picasso

Ale została zrobiona nakładka systemowa (bez utraty danych) - chyba że to wbrew użytemu słowu nie była nakładka tylko "czysta instalacja" - to skąd tu motyw z podmianą rejestru systemu? Są dwa rejestry: - systemu (pliki w system32\config): nakładka je zaktualizowała, przy reperacji dane wtórne w tych plikach są przeważnie zachowywane. - użytkownika: omówione wyżej. Założone nowo konto, to i inny rejestr konta. Stary rejestr poprzedniego konta musi być ponownie zlinkowany do konta, o ile chodzi tu o potencjalne ożywienie tych danych. Założeniem jest, że rejestr konta nie jest uszkodzony. Po nakładce cofnięcie systemu za pomocą plików sprzed nakładki może mieć skutki uboczne, rezultaty nieprzewidywalne. Poza tym, nie jest powiedziane, że powód niedziałania aplikacji to rejestr. Równie dobrze to może być skutek awarii: Mogły zostać uszkodzone pliki aplikacji na dysku. W takiej sytuacji ani nakładka systemowa (nie interesuje się niczym poza plikami systemu) ani podmiana rejestrów nie przyniosą rezultatów. Stąd też pytam: o co chodzi z niedziałaniem aplikacji? Jak to się objawia? .

Uściślij jakie aplikacje, po nakładce systemu jako konsekwencji awarii może być konieczne po prostu przeinstalowanie. Jeśli rzecz o rejestrze strony użytkownika (nie systemu): powyższa procedura polega na kopiowaniu wszystkiego z wyjątkiem właśnie rejestru konta (plik NTUSER.DAT). Owa procedura jest stosowana wtedy, gdy konto wyjściowe jest uszkodzone (stąd omija się kopiowanie rejestru). Przy założeniu, że rejestr konta nie został uszkodzony (a to nie jest tu w ogóle pewne), można założyć nowo konto o nazwie starego i za pomocą aplikacji Reprofiler połączyć nowe konto ze starym folderem. Nie da się skopiować plików konta (rejestr NTUSER.DAT) podczas gdy jesteś zalogowany na tym koncie. Konto musi być całkowicie wylogowane, dlatego do takich operacji jest potrzebne dodatkowe tymczasowe konto na którym się logujesz i wykonujesz kopiowanie między niezaładowanymi kontami. .

Nie wiem skąd masz te informacje: KLIK. Chyba odnosisz się do tego co Ci pokazuje suwak w kontekście Twoich proporcji dysku (u każdego proporcje inne). Tu sprawę z "minimum" można zaobserwować w przykładowym scenariuszu testowym: dysk 20GB > magazyn całkowicie wypróżniony i suwak ustawiony na 1% (co daje 203.78MB) > mimo zatwierdzenia tego (pozornie opcja jest na 1%) ponowne otworzenie konfiguracji pokazuje, że suwak automatycznie skoczył na 2% (320MB). I to nie zmienia faktów, że przy takim zakresie wiele się nie można spodziewać. Widocznie zachodzą tu jakieś różnice w tworzeniu punktów i punkty nie są tożsame z tymi tworzonymi ręcznie. .

Wygląda na to, że jednak ma: Czyli zapewne punktowane jako możliwość "Przywracanie systemu nie ma miejsca i uwalnia magazyn od starszych punktów.". 200MB? W XP może takie coś ale nie w Windows 7 dla cieniowania woluminu, przy założeniu że chcesz mieć wiele punktów w sekwencji. Tu nie ma reguły, a im więcej przyznane na magazyn, tym więcej punktów jest przetrzymywanych. Oczywiste. Krótko powiem: przy sporym dysku z Windows 7 nie ma zbytniego sensu wydziwiać (Przywracanie jest poważną funkcją ratunkową i działa w kompletnie innej technice niż to w XP), zostawia się domyślnie dobrane przez system parametry. Ścibolenie odchodzi na małych dyskach z archaicznym XP. Nie wiem (może: ilość zaistniałych zmian), ale czego Ty się spodziewasz na takiej przestrzeni.... Podbij poprzeczkę procentową suwakiem w ustawieniach i się sam przekonaj czy chodzi o obszar przyznany na magazyn. .

Z tego folderu nie należy usuwać żadnego obiektu, który należy do aplikacji zainstalowanej (w rejestrze są odniesienia do tych danych w kluczu Installer). Chyba, że chcesz sobie nagrabić. .

W normalnych warunkach nic się "nie zastępuje" na zasadzie, że jest tworzony punkt, a poprzednie giną: Windows 7 może jednak skasować wszystkie poprzednie punkty w następujących okolicznościach: - Przywracanie systemu nie ma miejsca i uwalnia magazyn od starszych punktów. Więcej: KB2506576. - Silna fragmentacja pagefile.sys. Więcej: KB2533911. - Do dysku z Windows 7 ma dostęp mechanizm starszego systemu (dual boot np. z XP czy start z płyty opartej na silniku XP). Mechanizm niekompatybilny, dlatego następuje wymazanie wszystkiego, dysk z 7 musi zostać ukryty przed starszymi systemami, by nie dochodziło do tej usterki. - Instalowano SP1 do Windows 7. Instalacja SP1 wymazuje wszystkie poprzednie punkty, zostawiając tylko punkt utworzony przez własny proces. W związku z powyższymi odpowiedź: nie da się przetrzymać starszych punktów, jeśli wdraża się proces, który je usuwa. .

Tak więc podstawowe pytanie to: która partycja jest aktywna i czy na tej partycji leżą pliki rozruchowe XP (boot.ini + NTLDR + NTDETECT.COM)? Czy w Konsoli odzyskiwania były wdrażane komendy FIXMBR + FIXBOOT? Czarny ekran z kursorem to też problem z MBR i sektorem rozruchowym. Co znacznie bardziej tu pasuje do opisu (operacje na partycjach i statusie aktywności). Jak rozumiem ów "Tryb awaryjny" to tylko skutek zbootowania okrężnie: .

Jak mówiłam, w raportach nie ma śladu. Kasacje wykonane przez programy nie mają znaczenia (chyba, że ów "legalizator" był trefny), a usunięcie przez ComboFix folderu plików Offilne (pustego) c:\windows\CSC\d6 zostało przeze mnie już zgłoszone jako błąd narzędzia, ponieważ kasacja ta się wykonuje nawet na mojej wirtualnej maszynie XP. To jest archaiczny system XP zaraz po instalacji (nawet z SP3 to nie jest system szczelny i duuuuużo mu brakuje = wszystkie łaty z Windows Update zaaplikowane?). Zastosuj podstawę: Windows Worms Doors Cleaner. .

Log z GMER wykonany w złych warunkach (czynny emulator napędów wirtualnych SPTD). W raportach brak oznak infekcji. Tu raczej na sterowniki / sprzęt należy się bardziej zwrócić uwagę, gdyż w Dzienniku zdarzeń są błędy THREAD_STUCK_IN_DEVICE_DRIVER i relatywne do ATI: Error - 2011-11-27 00:34:46 | Computer Name = PAWEL-E39A0C6A8 | Source = System Error | ID = 1003Description = Kod błędu 000000ea, parametr 1 88deed00, parametr 2 88d579f0, parametr 3 8965a060, parametr 4 00000001. Error - 2011-12-13 09:30:46 | Computer Name = PAWEL-E39A0C6A8 | Source = ati2mtag | ID = 262252 Description = Sterownik ati2dvag dla display urządzenia \Device\Video0 jest zablokowany przez pętlę nieskończoną. To wskazuje zwykle na problem z samym urządzeniem lub z jego sterownikiem niepoprawnie programującym urządzenie. Sprawdź, czy u dostawcy sprzętu są dostępne aktualizacje sterowników. Pierwsze: liczniki wydajności. Drugie: Punkbuster. .

Temat przenoszę, celuję do Hardware. W raportach nie widać oznak infekcji, a wykonałeś tę operację: Skoro system został przeinstalowany (w jaki sposób: reperacja nakładkowa czy czysta instalacja z formatem?), a problem został powielony, to odsuwa podejrzenia na temat wady oprogramowania na rzecz sprzętu. W Dzienniku zdarzeń pojawiają się błędy tego typu: Error - 2011-12-16 03:35:48 | Computer Name = KOMP | Source = atapi | ID = 262149Description = Na \Device\Ide\IdePort0 został wykryty błąd parzystości. 1. Zweryfikuj jaki tryb transferu jest przypisany do dysku (PIO czy DMA): KLIK (ustęp Optymalizacja wydajności HDD i CD/DVD-ROMów - Włączenie DMA). Uwagę zwróć na linię "bieżący tryb transferu". 2. Wykonaj punkt numer 5 z instrukcji, czyli rekonfigurację automatycznego resetu na pokazywanie ekranu z błędem oraz debug zrzutów pamięci: KLIK. Jeśli nie potrafisz samodzielnie wykonać dekodowania plików DMP, zapakuj folder C:\Windows\Minidump i wyślij do analizy. 3. Wykonaj diagnostykę dysku za pomocą MHDD. Dostarcz do oceny wyniki skanu i SMART. 4. Dostarcz pełną specyfikację sprzętową: KLIK. PS. System ma krytyczny poziom zabezpieczeń, brak zainstalowanych ważnych aktualizacji, tylko SP2: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstationInternet Explorer (Version = 6.0.2900.2180) Jeżeli system zostanie doprowadzony do stanu używalności, należy wykonać zabezpieczenia: KLIK. .

Oceniając log z F-Secure, element 1cf6efbe pochodzi od rootkita ZeroAcccess. Wykryte przez skaner obiekty są dziwnie drobne, w OTL nie była notowalna żadna manipulacja charakterystyczna dla tej infekcji, TDSSKiller także nie mówi tu dużo. System się jednak wiesza, a to wskazuje, że ingerencja gdzieś jednak jest. Spróbuj z poziomu Trybu awaryjnego uruchomić ComboFix. .

Nie wiem z jakiego powodu nastąpiło uszkodzenie plików. Na wszelki wypadek możesz przeprowadzić jeszcze skanowanie dysku za pomocą narzędzia checkdisk. .

1. Jeszcze drobnostka, nie zauważyłam szczątka rozszerzenia Babylon w Chrome. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\dhkplhfnhceodhffomolpfigojocbpcb] Klik w Wykonaj skrypt. 2. Uporządkuj po używanych narzędziach: Uruchom Sprzątanie w OTL, co skasuje z dysku OTL wraz z jego kwarantanną. Odinstaluj AD-Remover. 3. Wyczyść foldery Przywracania systemu: INSTRUKCJE. 4. Wykonaj aktualizacje oprogramowania: INSTRUKCJE. W systemie masz następujące wersje: Internet Explorer (Version = 6.0.2900.5512) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java™ 6 Update 23 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.6 - Polish "{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2 "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Adobe Shockwave Player" = Adobe Shockwave Player 11.5 .

1. Rekonstrukcja uprawnień explorer.exe: - Pobierz SetACL, rozpakuj i z folderu Command line version > x64 skopiuj plik SetACL.exe do folderu C:\Windows. - Poniższą zawartość wklej do Notatnika: "\\?\C:\Windows\explorer.exe",1,"O:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464D:PAI(A;;FA;;;S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464)(A;;0x1200a9;;;BA)(A;;0x1200a9;;;SY)(A;;0x1200a9;;;BU)" Zapisz plik pod nazwą backup.txt, plik umieść bezpośrednio na C:\. - Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i wklej komendę: SetACL -on C:\Windows\explorer.exe -ot file -actn restore -bckp C:\backup.txt 2. Skoro jest problem z prostą operacją przestawiania uprawnień, no to musimy sięgnąć po automat zamiany plików. Skorzystaj z Windows Se7en File Replacer. Patrz uważnie gdzie który plik wchodzi. Po wykonaniu zamiany zresetuj system i wykonaj sfc /scannow. .

faral21 ... co Ty narobiłeś ... Co tu robi wyzerowany explorer.exe?! To był tylko przykład w tutorialu! Miałeś zmienić uprawnienia tylko i wyłącznie dla lokalizacji podanych wyżej w poście (olepro32.dll + browcli.dll + PrintIsolationProxy.dll) i nic poza tym. Zanim przejdę do dzieła z rekonstrukcją oryginalnych uprawnień powiedz wyraźnie: ruszyłeś tylko plik explorer.exe? .

Ale w jaki sposób było robione skanowanie? Masz na myśli: reakcje osłony rezydentnej czy pełne skanowanie ręcznie? Osłona rezydentna ma prawo reagować tylko wtedy, gdy jest uzyskiwany dostęp do pliku. Póki co, nie widzę podstaw do zmiany antywirusa. Jeśli usilnie do tego dążysz, może być i Panda, z tym że to odmienna technika działania (chmura) i antywirus jest uzależniony od połączenia sieciowego (choć przy braku sieci może się przełączyć na lokalne cache). .

Nie tu leży problem krakersie . Wyniki w MBAM raczej bez związku. Wykryta cała kolekcja patcherów i cracków = wiadomo co o tym sądzić. Nie ruszaj wpisu rejestru Antiwpa + pliku antiwpa.dll, bo się uziemisz i może być już niemożliwe logowanie do Windows (wiadomo dlaczego ... krakersie). A izolowane wyniki z System Volume Information znikną po czyszczeniu folderów Przywracania systemu (KLIK). Za to nie wykonałeś skryptu do OTL. Ale mówię: to nie ma znaczenia, wpisy typu szczątkowego, poziom kosmetyczny.

W zasadach działu jest napisane, iż w Załącznikach akceptuję tylko pliki o rozszerzeniu *.TXT. To co chcesz dołączać to *.LOG. Wystarczyło zmienić nazwę pliku, by się dołączył. Ask Toolbar jest w systemie w postaci paska narzędziowego IE i uruchamia się wraz z systemem. Figuruje na liście zainstalowanych, widocznie wpis jest ukryty: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar Kolejna porcja zadań do wykonania: 1. Przeglądarka Google Chrome nie została prawidłowo skonfigurowana, nadal jest w niej Qooqlle jako dostawca wyszukiwania: ========== Chrome ========== CHR - default_search_provider: Google (Enabled) CHR - default_search_provider: search_url = "http://www.google.com/cse?cx=partner-pub-5462406484424654%3A8q0sn8-w2ss&ie=ISO-8859-1&q={searchTerms}&sa=Search&siteurl=qooqlle.com%2F" Zauważ, że wyszukiwarka ma nazwę "Google", ale jej adres ma na końcu doklejone "qooqlle.com". Powtarzaj operację w konfiguracji Google Chrome. 2. Uruchom AD-Remover w trybie Clean, co zlikwiduje Ask Toolbar oraz inne wykryte śmieci. Wymagana drobna poprawka na wpisy, których AD-Remover nie usunie. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}"=- [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\02bbf348-f0bb-475b-add4-7245e4b39f02] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\13a43f02-05b5-46af-9631-5ce1f29da44d] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\56453ce1-930d-4ecf-aa3c-0b6ab9e0c429] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\6652d13c-1c88-4aaf-a78c-86a6b6a67e8f] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\9d57efb1-22a4-4554-a912-27a67492061c] Klik w Wykonaj skrypt. Tym razem będzie szybko bez restartu. 3. Ten wadliwy DŻEM nadal nie skasowany: File not found -- C:\Documents and Settings\Maja\Pulpit\DŻEM Usuń go za pomocą aplikacji Delete FXP Files. 4. Do oceny wystarczy mi tylko nowy log z AD-Remover z opcji Scan. .

Narzędzie wykryło 3 uszkodzone pliki (browcli.dll, olepro32.dll i PrintIsolationProxy.dll), ale nie znalazło sprawnych kopi i nie naprawiło ich: 2011-12-15 19:53:24, Info CSI 00000037 [sR] Cannot repair member file [l:22{11}]"browcli.dll" of Microsoft-Windows-BrowserService-NetAPI, Version = 6.1.7601.17514, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch2011-12-15 19:53:28, Info CSI 0000003b [sR] Cannot repair member file [l:22{11}]"browcli.dll" of Microsoft-Windows-BrowserService-NetAPI, Version = 6.1.7601.17514, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2011-12-15 19:53:28, Info CSI 0000003c [sR] This component was referenced by [l:202{101}]"Microsoft-Windows-Foundation-Package~31bf3856ad364e35~amd64~~6.1.7601.17514.WindowsFoundationDelivery" 2011-12-15 19:53:28, Info CSI 0000003f [sR] Could not reproject corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:22{11}]"browcli.dll"; source file in store is also corrupted 2011-12-15 19:57:17, Info CSI 00000131 [sR] Cannot repair member file [l:46{23}]"PrintIsolationProxy.dll" of Microsoft-Windows-Printing-Spooler-Core-Isolation, Version = 6.1.7601.17514, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2011-12-15 19:57:19, Info CSI 00000133 [sR] Cannot repair member file [l:46{23}]"PrintIsolationProxy.dll" of Microsoft-Windows-Printing-Spooler-Core-Isolation, Version = 6.1.7601.17514, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2011-12-15 19:57:19, Info CSI 00000134 [sR] This component was referenced by [l:202{101}]"Microsoft-Windows-Foundation-Package~31bf3856ad364e35~amd64~~6.1.7601.17514.WindowsFoundationDelivery" 2011-12-15 19:57:20, Info CSI 00000137 [sR] Could not reproject corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:46{23}]"PrintIsolationProxy.dll"; source file in store is also corrupted 2011-12-15 20:05:31, Info CSI 000002c0 [sR] Cannot repair member file [l:24{12}]"olepro32.dll" of Microsoft-Windows-OLE-Automation-Legacy, Version = 6.1.7601.17514, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2011-12-15 20:05:33, Info CSI 000002c2 [sR] Cannot repair member file [l:24{12}]"olepro32.dll" of Microsoft-Windows-OLE-Automation-Legacy, Version = 6.1.7601.17514, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2011-12-15 20:05:33, Info CSI 000002c3 [sR] This component was referenced by [l:202{101}]"Microsoft-Windows-Foundation-Package~31bf3856ad364e35~amd64~~6.1.7601.17514.WindowsFoundationDelivery" 2011-12-15 20:05:33, Info CSI 000002c6 [sR] Could not reproject corrupted file [ml:48{24},l:46{23}]"\??\C:\Windows\SysWOW64"\[l:24{12}]"olepro32.dll"; source file in store is also corrupted Pozostaje ręczna podmiana plików: 1. Paczka plików wyciągniętych z Windows 7 x64, zgodnych z parametrami tu widzianymi: KLIK. 2. Pliki należy podmienić zastępując aktualne w tych lokalizacjach: C:\Windows\SysWOW64\olepro32.dll C:\Windows\winsxs\x86_microsoft-windows-ole-automation-legacy_31bf3856ad364e35_6.1.7601.17514_none_3c1b247e5ff65f89\olepro32.dll C:\Windows\System32\browcli.dll C:\Windows\winsxs\amd64_microsoft-windows-browserservice-netapi_31bf3856ad364e35_6.1.7601.17514_none_8bb36948ae5a5afc\browcli.dll C:\Windows\System32\PrintIsolationProxy.dll C:\Windows\winsxs\amd64_microsoft-windows-p..oler-core-isolation_31bf3856ad364e35_6.1.7601.17514_none_d21bb9d14b917922\PrintIsolationProxy.dll By pliki udało się zamienić, należy tymczasowo przestawić uprawnienia wg instrukcji: KLIK. W skrócie: przestawiasz właściciela z TrustedInstaller na własne konto + dla własnego konta przyznajesz Pełną kontrolę, zamieniasz pliki, po ukończeniu zadania przywracasz pierwotne uprawnienia (usuwasz siebie z listy i przestawiasz Właściciela na TrustedInstaller). 3. Po ukończeniu podmian plików zresetuj system, wywołaj ponownie komendę sfc /scannow, zrób log filtrowany i potwierdź sobie, że narzędzie przestało widzieć błędy. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i wpisz komendę sc delete PCSpeedUpService. Po tej operacji możesz skasować z dysku cały folder C:\Program Files\Przyspiesz Komputer. .

Temat zakładasz w dziale diagnostyki infekcji, czyli aplikują się zasady z podawaniem logów: KLIK. Danych tu brak, na razie mogę zasugerować po prostu reinstalację Avast: odinstaluj, w Trybie awaryjnym popraw przez narzędzie Avast Uninstall Utility, pobierz najnowszy instalator. .

faral21, do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy przycisk Edytuj, a nie tworzenie X postów w ciągu. Posty łączę. W logach brak śladów infekcji, toteż temat przemieszczam do Windows 7. 1. Przedstawione na obrazkach błędy wskazują na uszkodzenia plików browcli.dll i olepro32.dll. Wywołaj weryfikację poprawności plików. Uruchom komendę sfc /scannow, przefiltruj CBS.LOG do wystąpień znaczników [sR] za pomocą kolejnej komendy i przestaw wynikowy raport: KLIK. 2. System zgłasza niekompatybilny sterownik LibUSB-Win32: [ System Events ]Error - 2011-12-15 13:22:56 | Computer Name = Farał-Komputer | Source = Application Popup | ID = 1060 Description = Ładowanie sterownika \SystemRoot\SysWow64\drivers\libusb0.sys zostało zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania w celu uzyskania zgodnej wersji sterownika. Error - 2011-12-15 13:23:42 | Computer Name = Farał-Komputer | Source = Service Control Manager | ID = 7000 Description = Nie można uruchomić usługi LibUsb-Win32 - Daemon, Version 0.1.10.1 z powodu następującego błędu: %%2 Bardzo stare oprogramowanie: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "LibUSB-Win32_is1" = LibUSB-Win32-0.1.10.1 DRV - [2005-03-09 20:50:16 | 000,033,792 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysWOW64\drivers\libusb0.sys -- (libusb0) SRV - [2005-03-09 20:50:18 | 000,018,944 | ---- | M] ("http://libusb-win32.sourceforge.net") [Auto | Stopped] -- C:\Windows\SysWOW64\libusbd-nt.exe -- (libusbd) Na stronie projektu jest znacznie nowsza wersja: KLIK. Kompatybilność dla systemów 64-bit oznaczona od wersji: Vista/7/2008/2008R2 64 bit are supported from version 1.2.0.0 since a Microsoft KMCS accepted digital signature is embedded in the kernel driver libusb0.sys. 3. Czy cudak Przyśpiesz komputer jest w pełni zainstalowany? Nie widzę go w spisie, ale jest usługa w systemie i związany z nią błąd: Error - 2011-12-15 13:23:12 | Computer Name = Farał-Komputer | Source = Service Control Manager | ID = 7000Description = Nie można uruchomić usługi PCSpeedUp Service z powodu następującego błędu: %%1053 SRV:64bit: - [2011-05-17 18:26:28 | 000,037,600 | ---- | M] (Speedchecker) [Auto | Stopped] -- C:\Program Files\Przyspiesz Komputer\PCSpeedUpService.exe -- (PCSpeedUpService) I odinstaluj śmiecia adware QuickStores-Toolbar (w Firefox w menedżerze rozszerzeń go usuń + następnie odinstaluj przez Panel sterowania). .

Belfegor To nie może być przyczyną "mulenia". To jest tylko martwy wpis w autoryzacji zapory. RevelantKnowledge zostało odinstalowane (brak procesów i wpisów startowych, brak pozycji na liście zainstalowanych). zwirek2 Same strony obojętnego typu mogłyby sugerować czynniki typu Avast czy IDM (kiedyś miałeś podobne objawy KLIK). Ale: w Dzienniku zdarzeń masz taki błąd związany ze sterownikami grafiki (co może wyjaśniać dysfunkcje przy przetwarzaniu stron opartych na Flash): [ System Events ]Error - 2011-12-15 07:20:20 | Computer Name = ASUS | Source = nv | ID = 262252 Description = Sterownik nv4_disp dla display urządzenia \Device\Video0 jest zablokowany przez pętlę nieskończoną. To wskazuje zwykle na problem z samym urządzeniem lub z jego sterownikiem niepoprawnie programującym urządzenie. Sprawdź, czy u dostawcy sprzętu są dostępne aktualizacje sterowników. Na początek nasuwa się to o czym mówi komunikat. PS. Jeszcze szczątki po adware (BigSeekPro + Revelant) do likwidacji. Jako, że nie jest to związane z problemem, do spoilera: .

Infekcja Qooqlle została nabyta via lewa paczka z kodekami. Prócz tej infekcji, brak uwagi przy instalacjach i instalowanie wszystkiego jak leci (nie odznaczony sponsor), a w konsekwencji jest także kolekcja sponsoringowych pasków narzędziowych i wątpliwej reputacji wtyczka video vShare, która przekierowuje preferencje przeglądarek na startsear.ch. Ponadto, na Pulpicie masz plik o wadliwej nazwie, system nie widzi tego pliku i jest on niekasowalny normalną drogą: File not found -- C:\Documents and Settings\Maja\Pulpit\DŻEM 1. Przejdź do Dodaj / Usuń programy i odinstaluj: Ask Toolbar, Conduit Engine, PHPNukeEN Toolbar, vShare.tv plugin 1.3. Otwórz Firefox i w menedżerze rozszerzeń powtórz usuwanie tu wyliczonych. 2. Skrypt czyszczący adresujący procesy Qooqlle i obecność tego w przeglądarkach Firefox + IE oraz inne śmieci / wpisy puste. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = ${URL_SEARCHPAGE} IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=81fb20ea-2713-11e1-a72a-00138f58243a" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=bfie&s={searchTerms}&f=4" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = ${URL_SEARCHPAGE} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" IE - HKCU\..\URLSearchHook: {09ec805c-cb2e-4d53-b0d3-a75a428b81c7} - No CLSID value found O3 - HKLM\..\Toolbar: (no name) - {09ec805c-cb2e-4d53-b0d3-a75a428b81c7} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [Readar_sl] C:\Documents and Settings\Maja\Dane aplikacji\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\Documents and Settings\All Users\TunesHelper.exe () O8 - Extra context menu item: &Download All using 4shared Desktop - C:\Program Files\4shared Desktop\down_all.htm File not found O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.) :Files C:\WINDOWS\rcx.dat C:\Documents and Settings\Maja\Dane aplikacji\rcx.dat C:\Documents and Settings\Maja\Dane aplikacji\Mozilla\Firefox\Profiles\v22gw2wk.default\searchplugins\conduit.xml C:\Documents and Settings\Maja\Dane aplikacji\Mozilla\Firefox\Profiles\v22gw2wk.default\searchplugins\search.xml C:\Documents and Settings\Maja\Dane aplikacji\Mozilla\Firefox\Profiles\v22gw2wk.default\searchplugins\startsear.xml C:\Program Files\mozilla firefox\searchplugins\babylon.xml C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml C:\Program Files\mozilla firefox\searchplugins\fcmdSrchFxt.xml C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\Maja\Dane aplikacji\Babylon C:\Documents and Settings\Maja\Dane aplikacji\facemoods.com C:\Documents and Settings\Maja\Dane aplikacji\PriceGong del "\\?\C:\Documents and Settings\Maja\Pulpit\DŻEM " /C :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Documents and Settings\Maja\Ustawienia lokalne\Temp\is799009782\AInstaller.exe"=- :Commands [emptytemp] Klik w Wykonaj skrypt. System zostanie zrestartowany. Po restarcie automatycznie otworzy się log z wynikami usuwania. 3. Qooqlle przejęło także preferencje przeglądarki Google Chrome: ========== Chrome ========== CHR - default_search_provider: qooqlle () CHR - default_search_provider: search_url = "http://www.google.com/cse?cx=partner-pub-5462406484424654%3A8q0sn8-w2ss&ie=ISO-8859-1&q={searchTerms}&sa=Search&siteurl=qooqlle.com%2F" CHR - default_search_provider: suggest_url = Dostawca wyszukiwania w Google Chrome nie może być konfigurowany za pomocą skryptów OTL. Należy ręcznie wykonać rekonfigurację w Opcjach przeglądarki, wzorując się na temacie: KLIK. 4. Zrób nowy log z OTL opcją Skanuj (Extras po raz drugi już nie potrzebuję) oraz log z AD-Remover z opcji Scan. Dołącz także log z wynikami usuwania wygenerowany w punkcie 2. .

Zakładasz temat w dziale diagnostyki malware, a ten obowiązują zasady tzn. podanie logów: KLIK. No tak, ale jakie aplikacje i jaki błąd? Precyzyjnie podaj. .

Tylko, że ani ComboFix (notabene: użyty niepotrzebnie, nie powinieneś go startować, to nie jest skaner domowego użytku) ani MBAM nie wykryły infekcji i nie kasowały żadnych robaków. 1. MBAM wykrył kombinację z aktywatorem: Zainfekowanych plików:c:\WINDOWS\system32\winlogon.Del (Heuristics.Reserved.Word.Exploit) -> No action taken. 2. ComboFix kasował winlogon.bak od kombinacji aktywatorem, pliki pk*.pif są od Total Commander (przypuszczalnie skasowane przez ComboFix ze względu na zerowe parametry), zaś CSC to pliki offline i ów d6 także jest na moim XP (nie wiem dlaczego ComboFix go ruszył, choć obserwuję powtarzalność tego na różnych czystych systemach): ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) c:\windows\CSC\d6 c:\windows\pkunzip.pif c:\windows\pkzip.pif c:\windows\system32\winlogon.bak Poza tym, ComboFix należy teraz prawidłowo odinstalować, w Start > Uruchom > wklejając kombinację: "C:\documents and settings\waldek\Moje dokumenty\Pobieranie\ComboFix.exe" /uninstall Tak więc te programy nie powinny mieć żadnego związku z polepszeniem warunków bytowych. Znacznie bardziej prawdopodobne jako przyczyna jest: .