picasso

Zrobione.

Mam rozumieć, że Service Pack i inne aktualizacje gładko się zainstalowały?

Zastanawia mnie tylko "k_series_screensaver_en". Wyczytałam, że to jest jakiś wygaszacz(?), aplikacja ASUSa.

Tak, to zdaje się być domyślnie preinstalowany wygaszacz ASUS.

.

Sprawdzanie OTL jest niedostateczne. Zabrakło obowiązkowego loga z GMER, a system nie jest przygotowany do jego uruchomienia (KLIK), działają dwa sterowniki DAEMON Tools:

DRV - [2011-10-25 18:18:48 | 000,232,512 | ---- | M] (DT Soft Ltd) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\dtsoftbus01.sys -- (dtsoftbus01)
DRV - [2011-08-22 19:52:08 | 000,443,448 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)

W OTL nie widzę obiektów czynnych, ale w autoryzacjach zapory są wpisy charakterystyczne dla aktywności wirusa w wykonywalnych Sality, czyli markery "ipsec":

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Documents and Settings\Ja\Pulpit\Metin5.S2.07.02.2011\Uninstal.exe" = C:\Documents and Settings\Ja\Pulpit\Metin5.S2.07.02.2011\Uninstal.exe:*:Enabled:ipsec
"C:\WINDOWS\Explorer.EXE" = C:\WINDOWS\Explorer.EXE:*:Enabled:ipsec -- (Microsoft Corporation)
"D:\DAEMON Tools Lite\DTLite.exe" = D:\DAEMON Tools Lite\DTLite.exe:*:Enabled:ipsec

Teraz kwestia czy to stara niedoczyszczona sprawa. Przypominasz sobie takiego wirusa u siebie? Na wszelki wypadek przeskanuj system za pomocą SalityKiller. Przy okazji: skoro był tu Sality to i system / programy mogą mieć uszkodzenia. Po leczeniu nie ma gwarancji poprawności plików.

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)

System w fatalnym stanie aktualizacji, obowiązkowo do uzupełnienia: KLIK.

NIe działa Centrum Zabezpieczeń...

Na początek zastosuj tego naprawiacza: KLIK.

nie słysze piosenek np z youtube, wrzuty itp

Widzę tu zainstalowanego potworka FormatFactory (miesza w kodekach), może coś naruszył w rejestrze. Start > Uruchom > regedit i wyeksportuj do wglądu klucz:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32

Nie jest też wykluczone, że to szkody po Sality.

.

Tytuł tematu dopasowuję do treści, temat przenoszę. A z namacalnych materiałów to podejrzenia budzi Norton Internet Security.

I odinstaluj ComboFix w prawidłowy sposób. Klawisz z flagą Windows + R i w Uruchom wklej:

C:\Users\Mateusz\Downloads\ComboFix.exe /uninstall

.

W samym panelu sterowania wygląda to trochę dziwne, bo tak jak by dźwięk nie był wogóle za instalowany.. Jest "brak urządzeń do odtwarzania audio"

Mówisz o sterownikach:

próbowałem przeinstalować sterowniki do płyty jak i dźwięku niestety nic nie pomogło.

Czy próbowałeś deinstalacji karty dźwiękowej wprost w menedżerze?

.

Czy gdybym podał dokładną datę i godzinę momentu, w którym odłączył się Internet - czy to by coś pomogło?

Nic mi to nie pomoże. Dziennik zdarzeń mam i z niego nie wynika nic.

Wypróbuj manualnego brutalnego przeładowania Winsock i TCP/IP (poprzednio szło przez netsh i właściwie nie wiadomo jakie zwroty z tych komend miałeś). Tzn.: KLIK. Jeżeli to zawiedzie, to zmierzałabym do formatu.

.

Rozumiem, że na urządzeniu były cenne materiały? Znaki wskazują, że został uszkodzony system plików tego dysku. Spróbuj wyciągnąć dane z tego dysku jakimś narzędziem do odzyskiwania, np.: Partition Find and Mount (możliwe podmontowanie znalezionej partycji USB i kopiowanie z tego wirtualnego woluminu plików na dysk twardy) lub TestDisk (wyszukiwanie zagubionych partycji z możliwością ich przywrócenia). Gdyby odzysk danych się udał, sformatuj urządzenie.

.

Skrypt robiony na Standardowych ustawieniach.

O czym mówisz? Skrypt nie ma żadnego związku z ustawieniami w programie, gdyż użyta opcja "Wykonaj skrypt". Ustawienia w oknie maja znaczenie tylko dla opcji "Skanuj".

Log z OTL: widzę StartNow Toolbar w pełnej krasie. Miałeś go odinstalować przed użyciem skryptu i skanem OTL.

.

Wyrażasz się nieprecyzyjnie, tytuł tematu "Brak ikon w menu start - "urządzenia i drukarki" " (co sugeruje brak pozycji "Urządzenia i drukarki" w Menu Start = FIX.REG), podczas gdy:

Start>>Uruchom>>Shell:PrintersFolder Sa drukarki, ale jak to przywrocic do "urzadzenia i drukarki" w start - urzadzenia i druakrki - nie moge znalezc takiej opcji

Niestety, wszystko bez zmian - folder jest pusty

Czy Tobie aby nie chodzi o to, że po kliknięciu w skrót "Urządzenia i drukarki" w Menu Start otwiera się puste okno, które nie pokazuje żadnych urządzeń? Jeżeli to masz na myśli, to możliwą przyczyną problemu po użyciu "sprzątacza" jest wyrejestrowanie bibliotek Internet Explorer. Kluczową dla tego okna jest ieproxy.dll, po derejestracji biblioteki natychmiastowo:

Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i wpisz polecenie:

regsvr32 "C:\Program Files\Internet Explorer\ieproxy.dll"

Alternatywnie (zakres szkód nieznany) możesz użyć ogólnego skryptu przerejestrowującego maszynę Internet Explorer: KLIK.

PS. I sugeruję reset pliku HOSTS do postaci domyślnej ("immunizowałeś" Spybotem system, w konsekwencji pogrubił znacznie ten plik) narzędziem Fix-it z KB972034.

.

Odpowiedź jest w linkach, oba scenariusze wchodzą w grę w określonych okolicznościach. Folder ten można oczyścić fragmentarycznie z komponentów cache danej aplikacji lub opróżnić całkowicie, wtedy gdy są do tego podstawy, tzn. coś zaczyna jeść tam dużo miejsca, a predyspozycje dysku są słabe. Jeśli nie zachodzi takie zjawisko, nie widzę sensu tam grzebać. Skutki uboczne usunięcia zawartości to dialogi proszące o źródło, cytując z artykułu:

"(...) be aware that by removing the baseline cache for a product, future repair, patch install, and patch uninstall scenarios may require your original installation media. If you have the drive space it is recommended that you keep the baseline caches available."

Punisher2010 takie "czyszczenie" to gdy brzytwa na gardle, alpejskie kombinacje na dysku ze sporym zapasem wolnego miejsca zbyteczne. Z tematu wyciągam też wnioski, że Wise Disk Cleaner nie jest dostatecznie godny zaufania.

.

Skoro paczka Intel Chipset montowała częściowo swoje INF, to teraz ponów deinstalację urządzeń raz jeszcze przez menedżer urządzeń + restart. Zweryfikuj również co powie skaner Intel® Driver Update Utility.

Powoli kończą mi się pomysły na reinstalacje bez ruszania Windowsa w bardziej inwazyjny sposób.

.

Log poświadcza poprawne wykonanie zadań. Aczkolwiek usługa Centrum nie ma statusu "Uruchomiona", czy to premedytacja, czy po odbudowie usługi zresetowałeś system?

1. Do aktualizacji następujące programy:

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86416022FF}" = Java™ 6 Update 22 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 22
"{E5D03B2E-B2D4-477F-A60D-8E1969D821FA}" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin

Dla podkreślenia: Java 32-bit i 64-bit oraz 32-bitowy Adobe Flash dla Internet Explorer. Szczegóły aktualizacyjne: INSTRUKCJE

2. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

3. Dla bezpieczeństwa wymiana haseł logowania w serwisach.

Sprawdź czy wszystko działa i podsumuj kondycję systemu.

.

Ten bak pewnie pochodzi z próby podmiany przeze mnie wshelper.dll ,sądzilem, ze uszkodzenie lub brak tego pliku jest przyczyną niemożności wykonania polecenia netsh.

Głowiłam się skąd tu uszkodzenie pliku, bo ta przypadkowość uszkodzenia akurat pliku związanego z Winsock wydała mi się podejrzana . Wygląda na to, że sam się do tego przyczyniłeś, wstawiając plik niezgodny z systemem. Jestem przekonana, że plik nie spełniał warunków: 64-bitowy, z Windows 7. Jeśli z Google brałeś, to duże prawdopodobieństwo, że wstawiłeś plik 32-bit, być może nawet pochodzący z obcej platformy.

To polecenie resetu Winsock na początku nie mogło się wykonać, ponieważ był czynny ZeroAccess. Dopóki infekcja jest aktywna, reset jest nie do przeprowadzenia, komenda zwraca błąd który podałeś.

Wszystkie polecenia wykonane, wydaje się, że poprawnie, kończę sfc /scannow i restart

SFC przecież już robiłeś (naprawiał pliki) i to kazałam ominąć. Za to nie podałeś raportu z Farbar Service Scanner, który przedstawi sytuację po odbudowie Zapory.

Odnosnie Windows Defender to przy próbie uruchomienia wyskakuje: Okreslona usługa nie istnieje jako usługa zainstalowana (kod błędu 0x80070424).

Kolejna usługa skasowana z systemu. Otwórz Notatnik i wklej w nim:

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend]
"DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00
"Start"=dword:00000002
"Type"=dword:00000020
"Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00
"ObjectName"="LocalSystem"
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\
  00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\
  65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\
  74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
  00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\
  69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\
  00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\
  6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\
  00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
  53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\
  72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\
  69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\
  00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
  00,00
"DelayedAutoStart"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\
  00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\
  20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\
  00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security]
"Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\
  05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\
  00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\
  84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\
  05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\
  04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\
  01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0]
"Type"=dword:00000005
"Action"=dword:00000001
"GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal

Zresetuj system.

.

Winsock został zresetowany, zniknęły wszystkie odczyty "not found" będące pochodną ZeroAccess.

1. Nie wiem skąd w folderze system32 utworzył się i dopiero teraz uwidocznił plik z końcówką *.bak (skasuj go ręcznie):

[2012-01-24 16:01:52 | 000,019,968 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\wshelper.dll.bak

2. Firefoxa nie widzę na liście zainstalowanych, toteż Start > w polu szukania wpisz regedit > skasuj wszystkie klucze spełniające warunek:

HKEY_LOCAL_MACHINE\Software\Mozilla*

HKEY_LOCAL_MACHINE\Software\Wow6432Node\Mozilla*

3. Przechodzimy do naprawy usterki w usługach. Wspominasz w tytule tematu coś o "Windows Defender", o co chodzi z nim? Uzupełnij skasowaną usługę Zapora systemu Windows (tylko jednej brakuje + skan SFC omijasz): KLIK. Zresetuj system. Zrób nowy log z Farbar Service Scanner.

.

Mówię, że Wise niespójne opowieści snuje. Podaje jako wspólną opcję opisaną jednakową śpiewką dwa foldery, które pochodzą z różnych mechanizmów i pełnią inne role. Folder Backup nie powinien być wcale ruszany. Na temat $PatchCache$ tu masz wywody: KLIK / KLIK.

Tamten drugi temat: skoro nikt nie odpowiada, to znaczy że, brak przemyśleń / brak pomysłów / brak czasu ...

.

Pulpit się nie zmieniał więc zrobiłem pewien trick, znalazłem na dysku zdjęcie którego nazwa była w okienku właściwości systemu, ale w tym okienku jest to szara tapeta a w plikach jest to normalne zdjęcie, więc to zdjęcie załadowałem jeszcze raz jako tapetę i teraz mam w tym okienku dwa identyczne wpisy ta sama nazwa z tym że tak jak wyżej jedno to jest zdjęcie, drugie szare pole, tylko teraz nie wiem jak by tu wywalić ten jeden dubel z tego okienka żeby nie przeszkadzało, a tak w ogóle to ciekawe jak to się zrobiło szare.

Czy na pewno ten plik jest pojedynczo? Wejdź do folderu "Moje obrazy" (tendencje do autodetekcji tapet z tego miejsca) i sprawdź co tam jest, wyizoluj podejrzanych poza ten folder. A taki prosty trik nie wejdzie (?): ustaw tapetę na Brak, następnie w pierwszej karcie zmień kompozycję na cokolwiek innego, przestaw z powrotem na poprzednią kompozycję i sprawdź czy lista z wyborem tapet się skróciła.

Czy teraz jeszcze trzeba robić jakieś logi, ewentualnie inne sugestie.

Z logami skończyliśmy. Aktualizacje wykonane. Na koniec standardowo Sprzątanie w OTL oraz czyszczenie folderów Przywracania systemu.

.

Proszę stosuj opcję "Edytuj", gdy nikt jeszcze nie odpisał. Posty łączę.

Logi, tylko nie mogę wygenerowac extras w OTL. Jak to zrobić?

vs.

(...) brak Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania").

Logi już "ładne", najgorsze za nami. Skan SFC wiele wyjaśnia. Oto wyniki:

2012-01-25 10:50:59, Info    CSI    000002e5 [sR] Repairing corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:24{12}]"wshelper.dll" from store
2012-01-25 10:50:59, Info    CSI    000002e6 [sR] Repairing corrupted file [ml:48{24},l:46{23}]"\??\C:\Windows\SysWOW64"\[l:22{11}]"regedit.exe" from store

Uszkodzone zarówno regedit.exe, jak i ów wshelper.dll (czyli delikwent z komunikatu netsh). Tu był podwójny problem z Winsock, załatwiony przez ZeroAccess plus uszkodzony plik relatywny. SFC naprawiło szkody. Teraz komenda powinna zostać wykonana poprawnie.

1. Ponów komendę netsh winsock reset i zresetuj system.

2. Drobna kosmetyka wpisów-odpadków i czyszczenie lokalizacji tymczasowych. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=48f38c0000000000000000264da5e93c&tlver=1.4.19.19&ss=1&affID=17981"
IE - HKCU\..\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - No CLSID value found
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:64424
[2011-05-14 18:59:36 | 000,002,428 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
 
:Files
rd /s /q C:\FRST /C
 
:Commands
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i automatycznie otworzy się log z wynikami.

3. Do oceny: pełny nowy log z OTL opcją Skanuj (Extras! Extras!) oraz log z wynikami usuwania z punktu 2. Z Extras się m.in. dowiem czy Firefox jest na liście zainstalowanych, bo wg loga to jakby szczątki w rejestrze ....

.

Import do rejestru wygląda na wykonany. Klasa CD-ROM uzupełniona, reszta zdaje się być skasowana, tylko widzę że nie wszystko chce się odtworzyć np. w klasie Procesorów w ogóle się nie dodały klucze... Hmmm ... Porównując co robił instalator SetPoint, który zdołał mysz ożywić: kasował z rejestru klucze urządzeń (tu wykonane i nie działa) oraz wymieniał pliki INF (to nie było tu prowadzone). Przeprowadzony tu skan na pliki INF via SystemLook jakoby pokazuje poprawne pliki (mają te same sumy kontrolne co moje pliki). Podobnie z plikami SYS, zaś SFC nie widzi żadnych naruszeń. Nie mogę się dopatrzyć co tu jest nieprawidłowe i dlaczego tak znienacka Kod 3. Wypróbuj jeszcze (przed każdą operacją rób punkt Przywracania systemu):

- Na przykładowym urządzeniu (weźmy CD-ROM jako pierwszy) co się stanie, gdy przeinstalujesz całą gałąź należną do urządzenia, a nie tylko tę jedną pozycję. W menedżerze urządzeń w menu Widok włącz pokazywanie ukrytych oraz zaznacz opcję "Urządzenia wg połączenia". W nowym układzie rozwiń gałązki tak, by dostać się do CD-ROM (końcowa część gałęzi), zacznij deinstalację od CD-ROM, następnie odinstaluj kanał na którym siedzi, na końcu kontroler na którym jest kanał. Restart systemu...

- Druga rzecz, sprawdź co powie Intel® Chipset Device Software (INF Update Utility)

.

Skrypt w całości wykonany poprawnie. Skoro jest ten błąd, spróbuj jeszcze polecenia netsh z poziomu Trybu awaryjnego Windows. Jeśli to nic nie zdziała, przejdź do dalszych instrukcji (w to wchodzi reset NameSpace), a ja będę diagnozować skąd ten błąd i czy nie ma tu aby złożenia przyczyn.

.

Pokaż fixlog.txt.

Ach, postać tematu w Google Cache jest niekompletna, nie widzę tam bowiem tego wątku. Takich "ekspertów" za włosy. Biorą moje fiksy i nic z tego nie rozumieją. Nic a nic. Okropnie się wkurzam. Danie skryptu z całkiem inną usługą niż w logu jest jednoznaczne z tym, że nie potrafią go czytać. Bez komentarza. Ciekawe też dlaczego temat skasowali.

Skrypt wprawdzie usuwał consrv.dll, jednakże to wszystko wróciło na miejsce. Również masz całkowicie skasowaną z rejestru usługę Zapory systemu Windows. Ponadto, plik regedit nie ma sygnatury Microsoftu i nie wiem do czego to podpasować (uszkodzony? zainfekowany?):

[2009-07-14 00:27:10 | 000,427,008 | ---- | C] () -- C:\Windows\regedit.exe

1. Montuj skrypt do FRST, czyli fixlist.txt:

SubSystems: [Windows] ==> ZeroAccess
NETSVC: tng-doba
2 tng-doba; C:\Windows\System32\RDID1027.dll [5120 2009-07-14] (Iomega)
C:\Windows\System32\RDID1027.dll
C:\Windows\System32\consrv.dll
C:\Windows\assembly\tmp\U
C:\Windows\assembly\tmp\loader.tlb
C:\Windows\assembly\tmp\{1B372133-BFFA-4dba-9CCF-5474BED6A9F6}
C:\Windows\assembly\GAC_64\desktop.ini
C:\Windows\assembly\GAC_32\desktop.ini
C:\Users\user\AppData\Local\da66c0bc
C:\Users\user\AppData\Local\Microsoft Help
C:\Users\user\AppData\Roaming\Ukyzr
C:\Users\user\AppData\Roaming\Byxo
C:\Users\user\AppData\Roaming\jumprs
C:\Users\user\AppData\Roaming\38C00
C:\Users\user\AppData\Roaming\48F38
C:\Users\user\AppData\Roaming\6615DE.dat
C:\Users\user\AppData\Roaming\MSWINSCK.OCX
C:\Users\user\AppData\Roaming\1.gif
C:\Users\user\AppData\Roaming\start
C:\Users\user\AppData\Roaming\ct_start
C:\Users\user\AppData\Roaming\xxzic1upujaqmjsvcccrcg1g1xexwdp12
C:\Users\user\AppData\Roaming\xfuxownrijstax1kopspcbnwfbypleia2
C:\Users\user\AppData\Roaming\x1su1ublpqjksu11clzp2ntfcbdjldd32
C:\Users\user\AppData\Roaming\xfk2luzgv2sh23rmp2gueguhqbpdphtp2
C:\ProgramData\k803Rl2.dat
C:\Windows\SysWow64\%APPDATA%

2. F8 > Napraw komputer > uruchamiasz FRST i opcja Fix. Restart do Windows.

3. Reset Winsock. Akurat kroki są nadal aktualne, tylko teraz właściwa kolejność ich prowadzenia. Potwórz reset Protocol i NameSpace: KLIK (punkty 1+2).

4. Wykonaj weryfikację poprawności plików poleceniem sfc /scannow, kolejnym poleceniem przefiltruj CBS.LOG do wystąpień znaczników [sR]: KLIK.

5. Poprzez Panel sterowania odinstaluj kwestionowalnego śmiecia ALOT Appbar Helper.

6. Do oceny: wyniki przetwarzania skryptu (fixlog.txt), log z filtrowania SFC oraz zrobiony po wszystkim log z OTL opcją Skanuj (o Extras przypominam).

Cyzelowaniem (drobnostki) i odtwarzaniem Zapory zajmiemy się potem.

.

No i właśnie: "Fix result of Farbar Recovery Tool". Te skrypty są unikatowe dla danego systemu. Tu nie było ode mnie ani słowa o przejściu do procedur usuwania i to przy wykorzystaniu błędnych skryptów, miałeś tylko i wyłącznie zrobić log z FRST w trybie "tylko do odczytu". Oczywiście, że skrypt nie działa (aka ZeroAccess czynny i uniemożliwia reset Winsock), bo u Ciebie ZeroAccess ma inną postać. Usługa nowej wersji ZeroAccess u każdego jest inna, tu:

SRV:64bit: - [2009-07-14 02:39:46 | 000,005,120 | ---- | M] (Iomega) [Auto | Running] -- C:\Windows\SysNative\RDID1027.dll -- (tng-doba)

Są też i inne rzeczy do usuwania, które nie są powtarzalne. Użyłeś skrypt nie pod swój przypadek, skrypt zazębił się tylko w 3 wpisach (to stanowczo za mało), a w związku z aktywną usługą ZA nie wiadomo czy skasowane obiekty aby nie wróciły na miejsce. Proszę o skan potwierdzający.

1. Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne i w sekcji Własne opcje skanowania / skrypt wklej:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
c:\Windows\system32\consrv.dll /64
C:\Windows\assembly\GAC_64\*.*
C:\Windows\assembly\GAC_32\*.*
dir /s /a C:\Windows\assembly\tmp /C

Klik w Skanuj (nie Wykonaj skrypt!).

2. Uruchom Farbar Service Scanner, zaznacz wszystkie sekcje do skanowania i klik w Scan.

PS. Proszę korzystaj z systemu Załączniki, zmieniam. Zasady działu do wglądu. Tagi CODE = nie. Poza tym, to nie jest kompletny OTL, brak Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania").

.

Po krótkiej awarii internetu niestety nie mam w komputerze dźwięku (sprzęt nie należy do mnie, a taką informację uzyskalem od użytkownika).

Pojawia się komunikat nieprawidłowy sterownik DirectSound. Kod błedu 88780078.

Łącząc sieć z audio to można się dopatrzyć związku usługowego, usługi sieciowe i audio są hostowane na tym samym wystąpieniu svchost.exe. Może sprawdź w pierwszej kolejności podstawę: Start > Uruchom > services.msc, jaki status ma usługa Windows Audio? Usługa powinna mieć Typ uruchomienia "Automatyczny" i Status "Uruchomiona". Dodatkowo, Panel sterowania > Dźwięk i urządzenia audio > co jest ustawione jako domyślne urządzenie?

sorry za literówkę w temacie

Mogłeś sam poprawić. Edytor otworzony w trybie pełnym i pole tytułu do edycji....

.

Odinstalowałem ipv6 i deamon tools lite

Ale czy na pewno odmontowałeś sterownik SPTD indywidualnie? Deinstalacja DAEMON Tools nie usuwa tego sterownika i należy go ręcznie skosić narzędziem SPTDinst.

Tylko jest jeszcze mam problem z tą białą kreską na czarnym tle jak się komputer włącza wcześniej może z sekundę widać ją było, teraz jest dłużej.

Mam to odkąd zainstalowałem na komputerze Wise Registry Cleaner, Wise Disk Cleaner, Smart Defrag.

Poużywałem, dobra, ustawiłem w Smart defrag boot defrag (ze startem komputera defragmentacja).

Za pierwszym razem się wczytywało 2 minuty, potem po 30 sekund.

Więc odinstalowałem, ale dalej tak jest ;/

Był podobny problem z Ashampoo Win Optimizer ustawiłem defragmentację ze startem, nawet jak wyłączyłem ją to ciągle się włączała, w autoruns też odznaczyłem, nic aż wreszcie odinstalowałem i był tylko komunikat jakiś że nie może znaleźć pliku odpowiedzialnego za defragmentację.

Powątpiewam w zbieżność wystąpienia objawu z owymi aplikacjami, gdyż to nie ta faza startowa. Ta "kreska" (o ile ją dobrze plasuję, tzn. przed ekranem z logo Windows) to jest wczesny etap startowy i podejrzeniem są objęte: bootujące urządzenia oraz obszar rozruchu dysku twardego. Kto wie czy "kreska" nie wynika właśnie z modyfikacji boot.ini. Na tamtym forum polecano modyfikację:

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /3GB /USERVA=2990

Ty zaś powiedziałeś "Kumpel informatyk podesłał swój boot.ini i teraz maxmem jest puste a numproc = 1 ". Następnie "Dobra zrobiłem ten numproc=2 i teraz w bootini jest 2 zamiast 1." = To w ogóle nie jest potrzebne w boot.ini. Sterowanie parametrem /numproc to jest ustawienie diagnostyczne (KB833721), przy braku tej specyfikacji system domyślnie bierze całość i nic nie limituje.

Pokaż zawartość aktualnego pliku boot.ini....

.

Z zaporą już wszystko jawi się w porządku. Natomiast nie są uruchomione usługi: Centrum zabezpieczeń, Windows Update. Czy to celowe działania z Twojej strony? Kolejny etap to porządki z zakresu adware.

1. Przejdź do Panelu sterowania i odinstaluj śmiecia StartNow Toolbar.

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
"Start Page Restore"=-
 
:OTL 
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.selectedEngine: "Yahoo"
FF - prefs.js..keyword.URL: "http://klit.startnow.com/s/?src=addrbar&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20111113&user_guid=BF7983D9FC274870818CE0C2AB2B82A3&machine_id=65dfb853c985562975abc48735eb6f70&browser=FF&os=win&os_version=6.1-x64-SP0&q="
 
:Files
C:\Users\Kotus\AppData\Roaming\Mozilla\Firefox\Profiles\hgko4tum.default\searchplugins\search.xml
C:\Users\Kotus\AppData\Roaming\Mozilla\Firefox\Profiles\hgko4tum.default\searchplugins\yahoo-zugo.xml
rd /s /q C:\FRST /C
 
:Commands
[resethosts]
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

3. Prezentujesz nowy log z OTL zrobiony opcją Skanuj (bez Extras) oraz log z wynikami usuwania.

.

Kasperskiego możesz odinstalować, deinstalacja wykonuje się poprzez zamknięcie okna programu. Przechodzimy do naprawy usług:

1. Rekonstrukcja usługi Centrum zabezpieczeń systemu Windows: KLIK.

2. Rekonstrukcja usług Podstawowy aparat filtrowania + Zapora systemu Windows: KLIK.

3. Restart systemu. Stwórz nowy log z Farbar Service Scanner.

.