Skocz do zawartości

Ciągły restart systemu, nawet w trybie awaryjnym


winter0

Rekomendowane odpowiedzi

czesc,

 

próbowałem z pomocą z innego forum usunąć Trojana Win32/Spy.Zbot.ZR - explorer.exe

z pomocą OTL

w pewnym momencie nie mogłem wejść do windowsa:

"wystąpił problem, który uniemożliwił systemowi windows dokładne sprawdzenie stanu licencji dla tego komputera 0x80070005"

sprawdzałem i wszystkie 3 pliki secupd.dat, oembios.dat i oembios.bin były w system32

w rejestrze nie było klucza ...cryptograpy....

 

za radą cd z instalacją windowsa i konsola naprawcza - nic

nadinstalowanie systemu - teraz windows ani w trybie normalnym ani waryjnym sie nie uruchamia tylko ciągle restartuje

 

w trybie awaryjnym widze w rogach napisy "tryb awaryjny" i restart

w trybie awaryjnym po komunikacie "trwa ponowne uruchamianie systemu" widze czarny ekran, strzałkę od myszy, którą mogę poruszać i restart

zaznaczenie "nie uruchamiaj ponownie po awarii systemu" nie działa - restart

 

próbowałem fixmbr, fixboot, chkdsk, skopiowałem z płyty userinit i nic...

 

da się coś z tym zrobić czy przegrać dane i format?

 

pozdrawiam

Artur

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

mówiąc wprost nic się nie da zrobić w kwestii naprawy systemu?

czy nie ma sensu bo i tak zaraz może paść?

sprzątanie w OTL rozwaliło ostatnio parę systemów mgrzeg sprawdza to, może się wstrzymać z ostatecznością?

erase wyczyści cały fizyczny dysk, czy tylko partycję?

pewnie cały dysk....

 

ehh, pomerdały mi się dyski, sprawdzam jeszcze raz

Edytowane przez winter0
Odnośnik do komentarza
mówiąc wprost nic się nie da zrobić w kwestii naprawy systemu?

 

Możesz czekać na analizę loga z OTL przez moderatorów.

 

Dysk jest w kiepskim stanie i to jest powodem tego że system nie startuje. Pisałeś że robisz kopie danych, dlatego zaleciłem zerowanie (usuwa wszystko z dysku) wygląda jak po zakupie. Ale możesz strzelić od razu remapowanie bez zerowania. Miałem kilka przypadków, że sytem wstał po samym remapie.

Odnośnik do komentarza
Cytat
próbowałem z pomocą z innego forum usunąć Trojana Win32/Spy.Zbot.ZR - explorer.exe

z pomocą OTL

w pewnym momencie nie mogłem wejść do windowsa

 

(...)

 

sprzątanie w OTL rozwaliło ostatnio parę systemów mgrzeg sprawdza to, może się wstrzymać z ostatecznością?

 

Ostatnią rzeczą użytą przed wystąpieniem problemu było niestety Sprzątanie w OTL (post #6 na tamtym forum zaleca je, w poście #7 już nie możesz się zalogować)

 

Z poziomu OTLPE skopiuj cały katalog rejestru C:\Windows\system32\config, spakuj do ZIP, shostuj gdzieś i na PW prześlij mi link do tego.

 

Odnośnik do komentarza

winter0

 

1. Twój rejestr przedstawia to co napisałam w temacie usterki OTL: Problem zdaje się być relatywny do uprawnień (wykonany przez OTL reset ACL na SOFTWARE).

 

 

Twój plik SOFTWARE ma wyzerowane uprawnienia od góry do dołu, odebrany dostęp do wszystkich kluczy. Typowy widok klucza + liczne błędy "Odmowa dostępu" do podkluczy:

 

otlacl.png

 

Teoretyczna metoda precyzyjnej naprawy: nałożenie domyślnego układu uprawnień na SOFTWARE i wszystkie jego podzespoły. W praktyce: moim zdaniem naprawa tego nieopłacalna. Posiadasz już działający rejestr, który sobie podstawiłeś (ma poprawne uprawnienia). Tak więc ja uznaję sprawę uszkodzonego systemu po sprzątaniu OTL za rozwiązaną.

 

2. Natomiast, na tym innym forum to czyścili system z trojana ZeroAccess na odwal się (lub nie rozumieją infekcji). Patrzyli na ten fragment skanu i zero właściwej reakcji:

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]
@="Microsoft WBEM New Event Subsystem"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]
@="\\.\globalroot\systemroot\Installer\{d9c9f1e4-4a7a-5131-8b3c-32937b03859d}\n."
"ThreadingModel"="Both"

 

Klucz WBEM jest zmodyfikowany przez trojana, a konsekwencja jego obecności to ta kolekcja błędów z Dziennika zdarzeń:

 

Error - 04-10-2012 05:39:52 | Computer Name = RYSZARD | Source = WinMgmt | ID = 28
Description = Moduł WinMgmt nie może zainicjować części podstawowych. Powodem mogą
być: źle zainstalowana wersja modułu WinMgmt, awaria uaktualnienia repozytorium
modułu WinMgmt, za mało miejsca na dysku lub za mało pamięci.

Error - 04-10-2012 05:45:36 | Computer Name = RYSZARD | Source = WinMgmt | ID = 28
Description = Moduł WinMgmt nie może zainicjować części podstawowych. Powodem mogą
być: źle zainstalowana wersja modułu WinMgmt, awaria uaktualnienia repozytorium
modułu WinMgmt, za mało miejsca na dysku lub za mało pamięci.

Error - 04-10-2012 05:45:36 | Computer Name = RYSZARD | Source = Userenv | ID = 1090
Description = System Windows nie może zarejestrować stanu sesji RSoP (Resultant
Set of Policies - wynikowego zestawu zasad). Próba połączenia z WMI nie powiodła
się. Dlatego żadne następne rejestrowanie zasad RSoP dla tej aplikacji nie zostanie
wykonane.

Error - 04-10-2012 07:16:37 | Computer Name = RYSZARD | Source = Userenv | ID = 1090
Description = System Windows nie może zarejestrować stanu sesji RSoP (Resultant
Set of Policies - wynikowego zestawu zasad). Próba połączenia z WMI nie powiodła
się. Dlatego żadne następne rejestrowanie zasad RSoP dla tej aplikacji nie zostanie
wykonane.

 

Twoja podstawiona kopia rejestru nadal posiada tę modyfikację zrobioną przez infekcję. I nie tylko to, ten trojan wywalił z rejestru usługi Centrum zabezpieczeń + Windows Update (brakuje BITS + wuauserv) + Zapora systemu Windows (klucz SharedAccess kompletnie przetrzebiony). Poza tym: również adware w systemie (w tym w konfiguracji Firefox).

 

 

 


 

Doczyść infekcję i odbuduj usunięte usługi:

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]
@="C:\\WINDOWS\\system32\\wbem\\wbemess.dll"
"ThreadingModel"="Both"
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS]
"Type"=dword:00000020
"Start"=dword:00000003
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Usługa inteligentnego transferu w tle"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00
"DependOnGroup"=hex(7):00,00
"ObjectName"="LocalSystem"
"Description"="Używa przepustowości bezczynnej sieci do transferu danych. Jeżeli BITS zostanie wyłączone, funkcje takie jak Windows Update przestaną działać."
"FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,03,00,00,00,68,e3,0c,\
  00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Parameters]
"ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\
  00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  71,00,6d,00,67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Enum]
"0"="Root\\LEGACY_BITS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Centrum zabezpieczeń"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,77,00,69,00,6e,00,\
  6d,00,67,00,6d,00,74,00,00,00,00,00
"ObjectName"="LocalSystem"
"Description"="Monitoruje ustawienia zabezpieczeń i konfiguracje systemu."
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters]
"ServiceDll"=hex(2):25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,\
  00,54,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum]
"0"="Root\\LEGACY_WSCSVC\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Aktualizacje automatyczne"
"ObjectName"="LocalSystem"
"Description"="Umożliwia pobieranie i instalowanie ważnych aktualizacji systemu Windows. Jeśli ta usługa zostanie wyłączona, komputer nie będzie umożliwiał korzystania z funkcji Automatyczne aktualizacje lub strony Windows Update."
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters]
"ServiceDll"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,\
  00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,75,00,\
  61,00,75,00,73,00,65,00,72,00,76,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Security]
"Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\
  05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\
  01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Enum]
"0"="Root\\LEGACY_WUAUSERV\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Zapora systemu Windows/Udostępnianie połączenia internetowego"
"DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\
  6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00
"DependOnGroup"=hex(7):00,00
"ObjectName"="LocalSystem"
"Description"="Zapewnia usługi translacji adresów sieciowych, adresowania, rozpoznawania nazw i/lub blokowania dostępu intruzów wszystkim komputerom w sieci domowej lub biurowej."
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:0000042e
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\
  00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]
"ServiceUpgrade"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate]
"All"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\\LEGACY_SHAREDACCESS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Babylon]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\BabylonToolbar]

 

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

Zresetuj system.

 

2. Zresetuj plik preferencji Firefox. Zamknij przeglądarkę (nie może być uruchomiona), na Pulpit przenieś poniższy plik:

 

C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\evmse9te.default\prefs.js

 

Ponownie uruchomiony Firefox zregeneruje czysty plik.

 

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

4. Pobierz nowy OTL (już jest w linku wersja bez usterki) i zrób nowe logi do oceny. Dołącz log z AdwCleaner.

 

Odnośnik do komentarza
Cytat
pierwsze co zobaczyłem po restarcie to - "czy chcesz nadal blokować akamai netsession client" i nie wiem czy chcę...

 

Komunikat się pojawił, gdyż zaktywowała się Zapora systemu Windows, wcześniej kompletnie u Ciebie uszkodzona i martwa, po moim imporcie rejestru odtworzona. Akamai już zostało w niej autoryzowane:

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"1037:TCP" = 1037:TCP:*:Enabled:Akamai NetSession Interface
"5000:UDP" = 5000:UDP:*:Enabled:Akamai NetSession Interface

 

Akamai NetSession Interface to nic szkodliwego: KLIK. Jednakże jest to zbędne, może mieć skutki uboczne (KLIK) i możesz to całkowicie odinstalować.

 

 

 


 

Akcje wykonane. Raport OTL poświadcza prawidłową modyfikację w kluczu WBEM:

 

========== ZeroAccess Check ==========

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\wbemess.dll -- [2008-04-14 19:20:57 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both

 

Błędy WMI powinny ustąpić. Mamy jeszcze do usunięcia wpisy "not found", które jak sądzę się skomasowały po cofnięciu rejestru, a jeden ze skutków to błędy martwych szczątkowych usług w Dzienniku zdarzeń:

 

Error - 08-10-2012 18:35:10 | Computer Name = RYSZARD | Source = Service Control Manager | ID = 7000
Description = Nie można uruchomić usługi Usługa Google Update (gupdate) z powodu
następującego błędu: %%3

Error - 08-10-2012 18:43:38 | Computer Name = RYSZARD | Source = Service Control Manager | ID = 7000
Description = Nie można uruchomić usługi Protokół IrDA z powodu następującego błędu:
%%2

Error - 08-10-2012 18:43:38 | Computer Name = RYSZARD | Source = Service Control Manager | ID = 7001
Description = Usługa Monitor podczerwieni zależy od usługi Protokół IrDA, której
nie można uruchomić z powodu następującego błędu: %%2

 

 

1. Skrypt do OTL usuwający odpadki:

 

 

 

 

Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 


:OTL
DRV - File not found [File_System | On_Demand | Stopped] --  -- (StarOpen)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ScreamingBAudio.sys -- (SCREAMINGBDRIVER)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\rasirda.sys -- (Rasirda)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\mbr.sys -- (mbr)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\irsir.sys -- (irsir)
DRV - File not found [Kernel | Auto | Stopped] -- system32\DRIVERS\irda.sys -- (irda)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Lavalys\EVEREST Ultimate Edition\kerneld.wnt -- (EverestDriver)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\NSDriver.sys -- (Ad-Watch Connect Filter)
SRV - File not found [Auto | Stopped] -- %SystemRoot%\System32\irmon.dll -- (Irmon)
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService)
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Google\Update\GoogleUpdate.exe /medsvc -- (gupdatem)
SRV - File not found [Auto | Stopped] -- C:\Program Files\Google\Update\GoogleUpdate.exe /svc -- (gupdate)
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin:  File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3:  File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9:  File not found
O2 - BHO: (Adobe PDF Conversion Toolbar Helper) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll File not found
O2 - BHO: (SmartSelect Class) - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll File not found
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll File not found
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll File not found
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll File not found
O4 - HKLM..\Run: []  File not found
O8 - Extra context menu item: Append Link Target to Existing PDF - Reg Error: Key error. File not found
O8 - Extra context menu item: Append to Existing PDF - Reg Error: Key error. File not found
O8 - Extra context menu item: Convert Link Target to Adobe PDF - Reg Error: Key error. File not found
O8 - Extra context menu item: Convert to Adobe PDF - Reg Error: Key error. File not found
[2011-12-03 14:25:43 | 000,000,158 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search the web.src
[2012-07-06 01:49:59 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\arpzvcrkescnljx
[2012-10-04 22:10:53 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\%programfiles%
[2012-10-04 22:10:53 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\%commonprogramfiles%
[2012-09-17 07:16:41 | 000,000,000 | -HSD | C] -- C:\found.000
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

 

 

2. Rekonstrukcja dostawców wyszukiwania w Internet Explorer (AdwCleaner usunął niestety domyślny Bing). Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]

[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]

[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]

[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
@="Live Search"
"DisplayName"="@ieframe.dll,-12512"
"URL"="http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
"DownloadRetries"=dword:00000000
"DownloadUpdates"=dword:00000001
"Version"=dword:00000002
"UpgradeTime"=hex:a0,07,fa,8f,d5,96,cd,01

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
"SuggestionsURLFallback"="http://api.bing.com/qsml.aspx?query={searchTerms}&maxwidth={ie:maxWidth}&rowheight={ie:rowHeight}&sectionHeight={ie:sectionHeight}&FORM=IE8SSC&market={language}"
"FaviconURLFallback"="http://www.bing.com/favicon.ico"
"URL"="http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC"
"FaviconPath"="C:\\Documents and Settings\\Administrator\\Ustawienia lokalne\\Dane aplikacji\\Microsoft\\Internet Explorer\\Services\\search_{0633EE93-D776-472f-A0FF-E1416B8B2E3A}.ico"
"DisplayName"="Bing"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

3. Odinstaluj wszystkie zakreślone poniżej wystąpienia Adobe. Adobe Flash + Adobe Shockwave są stare, zaś Adobe Acrobat X Pro został uszkodzony. Nie wiem co to miało na celu, ale skrypt w poście #4 na tamtym forum ruszał prawidłowe wpisy Adobe PDF (od Twojej instalacji Adobe Acrobat X Pro) i pliki zostały usunięte z dysku.

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{BB65C393-C76E-4F06-9B0C-2124AA8AF97B}" = Adobe Flash Player 9 ActiveX
"{AC76BA86-1033-F400-7760-000000000005}" = Adobe Acrobat X Pro - English, Français, Deutsch
"Adobe AIR" = Adobe AIR
"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player

 

Po deinstalacji zastosuj specjalizowany remover: KLIK. Następnie przez SHIFT+DEL skasuj z dysku cały folder C:\Windows\system32\Macromed.

 

4. Odinstaluj wszystkie przestarzałe Java, masz całą kolekcję:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216016F0}" = Java™ 6 Update 16
"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java™ 6 Update 22
"{3248F0A8-6813-11D6-A77B-00B0D0160020}" = Java™ 6 Update 2
"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java™ 6 Update 3
"{3248F0A8-6813-11D6-A77B-00B0D0160040}" = Java™ 6 Update 4

 

Po deinstalacji popraw narzędziem JavaRa (opcja Remove JRE).

 

5. W systemie są zainstalowane także stare wersje Ad-aware i ESET. Wszystko do deinstalacji. Następnie w Trybie awaryjnym popraw specjalizowanym usuwaczem: ESET Uninstaller.

 

6. Na koniec zrób nowy log z OTL.

 

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...