Kolombo Opublikowano 15 Maja 2013 Zgłoś Udostępnij Opublikowano 15 Maja 2013 Witam Mój problem wygląda tak, że od kilku dni bardzo ciężko jest się zalogować do systemu na moje konto zwykłego użytkownika systemu Windows Vista - często logowanie nie udaje się i pojawia się komunikat "Failed to Connect to User Profile Service". Czasami uda się zalogować, ale system działa bardzo wolno, w miejscu sidebara z gadżetami jest szary pasek a przy próbie uruchamiania wielu programów, w tym wszystkich antywirusowych, pojawia się komunikat "pipe state is invalid" i program nie uruchamia się - podobnie jest na koncie admina, tylko, że tam da się zalogować za każdym razem (błąd połączenia z tą usługą pojawia się w dymku), do tego katalog pulpitu jest niedostępny (taki komunikat się wyświetla) i zamiast ikonek i tapety jest czarne tło i sam kosz. Komputer jakiś rok temu komputer był zarażony jakimś świństwem udającym antywirusa i wymagającym opłaty za wyleczenie komputera (wykryto TrojWare.Win32.Trojan.Jorik.~A@1 c:\Users\Joasia_2\AppData\Local\Temp\msfevozb.scr) - udało to się usunąć ale chyba nie udało się zamknąć furtki którą robale właziłyi stąd kolejne problemy.Jeszcze jedno, pomimo zainstalowanego i niby uruchomionego Avasta jak uda się uruchomić Windows w normalnym trybie to system krzyczy o braku antywirusa. Skanowałem system MBAMem (wszystko w trybie awaryjnym bo w zwykłym nie da się nic uruchomić/ zainstalować a nawet odistnalować antywirusów), coś tam znalazł i niby usunął ale to nie pomogło, potem ESET online znalazł Java Exploit cve-2012-0507.FA ale problemy dalej jak były tak są. Skanowałem też komputer A-squared Anti Malware i Tdsskiller ale nic nie znalazły.Dr Web Cure It znalazł i usunął: C:\Users\Joasia_2\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\47\23cc82af-62939ad4 - probably infected with Trojan.Packed.2513C:\Users\Joasia_2\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\8MHEXCX2\JSAdservingSP[1].js - probably infected with SCRIPT.VirusC:\Users\Joasia_2\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\8MHEXCX2\JSAdservingSP[1].js\JSFile_1[0][726] - probably infected with SCRIPT.VirusC:\Users\Joasia_2\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\AU4RERMI\JSAdservingSP[2].js - probably infected with SCRIPT.VirusC:\Users\Joasia_2\AppData\Local\Temp\IqabeSeH.exe.part - is adware program Adware.Downware.902C:\Windows\Temp\FacAF63.tmp - is adware program Adware.InstallCore.6C:\Windows\Temp\FacAE1A.tmp - is adware program Adware.InstallCore.6C:\Windows\Temp\FacB139.tmp - is adware program Adware.InstallCore.6C:\Windows\Temp\FacAE97.tmp - is adware program Adware.InstallCore.6 Proszę o pomoc i z góry dzięki. gmer.txt OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 16 Maja 2013 Zgłoś Udostępnij Opublikowano 16 Maja 2013 To nie wygląda na problem infekcji. Rok temu (czyli problem nieaktualny) była infekcja. Obecnie brak oznak infekcji w stanie czynnym. A wykryte przez skanery wyniki są mało istotne (Temp, Tymczasowe pliki internetowe, cache Java). Te miejsca zbiorczo i tak wyczyści komenda [emptytemp] w skrypcie OTL. Temat przenoszę do działu Vista. Mój problem wygląda tak, że od kilku dni bardzo ciężko jest się zalogować do systemu na moje konto zwykłego użytkownika systemu Windows Vista - często logowanie nie udaje się i pojawia się komunikat "Failed to Connect to User Profile Service". Czasami uda się zalogować, ale system działa bardzo wolno(...)(wszystko w trybie awaryjnym bo w zwykłym nie da się nic uruchomić/ zainstalować a nawet odistnalować antywirusów) Tu najsilniejsze podejrzenia budzi COMODO... w miejscu sidebara z gadżetami jest szary pasek(...)Jeszcze jedno, pomimo zainstalowanego i niby uruchomionego Avasta jak uda się uruchomić Windows w normalnym trybie to system krzyczy o braku antywirusa. W raportach brak śladów zainstalowanego Avasta, wręcz przeciwnie, są wpisy szczątkowe "not found" i jeden drobny plik na dysku (i to jedyne co widać od Avasta w raportach): O4 - HKLM..\RunOnce: [aswAhAScr.dll] "C:\Program Files\Alwil Software\Avast5\aswRegSvr.exe" "C:\Program Files\Alwil Software\Avast5\AhAScr.dll" File not foundO4 - HKLM..\RunOnce: [aswasOutExt.dll] "C:\Program Files\Alwil Software\Avast5\aswRegSvr.exe" "C:\Program Files\Alwil Software\Avast5\asOutExt.dll" File not found[2013-05-09 09:58:28 | 000,229,648 | ---- | M] (AVAST Software) -- C:\Windows\System32\aswBoot.exe A problem gadżetów to pewnie z winy tego starego Avasta. Avast ma funkcję osłony skryptowej (przejmuje kontrolę nad silnikiem Windows podstawiając swoje pliki DLL). Skutek uboczny po niepełnej deinstalacji to niewyrejestrowanie Avast z tych partii, filtrowanie idzie przerz nieistniejące pliki, jedna z konsekwencji to m.in. pad gadżetów. Przykładowy temat na forum: KLIK. Pod tym kątem podasz skan dodatkowy z SystemLook.Proponuję na początek posprzątać system z programów zabezpieczających i szczątków:1. Odinstaluj COMODO Internet Security i Secunia PSI (oba programy nie są i tak w najnowszych wersjach), o ile zdołasz. I jeszcze mam pytanie czy ten Coupon Printer był instalowany celowo.2. Zastosuj narzędzia Avast Uninstall Utility + Uninstaller Tool for Comodo Products.3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej::OTLO2 - BHO: (MSS+ Identifier) - {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} - C:\Program Files\McAfee Security Scan\3.0.318\McAfeeMSS_IE.dll File not foundO2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.O3 - HKLM\..\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found.O3 - HKU\S-1-5-21-764630933-1086489180-3848742644-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.O3 - HKU\S-1-5-21-764630933-1086489180-3848742644-1000\..\Toolbar\WebBrowser: (no name) - {724D43A0-0D85-11D4-9908-00400523E39A} - No CLSID value found.O3 - HKU\S-1-5-21-764630933-1086489180-3848742644-1000\..\Toolbar\WebBrowser: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - No CLSID value found.O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)SRV - File not found [On_Demand | Stopped] -- C:\Program Files\McAfee Security Scan\3.0.318\McCHSvc.exe -- (McComponentHostService)DRV - File not found [Kernel | On_Demand | Stopped] -- E:\FXDrv32.sys -- (FXDrv32)DRV - File not found [Kernel | System | Stopped] -- C:\Program Files\Emsisoft Anti-Malware\a2ddax86.sys -- (A2DDA)DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Joasia\AppData\Local\Temp\FoxDriver.sys -- (__FOX__FOXONE_DRIVER__):Reg[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]:Filesnetsh advfirewall reset /C:Commands[emptytemp]Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt.4. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.5. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. Przedstaw go.6. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Uruchom SystemLook i do skanu wklej::regHKEY_CLASSES_ROOT\CLSID\{16d51579-a30b-4c8b-a276-0ff4dc41e755}\InprocServer32HKEY_CLASSES_ROOT\CLSID\{34a13fc7-86ab-42e6-a32c-b50666f04ff9}\InprocServer32HKEY_CLASSES_ROOT\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32HKEY_CLASSES_ROOT\CLSID\{B54F3742-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32HKEY_CLASSES_ROOT\CLSID\{B54F3743-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32HKEY_CLASSES_ROOT\CLSID\{cc5bbec3-db4a-4bed-828d-08d78ee3e1ed}\InprocServer32HKEY_CLASSES_ROOT\CLSID\{f414c260-6ac0-11cf-b6d1-00aa00bbbb58}\InprocServer32HKEY_CLASSES_ROOT\CLSID\{f414c261-6ac0-11cf-b6d1-00aa00bbbb58}\InprocServer32HKEY_CLASSES_ROOT\CLSID\{f414c262-6ac0-11cf-b6d1-00aa00bbbb58}\InprocServer32Klik w Look.. Odnośnik do komentarza
Kolombo Opublikowano 16 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 16 Maja 2013 Dziękuję za pomoc. Przy próbie odinstalowania Comodo pojawił się komunikat: The Windows Installer Service could not be accessed. This can occur if the Windows Installer is not correctly installed. Contact your support personnel for assistance. Usunąłem więc Comodo używając Uninstaller Tool for Comodo Products. Przestał działać Internet, za to cała reszta odżyła i można się zalogować i sidebar jest w porządku. Co do problemu z internetem to wyglądało to tak, że komputer łączył się z siecią bezprzewodową ale z uwagą o "Limited access" - pomogło wyłączenie i odinstalowanie Comodo Internet Security Firewall Driver w ustawieniach karty sieciowej (to taka uwaga jakby komuś przestał działać Internet po odinstalowaniu Comodo). Coupon Printer był zainstalowany celowo. Co do Avasta to widocznie odinstalowałem go jakoś tuż przed pisaniem posta bo sam podejrzewałem, że może on być źródłem problemów i zapomniałem o tym wspomnieć, co do odinstalowywania innych programów to wygląda na problem z Windows Installerem...Z kolei ten szary Windows Sidebar nie pojawił się dopiero po odinstalowaniu Avasta - występował jak jescze Avast był w systemie tylko Centrum zabezpieczeń Windows raportowało, że go nie ma. Zrobiłem skany i sprawdziłem Dodaj/ Usuń Programy i okazuje się, że Windows Installer już działa - sam się naprawił?! Dzięki AdwCleanerS1.txt OTL.Txt SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 17 Maja 2013 Zgłoś Udostępnij Opublikowano 17 Maja 2013 Wszystko wykonane. Jeszcze drobne poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej::Reg[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]"AppInit_DLLs"=""[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}][-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes][-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes][-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]Klik w Wykonaj skrypt. Przy próbie odinstalowania Comodo pojawił się komunikat: The Windows Installer Service could not be accessed. This can occur if the Windows Installer is not correctly installed. Contactyour support personnel for assistance.(...)Zrobiłem skany i sprawdziłem Dodaj/ Usuń Programy i okazuje się, że Windows Installer już działa - sam się naprawił?! - Jeśli była to próba w Trybie awaryjnym, to normalne. Usługa Instalator Windows nie działa w Trybie awaryjnym.- Jeśli była to próba w Trybie normalnym, a po usunięciu COMODO nagle się "naprawiło", blokował ten mechanizm COMODO. Usunąłem więc Comodo używając Uninstaller Tool for Comodo Products. Przestał działać Internet, za to cała reszta odżyła i możnasię zalogować i sidebar jest w porządku.Co do problemu z internetem to wyglądało to tak, że komputer łączył się z siecią bezprzewodową ale z uwagą o "Limited access" - pomogło wyłączenie i odinstalowanie Comodo Internet Security Firewall Driver w ustawieniach karty sieciowej (to taka uwaga jakby komuś przestał działać Internet po odinstalowaniu Comodo). To było do przewidzenia, wiedziałam że będzie wymagane więcej niż zadane. Z braku możliwości podałam jedyne narzędzie specjalizowane w usuwaniu COMODO, ale ono jest stare (nie adresuje najnowszych wersji CIS) i nie dedykuje pewnych rzeczy, m.in. nie ściąga filtra z kart sieciowych, o którym rozprawiasz. Dla porównania ten temat i dwa posty (instrukcja ręcznego usuwania versus możliwości deinstallera): KLIK / KLIK.I tu właśnie miałam zadać dodatkowe czyszczenie COMODO. Niemniej filtr sieciowy samodzielnie wypiąłeś, w raporcie OTL nie widzę żadnych składników COMODO (z wyjątkiem tego jednego wpisu guard32.dll już adresowanego w skrypcie OTL) oraz są znaki stosowania tego narzędzia Microsoftu (obecny na dysku katalog C:\MATS): KLIK. Czy Ty w tym narzędziu wskazywałeś do usuwania właśnie rejestrację MSI od COMODO? Co do Avasta to widocznie odinstalowałem go jakoś tuż przed pisaniem posta bo sam podejrzewałem, że może on być źródłem problemówi zapomniałem o tym wspomnieć, co do odinstalowywania innych programów to wygląda na problem z Windows Installerem...Z kolei ten szary Windows Sidebar nie pojawił się dopiero po odinstalowaniu Avasta - występował jak jescze Avast był w systemietylko Centrum zabezpieczeń Windows raportowało, że go nie ma. Wbrew temu co Ci się wydaje Avast nadal jest problemem i aż dziw, że gadżety nie mają dysfunkcji. Log z SystemLook wskazuje, że nie został wypięty z tych partii silnika skryptowego: [HKEY_CLASSES_ROOT\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32]@="C:\Program Files\Alwil Software\Avast5\AhAScr.dll""ThreadingModel"="Both""Default Engine"="C:\Windows\system32\vbscript.dll"[HKEY_CLASSES_ROOT\CLSID\{B54F3743-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32]@="C:\Program Files\Alwil Software\Avast5\AhAScr.dll""ThreadingModel"="Both""Default Engine"="C:\Windows\system32\vbscript.dll" Wykonaj operację rozpisaną w tym poście: KLIK. Po akcji podaj skan SystemLook limitowany do::regHKEY_CLASSES_ROOT\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32HKEY_CLASSES_ROOT\CLSID\{B54F3743-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32 . Odnośnik do komentarza
Kolombo Opublikowano 17 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 17 Maja 2013 Witam i dzięki są znaki stosowania tego narzędzia Microsoftu (obecny na dysku katalog C:\MATS): KLIK. Czy Ty w tym narzędziu wskazywałeś do usuwania właśnie rejestrację MSI od COMODO?[ Tak, ale nic nie pomogło... chyba, że zadziałało to dopiero po restarcie (instrukcja w programie nic nie mówiła o tym a wręcz przeciwnie - nakazywała sprawdzenie działania programu deinstalującego zaraz po zakończeniu działania narzędzia). Jeszcze raz dziękuję. SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 17 Maja 2013 Zgłoś Udostępnij Opublikowano 17 Maja 2013 Korekta w rejestrze wykonana poprawnie. Tak, ale nic nie pomogło... chyba, że zadziałało to dopiero po restarcie (instrukcja w programie nic nie mówiła o tym a wręcz przeciwnie - nakazywała sprawdzenie działania programu deinstalującego zaraz po zakończeniu działania narzędzia). Tu jest chyba nieporozumienie. Ten program jest specjalizowany w usuwaniu informacji deinstalacyjnych programu a nie programu per se. Czyli w tym konkretnym przypadku tylko rejestracji MSI od COMODO, ale nie jego innych składników (sterowniki / foldery i pliki powiązane). Jeśli nie wskazałeś ręcznie wpisu COMODO, nie zostało to usunięte. W związku z tym, że jest to niejasna akcja, ponownie uruchom narzędzie, wybierz tryb nieautomatyczny i sprawdź czy na liście deinstalacji widnieje wpis COMODO Internet Security. . Odnośnik do komentarza
Kolombo Opublikowano 17 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 17 Maja 2013 Wielkie dzieki mam nadzieję, że teraz już będzie dobrze, Comodo nie ma na liście, co do tego MATS to ja podejrzewałem, że on może służyć tylko do usuwania "resztek" ale opis zasugerował, że jednak nie tylko:"Automatyczne diagnozowanie problemów, które uniemożliwiają instalowanie i odinstalowywanie programów na komputerze." Jeszcze raz dziękuję Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się