Problem z ikonami na Pulpicie, Przywracaniem systemu, instalacją SP1 i partycją RAW

[sylwek1982]

Witam!

Mam problem, w zasadzie kilka:

1)jak mogę zmienić system plików na partycji z RAW na np.NTFS? problemem tu jest brak możliwości sformatowania tej partycji(nie mam wystarczających praw)

2)po starcie systemu zmieniam układ i wielkość ikon na pulpicie, po restarcie wszystko wraca do poprzedniego stanu. Jak mogę to naprawić?

3)nie mogę ani utworzyć punktu przywracania systemu, ani przywrócić systemu.(błąd 0x800423F3)

4)nie mogę zainstalować servicePacka1 do win7( 0x80040154 ), w czym tkwi problem?Posiłkowałem się Fix WU Utility i Microsoft Fixit 50202.

 

Pozdrawiam

Edytowane 11 Października 2012 przez picasso
Zbędne raporty usunięte. Logi z OTL podane w poście #5. //picasso

[picasso]

Podane logi DDS są słabsze niż logi OTL (m.in. brak detekcji pod kątem infekcji ZeroAccess). Dlaczego wybrałeś to narzędzie, jaki jest problem z uruchomieniem OTL?

[sylwek1982]

Byłem zmuszony podać logi z DDS, ponieważ w OTL nie robi mi już logu extras, nie ma również takiej opcji w samej aplikacji. Także nie chciałem podawać niepełnego logu. Okazało się również że samo pobranie OTL jest niebezpieczne( McAfee site advisor krzyczy i blokuje pobieranie ze względu na wirus, który prawdopodobnie jest w pliku). Czytałem w którymś z postów, na tym forum że coś krzaki były z OLT'em, że systemy padają po którejś wersji OTL. Ja tylko używam OTL do logów. Jeżeli masz jakąś "czystą" instalkę OTL to bardzo bym prosił.

Pozdrawiam

[picasso]

Poproszę o logi z OTL, bo podane argumenty nie przemawiają za tym, by nie dało się go uruchomić.

 

 

w OTL nie robi mi już logu extras, nie ma również takiej opcji w samej aplikacji. Także nie chciałem podawać niepełnego logu.

 

Wróć do konfiguracji i przeczytaj co jest zakreślone na różowym tle: KLIK.

 

 

Okazało się również że samo pobranie OTL jest niebezpieczne( McAfee site advisor krzyczy i blokuje pobieranie ze względu na wirus, który prawdopodobnie jest w pliku).

 

Fałszywy alarm, odblokuj pobieranie.

 

 

Czytałem w którymś z postów, na tym forum że coś krzaki były z OLT'em, że systemy padają po którejś wersji OTL.

 

Chodzi o określoną wersję i określone działania w niej, a w linkach pobierania jest już prawidłowa bez tego błędu: KLIK.

 

 

 

.

[sylwek1982]

Dzięki za instrukcje.

 

Skan OTL'em robiłem tylko dla części x64( domyślnie tak jest ustawione), nie dla całości, czy ma to jakieś znaczenie?

Extras.Txt

OTL.Txt

[picasso]

Temat zmienia dział. W logach brak oznak infekcji. Natomiast jest tu widoczna całkiem inna usterka. Skan nie pokazuje, by prawidłowe klucze systemowe miały w ogóle jakąkolwiek zawartość:

 

========== ZeroAccess Check ==========
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

 

Nie, infekcji ZeroAccess tu nie widać. Chodzi o coś innego. Te klucze powinny pokazać skierowanie na prawidłowy plik systemowy, a tu całkowity brak poboru danych, tak jakby klucze były puste, zablokowane lub nie istniały ... W Twoim wcześniejszym temacie były one wyświetlane w prawidłowy sposób (KLIK):

 

========== ZeroAccess Check ==========
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
"" = C:\Windows\SysNative\shell32.dll -- [2009-07-14 03:41:54 | 014,161,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\fastprox.dll -- [2009-07-14 03:40:51 | 000,909,312 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\wbemess.dll -- [2009-07-14 03:41:56 | 000,505,856 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2009-07-14 03:16:14 | 012,866,560 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment

 

Poproszę o skan innym narzędziem, które ma dokładniejszą formę przedstawiania danych (zdefiniuje tu czy kluczy kompletnie brak czy wina w blokadzie) i jest natywnie 64-bitowe. Uruchom SystemLook x64 i w oknie wklej do skanu:

 

:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s

 

Klik w Look.

 

 

1)jak mogę zmienić system plików na partycji z RAW na np.NTFS? problemem tu jest brak możliwości sformatowania tej partycji(nie mam wystarczających praw)

 

Objaśnij o co chodzi, o jakim dysku mowa (i co ma zawierać / czy cenne dane), jakie działania były podejmowane przed usterką, czym próbujesz formatować.

 

 

2)po starcie systemu zmieniam układ i wielkość ikon na pulpicie, po restarcie wszystko wraca do poprzedniego stanu. Jak mogę to naprawić?

 

Jak zauważam powyżej, nie jest w ogóle pokazywana zawartość tego klucza:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}

 

Ten klucz jest krytyczny dla umiejętności pamiętania przez system ustawień folderów.

 

 

3)nie mogę ani utworzyć punktu przywracania systemu, ani przywrócić systemu.(błąd 0x800423F3)

 

Podglądowo czego ten błąd może dotyczyć: KLIK. Nic stamtąd nie wykonuj, chodzi mi o podanie informacji, że uszkodzona struktura WMI może do tego prowadzić. I ponownie cytuję z Twojego loga, klucze związane z WMI są wyświetlane zupełnie bez zawartości:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}

 

 

4)nie mogę zainstalować servicePacka1 do win7( 0x80040154 ), w czym tkwi problem?Posiłkowałem się Fix WU Utility i Microsoft Fixit 50202.

 

Error - 2012-10-08 18:30:05 | Computer Name = Sylwek | Source = Microsoft-Windows-Service Pack Installer | ID = 8
Description = Service Pack installation failed with error code 0x80040154.

 

Jest prawdopodobne, że i to skutek zwalonego WMI.

 

 

Skan OTL'em robiłem tylko dla części x64( domyślnie tak jest ustawione), nie dla całości, czy ma to jakieś znaczenie?

 

To właśnie powoduje skanowanie całości, komponentów 32-bit + 64-bit. Gdybyś tego nie zaznaczył, OTL skanowałby tylko 32-bitową część systemu.

 

 

 

.

[sylwek1982]

Nie, infekcji ZeroAccess tu nie widać. Chodzi o coś innego. Te klucze powinny pokazać skierowanie na prawidłowy plik systemowy, a tu całkowity brak poboru danych, tak jakby klucze były puste, zablokowane lub nie istniały ... W Twoim wcześniejszym temacie były one wyświetlane w prawidłowy sposób

 

Zawartość tych kluczy ja usunąłem mając je za infekcje ZeroAcces, sugerowałem się logiem z OTL. Ażeby było jeszcze lepiej usunąłem punkty przywracania systemu. Mogę w jakiś sposób odbudować zawartość tych kluczy nie mając ani płyty z Win(na chwilę obecną mam dostęp tylko do CD z WinRE), ani punktu przywracania sprzed modyfikacji?

 

 

Poproszę o skan innym narzędziem, które ma dokładniejszą formę przedstawiania danych (zdefinuje tu czy kluczy kompletnie brak czy wina w blokadzie) i jest natywnie 64-bitowe

 

skan zrobiony według wskazówek.

 

Objaśnij o co chodzi, o jakim dysku mowa (i co ma zawierać / czy cenne dane), jakie działania były podejmowane przed usterką, czym próbujesz formatować.

 

To było dość dawno temu( majstrowałem przy diskmgmt), nie pamiętam co dokładnie(prawdopodobnie podział na partycje, rozmiar). To jest partycja na dysku twardym, chciałbym ją sformatować i nadać system plików NTFS.Albo ją później usunę( i to by chyba najbardziej mi pasowało) albo będę tam trzymał dokumenty.

SystemLook.txt

[picasso]

Zawartość tych kluczy ja usunąłem mając je za infekcje ZeroAcces, sugerowałem się logiem z OTL. Ażeby było jeszcze lepiej usunąłem punkty przywracania systemu. Mogę w jakiś sposób odbudować zawartość tych kluczy nie mając ani płyty z Win, ani punktu przywracania sprzed modyfikacji?

 

Następnym razem zapytaj przed podjęciem takich działań, bo w wyniku niewiedzy stworzyłeś uszkodzenia w funkcjonalności aparatu WMI (to ma dalekosiężne skutki) i powłoki. Skan OTL jest typem pomocniczym (bez oceny szkodliwości), a jego interpretacja wymaga dużej wiedzy z zakresu Windows oraz infekcji, tu nie wchodzi w grę "sugerowanie się". Omawiany tu fragment "ZeroAccess Check" to tylko eksport z rejestru miejsc które ta infekcja może modyfikować, program nie ocenia tego, tylko podstawia dane do analizy czy klucze mają postać domyślną czy zostały zmodyfikowane. Jak mówię: w Twoim pierwszym temacie klucze były prawidłowe. Postawiłam Ci diagnozę wtedy, nie zawierzyłeś temu.

 

Skan z SystemLook pokazuje, że klucze górne są, ale skoszone wszystko w dół. Klucze górne się ostały prawdopodobnie ze względu na wbudowane w system uprawnienia (do tych kluczy Administratorzy nie mają pełnego dostępu). Należy zrekonstruować pełną postać tych kluczy.

 

1. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator. Po kolei z prawokliku na każdy z tych kluczy wybierz opcję Uprawnienia:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}

 

Otworzy się widok prosty, kliknij w Zaawansowane. W karcie Właściciel przestaw z TrustedInstaller na grupę Administratorzy. Następnie wróć do widoku prostego i na liście podświetl grupę Administratorzy, mają ustawiony tylko Odczyt, zaznacz Pełną kontrolę.

 

2. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
  00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,\
  65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,00,00
"ThreadingModel"="Apartment"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32]
@=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,74,00,25,\
  00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,62,00,\
  65,00,6d,00,5c,00,66,00,61,00,73,00,74,00,70,00,72,00,6f,00,78,00,2e,00,64,\
  00,6c,00,6c,00,00,00
"ThreadingModel"="Free"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]
"ThreadingModel"="Both"
@=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,74,00,25,\
  00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,62,00,\
  65,00,6d,00,5c,00,77,00,62,00,65,00,6d,00,65,00,73,00,73,00,2e,00,64,00,6c,\
  00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
  00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,\
  65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,00,00
"ThreadingModel"="Apartment"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Z prawokliku na plik wybierz opcję Scal i zatwierdź import do rejestru.

 

3. Ponownie uruchom regedit i wejdź do Uprawnień wszystkich omawianych kluczy. Przywróć układ domyślny, czyli Administratorzy tylko Odczyt + TrustedInstaller jako Właściciel.

 

4. Zresetuj system. Zrób skan z SystemLook na podane wcześniej warunki.

 

 

To było dość dawno temu( majstrowałem przy diskmgmt), nie pamiętam co dokładnie(prawdopodobnie podział na partycje, rozmiar). To jest partycja na dysku twardym, chciałbym ją sformatować i nadać system plików NTFS.Albo ją później usunę( i to by chyba najbardziej mi pasowało) albo będę tam trzymał dokumenty.

 

Do obróbki tej partycji skorzystaj z jakiegoś zewnętrznego menedżera partycji. Z darmowych do wyboru: EASEUS Partition Master Home Edition, MiniTool Partition Wizard, Paragon Partition Manager Free Edition, GParted LiveCD.

 

 

.

[sylwek1982]

Z prawokliku na plik wybierz opcję Scal i zatwierdź import rejestru do.

 

Nie mogę scalić,błąd przy dostępie do rejestru.

[picasso]

Czy wykonałeś punkt numer 1? Rekonfiguracja uprawnień jest niezbędna, w przeciwnym wypadku plik FIX.REG nie zaimportuje danych (Administratorzy nie mają uprawnień, by modyfikować te klucze).

[sylwek1982]

Dzięki za wskazówki z importem do rejestru

SystemLook.txt

[picasso]

Zresetowałeś system po operacji? To ważne. Import udany. Zweryfikuj co aktualnie (nie)działa. Wykonana tu korekta powinna naprawić, ale potwierdź: niezapamiętywanie układu ikon Pulpitu oraz błąd tworzenia punktów Przywracania systemu. Nie wiem co z instalacją SP1.

 

 

.

[sylwek1982]

Bardzo dziękuję Picasso!

Twoja pomoc jest dla mnie niezastapiona. Mimo że samowolnie i bezmyślnie wręcz majstrowałem w rejestrze swojego komputera Ty zechciałaś mi pomóc. Tak , nie mogłem zaimportować bo nie w każdym wierszu zmieniłem wtedy uprawnienia, ale udało się. Wszystko działa jak należy, i instalacja SP1 i zapamiętywanie układu ikon pulpitu i przywracanie systemu, no i wreszcie udało mi się za pomoca softu Partition Wizard "poukładać" w partycjach.

Temat uważam za zakończony.

Pozdrawiam