wertumnus

Gdzieś mam a jak nie to zrobiłem obraz i mogę wypalić.

Niestety nie poskutkowało samo usuniecie klucza. Wpisałem odpowiednią komendę, wylogowałem się i od razu pokazało sie konto administratora. Ponieważ zalecane miałem uruchomienie ponowne tak też zrobiłem. Zalogowałem się na administratora (windows poustawiał sobie pulpit itp.) otworzyłem regedit i otrzymałem monity jak z poprzedniego postu. Rejestr działał na koncie administracyjnym bo ukazywała sie gałąź SAM. Po powrocie na moje zwykłe konto wiersz poleceń cmd zrobił sie bardzo mały (taki, że ciężko przeczytać coś) a jego okno bardzo mało rozszerzalne w każdą stronę. Używając gmera eksportowałem zawartość klucza z Audo (żadnym innym programem mi sie to nie udało - jest skutecznie blokowane) ale nie wiem czy to coś da: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc] "DisplayName"="@%SystemRoot%\system32\winhttp.dll,-100" "ImagePath"=str(2):"%SystemRoot%\system32\svchost.exe -k LocalService" "Description"="@%SystemRoot%\system32\winhttp.dll,-101" "ObjectName"="NT AUTHORITY\LocalService" "RequiredPrivileges"=str(7):"SeChangeNotifyPrivilege\0SeCreateGlobalPrivilege\0SeImpersonatePrivilege\0" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc\Parameters] "ServiceDll"=str(2):"winhttp.dll" "ServiceMain"="WinHttpAutoProxySvcMain" "ServiceDllUnloadOnStop"=dword:00000001 "ProxyDllFile"=str(2):"%SystemRoot%\system32\jsproxy.dll" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc\Security] "Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,70,00,05,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,14,00,14,00,00,00,01,01,00,00,00,00,00,05,04,00,00,00,00,00,14,00,14,00,00,00,01,01,00,00,00,00,00,05,06,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc] Jakiś bardzo oporny ten klucz, może damy sobie na dzisiaj spokój aby mieć dystans do problemu i świeże spojrzenie? Naprawdę doceniam poświęcony czas i zaangażowanie ale niekiedy mała przerwa się przydaje.

Tak też próbowałem robić i dopiero kiedy nie było rezultatu wspierałem sie programami. Robię to tak: 1) otwieram regedit z uprawnieniami administratora 2) wyszukuję odpowiedni klucz i klikam prawym 3) wybieram z menu kontekstowego "uprawnienia..." 4) wyskakuje mi taki monit: http://www.sendspace.pl/file/pic/8f49397c8f963778ea69072/view 5) po kliknieciu ok (uciałem na zdjęciu) wyskakuje mi taki monit: http://www.sendspace.pl/file/pic/35c72d00fd9faa9a9e0a906/view 6) po kliknięciu ok jestem w punkcie 2 7) dlatego próbowałem MultiRegToolem odblokować klucz albo go skasować. Podobnie RegAssasinem resetowałem uprawnienia, przechodziłem na regedita i kroki 3 do 6 więc próba kasowania. 8) nic się nigdzie nie zmieniło pomimo komunikatów o odblokowaniu przez MultiRegTool i RegAssassin a przez ten drugi nawet skasowaniu klucza.

Niestety MultiRegTool nie potrafi skasować klucza: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc za to teoretycznie daje mu unlocka. Tyle, że później przez regedit (z prawami admina) nadal nie mogę wejść w zawartość ani uprawnienia. RegAssassin z kolei powiadamia, że coś usuwa czego nie widzi i to z sukcesem natomiast prawda jest całkiem inna bo klucz cały czas siedzi nietykalny w rejestrze bez możliwości nawet podejrzenia prawym klikiem czegokolwiek nie mówiąc już o uprawnieniach i własności. Póki co tymi dwoma programami nie jestem w stanie ruszyć tego ustrojstwa. Wcześniej też sprawdzaliśmy obecność zera ale nic nie pokazywało.

dawałem bez 0, opisałem w edycji poprzedniego koma.

No to zabawa od początku bo ja cały czas nie mogę usunąć tego Audo nie licząc wklepywania niewłaściwych poleceń (przez zamienioną literkę). Spróbuję na początek Swreg tylko wolałbym abyś podał mi całość do wklepania bo już nie wiem czy mam podawać z null "\0" czy po prostu cały klucz: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc] ? Niestety nie udaje mi się usunąć klucza przez SwReg. Ponadto sprawdziłem wcześniej i wpisywałem poprawnie (czyli z Audo) i też nie szło. Ciągle nie mam dostępu do uprawnień ani podglądania zawartości. Tylko gmer pozwala mi zajrzeć do środka klucza ale poza podglądaniem nie mam tam zadnych opcji. Za to jeśli gmer dobrze omija jakieś tam zabezpieczenia złośliwca to może jest to odpowiednie narzędzie by z tym walczyć? Przecież chyba można samym gmerem wpływac na rejestr?

Hmm już chyba rozumiem skąd część problemów. Podałeś mi klucz: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAutoProxySvc] i u mnie go nie było ale sprawdziłem i teraz mam dwa obok siebie. Ten wyżej i ten wcześniejszy (niżej): [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc] Dodam tylko, że ten mój "Audo" jest właśnie tym zablokowanym a do Twojego wchodzę bez problemów. Wyglada na to, że jakiś syf w windowsie albo zmienił nazwę albo skasował oryginalny i podstawił swój.

Ponowny raport z MiniRegTool dla odpowiedniego klucza: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAutoProxySvc] "DisplayName"="@%SystemRoot%\\system32\\winhttp.dll,-100" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\ 00,65,00,00,00 "Description"="@%SystemRoot%\\system32\\winhttp.dll,-101" "ObjectName"="NT AUTHORITY\\LocalService" "ErrorControl"=dword:00000001 "Start"=dword:00000003 "Type"=dword:00000020 "DependOnService"=hex(7):44,00,68,00,63,00,70,00,00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\ 00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,00,6c,\ 00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,00,61,\ 00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "FailureActions"=hex:00,5c,26,05,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAutoProxySvc\Parameters] "ServiceDll"=hex(2):77,00,69,00,6e,00,68,00,74,00,74,00,70,00,2e,00,64,00,6c,\ 00,6c,00,00,00 "ServiceMain"="WinHttpAutoProxySvcMain" "ServiceDllUnloadOnStop"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAutoProxySvc\Security] "Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,70,00,05,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,14,00,14,00,00,00,01,01,00,00,00,00,00,05,04,00,00,00,00,00,14,00,14,00,\ 00,00,01,01,00,00,00,00,00,05,06,00,00,00,01,01,00,00,00,00,00,05,12,00,00,\ 00,01,01,00,00,00,00,00,05,12,00,00,00

Zrobione. Teraz może uruchomię ponownie komputer i zobaczymy czy coś się zmieniło.

Dokładnie. Za to jak chcę wyswietlić uprawnienia to wyświetla już więcej plus informację, że nie można odnaleźć pliku: MiniRegTool64 by Farbar Version:09-05-2014 Ran by Pepe (administrator) on 2014-06-30 at 15:47:22 =============================================== Parsing the SD of <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAutoProxySvc> failed with: Nie można odnaleźć określonego pliku.

Raport: http://www.sendspace.pl/file/pic/4f86579a3b8e9087327311b/view Zamieszczam celowo zdjęcie bo mnie samemu trudno uwierzyć, że nic się nie pokazuje poza tym co w polu niżej Windows Registry Editor Version 5.00

Nie mogę usunąć klucza za pomocą Swreg o czym pisałem w 19 komentarzu na poprzedniej stronie. Wpisywałem ze składnią jaką podałeś tutaj swreg null delete "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc\Parameters"\0 oraz taką jak była podana przy opisie programu swreg null delete "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc\Parameters\0" i za każdym razem otrzymywałem komunikat: Error: Key: system\currentcontrolset\services\winhttpaudoproxysvc\parameters does not exist! Uprawnień nie mogę podejrzeć bo wszystkie programy odmawiają. Dlatego uważam, ze ewidentnie coś jest nie tak jak powinno być.

WinHttp.dll już dodana. Podglądałem przez gmera w poszukiwaniu różnic: HKLM ...WinHttpAudoProxySvc - RequiredPrivileges: SeChangeNotifyPrivilege\0SeCreateGlobalPrivilege\0SeImpersonatePrivilege\0 <= czyli posiada maskowanie null a u Ciebie jest: HKLM ...WinHttpAudoProxySvc - RequiredPrivileges: SeChangeNotifyPrivilege SeCreateGlobalPrivilege SeImpersonatePrivilege Nie wiem czy to nie to samo bo nieco inny sposób wyświetlania. Niestety o ile mogłeś processLook przebadać linijki rejestru to u mnie nie pozwala ich otworzyć albo udaje, że ich nie ma. Dodatkowa interesująca sprawa jest w: HKLM ...WinHttpAudoProxySvc\Parameters - ServiceDllUnloadOnStop: 1 <= może to sprawia problemy bo program zatrzymuje usługę zwiazaną z biblioteką?

Z tym OTL chodziło mi o instalkę a po tamtym śladu już nie ma. Porównam dokładniej Twoje wpisy z systemlooka i może na coś wpadnę. Tak czy inaczej obecnie nie mam winhttp.dll w system32.

Mam go jeszcze. Jeśli wszystko jest ok to czemu mam zablokowany regedit na podglądanie co jest w środku?

Error: Key: system\currentcontrolset\services\winhttpaudoproxysvc\parameters does not exist! A gmer widzi to tak: http://www.sendspace.pl/file/pic/5e1fae8b5422af6c6f4d20f/view btw czy jest jakaś lepsza strona do umieszcznia zdjęć i dodawania bezpośrednio niż sendspace?

No właśnie screen jest z rozwiniętymi "zaawansowanymi" informacjami, które ukazują jedynie okienko do zaptaszkowania o nie powiadamianiu w przyszłości o zdarzeniu.

Sęk w tym, ze Avast nie pokazuje niczego konkretnego i nie wiem jak się dobrać do detali powiadomienia. http://www.sendspace.pl/file/038071a7ffad54f0ab0a699 W międzyczasie odpalam pełny skan MBAMem. Już po skanowaniu i... niczego nie wykrył więc również nie sprzątał - takie było podsumowanie. Sam nie wiem, może spróbować w trybie awaryjnym? Gmer nadal pokazuje w rejestrze na czerwono wpisy: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc

All processes killed ========== OTL ========== Registry value HKEY_USERS\S-1-5-21-775168592-2110109942-388502493-1000\Software\Microsoft\Windows\CurrentVersion\Run\\ISUSPM Startup deleted successfully. Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SPReview deleted successfully. Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SPReview not found. ========== SERVICES/DRIVERS ========== Error: No service named WinHttpAudoProxySvc was found to stop! Service\Driver key WinHttpAudoProxySvc not found. ========== FILES ========== File move failed. C:\Windows\system32\winhttp.dll scheduled to be moved on reboot. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 57311 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Pepe ->Temp folder emptied: 716894805 bytes ->Temporary Internet Files folder emptied: 138141211 bytes ->Java cache emptied: 451 bytes ->Flash cache emptied: 78599 bytes User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32 (64bit) .tmp files removed: 12288 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 143252711 bytes %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 43265774 bytes RecycleBin emptied: 16533840755 bytes Total Files Cleaned = 16 761,00 mb OTL by OldTimer - Version 3.2.69.0 log created on 06302014_114059 Files\Folders moved on Reboot... File move failed. C:\Windows\system32\winhttp.dll scheduled to be moved on reboot. C:\Users\Pepe\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully. C:\Users\Pepe\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully. PendingFileRenameOperations files... Registry entries deleted on Reboot... Po restarcie już nie pojawiły się powyższe procesy ale jeszcze sam nie przeglądałem dokładniej raportu. Dziwne że nie odnalazł usługi bo ja przed chwilą miałem ponownie monit od Avasta

SystemLook 30.07.11 by jpshortstuff Log created at 11:14 on 30/06/2014 by Pepe Administrator - Elevation successful ========== reg ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc\Parameters] (Unable to open key - key not found) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc\Security] (Unable to open key - key not found) -= EOF =-

Bardzo proszę: http://wklej.org/id/1405491/

Dziękuję za zaangażowanie ale dzisiaj już nie dam rady bo jutro rano praca. Po południu sprawdzę NTRegEdita i może jeszcze raz MiniRegTool64 bo widzę, że ma jakieś dodatkowe możliwości wyszukiwania NULL albo blokowanych wpisów rejestru. Czy bibliotekę winhttp.dll mogę skasować bez problemów z ponownym uruchomieniem? Akurat teraz mam utrudniony dostęp do dodatkowych kompów z internetem dlatego wolę być ostrożny. 1). Winhttp.dll nie daje się ruszyć podczas normalnej pracy systemu (próbowałem spakować i usunąć). 2). spisałem dwa procesy instalujące mi każdorazowo przy uruchomieniu jakieś świństwo: C:\Program Files (x86)\Common Files\InstallShield\UpdateService\ISUSPM.exe C:\Users\Pepe\AppData\Local\Temp\{9c0ba3c1-2b67-45eb-bf69-bed9658d28d2}\IDriver.NonElevated.exe <= po skasowaniu tego katalogu pojawia się on przy ponownym uruchomieniu. 3). MiniRegTool nie znalazł w HKLM ani Locked Keys ani Null-embedded 4). NTRegEdit działa chyba błędnie bo nie pokazuje zawartości HKLM, HKU i HKCC. Niby jest mozliwosć rozwinięcia ale jak kliknę to nic nie pokazuje. Pozostałe HKCR i HKCU można przeglądać

Używając RegAssassina pojawia się błąd: Hive returned NULL zaś MiniregTool podaje: MiniRegTool64 by Farbar Version:09-05-2014 Ran by Pepe (administrator) on 2014-06-29 22:04:40 ==================================== "HKLM\SYSTEM\CurrentControlSet\services\WinHttpAudoProxySvc@DisplayName @%SystemRoot%\system32\winhttp.dll,-100" not found. Sprawdziłem dla kilku linijek ale nie wiem czy ten wpis oznacza, że nie może odnaleźć i nie skasował czy skasował i ponownie nie odszukał. Edycja: Odpaliłem ponownie gmera i nadal pokazuje rzekomo skasowane linijki.

Usługa jest zablokowana również w trybie awaryjnym chociaż wtedy windows nie instaluje komponentów (nie wiem jakich) bo dysk nie pracuje i nie ma w procesach wspomnianych wyżej objawów. Jakoś nie mam szczęścia do @Picasso na tym i poprzednim forum.

Witam, Od pewnego czasu AVAST monituje o ukrytej usłudze "WinHttpAudoProxySvc". Taka informacja pojawia się dopiero jakiś czas od uruchomienia komputera. Podejrzewam, że każdorazowo jest instalowana na nowo: intensywnie pracuje dysk, pojawiają się procesy instalujące, które później same znikają. Avast nie potrafi usunąć w trybie normalnym ani w uruchomieniowym. Dodaję logi z FRST i Gmera http://wklej.to/GYwJN FRST http://wklej.to/SF73s Addition http://wklej.to/aFgIX Shortcut http://wklej.to/ZcfBW Gmer