heroex2 Opublikowano 29 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 29 Sierpnia 2012 Witam. Mam problem, windows 7 uruchamia się od wczoraj automatycznie tylko w trybie awaryjnym. Próbowałem przywrócić system oraz ostatniej znanej konfiguracji i nie działa. Jak temu zaradzić? Stało się to jak kumpel instalował jakiś program do Eseta, który wymagał aktywacji w trybie awaryjnym. W załączniku logi. gm.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 29 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 29 Sierpnia 2012 Temat zmienia dział. Brak oznak infekcji czynnej, a do ComboFixa się nie przymierzaj. Są tylko mini odpadki, w postaci pustego wpisu startowego i sterownika, ale to nie ma znaczenia dla bieżącego problemu i zajmiemy się tym potem. O4 - HKU\S-1-5-21-418616799-4038682857-2268346840-1000..\Run: [wsctf.exe] wsctf.exe File not found DRV - File not found [Kernel | On_Demand | Stopped] -- C:\cpu.sys -- (cpu) Cytat windows 7 uruchamia się od wczoraj automatycznie tylko w trybie awaryjnym. (...) Stało się to jak kumpel instalował jakiś program do Eseta, który wymagał aktywacji w trybie awaryjnym. Oczywisty typ: ESET (w Trybie awaryjnym nie są ładowane jego sterowniki). Na dodatek jego usługa jest wyszczerbiona: SRV - File not found [Auto | Stopped] -- D:\Programy\ESET Smart Security 5\ekrn.exe -- (ekrn) Rozpocznij od całkowitej deinstalacji ESET (i cracka TNod User & Password Finder też), zastosuj narzędzie ESET Uninstaller. Podaj rezultaty. Odnośnik do komentarza
heroex2 Opublikowano 29 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 29 Sierpnia 2012 Usunąłem tym narzędziem ESETa, TNoda także odinstalowałem. Sprawdziłem też nazwę tego programu który spowodował awarię - ESET Purefix v2.03. Komputer dalej uruchamia się automatycznie w trybie awaryjnym. Odnośnik do komentarza
picasso Opublikowano 29 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 29 Sierpnia 2012 Powiedz mi co rozumiesz przez "automatycznie", nie ma żadnego błędu? Czy przypadkiem tu nie chodzi o ... banalne ustawienie w samym Windows? Start > w polu szukania wpisz msconfig > w karcie Rozruch co jest zaznaczone? Jeśli "Bezpieczny rozruch", należy to odznaczyć. PS. ESET i tak miał uszkodzony wpis i należało go przeinstalować. Odnośnik do komentarza
heroex2 Opublikowano 29 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 29 Sierpnia 2012 Automatyczne czyli: włączam komputer, i po komunikacie Loading Operating System... od razu załącza się tryb awaryjny i ładuje sterowniki.. Mogę dostać się do menu wyboru systemu i opcji włączania. Mogę wybrać jakikolwiek tryb awaryjny czy to normalny czy z obsługą sieci i on się włączy, ale gdy wybiorę, np. Uruchom normalnie, system i tak włączy się w trybie awaryjnym. W msconfig mam zaznaczone uruchamianie normalne, próbowałem pozostałych 2 trybów. Zakładka Rozruch jest u mnie nieaktywna, nie mogę tam nic zaznaczyć/odznaczyć. W okienku nie ma nazwy systemu tak jak w screenie wyżej. Odnośnik do komentarza
picasso Opublikowano 29 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 29 Sierpnia 2012 Czy w menu F8 masz dostęp do funkcji "Napraw komputer"? Odnośnik do komentarza
heroex2 Opublikowano 29 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 29 Sierpnia 2012 Tak, da się tam wejść. Odnośnik do komentarza
picasso Opublikowano 29 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 29 Sierpnia 2012 Wejdź do modułu Napraw komputer i wybierz "Narzędzie do naprawy systemu podczas uruchomienia". Przedstaw wyniki. Odnośnik do komentarza
heroex2 Opublikowano 29 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 29 Sierpnia 2012 Wyświetliło się, że narzędzie nie znalazło żadnych problemów. Odnośnik do komentarza
picasso Opublikowano 29 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 29 Sierpnia 2012 Podaj co widzi narzędzie konfiguracji rozruchu. F8 > Napraw komputer > Wiersz polecenia > wpisz komendę bcdedit. Zapisz log tekstowy z tego, tzn. w Wierszu polecenia wklep notepad i przeklej z okna cmd do Notatnika zawartość, zapisz plik na dysku w miejscu, które będzie dla Ciebie dostępne już z poziomu uruchomionego Windows. Odnośnik do komentarza
heroex2 Opublikowano 29 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 29 Sierpnia 2012 Log z bcdedit: Microsoft Windows [Wersja 6.1.7600] X:\windows\system32>bcdedit Menedżer rozruchu systemu Windows --------------------------------- Identyfikator {bootmgr} device partition=C: description Windows Boot Manager locale pl-PL inherit {globalsettings} default {default} resumeobject {94e46e9e-3446-11e0-ae9f-a0477a80bc3b} displayorder {default} toolsdisplayorder {memdiag} timeout 30 Moduł ładujący rozruchu systemu Windows --------------------------------------- Identyfikator {default} device partition=D: path \Windows\system32\winload.exe description Windows 7 locale pl-PL inherit {bootloadersettings} recoverysequence {current} recoveryenabled Yes osdevice partition=D: systemroot \Windows resumeobject {94e46e9e-3446-11e0-ae9f-a0477a80bc3b} nx OptIn increaseuserva 2500 safeboot Minimal Odnośnik do komentarza
picasso Opublikowano 29 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 29 Sierpnia 2012 Są tu dwa ustawienia niedomyślne, które będziemy usuwać: increaseuserva (przebicie limitu pamięci: KLIK / KLIK) oraz safeboot (ustawiony trwały boot w Trybie awaryjnym). F8 > Napraw komputer > Wiersz polecenia > po kolei wklep te dwie komendy:bcdedit /deletevalue {default} increaseuservabcdedit /deletevalue {default} safebootSprawdź czy możesz startować w Trybie normalnym. Odnośnik do komentarza
heroex2 Opublikowano 29 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 29 Sierpnia 2012 Wielkie dzięki za okazaną pomoc! Pomogła komenda do safeboota Odnośnik do komentarza
picasso Opublikowano 29 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 29 Sierpnia 2012 Czas zająć się tymi drobnostkami, które wspominałam: O4 - HKU\S-1-5-21-418616799-4038682857-2268346840-1000..\Run: [wsctf.exe] wsctf.exe File not foundDRV - File not found [Kernel | On_Demand | Stopped] -- C:\cpu.sys -- (cpu) 1. Uruchom Autoruns, w karcie Logon skasuj wpis wsctf.exe, w karcie Drivers załatw cpu. 2. Ten cpu.sys kojarzy mi się z infekcją rekonfigurującą ścieżki folderów powłoki. Na wszelki wypadek podaj mi skan. Uruchom SystemLook i wklej do skanu: :reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders . Odnośnik do komentarza
heroex2 Opublikowano 29 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 29 Sierpnia 2012 Logon i cpu usunięte. Skan z SystemLook: Pokaż ukrytą zawartość SystemLook 30.07.11 by jpshortstuff Log created at 18:56 on 29/08/2012 by Admin Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders] "!Do not use this registry key"="Use the SHGetFolderPath or SHGetKnownFolderPath function instead" "AppData"="C:\Users\Admin\AppData\Roaming" "Local AppData"="C:\Users\Admin\AppData\Local" "My Video"="C:\Users\Admin\Videos" "{1B3EA5DC-B587-4786-B4EF-BD1DC332AEAE}"="C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Libraries" "My Pictures"="C:\Users\Admin\Pictures" "Desktop"="C:\Users\Admin\Desktop" "History"="C:\Users\Admin\AppData\Local\Microsoft\Windows\History" "NetHood"="C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Network Shortcuts" "{56784854-C6CB-462B-8169-88E350ACB882}"="C:\Users\Admin\Contacts" "Cookies"="C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Cookies" "Favorites"="C:\Users\Admin\Favorites" "SendTo"="C:\Users\Admin\AppData\Roaming\Microsoft\Windows\SendTo" "Start Menu"="C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu" "My Music"="C:\Users\Admin\Music" "Programs"="C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs" "Recent"="C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Recent" "CD Burning"="C:\Users\Admin\AppData\Local\Microsoft\Windows\Burn\Burn" "PrintHood"="C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Printer Shortcuts" "{7D1D3A04-DEBB-4115-95CF-2F29DA2920DA}"="C:\Users\Admin\Searches" "{374DE290-123F-4565-9164-39C4925E467B}"="C:\Users\Admin\Downloads" "{A520A1A4-1780-4FF6-BD18-167343C5AF16}"="C:\Users\Admin\AppData\LocalLow" "Startup"="C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" "Administrative Tools"="C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Administrative Tools" "Personal"="C:\Users\Admin\Documents" "{BFB9D5E0-C6A9-404C-B2B2-AE6DB6AF4968}"="C:\Users\Admin\Links" "Cache"="C:\Users\Admin\AppData\Local\Microsoft\Windows\Temporary Internet Files" "Templates"="C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Templates" "{4C5C32FF-BB9D-43B0-B5B4-2D72E54EAAA4}"="C:\Users\Admin\Saved Games" "Fonts"="C:\Windows\Fonts" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders] "AppData"="%USERPROFILE%\AppData\Roaming" "Cache"="%USERPROFILE%\AppData\Local\Microsoft\Windows\Temporary Internet Files" "Cookies"="%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies" "Desktop"="%USERPROFILE%\Desktop" "Favorites"="%USERPROFILE%\Favorites" "History"="%USERPROFILE%\AppData\Local\Microsoft\Windows\History" "Local AppData"="%USERPROFILE%\AppData\Local" "My Music"="%USERPROFILE%\Music" "My Pictures"="%USERPROFILE%\Pictures" "My Video"="%USERPROFILE%\Videos" "NetHood"="%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Network Shortcuts" "Personal"="%USERPROFILE%\Documents" "Programs"="%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs" "Recent"="%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent" "SendTo"="%USERPROFILE%\AppData\Roaming\Microsoft\Windows\SendTo" "Startup"="%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" "Start Menu"="%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu" "Templates"="%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Templates" "{374DE290-123F-4565-9164-39C4925E467B}"="%USERPROFILE%\Downloads" "PrintHood"="%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Printer Shortcuts" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders] "Common Desktop"="C:\Users\Public\Desktop" "Common Start Menu"="C:\ProgramData\Microsoft\Windows\Start Menu" "CommonVideo"="C:\Users\Public\Videos" "CommonPictures"="C:\Users\Public\Pictures" "Common Programs"="C:\ProgramData\Microsoft\Windows\Start Menu\Programs" "CommonMusic"="C:\Users\Public\Music" "Common Administrative Tools"="C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools" "Common Startup"="C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup" "Common Documents"="C:\Users\Public\Documents" "OEM Links"="C:\ProgramData\OEM Links" "Common Templates"="C:\ProgramData\Microsoft\Windows\Templates" "Common AppData"="C:\ProgramData" "Personal"="C:\Users\Admin\Documents\" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders] "Common Desktop"="%PUBLIC%\Desktop" "Common Documents"="%PUBLIC%\Documents" "CommonPictures"="%PUBLIC%\Pictures" "CommonMusic"="%PUBLIC%\Music" "CommonVideo"="%PUBLIC%\Videos" "{3D644C9B-1FB8-4f30-9B45-F670235F79C0}"="%PUBLIC%\Downloads" "Common Start Menu"="%ProgramData%\Microsoft\Windows\Start Menu" "Common Programs"="%ProgramData%\Microsoft\Windows\Start Menu\Programs" "Common Startup"="%ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup" "Common AppData"="%ProgramData%" "Common Templates"="%ProgramData%\Microsoft\Windows\Templates" -= EOF =- Odnośnik do komentarza
picasso Opublikowano 30 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 30 Sierpnia 2012 Z folderami wszystko gra. Wyczyść sobie jeszcze foldery Przywracania systemu: KLIK. Temat rozwiązany. Zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi