Prohlížeč událostí

Diskuze výhradně o operačním systému Windows 8

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod Milanr1 30. 1. 2013 15:12

Mrkni se, zda výrobce (MB/čtečky/...) nenabízí novější ovladač pro W8.
Pokud ne: vyčkej.
OS WNT bez SP = v podstatě zkušební beta-verze.
Např. OS WXP/32 byl poprvé použitelný až po vydání SP2 v r. 2005 = 5 let po uvolnění první RTM v r. 2000.
Když sis zvolil nehotový OS, musíš počítat s tím, že jsi v podstatě beta-testerem. ;-)
Milan
Milanr1
Pokročilý
Uživatelský avatar

Odeslat příspěvekod ROSTULA 30. 1. 2013 15:30

No jestli testerem, tak špatným.

-- 30. 1. 2013 17:30 --

I tak moc díky.
ROSTULA
Junior

Odeslat příspěvekod MiliNess 30. 1. 2013 23:52

Co se týká té události s otevřeným klíčem registru, není nic jednoduššího, než stáhnout Process Explorer, postupně prohlížet hostitelshé procesy svchost, prohlížet handly typu "Key", které mají právě otevřené a hledat zmíněný klíč. Tak lze zjistit službu, která má ten klíč otevřený.
Hardwarová nezávislost znamená, že to neběží na žádném počítači.
MiliNess
Pokročilý

Odeslat příspěvekod Milanr1 31. 1. 2013 06:40

Process Explorer = silný nástroj od geniálního Marka Russinoviče.
Stahuj vždy od výrobce:
http://technet.microsoft.com/it-it/sysinternals/bb896653(en-us).aspx
Obsahuje obě verze (32 + 64 bit).

// Omlouvám se: opraveno.
Závorky v URL působí problémy. ;-)
Naposledy upravil Milanr1 dne 31. 1. 2013 09:01, celkově upraveno 1
Milan
Milanr1
Pokročilý
Uživatelský avatar

Odeslat příspěvekod ROSTULA 31. 1. 2013 08:58

Stránka nebyla nalezena.

-- 31. 1. 2013 09:18 --

Přiznám se bez mučení nevím co to je handl typu key.

-- 31. 1. 2013 09:25 --

Našel jsem tam dva dasHOST.exe a WUDFHost.exe když rozkliknu oba tak je u nich napsáno error opening proces. Co teď s nima jdou v tom programu smazat ?
ROSTULA
Junior

Odeslat příspěvekod MiliNess 31. 1. 2013 10:02

Spusť Process Explorer s právy správce (pravý myšoklik na ikonu PE a Spustit jako správce)

-kliknutím na hlavu sloupce Process zruš stromové zobrazování procesů (srovnají se abecedně)
-stiskni Ctrl+L nebo ikonu Show lower pane (zobrazí spodní panel)
-stiskni Ctrl+H nebo ikonu View Handles (ve spodním panelu zobrazí otevřené handly k objektům jádra)
-klikni na první proces svchost.exe a ve spodním panelu hledej handle typu Key ke klíči
....Software\Microsoft\Windows\CurrentVersion\Uninstall
(celý název klíče bude HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall)
-opakuj to s dalšími procesy svchost.exe
-pokud handle příslušného klíče najdeš, dvojklikni na příslušný svchost.exe a vyber záložku Services.
Tam uvidíš služby, které proces hostí.

Alternativa k hledání otevřeného klíče pomocí Process Exploreru je utilita Handle.
(např. handle -a uninstall -p svchost.exe)

Druhá možnost je udělat si seznam procesů svchost.exe podle ID procesu a vypsat si služby, které hostí.
Po restartu mrkneš do protokolu událostí, podíváš se na
<Execution ProcessID="936" ThreadID="2108" /> v události zapsané při posledním vypnutí.
V seznamu který sis udělal najdeš příslušné ID procesu a víš, které služby to mohly dělat. Pak je budeš postupně zakazovat, až narazíš na příslušnou službu, která si drží otevřený ten klíč.
ID procesů se při každém novém vytvoření procesu mění, takže současné ID svchost procesů nebudou souhlasit s ID před restartem.
Hardwarová nezávislost znamená, že to neběží na žádném počítači.
MiliNess
Pokročilý

Odeslat příspěvekod ROSTULA 31. 1. 2013 10:43

Tak jsem to provedl podle postupu 1. Po rozkliknutí je tam jenom název.

-- 31. 1. 2013 11:01 --

Přílohy
Výstřižek.PNG
ROSTULA
Junior

Odeslat příspěvekod MiliNess 31. 1. 2013 17:44

Spusť konzolu services.msc, Zkus vždy zastavit jednu službu, zakázat její spuštění a restartovat počítač. Pak v process exploreru hledat ten otevřený klíč. Až ho nenajdeš otevřený, trefil jsi tu službu. Pak už jen stránky MS nebo google a hledat způsob opravy.
W8 ještě nemám rozmontované, takže ti neřeknu, jestli je mezi těmi službami i nějaká pro systém životně důležitá.
Hardwarová nezávislost znamená, že to neběží na žádném počítači.
MiliNess
Pokročilý

Odeslat příspěvekod Milanr1 31. 1. 2013 17:52

Služby v OS W8 se nijak zásadně neliší od jiných verzí OS WNT řady 6.
Je to prostě jen ořezaný W7 a hodně ořezaná Vista.
Všechny uvedené služby najdeš v každé verzi 6. řady OS WNT.
Obě chybové hlášky spojuje běžící služba fdpHost.
Nic se nestane, pokud ji na chvilku zastavíš a restartuješ OS.
Samozřejmě za předpokladu, že není právě v provozu Home Group a neběží vzdálené vysílání pomocí Media Center Extender.
Po restartu znovu prohlédni logy.
Milan
Milanr1
Pokročilý
Uživatelský avatar

Odeslat příspěvekod oooooooooo 1. 2. 2013 10:10

Spust powershell a tady maš script od Muscata.
Co znamenaji jednotlive barvy maš popsany ve scriptu.Tak jak to je copy - paste - enter
$FgText1 = "DarkGreen"
$FgText2 = "DarkGray"
$FgError="Red"

Write-Host("==============================================================================") -foreground $FgText1;
Write-Host("SvcHost Explorer...") -foreground $FgText1;
Write-Host("==============================================================================") -foreground $FgText1;
Write-Host("");
$ProcessToCheckFor = "'svchost.exe'";
$TotalProcessesCount = 0;
$TotalServicesCount = 0;

# Create a list of process handles which are running on the system
$PidList = @(Get-WmiObject win32_process -Filter "name=$ProcessToCheckFor");
$TotalProcessesCount = $PidList.length;

$PidHandleList = $PidList | Foreach-Object { $_.Handle };

Write-Host("Total {0} Processes Count: {1}" -f $ProcessToCheckFor, $TotalProcessesCount) -foreground $FgText1;

Write-Host("------------------------------------------------------------------------------") -foreground $FgText1;
Write-Host("");
$CurrentPos = 0;

# For every process detected, check which windows services are running under
# that process
foreach ($procid in $PidHandleList){
$CurrentPos +=1;
$ServicesUnderThisPID = @(Get-WmiObject win32_service -Filter "processID = $procid");

if($ServicesUnderThisPID.length -gt 0){
$ShowHeader = $True;
$PossibleMalware = $False;

$ProcGroup = "";

# For every windows service, break down the command triggered to ensure of
# proper format
# Typical format: C:\Windows\system32\svchost.exe -k netsvcs

foreach($serv in $ServicesUnderThisPID){
if($ProcGroup -eq("")){
$ProcGroup = $serv.PathName;
$CommandComponents = @($ProcGroup.Split(" "));
if ($CommandComponents.length -eq 3 ){
$ProcGroup = $CommandComponents[2];
}
else{
$ProcGroup = "WARNING: POSSIBLE MALWARE - NON STANDARD RUN COMMAND DETECTED";
$PossibleMalware = $True;
}
}

if($ShowHeader){
if($PossibleMalware){
Write-Host("{0}" -f $ProcGroup);
}
else {
Write-Host("Process {0,2} - (Process ID: {1}) - (Services running under this process: {2})" -f $CurrentPos, $procid, $ServicesUnderThisPID.length) -foreground $FgText1;
Write-Host(" (Group {0})" -f $ProcGroup) -foreground $FgText1;
}
$ShowHeader = $False;
}

Write-Host(" {0}" -f $Serv.Name);
Write-Host(" {0}" -f $Serv.DisplayName) -foreground $FgText2;

$DescriptionProc = $Serv.Description;
$DescriptionProc = @($DescriptionProc.Split(" "));
$TempStr = " ";
foreach($word in $DescriptionProc){
if ($TempStr.length -lt 67){
$TempStr += $Word + " ";
}
else{
Write-Host( "{0}" -f $TempStr) -foreground $FgText2;
$TempStr = " ";
}
}
}
}
else {
Write-Host("WARNING: POTENTIAL MALWARE: NO WINDOWS SERVICE DETECTED") -foreground $FgError;
Write-Host(" AS RUNNING UNDER THIS PROCESS. CAN BE A MALWARE RUNNING") -foreground $FgError;
Write-Host(" UNDER THE NAME {0} TO DISGUISE ITSELF" -f $ProcessToCheckFor) -foreground $FgError;
}
" ";
$TotalServicesCount += $ServicesUnderThisPID.length;
}

Write-Host("------------------------------------------------------------------------------") -foreground $FgText1;
Write-Host("Summary:") -foreground $FgText1;
Write-Host("------------------------------------------------------------------------------") -foreground $FgText1;
Write-Host("Total {0} processes counted: {1}" -f $ProcessToCheckFor, $PidList.length) -foreground $FgText1;
Write-Host("Total services running under these processes: {0}" -f $TotalServicesCount) -foreground $FgText1;
Write-Host("==============================================================================") -foreground $FgText1;
Write-Host("");
Write-Host("");
http://seven7.blog.zive.cz/
Spuštění Windows předchází pád.
oooooooooo
Pokročilý
Uživatelský avatar

Odeslat příspěvekod ROSTULA 1. 2. 2013 11:51

Je to trestuhodné, vím to, ale nemohl jsem jinak. Prostě jsem W8 odinstaloval a přešel zpět k W 7. Rozcupujte mě. Máte na to právo. Napřed Vás tady okrádám o čas a pak to vzdám.A nejen pro tento problém ale je toho spousta. Jinak řečeno nebudu nedobrovolným testerem. Je to prostě paskvil. K těm sedmičkám. Všechno proběhlo hladce a je funkční, přesto se jedna chybička vloudila. Bude to samozřejmě již v sekci Windows 7.
ROSTULA
Junior

Odeslat příspěvekod oooooooooo 1. 2. 2013 14:35

Bez chyb system neexistuje.Prošel jsem DOS,všechny WIN,všechny podstatne linuxove distribuce,něco z jablečnych akcí..
Jsou ale chyby kdy člověk kouka do eventlogu a tam vidí chybu a potom jsou chyby kdy něco nefunguje - obojí se nemusí krýt,existuje spousta scenařů kdy tě eventlog nemusí zajimat.Mimochodem ted řešim novej chipset pro android - co to děla na Vistach a Seven pokud musiš pracovat s udělatkem ktery je pro chipset dodavaný abys mohl určity věci věci dělat při připojeni k usb je horror.W8 je mrtvy bod uplně.Na XP za jistych podmínek.Na linuxovych distribucich horror na osmou.Vůbec to nevyčitam systemu - mům.Problem je že vyrobce procaků použil osvědčenou taktiku k vyrobě problemů - uplně uzavřenej kod takže na rozdil od konkurence s jinym chipsetem nejde udělatko upravit,driver opravit a navazuje na to milion dalšich problemů.W8 nijak nefandim - považuju to za komickej bastl kvuli dvojimu gui ale za všechno OS nemůže...Pokud prop něj vyrobce někdy nedoda vyladěnou věc tak OS je nahranej pokud je uzavřenej kod.Hm tak nějak škodolibost - posledni roky se MS vrati jeho vlastni medicina.
http://seven7.blog.zive.cz/
Spuštění Windows předchází pád.
oooooooooo
Pokročilý
Uživatelský avatar

Odeslat příspěvekod ROSTULA 1. 2. 2013 14:51

Díky za vysvětlení.
ROSTULA
Junior

Předchozí stránka

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků