Skocz do zawartości

XP - poszatkowany system (m.in. brak rejestru)


broda99

Rekomendowane odpowiedzi

Witam,

 

mam duży problem z systemem - został mocno uszkodzony - nie wiem w jaki sposób. Ostatnia akcja przed awarią to próba bezpośredniego połączenia przez kabel (skrętka krosowana)  z innym komputerem.

 

Objawy i wykonane operacje:

 

- po uruchomieniu kompa system zgłosił nieprawidłowość z systemem plików (przepraszam, ale nie pamiętam dokładnie treści) - ale system się uruchomił

- uruchomiłem chkdsk - program zadziałał normalnie (zakończył z info o konieczności restartu)

- po ponownym uruchomieniu nadal był komunikat o błędach

- uruchomiłem Przywracanie systemu z pukntu na 100% poprawnego - zakończone sukcesem

- po ponownym uruchomieniu wyskoczył komunikat o braku pliku SYSTEM

- sprawdziłem dysk MHDD - dysk OK (0 realokowanych sektorów)

- plik skopiowałem z System Volume Information (mam drugi system) - na szczęście sprawny

- system się nie uruchomił

- sprawdziłem - nie było pozostałych plików rejestru - skopiowałem ponownie wszystkie

- system się uruchomił, ale:

  + data była przestawiona o 1 godz. w tył (??)

  + wyskakują komunikaty o nieprawidłowości różnych plików (SS poniżej)

  + Zarządzanie komputerem jest praktycznie puste - nie działają żadne przystawki

  + nie działają w ogóle niektóre aplety - np. Połączenia sieciowe

- przeskanowałem dyskm MBAM - log w załączeniu

- przetestowałem ponownie dysk HDTune - dysk OK.

 

W tej chwili system się uruchamia ale nie jest w stanie połączyć się z siecią. Natomiast zachowuje się kuriozalnie:

- jakieś 10 min. od momentu uruchomienia nie można uruchomić "Start" ani nic z PPM na Pasku zadań - ponajechaniu na pasek kursor zmienia się w klepsydrę, można natomiast bez problemu uruchamiać programy z Pulpuitu

- z Paska zadań zniknęły wszystkie ikony oprprócz zegarka.

 

W Trybie awaryjnym system zachowuje się tak samo.

 

FRST: http://wklej.org/id/1834388/

Add: http://wklej.org/id/1834389/

GMER: po preskanie i kliknięciu Start brak reakcji przez 30 min. (dysk w ogóle nie pracował).

 

MBAM: https://www.sendspace.com/file/zx2peq

 

98351a87144274b1med.jpg

 

8205477d6bf16a1cmed.jpg

 

573d0037f21e8d63med.jpg

 

2a0dc30672f5f6a9med.jpg

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Logi z przestarzałego OTL nie są w ogóle brane pod uwagę (usuwam). Brak za to trzeciego pliku FRST Shortcut, co akurat w tym przypadku nie jest aż tak istotne. A temat przenoszę do właściwego działu Windows, bo to nie jest sprawa infekcji.

 

 

- uruchomiłem Przywracanie systemu z pukntu na 100% poprawnego - zakończone sukcesem

Który z punktów został wybrany, czy ten najstarszy?

 

==================== Punkty Przywracania systemu =========================

 

20-10-2015 17:24:34 Punkt kontrolny systemu

20-10-2015 17:24:32 Instalacja niepodpisanego sterownika

17-10-2015 20:19:48 Przed Visio

20-10-2015 17:24:31 Installed Microsoft Office Visio Professional 2007

20-10-2015 17:24:28 Installed Diagram Designer

23-10-2015 21:05:13 Punkt kontrolny systemu

23-10-2015 21:05:13 Instalacja niepodpisanego sterownika

23-10-2015 21:05:13 Instalacja niepodpisanego sterownika

23-10-2015 21:05:13 Instalacja niepodpisanego sterownika

23-10-2015 21:05:12 Instalacja niepodpisanego sterownika

23-10-2015 21:05:12 Instalacja niepodpisanego sterownika

23-10-2015 21:05:11 Instalacja niepodpisanego sterownika

23-10-2015 21:05:11 Punkt kontrolny systemu

23-10-2015 21:05:10 Instalacja niepodpisanego sterownika

23-10-2015 14:14:13 Punkt kontrolny systemu

24-10-2015 17:52:42 Punkt kontrolny systemu

25-10-2015 19:05:57 Punkt kontrolny systemu

26-10-2015 19:06:45 Punkt kontrolny systemu

27-10-2015 21:26:12 Punkt kontrolny systemu

28-10-2015 21:38:33 Punkt kontrolny systemu

29-10-2015 22:26:23 Punkt kontrolny systemu

30-10-2015 22:43:31 Punkt kontrolny systemu

01-11-2015 00:06:27 Punkt kontrolny systemu

01-11-2015 19:01:03 Instalacja niepodpisanego sterownika

01-11-2015 20:50:11 Instalacja niepodpisanego sterownika

04-11-2015 20:07:26 Operacja przywracania

 

 

- plik skopiowałem z System Volume Information (mam drugi system) - na szczęście sprawny

Jak wyżej - z którego punktu był kopiowany plik SYSTEM?

 

 

Na razie ustalmy który punkt Przywracania był użyty. Ale dodam, że widzę:

- Masowe uszkodzenie polegające na oznaczeniu wszystkich usług / sterowników Microsoftu przez [brak podpisu cyfrowego]. To prawdopodobnie oznacza dodatkowe uszkodzenie bazy Usług kryptograficznych, tylko nie wiadomo której: catroot2 (to się da naprawić przez jej reset) lub catroot (to nie jest nienaprawialne w inny sposób niż przywrócenie poprzedniej wersji katalogu np. przy użyciu Przywracania systemu). Aczkolwiek wcale nie jest wykluczone, że brak podpisu może oznaczać jednak prawdziwe usdzkodzenie plików.

- Uszkodzenia plików także są, conajmniej dwa wymieniane na komunikatach podczas próby uruchomienia OTL to pliki uszkodzone. Kto to wie ile jeszcze.

- Stary COMODO Internet Security (sterowniki z 2012), który może mieć też jakiś wpływ. I będzie też utrudniał ewentualne naprawy.

 

I tu może się skończyć na reinstalacji Windows. Jest bardzo dużo naruszeń.

Odnośnik do komentarza

Shortcut.txt nie załączałem z powodu który podałaś - ponadto podczas startu uruchamia się tylko skrót do FF (prawidłowy adres URL bez żadnych "dopisków") i jeden skrót do batch który sam pisałem (uruchamianie połączenie modemowego PLAY).

 

 

@echo off
mode con: cols=99 lines=15
title=Laczenie PLAY..
echo Inicjowanie...
kleps2.exe

rasdial.exe play
title=Uruchamianie DUMeter..
echo Uruchamianie DUMeter...
"C:\Program Files\DU Meter\DUMeter.exe"
title=Usuwanie...
echo Usuwanie wiadomej ikony...
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\SysTray" /v "Services" /t reg_dword /d 29 /f
systray

if %date%==2015-11-02 goto up
goto nic

:up
echo.
echo +++++++++++++++++++++++++++++++ URZĄD PRACY ++++++++++++++++++++++++++++++++++++
echo.
pause

:nic

 

 

kleps2.exe to program napisany w TP który ma za zadanie tylko opóźnić wykonanie kolejnych komend; https://www.sendspace.com/file/4r9ugu

 

Użyty został punkt 01-11-2015 00:06:27 Punkt kontrolny systemu (ostatni "niebieski") - z niego też skopiowałem wszystkie pliki rejestru (łącznie z _REGISTRY_USER_NTUSER_S-1-5-21-1417001333-1644491937-839522115-1003).

 

496ede46c573ef0cmed.png

 

Brak podpisu raczej nie oznacza uszkodzenia plików - system jest "od kolegi" (z użytym legalnym kluczem z uczelni).

 

Comodo miałem usunąć - i tak nie działa. Odinstalować?

FYI: DUMeter zgłaszał błędy podobne do pokazanych w Post #1 - odinstalowałem.

 

---

 

Edit: Odinstalowuję Comodo, zrobię nowe logi FRST i co się jeszcze da.

Odnośnik do komentarza

Użyty został punkt 01-11-2015 00:06:27 Punkt kontrolny systemu (ostatni "niebieski") - z niego też skopiowałem wszystkie pliki rejestru (łącznie z _REGISTRY_USER_NTUSER_S-1-5-21-1417001333-1644491937-839522115-1003).

Spróbuj cofnąć się dalej niż ta świeża data. I dopiero po cofnięciu się:

 

 

Comodo miałem usunąć - i tak nie działa. Odinstalować?

 

... deinstalacja Comodo. Odwrotna kolejność spowoduje przywrócenie komponentów Comodo (uszkodzony program). I po tym nowe raporty FRST (włącznie z Addition), ze wskazaniem który punkt użyto oraz czy są jakieś zmiany.

 

 

Brak podpisu raczej nie oznacza uszkodzenia plików - system jest "od kolegi" (z użytym legalnym kluczem z uczelni).

 

Nawet "od kolegi" nie daje takich objawów jak w raporcie. Wiele modyfikowanych sztucznie systemów XP ma podpisy cyfrowe Microsoftu, tylko niektóre pliki mogą tego nie posiadać, tzn. te ręcznie zmodyfikowane, ale nie taka masówka na praktycznie wszystkich jak leci. To jest na pewno uszkodzenie, tylko jeszcze nie jest pewne gdzie, podejrzenie wstępne to Catroot / Catroot2. Czekam na wyniki kolejnej operacji Przywracania systemu, czy ona aby nie zmieni odczytu.

 

 

Shortcut.txt nie załączałem z powodu który podałaś - ponadto podczas startu uruchamia się tylko skrót do FF (prawidłowy adres URL bez żadnych "dopisków") i jeden skrót do batch który sam pisałem (uruchamianie połączenie modemowego PLAY).

 

Plik Shortcuts nie służy tylko do diagnostyki przejęcia skrótów przez hijackery. Na jego podstawie można wyłowić także masę innych nieprawidłowości (choćby uszkodzone definicje folderów Shell czy uszkodzone zwrotne linki symboliczne). Ale w tym przypadku nie wniesie on do sprawy zbyt wiele, bo są uszkodzenia innej natury.

Odnośnik do komentarza

System cofnięty do 23-10-2015 14:14:13.

 

Odinstalowałem Comodo (normalna deinstalacja + nieformalne, dedykowane narzędzie w trybie awaryjnym - to jednak używa zdaje się zwykłych poleceń DOS ponieważ nie potrafiło usunąć pliku guard32.dll - FRST dał radę). Usunąłem też wszystko z Autostartu, przeczyściłem rejestr, usunąłem zbędne pliki (TFC). I teraz  coś czego zupełnie nie rozumiem:

- po tych operacjach, po pierszym restarcie system zrobił się szybszy niż był nawet przed awarią (a przede wszystkim szybciej się uruchomił - nic dziwnego: Comodo), nie zacinał się, ale funkcjonalność była taka jak była - nadal nie działają ustawienia / zarządzanie / ...

- po kolejnym restarcie uruchamiał się chyba ciut dłużej, ale ważniejsze jest to że powrócił objaw klepsydry na pasku zadań (brak możliwości wywołania menu Start, PPM też reagował). Do tego Ctrl-Alt-Del też nie wywołało Menedżera zadań. Wszystko się odblokowało po kilku minutach (2-3). Jeszcze jedno: system nie zapamiętał ustawień Pulpitu, nie zapamiętał nawet ustawień Notatnika ("Zawijanie wierszy"). Jak już się "odblokował" - chodził normalnie (jeśli chodzi o szybkość).

Jako że zrobiłem skan FRST po 1-szym i po 2-gim uruchomieniu - podaję logi z obu (w kolejności).

 

FRST: http://wklej.org/id/1834833/

Add: http://wklej.org/id/1834834/

ShCut: http://wklej.org/id/1834835/

FSS: http://wklej.org/id/1834836/

 

FRST: http://wklej.org/id/1834837/

Add: http://wklej.org/id/1834838/

 

PS. Podczas "zablokowania" szukałem w Process sHacker / Process Explorer jakiegoś nieznanego procesu - nie znalazłem nic podejrzanego, żaden proces nie obciążał też nadzwyczajnie CPU.

Odnośnik do komentarza

Brak zmian w kwestii masowego "Braku podpisu cyfrowego". Dodatkowo pojawiła się usterka Repozytorium WMI:

 

Dziennik Aplikacja:

==================

Error: (11/06/2015 12:28:46 AM) (Source: WinMgmt) (EventID: 4) (User: )

Description: Nie udało się załadować pliku MOF C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V4.0.30319\CLR.MOF w czasie odzyskiwania pliku składu.

 

Error: (11/06/2015 12:28:44 AM) (Source: WinMgmt) (EventID: 4) (User: )

Description: Nie udało się załadować pliku MOF C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V4.0.30319\ASPNET.MOF w czasie odzyskiwania pliku składu.

 

Error: (11/06/2015 12:28:43 AM) (Source: WinMgmt) (EventID: 4) (User: )

Description: Nie udało się załadować pliku MOF C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V4.0.30319\MOF\SERVICEMODEL.MOF w czasie odzyskiwania pliku składu.

 

Error: (11/06/2015 12:28:30 AM) (Source: WinMgmt) (EventID: 4) (User: )

Description: Nie udało się załadować pliku MOF C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\CLR.MOF w czasie odzyskiwania pliku składu.

 

Error: (11/06/2015 12:28:30 AM) (Source: WinMgmt) (EventID: 4) (User: )

Description: Nie udało się załadować pliku MOF C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\ASPNET.MOF w czasie odzyskiwania pliku składu.

 

Error: (11/06/2015 12:28:29 AM) (Source: WinMgmt) (EventID: 4) (User: )

Description: Nie udało się załadować pliku MOF C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V3.0\WINDOWS COMMUNICATION FOUNDATION\SERVICEMODEL.MOF w czasie odzyskiwania pliku składu.

 

Error: (11/06/2015 12:28:29 AM) (Source: WinMgmt) (EventID: 4) (User: )

Description: Nie udało się załadować pliku MOF C:\7BE7807CC2BD0AA00FA01DB8\I386\LICWMI.MOF w czasie odzyskiwania pliku składu.

 

Error: (11/06/2015 12:19:04 AM) (Source: WinMgmt) (EventID: 28) (User: )

Description: Moduł WinMgmt nie może zainicjować części podstawowych. Powodem mogą być: źle zainstalowana wersja modułu WinMgmt, awaria uaktualnienia repozytorium modułu WinMgmt, za mało miejsca na dysku lub za mało pamięci.

 

Error: (11/05/2015 09:42:26 PM) (Source: WinMgmt) (EventID: 4) (User: )

Description: Nie udało się załadować pliku MOF C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V4.0.30319\CLR.MOF w czasie odzyskiwania pliku składu.

 

Nadal aktualna kwestia uszkodzonych plików. Były zgłaszane dwa przy próbie uruchamia OTL, ale nie wiadomo czy Przywracanie systemu to skorygowało, oraz ile uszkodzeń tak naprawdę jest. Obecnie w raporcie FRST widać dodatkowe uszkodzone pliki (brak sygnatury MS). Z tym że raport FRST jest bardzo mocno ograniczony i na jego podstawie nie da się stwierdzić gdzie jeszcze są uszkodzenia.

 

S3 aec; C:\WINDOWS\System32\drivers\aec.sys [142592 2008-04-13] () [brak podpisu cyfrowego]

S2 Alerter; C:\WINDOWS\system32\alrsvc.dll [17408 2008-04-14] () [brak podpisu cyfrowego]

S2 HidServ; C:\WINDOWS\System32\hidserv.dll [0 2008-04-14] ()

S2 dmserver; C:\WINDOWS\System32\dmserver.dll [24064 2008-04-14] () [brak podpisu cyfrowego]

S3 kmixer; C:\WINDOWS\System32\drivers\kmixer.sys [172416 2008-04-14] () [brak podpisu cyfrowego]

S3 Parport; C:\WINDOWS\System32\DRIVERS\parport.sys [80256 2008-04-14] () [brak podpisu cyfrowego]

S2 Schedule; C:\WINDOWS\system32\schedsvc.dll [193536 2008-04-14] () [brak podpisu cyfrowego]

S2 WebClient; C:\WINDOWS\System32\webclnt.dll [68096 2008-04-14] () [brak podpisu cyfrowego]

 

Name: Microsoft Kernel Acoustic Echo Canceller

Description: Microsoft Kernel Acoustic Echo Canceller

Class Guid: {4D36E96C-E325-11CE-BFC1-08002BE10318}

Manufacturer: Microsoft

Service: aec

Problem: : Windows cannot load the device driver for this hardware. The driver may be corrupted or missing. (Code 39)

Resolution: Reasons for this error include a driver that is not present; a binary file that is corrupt; a file I/O problem, or a driver that references an entry point in another binary file that could not be loaded.

Uninstall the driver, and then click "Scan for hardware changes" to reinstall or upgrade the driver.

 

Name: Syntezator tablicy dźwięków WAVE Microsoft Kernel GS

Description: Syntezator tablicy dźwięków WAVE Microsoft Kernel GS

Class Guid: {4D36E96C-E325-11CE-BFC1-08002BE10318}

Manufacturer: Microsoft

Service: swmidi

Problem: : Windows cannot load the device driver for this hardware. The driver may be corrupted or missing. (Code 39)

Resolution: Reasons for this error include a driver that is not present; a binary file that is corrupt; a file I/O problem, or a driver that references an entry point in another binary file that could not be loaded.

Uninstall the driver, and then click "Scan for hardware changes" to reinstall or upgrade the driver.

 

Name: Microsoft Kernel Wave Audio Mixer

Description: Microsoft Kernel Wave Audio Mixer

Class Guid: {4D36E96C-E325-11CE-BFC1-08002BE10318}

Manufacturer: Microsoft

Service: kmixer

Problem: : Windows cannot load the device driver for this hardware. The driver may be corrupted or missing. (Code 39)

Resolution: Reasons for this error include a driver that is not present; a binary file that is corrupt; a file I/O problem, or a driver that references an entry point in another binary file that could not be loaded.

Uninstall the driver, and then click "Scan for hardware changes" to reinstall or upgrade the driver.

 

 

Mam szczere wątpliwości czy warto bawić się sztukowane naprawy, w pewnych scenariuszach należy po prostu podjąć bardziej racjonalną decyzję. W Twojej sytuacji lepiej byłoby przeinstalować system na czysto. Jeśli brniesz w próby reanimacji "trupa", to wstępna próba naprawy powyższych naruszeń:

 

1. Próba naprawy braku podpisów cyfrowych. Uruchom narzędzie Fix It 50202: KLIK. Narzędzie działa na XP. Zaznacz tryb agresywny - w jego skład wchodzi reset bazy catroot2. Po akcji zresetuj system.

 

2. Próba naprawy uszkodzonych plików:

  • Ściągnij pakiet SP3: KLIK. Pobrany plik o nazwie WindowsXP-KB936929-SP3-x86-PLK.exe zapisz bezpośrednio na dysku C.
  • Wyekstraktuj pakiet: Start > Uruchom > wklej komendę C:\WindowsXP-KB936929-SP3-x86-PLK.exe /x:C:\SP. Service Pack się rozpakuje do katalogu C:\SP.
  • Uruchom sprawdzanie plików: Start > Uruchom > sfc /scannow > gdy zostaniesz poproszony o "płytę" / wskazanie ścieżki, nakieruj narzędzie na folder C:\SP\i386.
3. Siłowy reset repozytorium, przy okazji usunięcie odpadkowych zadań Comodo. Otwórz Notatnik i wklej w nim:

 

Task: C:\WINDOWS\Tasks\CIS_{15198508-521A-4D69-8E5B-B94A6CCFF805}.job => C:\DOCUME~1\Broda99\USTAWI~1\Temp\cisA.exe 
Task: C:\WINDOWS\Tasks\CIS_{81EFDD93-DBBE-415B-BE6E-49B9664E3E82}.job => C:\DOCUME~1\Broda99\USTAWI~1\Temp\cisA.exe 
CMD: net stop winmgmt
RemoveDirectory: C:\WINDOWS\system32\wbem\Repository
CMD: net start winmgmt
CMD: rundll32.exe setupapi,InstallHinfSection WBEM 132 %windir%\inf\wbemoc.inf
Reboot:

 

Plik zapisz pod nazwą fixlist.txt, w FRST opcja Napraw, nastąpi restart.

 

4. Wyczyść Dzienniki zdarzeń, by nagrały się tylko bieżące błędy. Start > Uruchom > eventvwr.msc > opróżnij gałęzie Aplikacja i SYSTEM. Zresetuj system.

 

5. Zrób nowy log FRST z Addition. Dodaj też fixlog.txt wyprodukowany w punkcie 3. Podsumuj co nadal nie działa, zgłasza błędy, etc.

Odnośnik do komentarza

BITS tu owszem nie działa, stan "Zatrzymano":

 

S2 BITS; C:\WINDOWS\system32\qmgr.dll [409088 2008-04-14] (Microsoft Corporation) [brak podpisu cyfrowego]

 

W związku z błędem narzędzia Fix-it przejdź do kolejnych operacji rozpisanych w punktach 2 i 3, gdyż one mogą wpłynąć na naprawę usług na innej płaszczyźnie. Po ich wykonaniu powtórz akcję z narzędziem Fix-it.

Odnośnik do komentarza
Uruchom sprawdzanie plików: Start > Uruchom > sfc /scannow > gdy zostaniesz poproszony o "płytę" / wskazanie ścieżki, nakieruj narzędzie na folder C:\SP\i386.

 

SP3 (zresztą całą płytę XP SP3) mam na dysku. Tylko polecenie sfc nie daje możliwości wyboru lokalizacji "płyty" (katalogu i386). Kiedyś to robiłem podmieniając w rejestrze dane w kluczu pt. "Katalog instalacyjny" (jakoś tak) - tylko teraz nie pamietam gdzie dokładnie ten klucz mieszka. Jak wiesz to napisz - ja ze swojej strony poszukam info w sieci.

 

---

 

Edit: mam: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Setup\SourcePath

Odnośnik do komentarza

SP3 (zresztą całą płytę XP SP3) mam na dysku.

Mnie chodzi o użycie plików świeżo pobranych nie pochodzących z tego dysku, gdyż dane zapisane wcześniej i występujące na dysku poddanym awarii są wątpliwe, nie wiadomo czy uszkodzeń nie ma także i w kopii.

 

 

Tylko polecenie sfc nie daje możliwości wyboru lokalizacji "płyty" (katalogu i386).

System weryfikacji SFC szuka wg kolejności: katalog C:\Windows\system32\dllcache, sieciowa ścieżka instalacyjna, CD instalacyjne XP. Można więc spróbować tymczasowo zmienić wartość definiującą lokalizację folderu dllcache. Za to odpowiada wartość SFCDllCacheDir, domyślnie nieobecna. Import do rejestru ustawiający C:\SP\i386:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"SFCDllCacheDir"=hex(2):43,00,3a,00,5c,00,53,00,50,00,5c,00,69,00,33,00,38,00,\
36,00,00,00

 

Po akcji usunięcie wartości:

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"SFCDllCacheDir"=-

 

Pomiędzy importami na wszelki wypadek restarty systemu.

Odnośnik do komentarza
Mnie chodzi o użycie plików świeżo pobranych nie pochodzących z tego dysku,

 

Kopię płyty miałem na innej partycji w katalogu "XPSP3" - więc myślę że uszkodzenia tam nie sięgnęły. Zresztą piszę już teraz spod przedmiotowego systemu! - nawet nie pytaj ile @#$$% poleciało jak musiałem się co chwilę przesiadać albo na drugi system albo na drugi komputer (mając jeden modem)...  :) .

 

Ad rem:

 

1. sfc zadział z moim patentem ale nie zapisał pliku .log. Tym niemniej plki uzupełnił (dowód: po skończonej naprawie pojawił się dźwięk).

 

2. Reset repozytorium:  polecenie net stop z powodu zależności nie zatrzymało usługi winmgmt ale summa summarum zadanie wykonało (pliki zostały usunięte. BTW: nie ma jakiegoś przełącznika do wymuszenia uruchomienia tego polecenia?).  Po wykonaniu skryptu pojawiły się przystawki. Ostatnie polecenie wykonałem ręcznie (wpisując "z palca" w skrypt zrobiłem literówkę i pewnie do tej pory byłbym w punkcie wyjścia....) - pojawiły się ikonki  (konkretnie jedna: głośność).

 

 

Rezultat naprawy Farbar Recovery Scan Tool (x86) Wersja:16-10-2015

Uruchomiony przez Broda99 (2015-11-06 18:30:23) Run:9

Uruchomiony z C:\Documents and Settings\Broda99\Pulpit\FRST

Załadowane profile: Broda99 (Dostępne profile: Broda99 & John Doe & Administrator & Gość)

Tryb startu: Normal

 

==============================================

 

fixlist - zawartość:

*****************

Task: C:\WINDOWS\Tasks\CIS_{15198508-521A-4D69-8E5B-B94A6CCFF805}.job => C:\DOCUME~1\Broda99\USTAWI~1\Temp\cisA.exe <==== UWAGA

Task: C:\WINDOWS\Tasks\CIS_{81EFDD93-DBBE-415B-BE6E-49B9664E3E82}.job => C:\DOCUME~1\Broda99\USTAWI~1\Temp\cisA.exe <==== UWAGA

cmd: net stop winmgmt

removedirectory: C:\WINDOWS\system32\wbem\Repository

cmd: net start winmgmt

cmd: rundll32.exe setupapi,InstallHinfSection WBEM 132 %windir%\inf\wbemoc.inf

reboot:

 

*****************

 

C:\WINDOWS\Tasks\CIS_{15198508-521A-4D69-8E5B-B94A6CCFF805}.job => pomyślnie przeniesiono

C:\WINDOWS\Tasks\CIS_{81EFDD93-DBBE-415B-BE6E-49B9664E3E82}.job => pomyślnie przeniesiono

 

=========  net stop winmgmt =========

 

Nastpujce usugi s zalene od usugi Instrumentacja zarzdzania Windows.

Zatrzymanie usugi Instrumentacja zarzdzania Windows spowoduje take zatrzymanie tych usug.

 

   Centrum zabezpiecze

   Zapora systemu Windows/Udostpnianie poczenia internetowego

 

Czy chcesz kontynuowa t operacj? (T/N) [N]:

Nie udzielono prawidowej odpowiedzi.

 

========= Koniec  CMD: =========

 

niepowodzenie przy usuwaniu "C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR" => Zaplanowany do usunięcia przy restarcie.

niepowodzenie przy usuwaniu "C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP" => Zaplanowany do usunięcia przy restarcie.

niepowodzenie przy usuwaniu "C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER" => Zaplanowany do usunięcia przy restarcie.

niepowodzenie przy usuwaniu "C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP" => Zaplanowany do usunięcia przy restarcie.

niepowodzenie przy usuwaniu "C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP" => Zaplanowany do usunięcia przy restarcie.

niepowodzenie przy usuwaniu "C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA" => Zaplanowany do usunięcia przy restarcie.

niepowodzenie przy usuwaniu "C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP" => Zaplanowany do usunięcia przy restarcie.

niepowodzenie przy usuwaniu "C:\WINDOWS\system32\wbem\Repository" => Zaplanowany do usunięcia przy restarcie.

 

=========  net start winmgmt =========

 

dana usuga zostaa ju uruchomiona.

 

Dostpne s dalsze informacje Pomocy; aby je uzyska, wpisz NET HELPMSG 2182.

 

 

========= Koniec  CMD: =========

 

 

=========  rundll.exe setupapi,InstallHinfSection WBEM 132 %windir%\inf\wbemoc.inf =========

 

Nazwa 'rundll.exe' nie jest rozpoznawana jako polecenie wewntrzne lub zewntrzne,

program wykonywalny lub plik wsadowy.

 

========= Koniec  CMD: =========

 

 

Rezultat przenoszenia plików przy restarcie (Tryb startu: Normal) (Data i godzina: 2015-11-06 18:32:35)

 

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR => pomyślnie usunięto

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP => pomyślnie usunięto

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER => pomyślnie usunięto

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP => pomyślnie usunięto

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP => pomyślnie usunięto

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA => pomyślnie usunięto

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP => pomyślnie usunięto

"C:\WINDOWS\system32\wbem\Repository" => Nie można przenieść

 

==== Koniec  Fixlog 18:32:36 ====

 

 

3. Narzędzie Fix It 50202 po tych operacjach zadziałało w prawidłowo - nawet przed restartem usługa BITS była już włączona.

 

4. Powtórzyłem sfc /scannow - w dalszym ciągu nie generuje logu, nie wyrzuca też komunikatu o wynikach weryfikacji

C:\Documents and Settings\Broda99>sfc /scannow

C:\Documents and Settings\Broda99>

5. Dzienniki zdarzeń wyczyszczone,  w System 2 błędy: LPT1 jest wyłączony w BIOS - profilaktycznie podaję wszystkie: https://www.sendspace.com/file/75tfk0

 

6. Logi FRST:

FRST: http://wklej.org/id/1835381/

Add: http://wklej.org/id/1835382/

 

7. Na razie wszystko (oprócz wymienionych anomalii) działa!  - ale cały czas testuję...  ;) .

Odnośnik do komentarza

Raport FRST wykazuje korzystne zmiany. Masowy odczyt "Brak podpisu cyfrowego" ustąpił (pozostały tylko te rekordy, które realnie nie mają certyfikatu), także uprzednio pozbawione sygnatury Microsoftu pliki nie są już widoczne. Zniknęły błędy Repozytorium.

 

 

sfc zadział z moim patentem ale nie zapisał pliku .log.

Prawdopodobnie pijesz do "CBS.LOG". XP posiada prymitywny pierwowzór SFC i nie generuje w ogóle takiego raportu tekstowego. Jedynie w Dzienniku zdarzeń można znaleźć określone selektywne operacje. Dzienniki zostały wyczyszczone w celu nagrania tylko aktualnych błędów, obecnie brak rekordów relatywnych do operacji SFC.

To w nowoczesnych systemach (Vista i wyżej) występuje znacznie potężniejsze narzędzie SFC, działające w inny sposób i nagrywające wyniki do C:\Windows\Logs\CBS\CBS.LOG.

 

 

polecenie net stop z powodu zależności nie zatrzymało usługi winmgmt ale summa summarum zadanie wykonało (pliki zostały usunięte. BTW: nie ma jakiegoś przełącznia do wymuszenia uruchomienia tego polecenia?).

Zapomniałam, że padnie pytanie o zależności, które trzeba potwierdzać. Powinien zostać dodany przełącznik "cichy": net stop winmgmt /t (w wersji anglojęzycznej /y). W związku z tym nie wykonało się zatrzymanie usługi i FRST przesuwał komponenty przy restarcie (nie doszłoby do tego), a sam folder Repository per se nie został usunięty. Ta sprawa jest już jednak zamknięta.

 

 

Tych procesów wcześniej nie było

Mówiłeś, że to "Windows od kolegi", nie wiadomo co było w nim zmodyfikowane, ale wygląda na to, że naprawa SFC uaktywniła komponent Indeksowania dysku: KLIK. Log FRST sugeruje także, że ten XP miał wycięty cały katalog dllcache, gdyż masowo powstały w nim pliki.

 

 

Powtarza się błąd

Reinstalacja Microsoft .NET Framework 4 ze świeżego instalatora, by wstawić poprawne pliki. SFC tego nie adresuje, gdyż .NET nie jest natywnym komponentem systemu.

 

 

Pozostałe błędy:

 

Dziennik System:

=============

Error: (11/06/2015 07:07:01 PM) (Source: Service Control Manager) (EventID: 7000) (User: )

Description: Nie można uruchomić usługi HP Support Solutions Framework Service z powodu następującego błędu:

%%5

 

Error: (11/06/2015 07:07:01 PM) (Source: Service Control Manager) (EventID: 7000) (User: )

Description: Nie można uruchomić usługi cpuz135 z powodu następującego błędu:

%%2001

 

Error: (11/06/2015 07:07:01 PM) (Source: Service Control Manager) (EventID: 7000) (User: )

Description: Nie można uruchomić usługi Sterownik portu równoległego z powodu następującego błędu:

%%1058

 

1. Błąd numer jeden to "Odmowa dostępu". Stan obecny usługi "Zatrzymana". Przeinstaluj aplikację HP Support Solutions Framework.

 

S2 HPSupportSolutionsFrameworkService; C:\Program Files\Hp\Common\HPSupportSolutionsFrameworkService.exe [89840 2015-03-28] () [brak podpisu cyfrowego]

 

2. Błąd numer dwa tyczy starego sterownika, zresztą bez certyfikatu. Odinstaluj CPUID CPU-Z.

 

S2 cpuz135; C:\WINDOWS\system32\drivers\cpuz135_x32.sys [21992 2011-09-21] () [brak podpisu cyfrowego]

 

3. Pozostałe poprawki - Fix do FRST:

 

CMD: sc config Parport start= disabled
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
S3 PROCEXP151; \??\C:\WINDOWS\system32\Drivers\PROCEXP151.SYS [X]
AlternateDataStreams: C:\WINDOWS:{DA6227CB-326B-4B4D-9A81-04B61F1538DD}
C:\WINDOWS\system32\dllcache\*.tmp
RemoveProxy:

 

Zaprezentuj wynikowy Fixlog.txt.

 

4. Na dalszą metę:

- Czas przewertować zainstalowane programy i pozbyć się starych wersji. Przede wszystkim usuń NVIDIA ForceWare Network Access Manager - to problematyczny firewall nVidia, paczka z 2006. Poza tym, widać stare wersje Adobe i Java (luki!).

- W Firefox odinstaluj dodatek Flashget Downloader Extension - to stare rozszerzenie i nie jest podpisane cyfrowo. Wkrótce Firefox zablokuje uruchamianie niepodpisanych cyfrowo dodatków.

Odnośnik do komentarza

Prawdopodobnie pijesz do "CBS.LOG"

Tak. I do komunikatu DOS o stanie integralności plików. Ale skoro nie ma....

 

Aplikacja HP Support Solutions Framework przeinstalowana z opcji Zmień w aplecie Dodaj/Usuń programy.

 

Microsoft .NET Framework 4 - j.w. (błąd się już nie pojawia, jeśli jednak coś będzie nie tak - wykonam świeżą instalację. To dotyczy również HP Support Solutions Framework).

 

Usługę indeksowania wyłączyłem (z opcji systemowego Wyszukaj).

 

CPU-Z odinstalowane.

 

Fixlog: http://wklej.org/id/1835526/

 

 

Usuwanie / aktualizację programów (ze względu na to że się trochę nazbierało) wykonam rzeczywiście na spokojnie. Tymczasem baardzo dziękuję za pomoc ("a jednak się udało"  :) ).

 

PS. Co mogło być przyczyną tego pogromu? Comodo?

Odnośnik do komentarza

Fix FRST pomyślnie wykonany. FRST nie znalazł plików *.tmp w dllcache, może samoistnie zniknęły w międzyczasie. Wyczyść punkty Przywracania systemu, by pozbyć się starych które są już niezdatne (zawierają uszkodzone kopie) i nagraj nowy z bieżącego stanu. Dalsze plany rozpisane.

 

 

"a jednak się udało"

Nie twierdziłam, że nie da się naprawić, ale twierdzę nadal że wynikowy stan systemu po świeżej instalacji byłby lepszy.

- Są pewne koszty tego "sztukowania". W XP mechanizmy auto-naprawcze są dość słabe. Były robione kilkukrotne operacje cofania, które nie przyniosły pełnych rezultatów, a mogły zdesynchronizować dane na linii rejestr pliki. Dodatkowo, wymiana plików była tu konieczna, a przy nieznanym zakresie naruszeń musiał zostać uruchomiony globalny system weryfikacji. SFC w XP jest bardzo ograniczony i żąda określonego materiału, tożsamy stan SP nie jest wystarczający (nie są uwzględnione łaty późniejsze, skonstruowanie materiału wiernie odpowiadającemu faktycznemu stanowi aktualizacji graniczy z cudem). Naprawa tu wykonana mogła zdegradować określone aktualizacje systemu.

- Nie jest pewne czy nie ma więcej baboli podobnych do już rozwiązanego aspektu .NET Framework, tylko w przedziale aplikacji wtórnych. SFC interesuje się tylko limitowaną pulą plików w określonych katalogach.

- Na horyzoncie grubsze porządki w aplikacjach.

 

 

PS. Co mogło być przyczyną tego pogromu? Comodo?

Nie wiem. Usterka główna jest bardzo podejrzana (masowe uszkodzenia plików), w rozumieniu że prędzej to pasuje do awarii w strukturze plików, aniżeli ingerencji programu zewnętrznego. Wykonałeś już na własną rękę diagnostykę chkdsk i MHDD, więc nic więcej tu raczej nie wymyślę.

Natomiast Comodo (jak zaznaczałeś, na dodatek martwy) mógłby być powodem innych błędów oraz problemem podczas wdrażania napraw blokując wykonanie pewnych procesów.

Odnośnik do komentarza

IMHO dysk jest poza podejrzeniem - choćby z tego względu, że uszkodzony został absolutnie nieprzypadkowy zestaw składników systemu (może poza tym jednym plikiem należącym do .NET Framework 4).

 

Dorzucam - akurat mam pod ręką (dla ciekawości - nie oczekuję analizy):

FRST: http://wklej.org/id/1835542/txt/

Add: http://wklej.org/id/1835541/txt/

(jeszcze są stare punkty przywracania i wymienione przez ciebie programy do usunięcia).

 

Co do Comodo - to tak jak porządkami w piwnicy: "kiedyś się muszę za to wziąć..."  ;) . To dotyczy zresztą pozostałych aplikacji. Szczerze mówiąc przed reinstalacją systemu wstrzymywała mnie wizja rewidowania partycji pod kątem wszystkich ważnych plików, haseł, kodów itd. No i oczywiście reinstalacji programów (w zasadzie konfiguracji - jak zapewne zauważyłaś system poustawiałem "pod siebie" - a nie zrobiłem tego w jeden dzień...). W związku z tym dla mnie naprawa - mimo potencjalnych niespodzianek - była dużo lepszym rozwiązaniem (doraźnym).

 

O ile nie ma automatu za 2-3 dni zgłoszę temat do zamknięcia. Chyba że coś - tfu! - znowu się posypie...

 

FYI:. Ten system, o ile dobrze pamiętam - to jest oryginał zainstalowany na swoim przynależącym kluczu; klucz po instalacji zmieniłem na uczelniany.

 

Serdecznie pozdrawiam.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...