Исходный файл не найден c пользовательским приложением, локальным временным компасом

Обновлено: 04.07.2024

Мне удалось запустить DDS. Я попробовал остальные шаги в руководстве по подготовке, но запуск GMER заблокирован. Пишет, что у меня нет соответствующего разрешения на его запуск.

DDS (Ver_10-12-12.02) — NTFSx86
Выполняется Master в 9:15:02.61, пятница, 24 декабря 2010 г.
Internet Explorer: 8.0.6001.18999 BrowserJavaВерсия: 1.6. 0_23
Microsoft� Windows Vista� Home Premium 6.0.6002.2.1252.1.1033.18.1790.1052 [GMT -5:00]

AV: Аваст! Антивирус *Включен/Обновлен*
SP: avast! Антивирус *Включен/Обновлен*
SP: Защитник Windows *Включен/Обновлен*

2010-11-12 23:53:06 472808 ----aw- c:\windows\system32\deployJava1.dll
2010-11-04 18:56:07 345600 ----aw - c:\windows\system32\wmicmiplugin.dll
2010-11-04 18:55:38 352768 ----aw- c:\windows\system32\taskschd.dll
2010-11- 04 18:55:38 270336 ----aw- c:\windows\system32\taskcomp.dll
2010-11-04 18:55:12 601600 ----aw- c:\windows\system32 \schedsvc.dll
2010-11-04 16:34:06 171520 ----aw- c:\windows\system32\taskeng.exe
2010-11-02 06:01:54 916480 ----aw- c:\windows\system32\wininet.dll
2010-11-02 05:57:41 43520 ----aw- c:\windows\system32\licmgr10.dll
2010-11-02 05:57:11 71680 ----aw- c:\windows\system32\iesetup.dll
2010-11-02 05:57:11 109056 ----aw- c :\windows\system32\iesysprep.dll
2010-11-02 05:01:31 385024 ----aw- c:\windows\system32\html.iec
2010-11-02 04 :26:10 133632 ----aw- c:\windows\system32\ieUnatt.exe
2010-11-02 04:24:44 1638912 ----aw- c:\windows\system32\mshtml .tlb
2010-10-28 15:44:56 34304 ----aw- c:\ windows\system32\atmlib.dll
2010-10-28 13:27:47 292352 ----aw-c:\windows\system32\atmfd.dll
2010-10-28 13:20 :12 2048 ----aw- c:\windows\system32\tzres.dll
2010-10-19 15:41:44 222080 ------w- c:\windows\system32\MpSigStub .exe
2010-10-18 13:37:35 81920 ----aw- c:\windows\system32\consent.exe
2010-10-18 13:31:24 2038272 -- --aw- c:\windows\system32\win32k.sys
2010-09-28 20:44:52 4184352 ----aw- c:\windows\system32\usbaaplrc.dll

BC AdBot (войдите для удаления)

Группа реагирования на вредоносные программы
2708 сообщений
В АВТОНОМНОМ РЕЖИМЕ

Пол: неизвестно
Местное время: 22:28

Добро пожаловать на форум BleepingComputer Virus, Trojan, Spyware и Malware Removal Logs.
Меня зовут Сундавис, сегодня я помогу вам решить проблемы с вредоносным ПО.

Пожалуйста, сообщите мне, если у вас есть Vista Install DVD под рукой или у вас есть только предустановленные параметры восстановления (раздел восстановления) вместо этого в вашем следующем ответе. Для получения дополнительной информации: здесь .

Шаг 1

Загрузите TDSSKiller и сохраните его на рабочем столе.
Извлеките его содержимое на рабочий стол.
После извлечения откройте папку TDSSKiller и дважды щелкните файл TDSSKiller.exe, чтобы запустить приложение, а затем нажмите кнопку "Начать сканирование".
Если обнаружен зараженный файл, действие по умолчанию будет «Вылечить», нажмите «Продолжить».
Если обнаружен подозрительный файл, действие по умолчанию будет "Пропустить", нажмите "Продолжить".
Возможно, вас попросят перезагрузить компьютер, чтобы завершить процесс. Нажмите "Перезагрузить сейчас".
Если перезагрузка не требуется, нажмите «Отчет». Должен появиться файл журнала. Скопируйте и вставьте сюда содержимое этого файла.
Если требуется перезагрузка, отчет также можно найти в корневом каталоге (обычно это папка C:\TDSSKiller). Скопируйте и вставьте сюда содержимое этого файла.

В следующем ответе отправьте ответ:

У меня есть только предустановленные варианты восстановления, без установочного диска.

Вот журнал TDSSKiller.

Группа реагирования на вредоносные программы
2708 сообщений
В АВТОНОМНОМ РЕЖИМЕ

Пол: неизвестно
Местное время: 22:28

Пожалуйста, запишите следующие инструкции на случай, если вам понадобится справочная информация, когда вы находитесь в параметрах восстановления. Отключите доступ в Интернет после загрузки необходимых файлов в следующих случаях:

Шаг 1

Шаг 2

1.Перезагрузите компьютер.
2.Загрузитесь на экран «Дополнительные параметры загрузки»
3.Выберите «Восстановить компьютер» и нажмите Enter
4.Выберите языковые настройки и нажмите «Далее».
5.Выберите имя пользователя и введите пароль, а затем нажмите OK.
6.Выберите операционную систему, которую вы хотите восстановить, и нажмите Далее. Параметры восстановления системы должны появиться.

7.Выберите командную строку. После того, как вы нажмете на эту опцию, командная строка откроется, как показано ниже:

8.В X:\Sources введите C: и нажмите Enter.

9.В приглашении C:\> введите sc delete vbma92a1 и нажмите Enter.Вы должны увидеть сообщение: [SC] DeleteService SUCCESS

(Примечание. Если вы получили сообщение "Доступ запрещен", введите вместо этого следующую команду: TASKKILL /F /IM vbma92a1 /T и нажмите Enter. Сообщите мне об этом в следующем ответе)

10.В приглашении C:\> введите cd C:\Windows\system32\drivers и нажмите Enter

11.В приглашении C:\Windows\system32\drivers> введите del vbma92a1.sys и нажмите Enter

12.Введите Exit и перезагрузите компьютер. Теперь Windows должна перезагрузиться. После этого сделайте следующее:

13. Дважды щелкните ComboFix, и пусть он работает без помех.

14.После этого будет создан журнал (или найдите его в C:\ComboFix.txt). Опубликуйте этот журнал в своем следующем ответе.

15.Не щелкайте мышью по Combofix во время его работы. Это может привести к его остановке.

Шаг 3

Загрузите OTL и сохраните его на рабочем столе.
Дважды щелкните значок на рабочем столе.
Установите флажок "Сканировать всех пользователей".
Под полем Выборочное сканирование вставьте следующий текст, выделенный полужирным шрифтом:

/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
mouclass.sys
/md5stop
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys / заблокированные файлы
%systemroot%\System32\config\*.sav
%systemroot%\system32\drivers\*.sys /90

Сегодня утром я пробовал каждый шаг несколько раз, но не получил никаких журналов или результатов, которые мы ищем.

На шаге 2 в командной строке параметров восстановления системы я получил следующее сообщение:

'sc' не распознается как внутренняя или внешняя команда, исполняемая программа или пакетный файл.

Попробовав "TASKKILL", я получил такое же сообщение.

Combofix запустится, но я не думаю, что он запустился. Ни одно окно никогда не открывалось, и журнал не создавался.

OTL запускается, но журналы не создаются.

Группа реагирования на вредоносные программы
2708 сообщений
В АВТОНОМНОМ РЕЖИМЕ

Пол: неизвестно
Местное время: 22:28

Хорошо, мы используем другой подход. Пожалуйста, сделайте следующее:

Шаг 1

Откройте Диспетчер устройств. Как попасть в Диспетчер устройств Windows?
Разверните «Системные устройства». Щелкните правой кнопкой мыши «[cmz vmkd] Virtual Bus», выберите «Отключить».

Шаг 2

1. Загрузите The Avenger от Swandog и сохраните его на рабочем столе.

2.Отключитесь от доступа к сети, отключив маршрутизатор, закройте все открытые программы (включая IE) и разархивируйте загруженный файл avenger.zip. Затем в новой созданной папке avenger найдите и щелкните правой кнопкой мыши файл avenger.exe и выберите «Запуск от имени администратора», чтобы запустить инструмент.

<р>4. Мститель автоматически сделает следующее:

Это перезагрузит ваш компьютер. (В случаях, когда исполняемый код содержит «Драйверы для удаления», Avenger фактически дважды перезагрузит вашу систему.)
При перезагрузке на рабочем столе ненадолго откроется черное командное окно, это нормально.
После перезапуска создается файл журнала, который должен открыться с результатами действий Мстителя. Этот файл журнала будет расположен по адресу C:\avenger.txt
Avenger также сделает резервную копию всех файлов и т. д., которые вы просили удалить, заархивирует их и переместит zip-архивы в C:\avenger\backup.zip.

После этого повторно запустите ComboFix и OTL и опубликуйте журналы в своем следующем ответе. Спасибо.

В этой статье представлены способы обхода проблемы, из-за которой папка %TEMP%, содержащая идентификатор сеанса входа, удаляется в Windows Server с установленными возможностями рабочего стола.

Применимо к: Windows Server 2022, Windows Server 2019
Исходный номер базы знаний: 4506040

Симптомы

В Windows Server с установленным Desktop Experience папка %TEMP%, содержащая идентификатор сеанса, удаляется, если вы остаетесь в системе более семи дней. Поэтому некоторые приложения, которым необходим доступ к %TEMP%, после этого времени работают некорректно.

Чтобы определить путь к папке %TEMP% и убедиться, что папка была удалена, выполните следующие команды. Показан пример вывода.

Проблема не возникает в следующих случаях:

Папка %TEMP% не включает идентификатор сеанса входа. Например, C:\Users\ \AppData\Local\Temp .
Папка %TEMP% не пуста.
Никто не заходит на сервер или любой сеанс пользователя завершается в течение семи дней.

Причина

Такое поведение предусмотрено дизайном.

Папка %TEMP% удаляется задачей SilentCleanup (Cleanmgr.exe), когда сеанс входа превышает семь дней. SilentCleanup запланирован ежедневно вместе с автоматическим обслуживанием.

Чтобы обойти эту проблему, воспользуйтесь одним из следующих способов.

Временное решение 1 (рекомендуется): удалить запись %TEMP% из значения папки

Запустите редактор реестра. Выберите «Пуск» > «Выполнить», введите regedit и нажмите «ОК».

Найдите и выберите следующий подраздел реестра:

Щелкните правой кнопкой мыши папку и выберите "Изменить".

В поле «Значение» удалите запись %TEMP%, а затем нажмите «ОК». Например:

Значение до редактирования:

Значение после редактирования:

Выйти из редактора реестра.

После выполнения этой настройки необходимо вручную удалить папку %TEMP%, чтобы не исчерпать свободное место.

Временное решение 2: изменить значение LastAccess

Для Windows Server 2019 сначала установите накопительное обновление за апрель, а затем выполните следующие действия.

Запустите редактор реестра. Выберите «Пуск» > «Выполнить», введите regedit и нажмите «ОК».

Найдите и выберите следующий подраздел реестра:

Щелкните правой кнопкой мыши LastAccess и выберите Изменить.

В поле "Значение" введите значение в днях. Значение по умолчанию — 7. Максимальное значение, которое можно задать, — это количество дней с 1 января 1601 года по настоящее время.

Я установил программу Finale PrintMusic 2014 несколько дней назад, и сразу появилось много ошибок, которые сделали ее непригодной для использования. Я связался с их службой поддержки, и они считают, что это проблема с разрешениями, и сказали мне искать поддержку здесь. Они заставили меня создать еще одну учетную запись администратора, чтобы проверить ее производительность, она сработала очень хорошо в первый раз. После того, как я сообщил о результатах этого теста, я попытался снова запустить программу в новой учетной записи, и все было так же плохо, как и в моей основной учетной записи.

- Невозможно создать папку .temp

- Finale PrintMusic не удалось сохранить «[Файл]», поскольку папка с временными файлами «C:\Users\Paul\AppData\Local\Temp» недоступна. Убедитесь, что папка «Временные файлы», указанная в разделе «Настройки» > «Папки», доступна, затем повторите попытку.

- Ошибка 32 при перемещении файла "[.musx]" в "[.bakx]". Процесс не может получить доступ к файлу, так как он используется другим процессом.
- Ошибка 183 при переименовании файла «[~finsave.tmp]» в «[.musx]». Невозможно создать файл, если этот файл уже существует.
- Ошибка Энигмы - 200

Эта тема заблокирована. Вы можете подписаться на вопрос или проголосовать за него как полезный, но вы не можете отвечать в этой теме.

Сообщить о нарушении

Домогательство – это любое поведение, направленное на то, чтобы побеспокоить или расстроить человека или группу людей. К угрозам относятся любые угрозы самоубийства, насилия или причинения вреда другому человеку. Любой контент на тему для взрослых или неуместный для веб-сайта сообщества. Любое изображение, ссылка или обсуждение наготы. Любое поведение, которое является оскорбительным, грубым, вульгарным, оскверняет или демонстрирует неуважение. Любое поведение, которое может нарушать лицензионные соглашения с конечными пользователями, включая предоставление ключей продукта или ссылок на пиратское программное обеспечение. Незапрашиваемая массовая рассылка или массовая реклама. Любые ссылки на вирусы, шпионское ПО, вредоносное ПО или фишинговые сайты или их пропаганда. Любой другой неприемлемый контент или поведение, как это определено Условиями использования или Кодексом поведения. Любое изображение, ссылка или обсуждение, связанные с детской порнографией, детской наготой или другим жестоким обращением с детьми или их эксплуатацией.

Ответы (3) 

Вы сказали, что это работает с новой учетной записью администратора, но затем вы также сказали, что это не работает с новой учетной записью. Так это сработало только один раз? Или мы обсуждаем два разных аккаунта?

Во-вторых, могу ли я спросить, можете ли вы открыть папку Temp самостоятельно (не используя программу Finale)?

Сообщить о нарушении

10 человек считают этот ответ полезным

Был ли этот ответ полезен?

Извините, это не помогло.

Отлично! Благодарим за отзыв.

Насколько вы удовлетворены этим ответом?

Спасибо за ваш отзыв, он помогает нам улучшить сайт.

Насколько вы удовлетворены этим ответом?

Спасибо за отзыв.

Сейчас у меня есть две учетные записи: моя основная учетная запись, которую я использовал в течение многих лет [Пол], и новая, которую я создала несколько дней назад [Пол2]. Оба являются учетными записями администратора.

Они попросили меня создать новую учетную запись администратора и попробовать запустить программу под ней, я назвал ее [Paul2].В первый раз, когда я запустил его на [Paul2], ни одна из перечисленных ошибок не произошла, и, похоже, он работал так, как было задумано, поэтому я сообщил об этом в их службу поддержки. На следующий день я вошел в систему как [Paul2] и открыл программу, но она вела себя так же плохо, как и в моей исходной учетной записи [Paul] (медленно, не отвечает, все ошибки). Однако прямо сейчас, когда я пишу этот Finale, он отлично работает над [Paul2].

Я могу открыть обе папки Temp на [Paul] и [Paul2].

Сообщить о нарушении

3 человека сочли этот ответ полезным

Был ли этот ответ полезен?

Извините, это не помогло.

Отлично! Благодарим за отзыв.

Насколько вы удовлетворены этим ответом?

Спасибо за ваш отзыв, он помогает нам улучшить сайт.

Насколько вы удовлетворены этим ответом?

Спасибо за отзыв.

Очень странно, что ситуация меняется день ото дня. Кажется, это указывает на то, что в окружающей среде есть изменение, которое является условным. Может быть, другая программа, работающая в фоновом режиме, которая работала только один из тех дней. Или, может быть, есть вспомогательная служба, которая должна была быть запущена, но не запустилась.

В любом случае, если это работает сейчас, я не буду рекомендовать какие-либо действия, которые могут нарушить ситуацию.

Тем не менее, я хочу отметить, что много раз с программным обеспечением, которое изначально создавалось для «ожидания» административных привилегий, возникали проблемы при работе в более новых операционных системах, таких как Vista/7 и более поздние версии (Windows) или Mac OS X и более поздние версии ( Яблоко). Новые операционные системы блокируют выполнение программами действий администратора, даже если вы вошли в систему как администратор. Это потому, что все, что работает, когда вы вошли в систему, может делать все, что можете делать вы. Таким образом, программы, работающие, когда люди вошли в систему как администраторы, являются причиной атак программ-вымогателей, которые мы наблюдаем сегодня. Поскольку этот человек имеет доступ к файлам, любое вредоносное ПО также имеет доступ. Таким образом, в современных операционных системах даже администраторы не могут легко изменить расположение системных файлов или общих мест, таких как временные файлы.

Вы можете попробовать две вещи:

Если оба по-прежнему не работают, может быть полезно запустить файл установки программы установки в "режиме совместимости", что можно сделать из того же контекстного меню на значке установки.

Сообщить о нарушении

Читайте также: