WinXP, SP2. mam folder, którego nie mogę usunąć (komunikat: aktualnie używany przez winlogon.exe), jest w nim tylko inny teoretycznie pusty folder. Kiedy próbuję usunąć przez wiersz poleceń cmd.exe po komendzie dir pojawia mi się informacja, że oprócz folderu są w nim jakieś dwa pliki zaznaczone “…” (?, mam włączone pliki ukryte i systemowe i niczego nie widać), usuwam. Folder dalej jest. Nie działa DeleteDoktor ani Killbox, Unlocker bardzo ładnie mi go uwalnia od winlogon.exe i plik daje się usunąć ale po ponownym uruchomieniu znów jest. Wszystkie operacje wykonuję przy wyłączonym odzyskiwaniu systemu. Nie potrafię uruchomić komputera bez logowania, nawet w trybie awaryjnym.
Oczywiście komputer jest przeskanowany różnymi programami, a folder ten prawdopodobnie niczego złego mi nie robi ale jest.
folder nazywa się “xerox” (nie mam zwyczaju oglądania tych stron, jednak skądś się wziął, chociaż nie przypominam sobie…) wewnątrz: jakieś dwa, których nie widać (zaznaczone “…” w cmd.exe) i pusty folder “nwwia”. Unloker usuwa do ponownego uruchomienia. W Hijackthis nie widać nic, co mogłoby być z nim powiązane choć nie znam się. Ściągnę SilentRunners i wkleje logi do działu bezpieczeństwa. Mam przeskanowane Pandą on-line, AVGFree, Ad-aware, ewido on-line i wyczyszczone RegSupreme Pro i windowsem.
dziękuję i pozdrawiam serdecznie:)
Anka
PS. oczywiście wyłączam przywracanie systemu przed próbą usunięcia.
niestety, tak też już zrobiłam: wyłączyłam przywracanie systemu -> odblokowałam Unlockerem -> usunęłam -> przeskanowałam wszystko Ad-aware i RegSupreme, który znalazł 2 klucze skojarzone z tym folderem, które oczywiście usunęłam (czyszcząc potem też backup). Po uruchomieniu znów się pojawia. Mam sprawdzone logi z HijackThis i SilentRunner - wszystko ok, a plik jest i nie chce się usunąć…
Czy ten Xerox to drukarka czy skaner? Zobacz w Dodaj/Usun czy usunelas oprogramowanie Xerox
Sprobuj pierwszej metody:
W opcjach folderów w zakladce Widok zaznacz pokaz ukryte pliki i Ok
Nastepnie przejdz do C:\WINDOWS\system32 i znajdz plik sfcfiles.dll. Zrob kopię tego pliku i wklej go np. do C:\
W folderze C:\WINDOWS\system32 zmien nazwe pliku sfcfiles.dll na sfcfilesold.dll, pojawi ci sie okienko i dajesz Anuluj, potem znowu okienko i klikasz na TAK. Restartujesz i wchodzisz do trybu awaryjnego
Usuwasz katalog Xerox , restart i do trybu normalnego. Zobacz czy sie pojawił katalog. Jesli nie to zmieniasz plik na oryginalna nazwe z sfcfilesold.dll na sfcfiles.dll.
rozumiem, że plik wydaje Ci sie podejrzany pomimo tego, co napisał Kamaa…?
Zrobiłam jak napisałeś: jednak przy zmianie nazwy nie pojawiły się żadne okienka, tylko plik sfcfiles.dll “odtwarzał się”/pojawiał się obok sfcfilesold.dll. Mimo tego weszłam do trybu awaryjnego, xerox usunął się bez problemu (! bez unlockera) ale niestety po restarcie jest znowu.
pozdrawiam serdecznie:)
Anka
PS. zrobiłam to jeszcze raz, tym razem czyszcząc w trybie awaryjnym dodatkowo rejestr: recznie niczego nie znalazłam, RegSupreme Pro znalazł jakieś 2 wpisy - usunęłam (są w backupie). Restart -> folder nadal jest.
Ten plik nie jest podejrzany tylko wyłączamy ochronę plików.
Sprawdz teraz tak:
Wejdz do Narzedzia=> Opcje folderów => zakladka widok i odznacz Ukryj chronione pliki systemu operacyjnego
Wchodzisz do katalogu dllcache => C:\WINDOWS\system32\dllcache
Odszukasz plik sfcfiles.dll i skasuj go (tylko wczesniej go przekopiuj w inne miejsce), i jeszcze zmieniasz w Rejestrze
Otwórz notatnik i wklej:
Plik => Zapisz jako => *.* Wszystkie pliki => jako nazwę wprowadź FIX.REG , uruchom i OK
Uruchamiasz ponownie komputer do trybu normalnego.
Wykonujesz pierwszą metodę podaną we wczesniejszym poscie i w trybie awaryjnym usuwasz katalog.
Jesli sie nie uda, to pobierz ten plik sfc_patch, rozpakuj go i podmien ten plik w katalogach dllcache oraz system32 i restart komputera, wchodzisz do trybu awaryjnego i usuwasz folder Xerox.
zrobiłam jak napisałeś w pierwszej części. Dopiero po dodaniu klucza zdałam sobie sprawę, że już dodawałam jeden o takiej samej nazwie: fix.reg
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager]
"BootExecute"="autocheck autochk *"
w związku z logiem SilentRunnera. Może powinnam była ten Twój fix nazwać np. “fix1”? Czy tamten poprzedni fix się zastąpił? powinnam go zrobić jeszcze raz?
mimo to usunęłam xerox w awaryjnym, po restarcie folder jest. Pliki *.dll się same odtwarzają i w dllcache i w system32. Co robić z tymi tworzonymi kluczami (fix.reg`ami), gdzie je umieszczać?
W nocy zrobię wersję alternatywną, z drugiej części Twojej rady (jeśli nie napiszesz inaczej).
Tak, plik zastąpil. Z plikami .reg robisz w ten sposob , ze klikasz na nich dwa razy i potwierdzasz wsprowadzanie zmian. Nastepnie restart komputera. Ale widac zle zrobilas. Ta druga wersja powinna rozwiazac problem.
Jesli tego fixa
jeszcze nie wprowadziłaś to wprowadz tak jak wyzej to napisalem
I pozniej podmien pliki czyli zastepujesz. Wszystko robisz to w trybie awaryjnym
A jakby co to podmieniasz przy uzyciu Konsoli Odzyskiwania.
tak robiłam, poprawnie dodawały się do rejestru (jedyna różnica to, że pierwszy fix odnośnie loga uruchomiłam w awaryjnym, Twój w normalnym), po tym zawsze restartowałam komputer.
Czy uważasz, że jeszcze raz wprowadzić te klucze w trybie awaryjnym (teoretycznie Twój fix jest w rejestrze, tamten z loga wprowadzić pod jaką nazwą? też fix.reg?)
Następnie:
w trybie awaryjnym mam zastąpić pliki sfcfiles.dll z system32 i dllcache (wcześniej gdzieś tworząc ich kopie) tym plikiem z scf_pach, tak? Restart -> tryb awaryjny -> usuwam xerox -> restart tryb normalny. Jeśli nie będzie xerox czy przywrócić poprzednie wersje plików sfcfiles.dll (te, które wcześniej gdzieś skopiowałam) zastępując te z sfc_pach?
przepraszam, ale nie jestem jak widać dobra w improwizacji, wolę Cię dopytać
pozdrawiam serdecznie:)
Anka
PS. przeskanowałam “głęboko” rejestr RegSupreme Pro - nie ma żadnych błędnych wpisów
Najpierw kasujesz plik sfcfiles.dll w folderze dllcache i sciagasz plik sfc_patch, rozpakowywujesz i masz plik sfcfiles.dll, kopiujesz go i wklejasz do folderu dllcache i system32, wyskoczy ci okno czy chcesz je podmienic wiec podmieniasz klikajac TAK. I jeszcze dla pewnosci dodaj fixa jeszcze raz
Uruchamiasz ponownie komputer i do trybu normalnego. Znow uruchamiasz ponownie komp i wchodzisz teraz do trybu awaryjnego i usuwasz folder Xerox.
Jesli bedzie problem to jutro podam ci jak zrobic z Konsoli Odzyskiwania
Wszystkie fixy mozesz usunac ale nie zmieniaj plików sfcfiles.dll w folderze dllcache i system32. Natomiast kopie plików sfcfiles.dll, ktore przenioslas do innego katalogu usun.
Plik sfc_patch bedzie chronil Twoje pliki, ale nie bedzie skanowal w poszukiwaniu foldera Xerox.
Teraz tylko jeszcze to:
Plik => Zapisz jako => *.* Wszystkie pliki => jako nazwę wprowadź FIX2.REG, 2x kliknij na plik i OK , uruchom komputer i sprawdz czy nadal jest folder Xerox. Jak nie to juz bedzie wszystko