Skocz do zawartości

Komunikat tymczasowy, zamknij krzyżykiem po przeczytaniu. Zostały naprawione problemy z rejestracją. Szczegóły w tym wątku.

Sal

Powolna praca, niekiedy zawieszanie przeglądarki

Rekomendowane odpowiedzi

Nastąpiło spore spowolnienie komputera (mimo usuwania tempów i fragmentacji dysku).

System uruchamia się i zamyka znacznie dłużej niż dawniej.

Bywa że przenoszenie z folderu do folderu nawet najmniejszych (np. 50 kB) prostych plików jpg, png trwa ponad minutę.

Często pojawia się pasek z komunikatem "Strona spowalnia działanie przeglądarki" (jak przy pisaniu tego tematu).

Niekiedy zawiesza się przeglądarka Firefox.

Pojawia się znaczne zwiększenie zużycie procesora, a wentylator wchodzi na najwyższe obroty (mimo dobrego odprowadzania ciepła spod laptopa).
 

Po przejściu FRST pojawił się komunikat jak na screenie.

Addition..txt

FRST..txt

Shortcut..txt

post-19676-0-49010000-1510087818_thumb.png

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

System wygląda na uszkodzony, albo po prostu piracki (wszystkie usług systemowe są niepodpisane przez Microsoft). Jeśli zaś chodzi o raporty to brak jawnej infekcji - odbędzie się sprzątanie resztek.

Wdrążę również skan antywirusowy. Problematyczna przeglądarka do deinstalacji. Po wykonaniu tych działań przejdziemy dalej z diagnostyką. 

 

1. Przez Panel Sterownia odinstaluj program adware / PUP: YTD Video Downloader 5.8.2.

 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} =>  -> Brak pliku
ContextMenuHandlers1: [briefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => syncui.dll -> Brak pliku
ContextMenuHandlers1: [sharing] -> {f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} => ntshrui.dll -> Brak pliku
ContextMenuHandlers2: [sharing] -> {f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} => ntshrui.dll -> Brak pliku
ContextMenuHandlers4: [sharing] -> {f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} => ntshrui.dll -> Brak pliku
ContextMenuHandlers6: [briefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => syncui.dll -> Brak pliku
AlternateDataStreams: C:\ProgramData\TEMP:65D36A19 [129]
AlternateDataStreams: C:\ProgramData\TEMP:85E5F208 [129]
HKLM\...\cmdfile\DefaultIcon: %SystemRoot%\System32\imageres.dll,-68 
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Stellar Phoenix Repair for JPEG\Stellar Phoenix Repair for JPEG Help.lnk
C:\Users\jan\Desktop\pr do odzyskiwania\Continue Free Video Editor installation.lnk
C:\Users\jan\Desktop\pr do odzyskiwania\ACDSee32\Shortcuts\ACDSee32.lnk
C:\Users\jan\Desktop\JACEK-SERWIS\Malwarebytes Anti-Malware.lnk
Winlogon\Notify\igfxcui: igfxdev.dll [X]
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
SearchScopes: HKLM -> DefaultScope - brak wartości
S2 HP LaserJet Service; Brak ImagePath
S3 WinHttpAutoProxySvc; winhttp.dll [X]
S3 catchme; Brak ImagePath
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 hwusb_cdcacm; system32\DRIVERS\ew_cdcacm.sys [X]
S3 hwusb_cdcecm; system32\DRIVERS\ew_cdcecm.sys [X]
S3 IpInIp; system32\DRIVERS\ipinip.sys [X]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X]
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

System był oryginalny kupowany wraz z laptopem w sklepie 
1. czy możliwe jest więc, że uległ uszkodzeniu, gdy był niegdyś kilka razy oddawany do serwisu, ze względu na zawirusowanie? Albo że go sobie jakoś wtedy zabrali?
2. lub czy możliwe jest, że go sam uszkodziłem, bo chcąc go odchudzić maksymalnie odinstalowałem większość programów, które w nim były, a które mnie nie interesowały - kasowałem masowo też (jak mi się zdawało zbędne)

 

3. od pewnego czasu, bardzo często przy uruchamianiu laptop zaczyna od "skanowania" całej zawartości dysku

 

 

Fixlog.txt

FRST.txt

Addition.txt

raport Malwarebytes.txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Czy możliwe jest więc, że uległ uszkodzeniu, gdy był niegdyś kilka razy oddawany do serwisu, ze względu na zawirusowanie? Albo że go sobie jakoś wtedy zabrali?

 

Teoretyczne złe leczenie systemu może go uszkodzić, ale nie aż tak (tutaj po prostu żadne pliki Microsoft są niepodpisane cyfrowo, czyli tak jakby nieoryginalne). Kradzież raczej awykonalna. 

Poproszę picasso żeby rzuciła na to okiem.

 

Lub czy możliwe jest, że go sam uszkodziłem, bo chcąc go odchudzić maksymalnie odinstalowałem większość programów, które w nim były, a które mnie nie interesowały - kasowałem masowo też (jak mi się zdawało zbędne)

 

Zależy co i jak robiłeś, taki opis jest bardzo ogólny i ja nie wróże z fus. 

 

Od pewnego czasu, bardzo często przy uruchamianiu laptop zaczyna od "skanowania" całej zawartości dysku

 

Nie rozumiem. Poproszę o screen tej akcji.

 


 

1. Zagrożenia wykryte przez Malwarebytes daj do kasacji - to resztki po PUP.

 

2. Poproszę o przefiltrowany raport z opcji sfc /scannow.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Skan SFC na razie opuść. Widać dwa typy uszkodzeń nienaprawialne via SFC:

 

1. Prawdopodobne naruszenie zmiennej Path ("Brak pliku" na wpisach relatywnych Microsoftu). Niestety niektóre zostały przetworzone w skrypcie FRST i trzeba to odkręcić.

 

S3 WinHttpAutoProxySvc; winhttp.dll [X]

 

HKLM\...\Providers\Internet Print Provider: inetpp.dll

HKLM\...\Providers\LanMan Print Services: win32spl.dll

HKLM\...\Run: [OA001Cfg.exe] => OA001Cfg.exe

 

Filter: application/octet-stream - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll Brak pliku

Filter: application/x-complus - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll Brak pliku

Filter: application/x-msdownload - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll Brak pliku

 

ContextMenuHandlers1: [briefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => syncui.dll -> Brak pliku

ContextMenuHandlers1: [sharing] -> {f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} => ntshrui.dll -> Brak pliku

ContextMenuHandlers2: [sharing] -> {f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} => ntshrui.dll -> Brak pliku

ContextMenuHandlers4: [sharing] -> {f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} => ntshrui.dll -> Brak pliku

ContextMenuHandlers6: [briefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => syncui.dll -> Brak pliku

 

Task: {C8B3025B-D21E-4527-BBC6-CDFBFEB026E1} - System32\Tasks\Microsoft\Windows\Bluetooth\UninstallDeviceTask => BthUdTask.exe

 

UWAGA: ==> Nie można uzyskać dostępu do BCD.

 

 

2. Masowy "Brak podpisu cyfrowego" wynika z dysfunkcji Usług kryptograficznych. Log sugeruje uszkodzenie bazy Catroot2, gdyż w Dzienniku widać następujący błąd:

 

Dziennik Aplikacja:

==================

Error: (11/18/2017 08:54:39 PM) (Source: Microsoft-Windows-CAPI2) (EventID: 257) (User: )

Description: Zainicjowanie bazy danych wykazu przez Usługi kryptograficzne nie powiodło się. Błąd ESENT: -583.

 

 

 

1. Wstępnie skrypt pobierający dane o zmiennej Path, importujący wcześniej usunięte wpisy z rejestru oraz usuwający drobne śmieci. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

U5 AppMgmt; C:\Windows\system32\svchost.exe [21504 2008-01-21] (Microsoft Corporation) [brak podpisu cyfrowego] 
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver"
MSCONFIG\startupreg: HP Software Update =>
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF Extension: (Microsoft .NET Framework Assistant) - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2013-01-17] [Przestarzałe] [brak podpisu cyfrowego]
CHR HKU\S-1-5-21-129483142-3514389360-151311165-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\jan\AppData\Local\Google\Drive\apdfllckaahabafndbhieahigkjlhalf_live.crx 
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
CMD: set
StartRegedit:
Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\BriefcaseMenu]
@="{85BBD920-42A0-1069-A2E4-08002B30309D}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\Sharing]
@="{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shellex\ContextMenuHandlers\Sharing]
@="{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing]
@="{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\BriefcaseMenu]
@="{85BBD920-42A0-1069-A2E4-08002B30309D}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85BBD920-42A0-1069-A2E4-08002B30309D}]
@="Briefcase"
"InfoTip"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,\
6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,\
00,73,00,68,00,65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,\
2d,00,32,00,32,00,39,00,31,00,37,00,00,00
"LocalizedString"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,\
6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,\
00,5c,00,73,00,68,00,65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,\
2c,00,2d,00,32,00,32,00,39,00,37,00,38,00,00,00
"FriendlyTypeName"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,\
00,6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,\
32,00,5c,00,73,00,68,00,65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,\
00,2c,00,2d,00,32,00,32,00,39,00,37,00,38,00,00,00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85BBD920-42A0-1069-A2E4-08002B30309D}\DefaultIcon]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,79,00,\
6e,00,63,00,75,00,69,00,2e,00,64,00,6c,00,6c,00,2c,00,30,00,00,00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85BBD920-42A0-1069-A2E4-08002B30309D}\InProcServer32]
@="syncui.dll"
"ThreadingModel"="Apartment"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85BBD920-42A0-1069-A2E4-08002B30309D}\shellex]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85BBD920-42A0-1069-A2E4-08002B30309D}\shellex\PropertySheetHandlers]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85BBD920-42A0-1069-A2E4-08002B30309D}\shellex\PropertySheetHandlers\{1f2e5c40-9550-11ce-99d2-00aa006e086c}]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85BBD920-42A0-1069-A2E4-08002B30309D}\ShellFolder]
"Attributes"=dword:70000136
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}]
@="Shell extensions for sharing"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}\InProcServer32]
@="ntshrui.dll"
"ThreadingModel"="Apartment"
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinHttpAutoProxySvc]
"DisplayName"="@%SystemRoot%\\system32\\winhttp.dll,-100"
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\
00,65,00,00,00
"Description"="@%SystemRoot%\\system32\\winhttp.dll,-101"
"ObjectName"="NT AUTHORITY\\LocalService"
"ErrorControl"=dword:00000001
"Start"=dword:00000003
"Type"=dword:00000020
"DependOnService"=hex(7):44,00,68,00,63,00,70,00,00,00,00,00
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\
00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\
67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,00,6c,\
00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\
65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,00,61,\
00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
00,00
"FailureActions"=hex:00,5c,26,05,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
00,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinHttpAutoProxySvc\Parameters]
"ServiceDll"=hex(2):77,00,69,00,6e,00,68,00,74,00,74,00,70,00,2e,00,64,00,6c,\
00,6c,00,00,00
"ServiceMain"="WinHttpAutoProxySvcMain"
"ServiceDllUnloadOnStop"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinHttpAutoProxySvc\Security]
"Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,70,00,05,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,14,00,14,00,00,00,01,01,00,00,00,00,00,05,04,00,00,00,00,00,14,00,14,00,\
00,00,01,01,00,00,00,00,00,05,06,00,00,00,01,01,00,00,00,00,00,05,12,00,00,\
00,01,01,00,00,00,00,00,05,12,00,00,00
 
EndRegedit:

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Powstanie kolejny fixlog.txt.

 

2. Uruchom narzędzie Fix It 50202: KLIK. Zaznacz tryb agresywny - opcja uwzględnia reset bazy Catroot2.

 

3. Zresetuj system. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Shortcut). Dostarcz też fixlog.txt.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Wykonane,
z tym że przy FRST przy pasku pojawił się komunikat, ale pracowało dalej i wykonało logi.

 

Natomiast przy uruchomieniu ponownym zaczęło się skanowanie "spójność danych"

FRST.txt

Fixlog.txt

Addition.txt

post-19676-0-18280000-1511194687_thumb.png

post-19676-0-21520000-1511194813_thumb.png

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Wpisy uprzednio usunięte za pomocą skryptu FRST zostały pomyślnie przywrócone (widać je ponownie jako "Brak pliku"). Path definitywnie jest naruszone, tzn. w ogóle brak tej zmiennej, stąd fałszywe odczyty "Brak pliku".
W kwestii masowego "Braku podpisu cyfrowego", brak zmian po użyciu Fix It. I problem uszkodzenia bazy Catroot2 wygląda na powiązany z uszkodzeniami struktury plików, o czym mówi zarówno ekran ze sprawdzaniem spójności, jak i komunikat FRST o uszkodzeniu. Uszkodzenia dysku mogą być też przyczyną spowolnienia systemu. Nie jest wykluczone, że jest ogólny problem z dyskiem. Wstępnie:

 

 

1. Panel sterowania > System i konserwacja > System > Zaawansowane ustawienia systemu > Zmienne środowiskowe > w sekcji Zmienne systemowe klik w "Nowa", jako nazwę wprowadź Path, a jako wartość zmiennej następujący ciąg:

%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem

Zresetuj system, by zmiany weszły w życie.

2. Start > w polu szukania wpisz cmd > z prawokliku "Uruchom jako administrator" > w oknie wklej komendę i ENTER:

chkdsk /f /r

Zatwierdź uruchomienie przy następnym starcie i resetuj system, by checkdisk wykonał pracę. Wynik zostanie nagrany w Dzienniku zdarzeń w gałęzi Aplikacja w postaci rekordu z Wininit. Pobierz szczegóły tego rekordu, skopiuj i wklej do posta statystyki.

 

3. Na razie pomijam naruszenie Catroot2, trzeba obejrzeć wyniki z naprawiania checkdisk.


PS. A temat przenoszę do działu Windows, problemy w ogóle nie są pochodną infekcji.
 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Zrobiłem pierwsze, i laptop uruchomił się bez tego skanowania.

2. Jakiś czas temu było coś takiego ad wirusu

3. Te różne programy i wpisy usuwałem m.in z użyciem "jv16 PowerTools"

 

4. Czy to że takie długie są adresy jest poprawne?

post-19676-0-69380000-1511196814_thumb.png

post-19676-0-30080000-1511197436_thumb.png

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Zrobiłem pierwsze, i laptop uruchomił się bez tego skanowania.

 

Punkt 1 nie był związany ze skanem. Co z punktem 2?

 

 

2. Jakiś czas temu było coś takiego ad wirusu

 

Detekcja custmon32i.dll wygląda na fałszywy alarm. Ten plik jest używany przez różne aplikacje (poprawne i szkodliwe), u Ciebie prawdopodobnie pochodna instalacji PDF Creator. A Kingsoft jako taki i tak był planowany przeze mnie do deinstalacji (po naprawie systemu), bo to stary program i już nierozwijany. Więcej tutaj: KLIK.

 

 

 

4. Czy to że takie długie są adresy jest poprawne?

 

Co masz na myśli?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Wreszcie skończył się chkdsk, o ile poziomy 1-3 przeszły bardzo szybko, o tyle 4 bardzo długo i nieco krócej poziom 5.

1. Chyba coś źle zrobiłem bo nie mogę znaleźć tych wyników. Wyszukiwanie "wininit" nie daje wyników

2. Jak chodzi o ten długi adres, to chodzi o to jak wygląda na tym "niziutkim" skanie.


PS.
Czy ew, przywrócić te wpisy usunięte z użyciem "jv16 PowerTools", które są tam w kopiach?

post-19676-0-62480000-1511209299_thumb.png

post-19676-0-24600000-1511209409_thumb.png

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
1. Chyba coś źle zrobiłem bo nie mogę znaleźć tych wyników. Wyszukiwanie "wininit" nie daje wyników

 

Szukasz w Eksploratorze Windows, a ja mówiłam o Dzienniku zdarzeń. Start > w polu szukania wpisz eventvwr.msc > rozwiń gałąź Dzienniki systemu Windows > Aplikacja > w kolumnie Źródło szukaj "Wininit".

 

 

Czy ew, przywrócić te wpisy usunięte z użyciem "jv16 PowerTools", które są tam w kopiach?

 

Jakie wpisy? Usunięte wpisy "Brak pliku", o których tu mówiłam, zostały już odtworzone w moim skrypcie FRST, a fałszywe zgłoszenie "Brak pliku" zniknęło poprzez stworzenie zmiennej Path (o ile wykonałeś).

 

 

2. Jak chodzi o ten długi adres, to chodzi o to jak wygląda na tym "niziutkim" skanie.

 

Ten C:\Documents and settings to link symboliczny zapętlony zwrotnie, dlatego ścieżka tak długa. Ta ścieżka Cię nie interesuje, to link, ścieżka zasadnicza to C:\Users.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

1. Przepraszam za "niekumatość"

 

+ System

    - Provider
      [ Name] Microsoft-Windows-Wininit       [ Guid] {206f6dea-d3c5-4d10-bc72-989f03c8b84b}       [ EventSourceName] Wininit
    - EventID 1001
      [ Qualifiers] 16384
      Version 0       Level 4       Task 0       Opcode 0       Keywords 0x80000000000000     - TimeCreated
      [ SystemTime] 2017-11-20T16:02:47.000Z
      EventRecordID 22855212       Correlation     - Execution
      [ ProcessID] 0       [ ThreadID] 0
      Channel Application       Computer jan-PC       Security

- EventData

      Sprawdzanie systemu plików na C: Typ systemu plików to NTFS. Etykieta woluminu: OS. Jeden z dysków wymaga sprawdzenia spójności danych. Możesz anulowac to sprawdzenie, ale zaleca sie jego kontynuowanie. System Windows sprawdzi teraz dysk. Przetworzone rekordy plików: 344704. Przetworzone rekordy dużych plików: 1315. Przetworzone rekordy uszkodzonych plików: 0. Przetworzone rekordy atrybutów rozszerzonych: 0. Przetworzone rekordy ponownej analizy: 46. Nie można zlokalizowac atrybutu nazwy pliku wpisu explorer.exe indeksu $I30 z obiektem nadrzednym 0x633 w pliku 0x15487. Usuwanie wpisu indeksu explorer.exe w indeksie $I30 pliku 1587. Przetworzone wpisy indeksu: 402548. CHKDSK odzyskuje utracone pliki. Przetworzone pliki nieindeksowane: 1. Odzyskiwanie oddzielonego pliku explorer.exe (87175) do pliku katalogów 1587. Przetworzone deskryptory zabezpieczeń: 344704. Oczyszczanie 12 nieużywanych wpisów w indeksie $SII pliku 0x9. Oczyszczanie 12 nieużywanych wpisów w indeksie $SDH pliku 0x9. Porzadkowanie 12 nieużywanych deskryptorów zabezpieczeń. Przetworzone pliki danych: 28923. Trwa sprawdzanie dziennika Usn... Przetworzone bajty numerów USN: 34155792. Zakończono sprawdzanie poprawności dziennika Usn. System Windows wprowadził poprawki do systemu plików. 299042135 KB całkowitego miejsca na dysku. 108830616 KB w 285110 plikach. 142360 KB w 28924 indeksach. 0 KB w uszkodzonych sektorach. 462611 KB używanych przez system. 65536 KB zajetych przez plik dziennika. 189606548 KB dostepnych na dysku. 4096 bajtów w każdej jednostce alokacji. 74760533 ogółem jednostek alokacji na dysku. 47401637 jednostek alokacji dostepnych na dysku. Informacje wewnetrzne: 80 42 05 00 be ca 04 00 a0 2e 08 00 00 00 00 00 .B.............. 82 11 00 00 2e 00 00 00 00 00 00 00 00 00 00 00 ................ 48 01 2b 00 48 01 2b 00 aa 07 00 ad 38 79 2c 00 H.+.H.+.....8y,. System Windows zakończył sprawdzanie dysku. Zaczekaj na ponowne uruchomienie systemu. 

2.

Jakie wpisy? Usunięte wpisy "Brak pliku", o których tu mówiłam, zostały już odtworzone w moim skrypcie FRST, a fałszywe zgłoszenie "Brak pliku" zniknęło poprzez stworzenie zmiennej Path (o ile wykonałeś

 

Chodzi o takie jak te wpisy usunięte przy pomocy Jv16 PowerTools jak np, na screenie.

post-19676-0-59940000-1511211714_thumb.png

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Nic już nie przywracaj przy pomocy Jv16 PowerTools. Teraz po skanie chkdsk ponów te działania:

 

2. Uruchom narzędzie Fix It 50202: KLIK. Zaznacz tryb agresywny - opcja uwzględnia reset bazy Catroot2.

 

3. Zresetuj system. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Shortcut).

 

Narzędzie wcześniej było już pobrane, ale czy na pewno zostało poprawnie uruchomione? W ostatnim logu FRST nie było świeżo utworzonego folderu "Catroot2.bak", który powstaje gdy się uruchamia opcję agresywną. Nie zapomnij wybrać trybu "Aggressive".

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

O ile wpisy "Brak pliku" zostały poprawnie ukryte po naprawie Path, niestety masowy "Brak podpisu cyfrowego" od góry do dołu. Kolejne podejście:

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
StartBatch:
net stop CryptSvc
ren C:\Windows\System32\catroot2 catroot2.OLD
EndBatch:
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Nastąpi restart i powstanie kolejny fixlog.txt.

 

2. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Shortcut). Dostarcz też fixlog.txt.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Komunikat z obrazka jest związany ze zintegrowanym w FRST ERUNT i nic w tej kwestii nie można zdziałać.

 

Niestety ostatni Fix również nieskuteczny. Kolejne podejście:

 

1. Panel sterowania > Programy > zainstalowane aktualizacje > upewnij się że nie ma tam pozycji KB3004394. Jeśli jest. Odinstaluj.

 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

StartBatch:
net stop cryptsvc
esentutl /p C:\Windows\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb /o
net start cryptsvc
EndBatch:
Folder: C:\Windows\system32\catroot2
Folder: C:\Windows\system32\catroot2.OLD
Folder: C:\Windows\system32\catroot2.bak
Folder: C:\Windows\system32\catroot

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Ad.1 Nie ma takiej pozycji

Ad 2. w załączeniu

 

 

 

===== edit
Tydzień później w trakcie pracy laptopa wyłączony został prąd i po włączeniu nie dało się go już uruchomić.
 

Tzn. włącza się, ale pojawia się czarny ekran z napisem "odzyskiwanie po błędzie systemu Windows" (fot.)
Gdy wybiorę opcję zalecaną po pewnym czasie pokazuje się niebieski ekran (fot)
gdy wybieram opcję 2 zaczyna pracę, ale Windows się nie uruchamia, cały czas "mieli" (fot)

Za pomocą klawisza F12 wszedłem i tam po uruchomieniu programu 

podało że są błędy na HD i Memory (fot.)

Co zrobić by naprawić lub przynajmniej uzyskać dostęp do dysku by skopiować z niego fotografie itp.

post-19676-0-94660000-1511282129_thumb.png

Fixlog.txt

post-19676-0-29480000-1512045256_thumb.png

post-19676-0-96680000-1512045265_thumb.png

post-19676-0-73840000-1512045281_thumb.png

post-19676-0-37720000-1512045302_thumb.png

post-19676-0-48440000-1512045313_thumb.png

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×