Winlogon.exe nie jest prawidłową aplikacją systemu Win32

[jupi]

Hej

 

Przy każdym uruchomieniu winxp mam powyzszy komunikat. Odpalenie windowsa trwa wieki i czasami zalicza dłuższe zwiechy.

 

Sytuacja jest od dawna... z tego co pamietam to po jakims czyszczeniu.. (ccleaner??)

 

Raporty w załączniku

 

Pozdrawiam

Tomek

Addition.txt

Extras.Txt

FRST.txt

gmer.txt

OTL.Txt

[picasso]

W starcie uruchamiają się trojany, błąd pochodzi od fałszywego winlogon.exe.

 

1. Otwórz Notatnik i wklej w nim:

 

C:\WINDOWS\system32\crrss.exe
C:\Documents and Settings\Tomek\uidsave.dat
C:\Documents and Settings\Tomek\winlogon.exe
HKCU\...\Winlogon: [shell] explorer.exe "C:\Documents and Settings\Tomek\winlogon.exe" [0 2010-02-10] () 
HKLM\...\Winlogon: [userinit] C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\crrss.exe
HKLM\...\Run: [KernelFaultCheck] - %systemroot%\system32\dumprep 0 -k [x]
Winlogon\Notify\gemsafe: C:\Program Files\Gemplus\GemSafe Libraries\BIN\WLEventNotify.dll [X]
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear
Toolbar: HKCU -No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No File
CHR HKLM\...\Chrome\Extension: [kpionmjnkbpcdpcflammlgllecmejgjj] - C:\Program Files\StartSearch plugin\vshareplg.crx
Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Google Chrome:

- Jako strona startowa stoi search.conduit.com. W ustawieniach usuń to.

- Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz.

 

3. Uruchom TFC - Temp Cleaner.

 

4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt.

 

 

 

.

[jupi]

hmm.. ładnie, avast nic nie wykrywał

 

zastosowałem wszystko... błedu winlogon juz nie ma

 

ze strony startowej chrome nie korzystałem

 

z muleniem jest juz troche lepiej ale do ideału (jak na winxp) sporo brakuje...

 

w załączniku nowy log

 

 

Pojawiła się jedna rzecz (wada)... której wczesniej nie było...

 

Myszka czasami nie reaguje.. czy to w windowsie czy np. link w chrome.. musze kilka razy kliknac aby zaczęła się akcja...

FRST.txt

Fixlog.txt

[picasso]

Akcje wykonane, ale zanim zadam końcowe czynności:

 

 

Pojawiła się jedna rzecz (wada)... której wczesniej nie było...

 

Myszka czasami nie reaguje.. czy to w windowsie czy np. link w chrome.. musze kilka razy kliknac aby zaczęła się akcja...

Ze względu na fakt uruchamiania GMER, zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

 

 

 

.

[jupi]

to nie to... Mam dysk Sata a w sekcji IDE/Atapi jest tylko czytnik kart SD.

 

Bardzo denerwujaca jest ta myszka... co 3-4 klikniecie musi zostac powtórzone bo nic sie nie dzieje... Objaw jest w całym systemie a nie w danej aplikacji...

 

moze cos pomoze... Myszka Dell po BT

[picasso]

jupi, do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj, a nie post pod postem. Znów sklejam.

 

co 3-4 klikniecie musi zostac powtórzone bo nic sie nie dzieje... Objaw jest w całym systemie a nie w danej aplikacji...

Sprawdź czy problemów nie tworzy Avast. Testowo odinstaluj i podaj czy nadal Windows długo się uruchamia i wiesza.

 

 

 

.

[jupi]

ok.. przepraszam. 

 

Ogolnie z windą po kolejnym restarcie jest juz lepiej... nadal jest problem z myszka. Zaraz zajmę sie avastem.

Jaki program antywirusowy polecasz pod winxp?

 

ale...

 

właśnie przed chwilą podczas przegladania www na chrome wywalilo bluescreena... 

 

BCCode : 1000008e     BCP1 : C0000005     BCP2 : BF862276     BCP3 : 93B90AE4

BCP4 : 00000000     OSVer : 5_1_2600     SP : 3_0     Product : 256_1     

 

 

w załączniku raport z windowsa... który chciał wysłać do MS (Mini*.dmp i sysdata.xml). Moze pomoże... Spakowane w rar i rozszerzenie zmienione na txt bo "nie mam uprawnien do wysyłanie tego typu plików".

 

LINK

[picasso]

Ogolnie z windą po kolejnym restarcie jest juz lepiej... nadal jest problem z myszka. Zaraz zajmę sie avastem.

Jaki program antywirusowy polecasz pod winxp?

Sprawdź ten Avast i podaj wyniki. Na razie żadnej zamiany AV nie polecam, musi być pewne że Avast jest lub nie problemem.

 

 

właśnie przed chwilą podczas przegladania www na chrome wywalilo bluescreena...

Wyniki DMP nic konkretnego mi nie mówią:

 

 

 

*******************************************************************************

* *

* Bugcheck Analysis *

* *

*******************************************************************************
 

Use !analyze -v to get detailed debugging information.
 

BugCheck 1000008E, {c0000005, bf862276, 93b90ae4, 0}
 

Probably caused by : win32k.sys ( win32k!PFEOBJ::vFreepfdg+45 )
 

Followup: MachineOwner

---------
 

1: kd> !analyze -v

*******************************************************************************

* *

* Bugcheck Analysis *

* *

*******************************************************************************
 

KERNEL_MODE_EXCEPTION_NOT_HANDLED_M (1000008e)

This is a very common bugcheck. Usually the exception address pinpoints

the driver/function that caused the problem. Always note this address

as well as the link date of the driver/image that contains this address.

Some common problems are exception code 0x80000003. This means a hard

coded breakpoint or assertion was hit, but this system was booted

/NODEBUG. This is not supposed to happen as developers should never have

hardcoded breakpoints in retail code, but ...

If this happens, make sure a debugger gets connected, and the

system is booted /DEBUG. This will let us see why this breakpoint is

happening.

Arguments:

Arg1: c0000005, The exception code that was not handled

Arg2: bf862276, The address that the exception occurred at

Arg3: 93b90ae4, Trap Frame

Arg4: 00000000
 

Debugging Details:

------------------
 
 

EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - Instrukcja spod 0x%08lx odwo
 

FAULTING_IP:

win32k!PFEOBJ::vFreepfdg+45

bf862276 f6412180 test byte ptr [ecx+21h],80h
 

TRAP_FRAME: 93b90ae4 -- (.trap 0xffffffff93b90ae4)

ErrCode = 00000000

eax=e5e0bcf8 ebx=00000000 ecx=005c0063 edx=00000000 esi=93b90b80 edi=e1480988

eip=bf862276 esp=93b90b58 ebp=93b90b68 iopl=0 nv up ei pl nz ac po cy

cs=0008 ss=0010 ds=0023 es=0023 fs=0030 gs=0000 efl=00010213

win32k!PFEOBJ::vFreepfdg+0x45:

bf862276 f6412180 test byte ptr [ecx+21h],80h ds:0023:005c0084=??

Resetting default scope
 

CUSTOMER_CRASH_COUNT: 1
 

DEFAULT_BUCKET_ID: DRIVER_FAULT
 

BUGCHECK_STR: 0x8E
 

PROCESS_NAME: chrome.exe
 

LAST_CONTROL_TRANSFER: from bf86234a to bf862276
 

STACK_TEXT:

93b90b68 bf86234a e1090008 00000000 93b90bdc win32k!PFEOBJ::vFreepfdg+0x45

93b90b88 bf8e0cf7 00000000 00000000 00000000 win32k!RFONTOBJ::bDeleteRFONT+0x1d

93b90bac bf8e11ef 93b90bdc 00000000 e5209500 win32k!PUBLIC_PFTOBJ::bLoadAFont+0x21f

93b90bd4 bf84fc0b e5e70808 e5209500 00000000 win32k!PFTOBJ::bUnloadWorkhorse+0x112

93b90c00 bf84f8c3 e5e35ab8 00000000 00000000 win32k!vCleanupPrivateFonts+0x4d

93b90c18 bf84df46 e5e35ab8 00000000 00000000 win32k!NtGdiCloseProcess+0xb9

93b90c30 bf84b0f7 e5e35ab8 00000000 85ee79e0 win32k!GdiProcessCallout+0x102

93b90c4c 805d1e6b 85efe5b8 00000000 8603f3e0 win32k!W32pProcessCallout+0x5c

93b90cf0 805d2153 00000000 93b90d4c 804ff99b nt!PspExitThread+0x409

93b90cfc 804ff99b 8603f3e0 93b90d48 93b90d3c nt!PsExitSpecialApc+0x23

93b90d4c 80541853 00000001 00000000 93b90d64 nt!KiDeliverApc+0x1af

93b90d4c 7c90e514 00000001 00000000 93b90d64 nt!KiServiceExit+0x59

WARNING: Frame IP not in any known module. Following frames may be wrong.

05a0fd14 00000000 00000000 00000000 00000000 0x7c90e514
 
 

STACK_COMMAND: kb
 

FOLLOWUP_IP:

win32k!PFEOBJ::vFreepfdg+45

bf862276 f6412180 test byte ptr [ecx+21h],80h
 

SYMBOL_STACK_INDEX: 0
 

SYMBOL_NAME: win32k!PFEOBJ::vFreepfdg+45
 

FOLLOWUP_NAME: MachineOwner
 

MODULE_NAME: win32k
 

IMAGE_NAME: win32k.sys
 

DEBUG_FLR_IMAGE_TIMESTAMP: 51ad4593
 

FAILURE_BUCKET_ID: 0x8E_win32k!PFEOBJ::vFreepfdg+45
 

BUCKET_ID: 0x8E_win32k!PFEOBJ::vFreepfdg+45
 

Followup: MachineOwner

---------
 

 

 

 

Spakowane w rar i rozszerzenie zmienione na txt bo "nie mam uprawnien do wysyłanie tego typu plików".

W załącznikach tylko TXT dopuszczalne. Nie śmieć sfałszowanymi rozszerzeniami. Przerzucam na serwis zewnętrzny.

 

 

.

[jupi]

Problem z myszką przestał istnieć... Blue Screena poki co nie odnotowalem..

Komp uruchamia sie znacznie szybciej niż przed zmianami... Zrobie jeszcze defragmentacje dysku...

 

Wrzucić jakieś raporty?

[jupi]

Jestem happy
 

Dziękuję Ci bardzo za pomoc... Komp jak nowo narodzony...

 

Będę miał jeszcze jednego muła na win7 do zrobienia ale to po weekendzie

 

Jakiego antywirusa polecasz?

 

jupi

[picasso]

Kolejne czynności:

 

1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Na wszelki wypadek zrób skan w Malwarebytes Anti-Malware. Jeżeli coś wykryje, podaj raport.

 

 

Jakiego antywirusa polecasz?

Polecam dowolnego z puli komercyjnych lub darmowych, pod warunkiem że nie jest to antywirus niszowy. Avast się stąd właśnie wyniósł, to może za darmo Panda Cloud Antivirus?

 

 

.