Нужда от помощ

[SunyShadow]

Здравейте! От много време чета форума Ви и научавам много неща за компютрите. Опитвам се сам през годините, като използвам наученото да се справям с проблемите.
Все пак ми е нужно компетентно мнение и затова се обръщам към Вас.
Първо става дума за компютър на който преди години ползвах активнa защита с DrWeb (бях доволен), за който си намирах ключове, но секна "далаверата" - не можеше вече да се обновяват дефинициите, а и за да ми е по-бърз компютъра реших да деинсталирам антивирусната. Оказа се, че в "Център за защита" все още си приема, че имам защита от вируси от Dr Web, а използвах само преиодични сканирания с Malwarebytes Anti-Malware и Dr.Web CureIt. Единственото което не направих е да ползвам ограничен акаунт. Този компютър оставих на детето да си играе игри и гледахме филми. Добавих преди година и Hitman.Pro, но този скенер беше активен и при стартиране на компютъра си правеше сканиране - понякога показваше кукита с проблеми. Изчиствах ги веднага.
Симптоми за нередности: последните години - крашвания на игри докато се стартират или при игра (рядко), Firefox крашва при гледане на клипчета (инцидентно). Приятел ми беше дал RAM 1GB която бях добавил преди около 3 години и мислех дали заради нея не се получава така ?!?
Преди около година Hitman.Pro започна да показва Malware - SFC_OS.dll при сканиранията си...

 

 

 

 

понякога и се рестартираше компютърът инцидентно. Детето амбицирано в игрите "не ме допускаше" да доближавам компютъра, а и нямах много време да проверявам какво става. От ноември компютърът не се ползва и "почива". Пролетта се занимавах с него - четох и пробвах, четох и пробвах... и мисля, че оправих проблема с SFC_OS.dll  - използвах инсталационен диск и с команда за поправка... А, и още един проблем мисля има със CD -то - дълго чете дисковете (понякога не ги прочита) и дори правеше проблем със записването... как извърши поправката чрез инсталационен диск нямам представа. Помня, че слагах един диск, после сменях с друг в процеса, когато показваше, че нямало диск - кой знае как са се омазали нещата
Скоро мисля да го ползвам компютъра, а последният проблем който се появи - когато искам да го изключа и от "СТАРТ" > "Иключи компютъра", след това не се появяваше след минути прозорчето "Изключване на компютъра". Като подготвях докладите според ИНСТРУКЦИИТЕ, Malwarebytes Anti-Malware откри заплахи - нови и стари (за които знам и умишлено съм ги архивирал - да не се активират) - в карантината са. Мисля, че има и програми които е редно да се деинсталират. Също и последните два пъти изключването става без чакане както описах преди (дали тези заплахи са били причина). Дано не съм прекалил с обясненията.

 

mbam 2.txt

 

FRST.txt

 

Addition.txt

[Night_Raven]

Не виждам нищо директно опасно. Има някои интересни обекти, но по всяка вероятност са безвредни.

За всеки случай...:

- изтегли прикрепения файл Fixlist.txt и го запази в същата папка, където се намира FRST/FRST64 (това трябва да е работният плот, ако си следвал точно инструкциите в предишния коментар), и замени стария файл с такова име, ако има такъв;

- стартирай FRST/FRST64;

- кликни бутон Fix и изчакай инструмента да извърши поправките;

- ако случайно има нужда от рестарт, се съгласи и остави системата да се рестартира нормално, след което остави инструментът да си довърши работата;

- когато всичко приключи, в същата папка ще се създаде Fixlog.txt, копирай съдържанието му към следващия си коментар или го прикрепи към него.

 

Колко пъти се е появявал проблемът с бавното изключване? Колко често се появява?

[SunyShadow]

Бавното изключване го имаше всеки път - колкото и рядко да се включваше компютърът последните месеци. Мисля, че се прояви след "справяне" с проблемите от снимките които съм посочил. Тогава доста се трудих... постоянно излизаше и прозорчето за error (вижда се част от него в дясно на първата снимка). До колкото помня с браузването се беше получил проблем(сякаш блокиран интернета), дори мислех, че ще се наложи преинсталация, но след множество сканирания и поправки, заработи що годе нормално системата. Може би почистването със CCleaner помогна доста, но ме съмнява и с него да не съм се престарал и "почистил" нещо дето не трябва, затова да се е получило това забавяне при изключване на компютъра. (Имам два записа на регистри които съм направил преди почиствания)
Снощи отново бавно се изключи.

Сега преди да фиксна пробвах изключвaнето. Докато се появи прозорчето минаха 2 мин., след това на екран "Windows се изключва" стоя 2 мин. и половина.
 Ето лога след фикса:

 

Fix result of Farbar Recovery Scan Tool (x86) Version: 02.08.2018
Ran by 123 (06-08-2018 19:41:31) Run:1
Running from C:\Documents and Settings\123\Desktop
Loaded Profiles: 123 (Available Profiles: 123 & Administrator)
Boot Mode: Normal

==============================================

fixlist content:
*****************
start
GroupPolicy: Restriction ? <==== ATTENTION
HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-21-1547161642-484061587-682003330-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-21-1547161642-484061587-682003330-500\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
AV: Doctor Web Anti-Virus (Enabled - Out of date) {3454C8F1-ECBC-4180-A6F4-04632FBA762B}
emptytemp:
end
*****************

C:\WINDOWS\system32\GroupPolicy\Machine => moved successfully
C:\WINDOWS\system32\GroupPolicy\GPT.ini => moved successfully
"HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer" => removed successfully.
"HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer" => removed successfully.
"HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer" => removed successfully.
"HKU\S-1-5-21-1547161642-484061587-682003330-1003\SOFTWARE\Policies\Microsoft\Internet Explorer" => removed successfully.
"HKU\S-1-5-21-1547161642-484061587-682003330-500\SOFTWARE\Policies\Microsoft\Internet Explorer" => not found
"AV: Doctor Web Anti-Virus (Enabled - Out of date) {3454C8F1-ECBC-4180-A6F4-04632FBA762B}" => removed successfully.

=========== EmptyTemp: ==========

BITS transfer queue => 0 B
DOMStoree, IE Recovery, AppCache, Feeds Cache, Thumbcache => 42087 B
Java, Flash, Steam htmlcache => 291 B
Windows/system/dllcache/drivers => 255 B
Edge => 0 B
Chrome => 0 B
Firefox => 28609908 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Documents and Settings => 0 B
Default User => 33058 B
All Users => 0 B
systemprofile => 247325 B
LocalService => 692 B
NetworkService => 689323 B
123 => 79022497 B
Administrator => 33208 B

RecycleBin => 0 B
EmptyTemp: => 103.6 MB temporary data Removed.

================================


The system needed a reboot.

==== End of Fixlog 19:41:38 ====

 

 

 

Пробвах сега
- изключването бе нормално, стига да не е както вчера следобед - нормално, а вечерта пак забави.
- в "Център за защита" вече показва "защита от вируси от Malwarebytes...." (Последните месеци при обновяване направо се активира и 14 дневен пробен период - не виждам както преди отметка да потвърдя дали искам. Бъркам ли някъде?)
 

Flash Player вчера обнових, но Java ми съобщава за налично обновление и при опит да го инсталирам ми излиза съобщение "Failed to load required installation files".

[Night_Raven]

За пробния период на Malwarebytes не мога да помогна, не я ползвам.

 

Java също не използвам, но можеш да опиташ да изтеглиш офлайн инсталация (от тук) и да инсталираш по този начин.

[SunyShadow]

Искам да попитам...

Излезе ми съобщение:

 

 

 

(закрил съм IP адреса)

Това означава, че има проблем от моя страна ли?

[Night_Raven]

Не, не е проблем при теб. Има и тема отпреди за това. Става въпрос за една специфична функция от страна на хостинга, която беше активна. Ще погледнем отново каква е ситуацията.

[IVAN]

Здравейте,

би ли описал, до колкото си спомняш, кои страници и бутони си натискал на уеб сайта, че да се появи това съобщение.

[SunyShadow]

Разбирам

Преди няколко дни ми излезе съобщението и така като не бях запознат, помислих да не би  от мен да има проблем, особено след като при нормално изключване на компютъра вечерта (не този който обсъждахме в началото на темата, а този който ползвам лично), следващия ден не успя да се стартира Windows в какъвто и да е режим. Стигаше само до mup.sys при зареждане на драйверите и рестартираше. Отне ми цял ден да чета и пробвам - след ползване recovery console от един инсталационен диск и след chkdsk /r командата заработи компютърът. Сега не забелязвам проблеми, но се случиха следващите: в същия ден може би защото не беше работил (изключен) две седмици, датата и часът не бяха сверени... следобед съобщението което показах по-горе и следващия ден не се стартираше. Дали всичко е съвпадение или има обща причина, затова и попитах в предния си пост.

 

Ще искам мнение и помощ за още един лаптоп...

Здравейте,

би ли описал, до колкото си спомняш, кои страници и бутони си натискал на уеб сайта, че да се появи това съобщение.

Със сигурност едното такова съобщение ми излезе като исках да сваля Glyph като кликнах на линка от страницата в която е дадено описанието. Поне още едно такова съобщение излезе при отварянето на други страници, но нямам спомен.

Пак имаше проблеми при отваряне на страници, като бях на морето и четях от таблета, но там не бяха такива съобщения както показаното, а след време , може би следващия ден се отваряха - стига да има връзка между двете неща които обяснявам.

[SunyShadow]

Интересува ме след като съм деинсталирал Hamachi и съм премахвал всичко което бе останало от него, а сега виждам в FRST.txt от първия си пост в

 

===================== Drivers (Whitelisted) ======================
S3 hamachi; C:\WINDOWS\System32\DRIVERS\hamachi.sys [26176 2015-10-26] (LogMeIn, Inc.)

 

това може ли и редно ли е да се премахне и как става?

 

също и в следващите редове:

 

R0 PxHelp20; C:\WINDOWS\System32\Drivers\PxHelp20.sys [36528 2006-08-25] (Sonic Solutions) [File not signed]

и

R1 Tcpip; C:\WINDOWS\System32\DRIVERS\tcpip.sys [361600 2009-01-08] (Microsoft Corporation) [File not signed]

 

това : [File not signed]  -  проблеми ли са и дали могат да се оправят по някакъв начин да са си signed 

 

също и за последните които са отметнати с : [X]

[Night_Raven]

Ако наистина си премахнал Hamachi, то е напълно редно да се премахне и драйвърът ѝ. Ако не искаш да го правиш ръчно, просто използвай този Fixlist.txt както предния път.

 

Редовете с [X] са за обекти, които фигурират в системния регистър, но стойностите сочат там към несъществуващи файлове. Безвредни са. Включил съм ги към Fixlist файла горе.

 

Неподписаните файлове не са проблем за функционалността, просто им липсва валиден цифров подпис.

PxHelp20.sys е драйвър, който се инсталира отделно от друга програма, в случая най-вероятно от Nero или PowerDVD, но може и да е останал от предишна инсталация.

tcpip.sys е важен системен драйвър, който обикновено си има подпис от Microsoft. Има обаче приложения, които може да променят файла, за да „оптимизират“ Интернет връзката. BitComet преди време предлагаше да пачне tcpip.sys, за да увеличи броя на полуотворените връзки, което ограничение беше вкарано в Service Pack 3 за Windows XP. По всяка вероятност няма нищо реално нередно. Учуден съм, че поправката на операционната система не е заменила файла с подписан такъв.

[IVAN]

Изключих защитата, достъпа до сайта трябва да е коригиран за SunyShadow.

[SunyShadow]

Направих и тази поправка:

 

Fix result of Farbar Recovery Scan Tool (x86) Version: 02.08.2018
Ran by 123 (08-08-2018 21:16:31) Run:2
Running from C:\Documents and Settings\123\Desktop
Loaded Profiles: 123 &  (Available Profiles: 123 & Administrator)
Boot Mode: Normal

==============================================

fixlist content:
*****************
start
S3 hamachi; C:\WINDOWS\System32\DRIVERS\hamachi.sys [26176 2015-10-26] (LogMeIn, Inc.)
S3 eapihdrv; \??\C:\DOCUME~1\123\LOCALS~1\Temp\ehdrv.sys [X]
S4 InCDFs; system32\drivers\InCDFs.sys [X]
S1 InCDPass; system32\drivers\InCDPass.sys [X]
S1 InCDRm; system32\drivers\InCDRm.sys [X]
end
*****************

"HKLM\System\CurrentControlSet\Services\hamachi" => removed successfully.
hamachi => service removed successfully.
"HKLM\System\CurrentControlSet\Services\eapihdrv" => removed successfully.
eapihdrv => service removed successfully.
"HKLM\System\CurrentControlSet\Services\InCDFs" => removed successfully.
InCDFs => service removed successfully.
"HKLM\System\CurrentControlSet\Services\InCDPass" => removed successfully.
InCDPass => service removed successfully.
"HKLM\System\CurrentControlSet\Services\InCDRm" => removed successfully.
InCDRm => service removed successfully.

==== End of Fixlog 21:16:32 ====

 

 

 

 

 

 

Още се чудя и на последния ред от FRST.txt от първия си пост в раздел:

 

Internet Explorer:
==================

 

Toolbar: HKU\S-1-5-21-1547161642-484061587-682003330-1003 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File

 

Някакъв проблем ли е?

 

 

 

За съжаление бавното изключване все още е налице. Когато включа компютъра, скоро след това се изключва нормално - веднага, но след определено време (може би половин - един час), дори без нищо да правя на компютъра, вече изключването си е пак бавно.

Гледам в Event Viewer се появяват постоянно две грешки на които показвам снимки:

 

 

 

На първата се отнася до файл WmiApRpl.dll и съм показал къде го имам и част от записите в регистрите за него, а на втората снимка - втората грешка.

Дали тези грешки са поправими и дали те не са причина за бавенето при изключване?

 

Изключих защитата, достъпа до сайта трябва да е коригиран за SunyShadow.

 

Благодаря IVAN 

[Night_Raven]

Случайно да си прилагал някакви „оптимизации“, било то ръчно или чрез програми?

[SunyShadow]

Детето е ползвало за играта си Майнкрафт модове - 5zig mode и Optifine. Първият имал инсталатор и свалял необходими модове.

Многократно съм предупреждавал всичко което се свали от интернет първо да се сканира за вируси и вярвам, се е изпълнявало.

В папките на игрите The Sims4  и  Roblox Player бях открил заразени файлове и ги бях деинсталирал, но второто явно пак е инсталирано защото е налично в:

==================== Installed Programs ======================
 

Гледам и един ред пак в този раздел, не мога да го разбера, да не би някаква за тогава нова версия от Adobe Systems да е имало обновяване - стари са инсталираните. Следният ред:

 

swMSM (HKLM\...\{612C34C7-5E90-47D8-9B5C-0F717DD82726}) (Version: 12.0.0.1 - Adobe Systems, Inc) Hidden

 

Преди години бях инсталирал Bluestacks - The Best Android Emulator on PC, деинсталиран е отдавна.

Това са основните неща за които се сещам.

[Night_Raven]

Нямах точно това предвид.

 

Изтегли Windows Repair. Препоръчвам портативната версия. Изтегли Portable версията.

Разархивирай програмата, стартирай я и кликни I Agree.

Иди на подпрозорец Jump To Repairs и кликни Open Repairs.

Ще ти бъде поискан Safe Mode. Препоръчвам да рестартираш в него, ако е възможно.

Сложи отметки на следните поправки: 1, 2, 3, 4, 5, 10, 14, 25, 26, 32.

Кликни Start Repairs.

По всяка вероятност ще ти бъде поискан рестарт. Ако да, съгласи се. Ако не, рестартирай въпреки това.