|
Miten putsata system.ini -tiedosto?
|
|
|
acido
Suspended due to non-functional email address
|
30. lokakuuta 2005 @ 08:17 |
Linkki tähän viestiin
|
|
Isäpapan koneessa käynnistys pysähtyy kesken ja kone herjaa, että system.ini -tiedostossa joku viittaa poistettuun sovellukseen ja että ko. viittaus pitäisi deletoida. Käynnistys kuitenkin jatkuu, kun painaa jotain näppäintä.
Kun system.inin sisältöä selaa, en pysty itse sanomaan, mikä viittauksista pitää poistaa. Onko jotain kikkaa, miten kelvottoman viittauksen voisi havaita? Ja jos sellaisen löytäisikin, onko ihan turvallista se noin vain poistaa? Pieni vinkki vian alkuperään voisi olla: siskonmies poisti aikoinaan aika väkivaltaisesti F-securen (siis deletoimalla pokkana sen nimisiä tiedostoja kovolta), mutta system.inistä en löytänyt suoraan mitään, minkä voisin yhdistää F-secureen. Nyt on käytössä Norton.
Koneessa on windows 98 SE käyttis (siis P4 -kokoonpanossa!!! :D
When the going gets weird, the weird turn pro..
|
AfterDawn Addict
|
30. lokakuuta 2005 @ 08:20 |
Linkki tähän viestiin
|
Paha sanoa, mutta laita vaikka HjT-loki, jos siinä näkyis joitain "turhia", ohjelman saat täältä -> http://koti.mbnet.fi/pattaya1/HijackThis.exe . Tallenna hakemistoon c:\hjt, käynnistä, klikkaa do a system scan and save a logfile ja lähetä loki tänne.
|
|
pkaksp
Moderator
|
30. lokakuuta 2005 @ 08:23 |
Linkki tähän viestiin
|
|
Tuo F-Secure vois olla syypää tuohon ks. herjaan. Ota ylös se viittaus tarkalleen ja laita tänne niin katsotaan löytyiskö jotain apuja.
Veikkaisin, että kone yrittää käynnistää vielä F-Securea, mutta ei siinä onnistu koska se on poistettu. Tämä on hyvä esimerkki siitä miksi ei koskaan pitäisi poistaa ohjelmia suoraan deletoimalla, vaan aina käyttämällä ohjelman uninstalleria.
|
|
acido
Suspended due to non-functional email address
|
30. lokakuuta 2005 @ 08:31 |
Linkki tähän viestiin
|
EDIT: Tässä HJ:n logi C:n juuresta ajettuna:
Logfile of HijackThis v1.99.1
Scan saved at 12:34:29, on 30.10.2005
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\OHJELMATIEDOSTOT\YHTEISET TIEDOSTOT\SYMANTEC SHARED\CCEVTMGR.EXE
C:\OHJELMATIEDOSTOT\YHTEISET TIEDOSTOT\SYMANTEC SHARED\CCSETMGR.EXE
C:\OHJELMATIEDOSTOT\NORTON ANTIVIRUS\IWP\NPFMNTOR.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
c:\windows\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\EXPLORER.EXE
C:\OHJELMATIEDOSTOT\LEXMARKX73\ACMONITOR_X73.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\OHJELMATIEDOSTOT\LEXMARKX73\ACBTNMGR_X73.EXE
C:\OHJELMATIEDOSTOT\YHTEISET TIEDOSTOT\SYMANTEC SHARED\CCPD-LC\SYMLCSVC.EXE
C:\OHJELMATIEDOSTOT\YHTEISET TIEDOSTOT\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\OHJELMATIEDOSTOT\YHTEISET TIEDOSTOT\SYMANTEC SHARED\SNDSRVC.EXE
C:\HIJACKTHIS.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mtv3.fi/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Ohjelmatiedostot\Norton AntiVirus\NavShExt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\OHJELMATIEDOSTOT\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Ohjelmatiedostot\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe
O4 - HKLM\..\Run: [TkBellExe] realsched.exe -osboot
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [Lexmark X73 Button Monitor] C:\OHJELM~1\LEXMAR~1\ACMonitor_X73.exe
O4 - HKLM\..\Run: [Lexmark X73 Button Manager] C:\OHJELM~1\LEXMAR~1\AcBtnMgr_X73.exe
O4 - HKLM\..\Run: [LexStart] Lexstart.exe
O4 - HKLM\..\Run: [Symantec Core LC] C:\Ohjelmatiedostot\Yhteiset tiedostot\Symantec Shared\CCPD-LC\symlcsvc.exe start
O4 - HKLM\..\Run: [ccApp] "c:\Ohjelmatiedostot\Yhteiset tiedostot\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\OHJELM~1\SYMNET~1\SNDMON.EXE /Consumer
O4 - HKLM\..\Run: [CriticalUpdate] c:\windows\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\RunServices: [ccEvtMgr] "c:\Ohjelmatiedostot\Yhteiset tiedostot\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ccSetMgr] "c:\Ohjelmatiedostot\Yhteiset tiedostot\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [NPFMonitor] c:\Ohjelmatiedostot\Norton AntiVirus\IWP\NPFMntor.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Ohjelmatiedostot\Yhteiset tiedostot\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [KB891711] c:\windows\SYSTEM\KB891711\KB891711.EXE
O4 - Startup: Microsoft Office.lnk = C:\Ohjelmatiedostot\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Ohjelmatiedostot\Messenger\MSMSGS.EXE
O16 - DPF: {E9348280-2D74-4933-BE25-73D946926795} (DeviceEnum Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpbasicdetection3.cab
When the going gets weird, the weird turn pro..
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 30. lokakuuta 2005 @ 08:34
|
|
acido
Suspended due to non-functional email address
|
30. lokakuuta 2005 @ 08:36 |
Linkki tähän viestiin
|
|
Tässä vielä system.ini
[boot]
shell=Explorer.exe
system.drv=system.drv
drivers=mmsystem.dll power.drv
user.exe=user.exe
gdi.exe=gdi.exe
sound.drv=mmsound.drv
dibeng.drv=dibeng.dll
comm.drv=comm.drv
mouse.drv=lmouse.drv
keyboard.drv=keyboard.drv
oemfonts.fon=vga850.fon
*DisplayFallback=0
fixedfon.fon=vgafix.fon
fonts.fon=vgasys.fon
386Grabber=vgafull.3gr
display.drv=pnpdrvr.drv
[keyboard]
keyboard.dll=
oemansi.bin=xlat850.bin
subtype=
type=4
[boot.description]
system.drv=Standardi-PC
keyboard.typ=Standard 101/102-Key or Microsoft Natural Keyboard
mouse.drv=Logitech
aspect=100,96,96
display.drv=NVIDIA Vanta/Vanta LT (Compaq)
[386Enh]
ebios=*ebios
mouse=*vmouse
device=*dynapage
device=*vcd
device=*vpd
device=*int13
woafont=app850.fon
device=*enable
keyboard=*vkd
display=*vdd,*vflatd
EMMExclude=C000-CFFF
MinSPs=8
[NonWindowsApp]
TTInitialSizes=4 5 6 7 8 9 10 11 12 13 14 15 16 18 20 22
[power.drv]
[drivers]
wavemapper=*.drv
MSACM.imaadpcm=*.acm
MSACM.msadpcm=*.acm
MIDI=syncor11.drv
[iccvid.drv]
[mciseq.drv]
[mci]
cdaudio=mcicda.drv
sequencer=mciseq.drv
waveaudio=mciwave.drv
avivideo=mciavi.drv
videodisc=mcipionr.drv
vcr=mcivisca.drv
MPEGVideo=mciqtz.drv
MPEGVideo2=mciqtz.drv
[vcache]
[Password Lists]
Standard=C:\WINDOWS\Standard.PWL
ILL=C:\WINDOWS\IL.PWL
ARJA=C:\WINDOWS\JA.PWL
[MSNP32]
[drivers32]
msacm.lhacm=lhacm.acm
VIDC.VDOM=vdowave.drv
MSACM.imaadpcm=imaadp32.acm
MSACM.msadpcm=msadp32.acm
MSACM.msgsm610=msgsm32.acm
msacm.msg711=msg711.acm
MSACM.trspch=tssoft32.acm
vidc.CVID=iccvid.dll
VIDC.IV31=ir32_32.dll
VIDC.IV32=ir32_32.dll
vidc.MSVC=msvidc32.dll
VIDC.MRLE=msrle32.dll
msacm.msg723=msg723.acm
vidc.M263=msh263.drv
vidc.M261=msh261.drv
VIDC.IV50=ir50_32.dll
msacm.iac2=C:\WINDOWS\SYSTEM\IAC25_32.AX
msacm.l3acm=C:\WINDOWS\SYSTEM\L3CODECA.ACM
VIDC.YUY2=msyuv.dll
VIDC.UYVY=msyuv.dll
VIDC.YVYU=msyuv.dll
When the going gets weird, the weird turn pro..
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 30. lokakuuta 2005 @ 08:37
|
AfterDawn Addict
|
30. lokakuuta 2005 @ 08:36 |
Linkki tähän viestiin
|
|
Eipä näy mitään. Laita sen system.ini-tiedoston sisältö tänne.
|
|
dfwta
Senior Member
|
30. lokakuuta 2005 @ 08:43 |
Linkki tähän viestiin
|
|
Mitä siinä system.ini herjauksessa tarkalleen lukee ?
|
|
acido
Suspended due to non-functional email address
|
30. lokakuuta 2005 @ 08:59 |
Linkki tähän viestiin
|
|
Käynnistyksessä näemmä mainitaan, että kyseinen viittaus voi olla rekisterissäkin. Olen jo ajanut pari rekisterinputsausohjelmaa: Toniartsien easycleanerin ja jonkun toisen, jota ei ole enää tallessa.
Käynnistyksessä todetaan jotakuinkin näin:
Windowsin tai windows -sovelluksen suorittamisessa tarvittavaa laitetiedostoa ei löytynyt.
Rekisterissä tai system.ini -tiedostossa on viittaus kyseiseen tiedostoon, mutta tiedostoa ei enää ole.
Jos olet tarkoituksellisesti poistanut tiedoston, poista sovellus poisto- tai asennusohjelmalla.
Jatka käynnistystä painamalla mitä tahansa nappia.
When the going gets weird, the weird turn pro..
|
|
pkaksp
Moderator
|
30. lokakuuta 2005 @ 10:46 |
Linkki tähän viestiin
|
|
Siinä varmasti sanotaan myös minkä nimisestä tiedostosta on kyse? (tai ohjelmasta) Eli jos saisit tarkan herjan tähän, niin olisi hieno juttu. Tuo ei kerro vielä yhtään mitään.
|
|
acido
Suspended due to non-functional email address
|
30. lokakuuta 2005 @ 15:17 |
Linkki tähän viestiin
|
|
Siinä ei ole infoa ton enempää. Tuossa on melkein merkilleen se teksti, mikä käynnistyksessä jää ruudulle, kun käyttiksen lataus tyssää.. Muunmuassa siksi en oikein keksi mistä lähtisi ongelman lähdettä selvittämään.
When the going gets weird, the weird turn pro..
|
|
pkaksp
Moderator
|
30. lokakuuta 2005 @ 15:21 |
Linkki tähän viestiin
|
|
Menee jo aika hakuammunnaksi jos ei se anna tuon enempää informaatiota. Itse en taistelisi enää yhtään enempää, vaan heittäisin formatin kehiin ja asentaisin koko wintoosan uusiksi. =)
|
|
Mainos
|
|
|
|
acido
Suspended due to non-functional email address
|
30. lokakuuta 2005 @ 18:46 |
Linkki tähän viestiin
|
|
Joo, uudelleenasennushan se sitten on edessä.
Kaunis kiitos teille guruille!
When the going gets weird, the weird turn pro..
|
