"SearchEngine-Client-Package"

Dla jasności: czyli zniknął problem z ociężałym startem Windows, ale nadal występuje zawieszanie podczas wyszukiwania plików? Wypróbuj, po każdym kroku sprawdzając rezultaty: 1. Przebuduj indeks wyszukiwania. Klawisz z flagą Windows + R i w polu Uruchom wklej poniższą komendę. Otworzy się okno "Opcje indeksowania". Wybierz Zaawansowane i opcję Odbuduj. rundll32.exe shell32.dll,Control_RunDLL srchadmin.dll 2. Zastosuj automatyczny diagnostyk: Ustawienia > Aktualizacja i zabezpieczenia > Rozwiązywanie problemów > Dodatkowe narzędzia do rozwiązywania problemów > Wyszukiwanie i indeksowanie. W opcjach do wyboru będzie m.in. pozycja relatywna do spowolnienia systemu podczas wyszukiwania. 3. Uruchom cmd jako Administrator i wklej komendę: dism /online /cleanup-image /restorehealth

W raportach brak oznak infekcji. Jak rozumiem problem z pobieraniem plików występuje też w Firefox i Operze i dotyczny różnych plików a nie tylko FRST. Zbyt przedsiębiorcze blokowanie może być wynikiem złych ustawień w rejestrze lub aktywności innego programu zabezpieczającego. Kiedyś rozwiązałam podobny problem generowany przez aktywne szczątki antywirusa Panda. Tutaj widzę, że został odinstalowany McAfee, ale nadal działa WebAdvisor będący prawdopodobnie częścią większej instalacji, są także szczątki Avast. Drugi problem to strasznie mało wolnego miejsca na dysku, a w toku jest aktualizacja Wersji systemu i nie jest to wykonalne w takim stanie: ==================== Dyski ================================ Drive c: (Acer) (Fixed) (Total:118.13 GB) (Free:4 GB) NTFS Na początek do wykonania następujące działania: 1. Przez Panel sterowania odinstaluj: Bonjour (generuje błędy w Dzienniku zdarzeń), Dashlane Upgrade Service (program główny nieobecny na liście zainstalowanych), WebAdvisor firmy McAfee. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [] => [X] HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-2986788638-176516453-764042509-1001\...\Run: [] => [X] HKU\S-1-5-21-2986788638-176516453-764042509-1001\...\Winlogon: [Shell] C:\WINDOWS\explorer.exe [4103224 2020-01-07] (Microsoft Windows -> Microsoft Corporation) <==== UWAGA HKU\S-1-5-18\...\Run: [GarminExpress] => "C:\Program Files (x86)\Garmin\Express\express.exe" /minimized HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA Task: {6F425DE7-A39F-442D-AF8B-DE3A7375900B} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA Task: {AE0192F8-6168-4DF9-A837-048D4DD99A89} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [1790184 2021-04-30] (Avast Software s.r.o. -> Avast Software) Task: {D48E6CB7-86E7-48A0-A3B6-4D805F7A74F3} - System32\Tasks\Microsoft\Windows\CUAssistant\CULauncher => C:\Program Files\CUAssistant\culauncher.exe S4 mccspsvc; "C:\Program Files\Common Files\McAfee\CSP\2.7.371.0\\McCSPServiceHost.exe" [X] U3 aswbdisk; Brak ImagePath ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service" HKU\S-1-5-21-2986788638-176516453-764042509-1001\Software\Classes\exefile: <==== UWAGA SearchScopes: HKU\S-1-5-21-2986788638-176516453-764042509-1001 -> DefaultScope {9FE06946-E8B6-4E45-A990-21CB415E6EBD} URL = SearchScopes: HKU\S-1-5-21-2986788638-176516453-764042509-1001 -> {9FE06946-E8B6-4E45-A990-21CB415E6EBD} URL = Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - Brak pliku OPR Notifications: Opera Stable -> hxxps://poczta.onet.pl; hxxps://www-butyjana-pl-03.salesmanagopush.com C:\ProgramData\McAfee C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avast Free Antivirus.lnk C:\Program Files\mcafee C:\Program Files\Common Files\AVAST Software C:\Program Files\Common Files\McAfee C:\Windows\System32\Tasks\Avast Software C:\WINDOWS\system32\Tasks\McAfee C:\Users\defaultuser0\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk C:\Users\Magda\AppData\Local\Google\Chrome\User Data\System Profile C:\Users\Magda\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\McAfee WebAdvisor.lnk C:\Users\Magda\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Avast Secure Browser.lnk DeleteKey: HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Uninstall\Host App Service DeleteKey: HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Uninstall\Host App Service DeleteKey: HKU\S-1-5-21-2986788638-176516453-764042509-1000\Software\Microsoft\Windows\CurrentVersion\Uninstall\Host App Service DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Avast Software DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteValue: HKLM\SOFTWARE\Mozilla\Firefox\Extensions|{4ED1F68A-5463-4931-9384-8FFF5ED91D92} DeleteValue: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions|{4ED1F68A-5463-4931-9384-8FFF5ED91D92} ExportKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments ExportKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Attachments cmd: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki. Firefox: Odłącz synchronizację (o ile włączona): Instrukcje. W pasku adresów wpisz about:support i ENTER. Kliknij opcję Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Google Chrome: Zresetuj synchronizację (o ile włączona). Otwórz Panel Google. Na dole kliknij Resetuj synchronizację. Nie loguj się na konto Google, dopóki nie zostanie ukończone czyszczenie komputera. W pasku adresów wpisz chrome://extensions i ENTER. Odinstaluj Avast SafePrice | Porównania, promocje, kupony, McAfee® WebAdvisor, Avira Browser Safety. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy są jakieś zmiany.

Nie, w ogóle nie chodziło ani o ręczne usuwanie, ani o SoftwareDistribution (na razie). Podany Fix do FRST miał wykonać automatyczne usuwanie cache definicji i aktualizację silnika Windows Defender. Tylko, że komendy zwróciły błąd: 'MpCmdRun.exe' is not recognized as an internal or external command, operable program or batch file. Ponawiamy próbę z pełnymi ścieżkami dostępu. Załaduj do FRST następujący Fix i pokaż wynikowy fixlog.txt: cmd: "C:\Program Files\Windows Defender\MpCmdRun.exe" -removedefinitions -dynamicsignatures cmd: "C:\Program Files\Windows Defender\MpCmdRun.exe" -SignatureUpdate

W raportach brak oznak infekcji. Temat przenoszę do działu Windows. Usługa inteligentnego transferu w tle (BITS) oraz Instalator modułów systemu Windows (TrustedInstaller) domyślnie mają ustawiony Start na Ręczny i są w stanie Zatrzymanym. Te usługi się samodzielnie aktywują, gdy jest to wymagane, a po zakończeniu procesów ponownie zatrzymują. W Dzienniku zdarzeń są następujące błędy: Dziennik System: ============= Error: (06/29/2021 03:38:39 PM) (Source: Service Control Manager) (EventID: 7024) (User: ) Description: Usługa Usługa inteligentnego transferu w tle zakończyła działanie; wystąpił następujący specyficzny dla niej błąd: Klasa jest skonfigurowana do pracy jako identyfikator bezpieczeństwa inny niż wywołujący. Error: (06/29/2021 03:38:39 PM) (Source: Microsoft-Windows-Bits-Client) (EventID: 16392) (User: ZARZĄDZANIE NT) Description: Uruchomienie usługi BITS nie powiodło się. Błąd 2147500053. Error: (06/29/2021 01:26:54 PM) (Source: Microsoft-Windows-WindowsUpdateClient) (EventID: 20) (User: ZARZĄDZANIE NT) Description: Instalacja nie powiodła się: system Windows nie mógł zainstalować następującej aktualizacji, ponieważ wystąpił błąd 0x8024200b: Aktualizacja analizy zabezpieczeń dla produktu Microsoft Defender Antivirus - KB2267602 (wersja: 1.343.25.0). Error: (06/29/2021 01:03:06 PM) (Source: Microsoft-Windows-WindowsUpdateClient) (EventID: 20) (User: ZARZĄDZANIE NT) Description: Instalacja nie powiodła się: system Windows nie mógł zainstalować następującej aktualizacji, ponieważ wystąpił błąd 0x8024200b: Aktualizacja analizy zabezpieczeń dla produktu Microsoft Defender Antivirus - KB2267602 (wersja: 1.343.25.0). Error: (06/29/2021 01:01:26 PM) (Source: Microsoft-Windows-WindowsUpdateClient) (EventID: 20) (User: ZARZĄDZANIE NT) Description: Instalacja nie powiodła się: system Windows nie mógł zainstalować następującej aktualizacji, ponieważ wystąpił błąd 0x8024200b: Aktualizacja analizy zabezpieczeń dla produktu Microsoft Defender Antivirus - KB2267602 (wersja: 1.343.25.0). Tylko, że silnik Windows Defender już jest zaktualizowany do tej wersji: Windows Defender: ================ Wersja analizy zabezpieczeń: 1.343.25.0 Toteż na razie nasuwa się, by po prostu usunąć cache definicji i "wspomóc" wykrycie aktualizacji. Przy okazji sprawdzę też identyfikator bezpieczeństwa usługi BITS. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: cmd: cd "C:\Program Files\Windows Defender" cmd: MpCmdRun.exe -removedefinitions -dynamicsignatures cmd: MpCmdRun.exe -SignatureUpdate cmd: sc sdshow bits Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.