picasso

W cmd wklep komendę DISM /Online /? i pokaż co za spis obsługiwanych poleceń zostanie zwrócony.

Spróbuj czy coś zmieni (strona fixitpc otwarta): Ustawienia > Szybka konfiguracja > Preferencje dla witryny > Sieć > "Używaj pamięci podręcznej aplikacji" przestawione na "Nie" i restart Opery.

Start > w polu szukania mspaint > nic nie wyszukuje? Plik C:\Windows\system32\mspaint.exe obecny? Wygląda na to, że coś jest nie w porządku z tym wpisem i jego uruchomienie tworzy błąd. Wnioski = nie ponawiaj próby "deinstalacji tego", ręcznie to wytniemy. Podaj o który wpis Ci chodzi. Czy aktualnie checkdisk dla dysku C nie wykrywa już błędów? Przywracanie systemu zrekonstruowało także śmieciarskie paski sponsoringowe, ale to jest rzecz tu podrzędna. Na razie nie będziemy się tym zajmować. Wolę się upewnić, czy jednak nie ma tu aspektu atrybutów. Uruchom OTL, wszystkie opcje ustaw na Brak+Żadne, zaś w sekcji Własne opcje skanowania / skrypt wklej: DIR /A /S D:\ /C Klik w Skanuj i podaj log. .

SHIFT+Reload to pobieranie strony wprost z serwera. Skoro to działa (nawet jeśli jednorazowo), to sugeruje właśnie problem cache (zwłaszcza, że nasza strona przeszła dużą modyfikację stylu przy aktualizacji). Z tym, że Opera Portable powinna mieć z biegu wyłączone cache na dysku. Zweryfikuj jakie ustawienia są u Ciebie.

Plik z wynikami przetwarzania skryptu jest zapisywany w katalogu C:\_OTL. Skrypty są jednorazowego użytku. Ich powtarzanie nie ma sensu. W Twoim przypadku na zasadzie zbiegu okoliczności dało to wymierny rezultat tylko przy linii z Shell, tzn. pierwszy skrypt musiał skasować plik, ale nastąpiły trudności z usunięciem wpisu rejestru i dublowany skrypt to "poprawił". Z aktualnego raportu OTL wynika, że do usuwana zostały wpisy, które się pojawiły między pierwszym a ostatnim OTL (o czym mówiłeś), oraz te odznaczone w msconfig. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Processes killallprocesses :Files C:\Windows\eksplorasi.exe C:\Users\Satiris\AppData\Local\winlogon.exe C:\Users\Satiris\AppData\Local\smss.exe C:\Users\Satiris\AppData\Local\services.exe C:\Users\Satiris\AppData\Local\lsass.exe C:\Users\Satiris\AppData\Local\inetinfo.exe C:\Users\Satiris\AppData\Local\csrss.exe C:\Users\Satiris\AppData\Local\Bron.* :OTL O4 - HKLM..\Run: [bron-Spizaetus] C:\Windows\ShellNew\sempalong.exe () O4 - HKU\S-1-5-21-1283220790-2526940194-311693171-1000..\Run: [Tok-Cirrhatus] C:\Users\Satiris\AppData\Local\smss.exe () O7 - HKU\S-1-5-21-1283220790-2526940194-311693171-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1 MsConfig:64bit - StartUpFolder: C:^Users^Satiris^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Empty.pif - - File not found MsConfig:64bit - StartUpReg: Bron-Spizaetus - hkey= - key= - C:\Windows\ShellNew\sempalong.exe () MsConfig:64bit - StartUpReg: Tok-Cirrhatus - hkey= - key= - C:\Users\Satiris\AppData\Local\smss.exe () Klik w Wykonaj skrypt. System zostanie zrestartowany. 2. Przedstaw wyniki przetwarzania skryptu oraz nowy log z OTL wykonany opcją Skanuj. .

Sprawa rozwiązana. Otrzymałeś wcześniej instrukcje aktualizacji aplikacji. Jeśli to zostało wykonane (?), temat jest ukończony i kwalifikuje się do zamknięcia.

Na zakończenie wykonaj drobne aktualizacje aplikacji. Na Twojej liście zainstalowanych są widoczne: Internet Explorer (Version = 8.0.6001.19154) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java™ 6 Update 29 "{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java™ 6 Update 3 "{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java™ 6 Update 5 "{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}" = Skype™ 3.8 "{AC76BA86-7AD7-1033-7B44-A81300000003}" = Adobe Reader 8.1.3 "Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin "Gadu-Gadu 10" = Gadu-Gadu 10 - Szczegóły aktualizacyjne: INSTRUKCJE. Dla uwypuklenia: aktualizacja Internet Explorer jest istotna mimo nieużywania go, starsze Java możesz odinstalować, Flash Player jest w dwóch wersjach i to wersja dla IE ma nieznany status. - Poboczny tor dyskusji: GG10, jako program o dysproporcji na "korzyść" reklam i zbędnych funkcji, można wymienić alternatywą. W moim artykule Darmowe komunikatory są opisane alternatywy: AQQ, Kadu, WTW, Miranda. .

Nic mi o tym nie wiadomo, tym bardziej, że u mnie Opera Portable pobrana teraz z podanego przez Ciebie linka pokazuje stronę prawidłowo. Kombinacja SHIFT+Reload nie ma żadnych skutków?

Pokaż mi nowy log z OTL, który ma poświadczać zmiany. Przy okazji, Revo Uninstaller to nie jest dobry sposób dla usuwania antywirusów. Od tego są specjalizowane narzędzia producenta. W tym przypadku "Avast Uninstall utility" . Tu nie widać strasznych błędów, a nawet nie jest pewne czy to błąd rzeczywisty. Uruchomiłeś sprawdzanie dysku w niewłaściwych warunkach, tzn. w trybie "tylko do odczytu" spod działającego Windows. W takich warunkach następuje fałszowanie wyników. Wolumin musi być zablokowany podczas skanowania, czyli skanowanie podczas restartu systemu. Zrzut ekranu kończy informację na tym, że należy uruchomić checkdisk w trybie naprawczym przy restarcie = to miało miejsce? "Uruchomiłem system w trybie normalnym" = wyjaśnij mi czy to przejęzyczenie, czy stan faktyczny i jak to się stało / po której operacji? Na temat zawartości partycji D: - Czy na pewno masz odpowiednio ustawione opcje widoku (Opcje folderów i wyszukiwania > Widok > zaznaczone Pokaż ukryte pliki i foldery + odznaczone Ukryj chronione pliki systemu operacyjnego)? - Start > w polu szukania wpisz diskmgmt.msc > pokaż zrzut ekranu z widoku partycji .

Do uzupełniania odpowiedzi, gdy nikt jeszcze nie odpisał, służy opcja "Edytuj". Posty łączę. To oznacza, że Przywracanie systemu jest wyłączone i nie jest to prawidłowe. Skoro widzisz taki błąd, to zapewne przyczyną są te wpisy (mimo że są równe 0, co teoretycznie oznacza "nieczynną blokadę", to 1 powinno być aktywną blokadą): ========== System Restore Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] "DisableSR" = 0 "DisableConfig" = 0 Poniżej podaję instrukcje jak to zlikwidować. Przy obecności antywirusa (teraz Kaspersky, planowana instalacja Microsoft Security Essentials) aktywność Windows Defender nie jest pożądana, tak ze względu na wydajność, jak i realizowane funkcje. Mimo że Windows Defender został tu zdeaktywowany na poziomie usługi widzialnej w services.msc, nie zalecam jego ożywiana z podanych powodów. Zresztą po instalacji Microsoft Security Essentials i tak Windows Defender zostałby osłabiony, w celu zapobieżenia konfliktom. Skrypt pomyślnie przetworzył wszystkie zadania. Kolejne kroki do wykonania: 1. Drobna poprawka na ów wpis blokujący Przywracanie systemu oraz szczątek po Daemon Tools Toolbar. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] :Commands [reboot] Klik w Wykonaj skrypt. Po restarcie systemu w interfejsie Ochrony systemu opcja tworzenia punktów przywracania powinna wrócić na miejsce. 2. W OTL uruchom Sprzątanie, co zlikwiduje z dysku OTL wraz z jego kwarantanną. 3. Przeskanuj system za pomocą Malwarebytes' Anti-Malware. Przedstaw raport, jeśli coś zostanie wykryte. Pustego nie pokazuj. .

Temat oczyszczam, bo dyskusja zmierza w niepożądanym kierunku. najtro zaciemniłeś przez operacje w msconfig, poza tym sam notujesz że sytuacja uległa zmianie, co zapewne ma odbicie w innej postaci raportów. Mogę się odnieść tylko do starych OTL. To co sobie próbujesz deaktywować w msconfig to jest tylko część zestawu. Do Brontok należy także wpis powłoki 32-bit: O20 - HKLM Winlogon: Shell - ("C:\Windows\eksplorasi.exe") -C:\Windows\eksplorasi.exe () Plik HOSTS zmanipulowany przez robaka i zablokowany regedit. Te wszystkie obiekty są niedostępne do zarządzania z poziomu prymitywnego msconfig. A rejestr się samoczynnie nie odblokuje, polisę należy znieść. Ostrożny może i jesteś, ale na bakier z podstawami zabezpieczeń, bawisz się w proksyfikacje, a jednocześnie: Windows nieaktualizowany (brak SP i jak mniemam można się spodziewać i innych braków w łatach), brak jakiekokolwiek antywirusa z osłoną rezydentną, nie wygląda też na to, by zapora systemowa była czynna (a przynajmniej spekulować to można widząc kompletnie czyste klucze reguł). Brontok mógł wskoczyć przez nośniki USB typu pendrive czy e-mail. Wstępnie: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O20 - HKLM Winlogon: Shell - ("C:\Windows\eksplorasi.exe") -C:\Windows\eksplorasi.exe () O7 - HKU\S-1-5-21-1283220790-2526940194-311693171-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 :Commands [resethosts] [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. 2. Proszę o nowy log z OTL zrobiony na dostosowanym warunku, tzn. w polu Własne opcje skanowania / skrypt wklej msconfig i klik w Skanuj (a nie Wykonaj skrypt!). Dołącz także log z wynikami usuwania pozyskany w punkcie 1. .

Logi z OTL zrobione wg ustawień z innego forum (wklejana zdezelowana matryca skanów md5 w oknie), co wskazuje, że nie przeczytałeś zasad tutejszych i stąd te dwa kwiatki: Nie doczytałeś. GMER nie jest przeznaczony dla systemów 64-bit i nie działa na nich prawidłowo (większość opcji martwa). Jeśli chcesz przeskanować system 64-bit pod kątem rootkitów to: Kaspersky TDSSKiller + Sophos Antirootkit. Podobnie jest z HijackThis. Program kompletnie niezgodny z 64-bitami, sfałszowany raport. Pozbądź się tego programu z systemu. Poza tym, tu nie pada prośba na forum o "log z HijackThis" i jest dla tego dobry powód: słaby raport, mający się nijak do aktualnych warunków (nie adresuje połowy istotnych w analizie komponentów), w pełni zastępuje go znacznie bardziej poszerzony OTL, który na dodatek umie wyciągać prawidłowo dane z 64-bitowców. W logach brak znaków infekcji (tylko wątpliwa wtyczka video vShare, która próbuje śmiecić system). To nie daje gwarancji. Logi to jedynie wycinek z systemu i to, że w nich wszystko zdaje się być prawidłowe nie równa się pewności. Nie daję też gwarancji dla Windows jako takiego, wygląda na scrackowany loaderem, a wszelkie manipulacje tego rodzaju są automatycznie podejrzane. Skaner Pandy jednakże też siedzi cicho, więc jest możliwe, że przejęcie konta nie ma związku z lokalnym systemem. Tym bardziej, że nie dalej iż miesiąc temu był włam do bazy Steam: KLIK. Zmieniłeś oczywiście hasła? .

Temat przenoszę do Windows 7. Brak oznak infekcji. Listę logów skracam, tylko zestaw numer 2 pozostawiając. Komentarze stinx i Nights już odpowiadają na pewne kwestie, ja tylko dorzucę: 1. Jest nagrany błąd takiego rodzaju: Error - 2011-12-12 13:18:32 | Computer Name = doris-HP | Source = Service Control Manager | ID = 7001Description = Usługa Harmonogram zadań zależy od usługi Dziennik zdarzeń systemu Windows, której nie można uruchomić z powodu następującego błędu: %%1058 Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako administrator. Wyszukaj na liście Dziennik zdarzeń systemu Windows. Usługa powinna mieć typ startowy "Automatyczny" i mieć stan "uruchomiono". Co tam widzisz? 2. Możliwy potencjalny wpływ COMODO Internet Security. 3. Jest tu też kolekcja usług HP i możesz przetestować w jaki sposób system zachowuje się w stadium czystego rozruchu: KB929135. "Polski (programisty)" w ustawieniach regionalnych to ustawienie globalne systemu, u Ciebie nastąpiła najwyraźniej zmiana dla bieżącej aplikacji. stinx już podał przepis z CTRL+SHIFT do zastosowania przy aktywnym oknie aplikacji, w której wchodzi na odwrót. Można też: Panel sterowania > Zegar, język i region > Zmień klawiatury... > Zmień klawiatury > Pasek języka > przełącz z Ukryty na dowolną z pozostałych opcji, przejdź do okna aplikacji z odwrotnie działającym układem, pasek języka dynamicznie przeskoczy na "Polski (214)", co zmieniasz na "Polski (programisty)". Na koniec z powrotem ukrywasz pasek języka. PS. Jeszcze możesz wyczyścić drobne szczątki po rozszerzeniu WebRep Avast pozostawione w przeglądarkach IE + Firefox. To nie ma znaczenia dla problemów głównych, dlatego instrukcje schowane w spoilerze: .

Uprawnienia poprawne. Komendy w cmd poprawne. Jednakże skan OTL nie wykonał połowy, jest jakiś problem u Ciebie = znów "No captured output from command". Sprawdź czy da się przez plik BAT. Wklej poniższą zawartość do Notatnika: dir /s /a C:\Windows\System32\catroot >> C:\LOG.TXT dir /s /a C:\Windows\System32\catroot2 >> C:\LOG.TXT dir /s /a C:\Windows\System32\DriverStore\Temp >> C:\LOG.TXT attrib C:\Windows >> C:\LOG.TXT attrib C:\Windows\system32 >> C:\LOG.TXT attrib C:\Windows\system32\catroot >> C:\LOG.TXT attrib C:\Windows\system32\catroot2 >> C:\LOG.TXT attrib C:\Windows\system32\drivers >> C:\LOG.TXT pause Zapisz pod nazwą LIST.BAT i z prawokliku "Uruchom jako Administrator". Akcja utworzy plik C:\LOG.TXT. Jeśli plik nie będzie pusty, załącz go tu do wglądu. .

Punisher2010 to nie jest kompletny rejestr. Wysłałeś mi następujące pliki rejestrów użytkowników: [Restore]"USERS S-1-5-20" "Users\00000001\NTUSER.DAT" "C:\Windows\SERVIC~2\NETWOR~1\NTUSER.DAT" [Restore] "USERS S-1-5-19" "Users\00000002\NTUSER.DAT" "C:\Windows\SERVIC~2\LOCALS~1\NTUSER.DAT" [Restore] "USERS S-1-5-21-1239145955-3738724733-3856332993-500" "Users\00000003\NTUSER.DAT" "C:\Users\TEMP\NTUSER.DAT" [Restore] "USERS S-1-5-21-1239145955-3738724733-3856332993-500_Classes" "Users\00000004\UsrClass.dat" "C:\Users\TEMP\AppData\Local\MICROS~1\Windows\UsrClass.dat" Pomijając rejestry serwisowych usług, jest tu tylko rejestr konta Administrator (SID z końcówką 500), nie ma Twojego rejestru. Jak więc mogę porównać konta? Zaloguj się na swoje konto, z jego poziomu uruchom ERUNT i dorób zrzut Twojego rejestru. Nawiasem mówiąc, jest tu problem z ładowaniem kont. Konto Administrator jest "rozlinkowane" = ładowane za pomocą czystego profilu tymczasowego, startuje z katalogu C:\Users\TEMP a nie C:\Users\Administrator, a w rejestrze jest odpadkowy klucz HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-1239145955-3738724733-3856332993-500.bak. To będzie wymagało korekty. Na razie czekam na dosłanie brakującego rejestru. .

Symantec jest teraz wyłączony, usuń go do końca i tak nieco sfatygowany. Czy ja dobrze tu czytam, że ruszenie baterii "wspomogło" usunięcie czarnego ekranu? Jeśli nie ma tu żadnych przekłamań opisowych (choć bateria była wg opisu i wcześniej wyciągana), to może to jest problem czysto sprzętowy? .

Tekst "applaying update operation" sugeruje, że wykonuje się aktualizacja Windows. Zapomniałam zapytać (nigdzie nie widzę tej informacji): czarny ekran jest również przy próbie wejścia w Tryb awaryjny? Nie pomogło wyłączenie usług Symantec, to może zaprezentuj kompletny rejestr do wglądu. Przekopiuj na pendrive katalog C:\Windows\system32\config oraz plik C:\Users\Konto\NTUSER.DAT. Wszystko zapakuj do ZIP, shostuj gdzieś i prześlij na PW do analizy. .

Jedna z usług nie została wyłączona (klucz nie może być otworzony). Podałeś tylko log, ale nic się nie wypowiadasz na temat rezultatów namacalnych działań. Czarny ekran?

To już trzeci Asus z 64-bitowym systemem z podobnym zestawem przypadłości: KLIK / KLIK. Wykonaj te same kroki co podane w tematach: ShellExView i wyłączenie rozszerzenia ASUS WebStorage oraz próba z uruchomieniem HControl.exe. .

Moim zdaniem najbliżej objawów jest naruszenie struktury plików (komunikat od Gadu kręci się wokół tego, komunikat od Skype poświadcza naruszenie danych instalacyjnych programu bądź też maszyny Instalatora Windows), a nie wirusy, gdyż nie ma żadnego śladu czynnej infekcji, a znaleziska skanerów nie przedstawiają stosownej wagi. Na teraz nie ma żadnego dowodu, że działa tu wirus. 1. OTL Extras nie potrafi wyciągnąć błędów z Dziennika zdarzeń. Dostarcz oryginalne Dzienniki, czyli katalog Logs: KLIK. 2. Nic nie wypowiadasz się o skomasowaniu antywirusów. Zacznij je wywalać, by było wiadome czy czarny ekran przy starcie Windows na pewno nie jest z tym związany. Avast chyba się da deinstalować w awaryjnym (głowy nie dam), ale MSSE zapewne nie (w Trybie awaryjnym nie działa usługa Instalator Windows). 3. Wykonaj sprawdzanie powierzchni dysku za pomocą narzędzia checkdisk. Jednak Tryb awaryjny wchodzi, co nasuwa, że to element trybu normalnego jest wadliwy. Prócz antywirusów, również naruszenie sterowników grafiki mogłoby dać czarny ekran. Precyzyjnie = które, to się zweryfikuje czego naprawdę brak. Zakładam, że masz czynne obie opcje widoku i nie zwodzisz sam siebie (Opcje folderów i wyszukiwania > Widok > zaznaczone Pokaż ukryte pliki i foldery + odznaczone Ukryj chronione pliki systemu operacyjnego). Poza tym, użyłeś Przywracanie systemu, a jak mówiłam to cień woluminu i bardzo silny proces. Mogło cofnąć do stanu, gdy obiektów było mniej i jest to naturalne. Wiem, że jest, ale to nie ma żadnego znaczenia pod kątem: Pewnie dysk SATA. I tu klasyczny objaw przy próbie instalacji XP = XP nie widzi dysku lub pluje BSODem. CD XP to staroć, która nie ma stosownych sterowników trybu tekstowego dla kontrolerów mass storage. Trzeba zrobić gimnastykę na jeden z tych sposobów, by to obejść: Ale ale ... tu może być jeszcze gorzej (a widzę do czego zmierzasz rzucając się w XP bez przygotowania). Nawet jeśli przejdziesz instalację XP, może się okazać, że połowa urządzeń nie działa i działać nie będzie = brak sterowników (wsparcie dla XP jest konsekwentnie usuwane i dla niektórych podzespołów już nie znajdziesz wersji dla XP). Nigdy się nie robi downgradu Windows 7 do XP bez rozeznania, czy pod XP w ogóle sprzęt pójdzie i czy producent dostarcza sterowniki. Wiele osób popełniło taki błąd, a potem same problemy z brakiem dźwięku, pytajnikami w menedżerze i brakiem widoków na korektę tego. Niektórzy jeszcze popsuli w ten sposób na lapkach fabryczne systemy ładowane z Recovery, instalacja XP przebija MBR, a to jest grób dla takich mechanizmów i trzeba się znów nagimnastykować, by móc zainstalować oryginalny system po falstarcie z XP. Poza tym: bardzo zły pomysł, system przestarzały, pozbawiony wsparcia (MS wycofuje się, tylko czekać aż się okaże że Windows nie wspierany w ogóle), słabo zabezpieczony, a pierwsze co atakuje przy instalacji to robaki sieciowe. Nigdy w życiu nie wymieniłabym rozwiniętej architektury Windows 7 i to jeszcze 64-bit na taką 32-bitową 10-letnią nędzę XP. .

Tknęło mnie, bo tu są klasyczne objawy degradacji transferu dysku. Nie wiem jak sprawdzałeś wcześniej: .... skoro wyraźnie mówiłam: .... i powtarzałam: Masz PIO = dlatego się tnie. I tam w temacie jest podane jak się rozwiązuje taką sprawę, gdy DMA się nie da ustawić dla urządzenia, które je mieć powinno (lub zaistniała degradacja). Deinstaluje się kontrolery dysku > restart systemu > nastąpi samoistna przebudowa i system powinien przyznać ponownie DMA. To masz wykonać. .

Error - 2011-11-05 17:11:10 | Computer Name = PAWEL | Source = Ftdisk | ID = 262193Description = Konfigurowanie pliku strony dla zrzutu awaryjnego nie powiodło się. Upewnij się, że na partycji rozruchowej znajduje się plik strony i że jest wystarczająco duży, aby zawierać całą pamięć fizyczną. vs. 2,86 Gb Paging File | 2,51 Gb Available in Paging File | 88,03% Paging File freePaging file location(s): C:\pagefile.sys 0 0 [binary data] Nawiązując do poprzedniego tematu: moim zdaniem miesza tu TrueCrypt (porównawczo inny szyfrator i zbieżny błąd: KLIK). Jest to w raporcie program nabliższy związkom z pagefile.sys, co wyszczególniałam. Sam mówiłeś: "cos luzno pamietam, ze przy instalacji TrueCrypta dla dodatkowego bezpieczenstwa zalecane byly jakies machlojki z plikiem wymiany. Ale szczegolow za zadne skarby nie przytocze.". Ustalmy jak jest zrobione tutaj szyfrowanie TrueCryptem, która partycja? Prócz w/w aspektu pliku wymiany, może: .

Na temat logów: - Logi należy doczepiać metodą Załączniki. Przetransformuj. - To nie jest pełny log z OTL, brakuje członu Extras. Nie przestawiłeś opcji "Rejestr - skan dodatkowy" na "Użyj filtrowania". Uzupełnij. - Zatajona próba uruchomienia ComboFix = co robił / czy coś robił / gdzie jest jego log? Dołącz, jeśli log powstał. - W logu OTL brak jakichkolwiek znaków infekcji (tylko - bez znaczenia dla problemów - drobne odpadki po paskach adware). I nie jest pewne, że chodzi tu o infekcję (tym bardziej że system 64-bit = to redukuje znacznie potencjalne kombinacje i ogranicza infekcje, które mogłyby robić to co przedstawiasz). Równie dobrze: ... przy zawieszeniu systemu użycie programu zajmującego się usuwaniem plików z dysku mogło doprowadzić do uszkodzenia struktury plików, bądź błędu programowego skutkującego utratą danych. Skaner MKS od dawna ledwo zipie i jest niewiarygodny, a oficjalnie marka MKS już nie istnieje (KLIK). Następnie: jakie skanery jeszcze były używane (dokładnie wylicz) i co wykrywały (dokładnie wylicz)? W raporcie widzę: MBAM, ESET, UnhackMe, Avast i MSSE = co one widziały? Hasło "wykrywały wirusy" musi być zweryfikowane, na ile istotne były wykrycia, równie dobrze mogły to być jakieś banały bez związku. Przywracanie systemu w Windows 7 to potężny mechanizm, cały cień woluminu jest nakładany. Jeśli to miało mierne skutki (przy założeniu, że wróciłeś system do dostatecznie starego punktu) = marnie to widzę. Rozwiń wątek "sporo plików systemowych też znikneło". Dokładnie to opisz: co się dzieje przy próbie startu w Trybie normalnym? Na czym polega "niedziałanie" komunikatorów? Jak mówię, na razie żadnych znaków infekcji. Za to widoczna bardzo niepożądana kombinacja na chodzie: działa równoległe Avast z Microsoft Security Essentials. Jeden z nich musi zostać całkowicie odinstalowany w trybie natychmiastowym, bo połączenie dwóch antywirusów z rezydentem może skutecznie zablokować start systemu. Oba zresztą są związane silnie z działaniem sieci i takie zderzenie może zablokować net. Najlepiej wyrzucić oba, by się przekonać jak zacznie po tym działać system. .

Usługa jest wyłączana, ponieważ działa tu trojan w postaci pary ukrytych plików: [2011-12-12 08:40:09 | 000,000,308 | -HS- | M] () -- C:\Windows\tasks\Azznztzyu.job[2011-02-17 14:06:41 | 000,090,112 | RHS- | C] () -- C:\Windows\System32\cs-CZY.dll Trojan ten nokautuje: Centrum zabezpieczeń, Ochronę systemu, Windows Defender oraz Microsoft Security Essentials. Ponadto: są ślady po podpinaniu zainfekowanych urządzeń USB oraz obiekt udający "ctfmon" Windows (na zasadzie literówki "cftmon"). I niekorzystnie zmodyfikowany plik HOSTS (prawdopodobnie robota programu w rodzaju Spybot Search & Destroy). 1. Odinstaluj śmiecia sponsoringowego DAEMON Tools Toolbar. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\tasks\Azznztzyu.job C:\Windows\System32\cs-CZY.dll C:\Program Files\Common Files\microsoft shared\Web Components\cftmon.exe C:\Users\Kasia\AppData\Local\Temp*.html :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "cftmon.exe"=- "Symantec PIF AlertEng"=- :OTL FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.) :Commands [resethosts] [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. 3. Aktywuj poszkodowane infekcją funkcje: - Z usługą już wiesz jak się obchodzić, powinna mieć start "Automatycznie (opóźnione uruchomionie)" i stan "Uruchomiono" (po usunięciu przeszkody trojana powinno pruć samodzielnie, o ile Typ startowy będzie prawidłowo skonfigurowany). - Panel sterowania > System i konserwacja > System > Ochrona systemu > zaznacz dysk z Windows do ochrony - Windows Defender jawnie wyłączony, ale go sobie darujemy. Przy Kasperskym zbyt duże skomasowanie aktywnych czyjników. 4. Wygeneruj do oceny nowy log z OTL opcją Skanuj (Extras już nie potrzebuję). Dołącz log z wynikami usuwania pozyskany w punkcie 2. .

Bazując na odwrotności danych z innego tematu (KLIK): 1. Upewnij się, że zadanie WinSAT jest obecne + włączone. 2. Opróżnij aktualną zawartość folderu C:\Windows\Performance\WinSAT\DataStore (by usunąć ewentualnie naruszone dane). 3. Uruchom regedit i sprawdź czy masz poniższe klucze: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Control Panel\Performance Control Panel HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\Control Panel\Performance Control Panel Nasuwa się też pytanie: nie zachodziły tu aby jakieś zmiany sprzętowe tuż przed wystąpieniem problemu? .