picasso

Precyzyjnej diagnozy nie wystawię, ale mam kilka podejrzeń i uwag: Na temat gadżetów: 1. Na początek lista gadżetów niedomyślnych z Autoruns: [codeplain]"C:\Users\Plusio\AppData\Local\Microsoft\Windows Sidebar\Settings.ini" "" "" "" + "" "" "" "C:\Program Files\Windows Sidebar\Shared Gadgets\Kaspersky.Gadget" + "Black Glass CPU Meter" "See the current computer CPU and system memory (RAM). Reskin By Shadowline Designs" "Shadowline Designs" "C:\Users\Plusio\AppData\Local\Microsoft\Windows Sidebar\Gadgets\GCPU.Gadget\en-us\Gadget.xml" + "Network Meter" "The Network Meter will show you SSID, Signal Quality, Internal IP address, External IP address, IP lookup with Google Maps, Speed test, Upload speed, download speed, total of usage and connection is secure or not secure." "AddGadget" "C:\Users\Plusio\AppData\Local\Microsoft\Windows Sidebar\Gadgets\Network_Meter_V6.3 (1).gadget\Gadget.xml" + "Pogoda" "Obserwuj pogodę w różnych miejscach na świecie." "Microsoft Corporation" "C:\Program Files\Windows Sidebar\Gadgets\Weather.Gadget\pl-PL\Gadget.xml"[/codeplain] Zamknij wszystkie gadżety i upewnij się, że został odładowany z procesów sidebar.exe. Przeprowadź następujące operacje: [*]W spisie widać martwy gadżet po Kasperskym. Usuń z dysku widoczny tu element Kaspersky.Gadget. Sprawdź jak po tym zachowują się gadżety. Jeśli problem nadal, po Kasperskim może być więcej śladów, przypuszczalnie jeszcze pozostawił konfigurację w pliku settings.ini, podobną do tego (to z mojego testowego systemu ślad pozostawiony po deinstalacji): [section 1] PrivateSetting_GadgetName="C:%5CProgram%20Files%5CWindows%20Sidebar%5CShared%20Gadgets%5CKaspersky.Gadget" Skin="Default" PrivateSetting_GadgetDropLocationX="1054" PrivateSetting_GadgetDropLocationY="0" PrivateSetting_GadgetSize="small" ActionLeft="1" ActionRight="0" Zamiast ręcznie edytować plik settings.ini (który zresztą może mieć więcej niedobrych definicji): [*]W związku z obecnością gadżetów doinstalowanych, przetestuj jak zachowują się gadżety zredukowane tylko i wyłącznie do układu firmowego. Szybkie zerowanie konfiguracji opisane w tym tutorialu: KLIK (ustęp Awaryjne resetowanie paska i gadżetów). Jeśli po sprowadzeniu gadżetów do układu domyślnego wszystko będzie działać prawidłowo, winę prawdopodobnie ponosi zły settings.ini i/lub jeden z gadżetów doinstalowanych przez Ciebie. Jeśli nic z tego testu nie wyjdzie: 2. Podejrzenia mogą też budzić nienaturalne modyfikacje czy hooki. Konkretniej tutaj: ----> Dexpot do wirtualnych Pulpitów i załadowany jego moduł. Upewnij się, że ten program nie ma nic do rzeczy w kwestii działania gadżetów. MOD - [2010-11-04 10:14:50 | 000,045,568 | ---- | M] (Dexpot GbR) -- D:\Dexpot\hooxpot.dll ----> Tweaker Sunrise Seven, co w nim mieszałeś? Na razie po znakach pośrednich w logu wnioskuję, że przynajmniej patchowałeś plik powłoki explorer.exe (bitmapy przycisku Orb?). Kolejną rzeczą do sprawdzenia będzie więc odkręcenie poczynionych modyfikacji i przywrócenie oryginalnego pliku explorer.exe. [2011-03-10 14:22:56 | 002,872,320 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe[2011-03-09 21:08:06 | 002,870,272 | ---- | C] (Microsoft Corporation) -- C:\Windows\explorer.exe.Back [2011-03-09 21:00:13 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sunrise Seven 3. Wreszcie, zaktualizuj Internet Explorer (silnik bazowy dla gadżetów) do wersji Internet Explorer 9 . 64bit- Ultimate Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstationInternet Explorer (Version = 8.0.7601.17514) Na temat reszty: 1. Cóż, ja tu bym rozpoczęła od sprawdzenia jak działa system uwolniony od BitDefender Internet Security 2010 (kompletna deinstalacja a nie zabawy w i tak niepełną deaktywację). Wersja nie jest najnowszą, a typ oprogramowania dość mocny. 2. Patrząc na Dziennik zdarzeń: Error - 2011-03-25 16:53:33 | Computer Name = PC | Source = MsiInstaller | ID = 11406Description = Product: BitDefender Internet Security 2010 -- Error 1406. Could not write value Device to key \.DEFAULT\Software\SetID\Internal. System error . Verify that you have sufficient access to that key, or contact your support personnel. Error - 2011-03-25 16:53:34 | Computer Name = PC | Source = MsiInstaller | ID = 11406 Description = Product: BitDefender Internet Security 2010 -- Error 1406. Could not write value Device to key \.DEFAULT\Software\SetID\Internal. System error . Verify that you have sufficient access to that key, or contact your support personnel. Error - 2011-03-25 16:53:34 | Computer Name = PC | Source = MsiInstaller | ID = 11406 Description = Product: BitDefender Internet Security 2010 -- Error 1406. Could not write value Device to key \.DEFAULT\Software\SetID\Internal. System error . Verify that you have sufficient access to that key, or contact your support personnel. Error - 2011-03-25 16:53:35 | Computer Name = PC | Source = MsiInstaller | ID = 11406 Description = Product: BitDefender Internet Security 2010 -- Error 1406. Could not write value Device to key \.DEFAULT\Software\SetID\Internal. System error . Verify that you have sufficient access to that key, or contact your support personnel. Error - 2011-03-25 16:53:35 | Computer Name = PC | Source = MsiInstaller | ID = 11406 Description = Product: BitDefender Internet Security 2010 -- Error 1406. Could not write value Device to key \.DEFAULT\Software\SetID\Internal. System error . Verify that you have sufficient access to that key, or contact your support personnel. Error - 2011-03-25 16:53:35 | Computer Name = PC | Source = MsiInstaller | ID = 11406 Description = Product: BitDefender Internet Security 2010 -- Error 1406. Could not write value Device to key \.DEFAULT\Software\SetID\Internal. System error . Verify that you have sufficient access to that key, or contact your support personnel. Error - 2011-03-25 16:54:10 | Computer Name = PC | Source = MsiInstaller | ID = 11406 Description = Product: BitDefender Internet Security 2010 -- Error 1406. Could not write value Device to key \.DEFAULT\Software\SetID\Internal. System error . Verify that you have sufficient access to that key, or contact your support personnel. Błąd instalatora BitDefender. Trudno ocenić czy ten konkretny błąd to jest wina tego konkretnego instalatora czy właśnie ujawnienie się problemu ogólnego Instalatora Windows. ----> Wstępnie, sugerując się sformułowaniem błędu, sprawdź w rejestrze prawa dostępowe. Start > w polu szukania wklep regedit > wyszukaj klucz: HKEY_USERS\.DEFAULT\Software Z prawokliku z menu kontekstowego pobierz opcję Uprawnienia i przedstaw jakie konta widzisz i jaki dostęp one posiadają. Podobnie postąp schodząc głębiej do podklucza figurującego na błędzie. ----> Między Twoimi postami upłynęło kilka dni. W Dzienniku zdarzeń może być już więcej danych. Wejdź doń i szukaj błędów ze źródłem MsiInstaller. Znalezione tu zaprezentuj. Error - 2011-03-25 17:04:18 | Computer Name = PC | Source = System Restore | ID = 8193Description = Nie można utworzyć punktu przywracania (Proces = C:\Windows\system32\DrvInst.exe "4" "20" "C:\Users\Plusio\AppData\Local\Temp\{67cc525b-2a42-6723-9673-6701867e6536}\netlwf.inf" "9" "63893adbf" "000000000000059C" "WinSta0\Default" "00000000000004D0" "208" "C:\Program Files\Common Files\BitDefender\BitDefender Firewall"; Opis = Device Driver Package Install: BitDefender LLC Network Service; Błąd = 0x81000101). Error - 2011-03-26 06:54:13 | Computer Name = PC | Source = System Restore | ID = 8193 Description = Nie można utworzyć punktu przywracania (Proces = C:\Windows\system32\rundll32.exe /d srrstr.dll,ExecuteScheduledSPPCreation; Opis = Scheduled Checkpoint; Błąd = 0x81000101). Error - 2011-03-26 06:54:13 | Computer Name = PC | Source = System Restore | ID = 8211 Description = Nie można utworzyć zaplanowanego punktu przywracania. Informacje dodatkowe: (0x81000101). To też trudno mi oceniać. Takie przekroczenie czasu dla tworzenia punktu Przywracania nie wyklucza wpływu oprogramowania zabezpieczającego. Ponownie przypominam się z BitDefender. Error - 2011-03-25 16:23:43 | Computer Name = PC | Source = Service Control Manager | ID = 7026Description = Nie można załadować następujących sterowników startu rozruchowego lub systemowego: kl2 Pozostałość po Kasperskym. Start > w polu szukania wklep devmgmt.msc > z menu Widok włącz pokazywanie ukrytych, ujawni się lista "Sterowników niezgodnych z Plug and Play". Na liście wyszukaj obiekt o nazwie kl2, odinstaluj i zresetuj komputer. Po tej operacji zlikwiduj usługę: Start > w polu szukania wklep cmd > wpisz komendę sc delete kl2. Error - 2011-03-25 16:38:43 | Computer Name = PC | Source = Disk | ID = 262155Description = Sterownik wykrył błąd kontrolera na \Device\Harddisk1\DR1. Error - 2011-03-25 16:38:44 | Computer Name = PC | Source = Disk | ID = 262155 Description = Sterownik wykrył błąd kontrolera na \Device\Harddisk1\DR1. Error - 2011-03-25 16:38:44 | Computer Name = PC | Source = Disk | ID = 262155 Description = Sterownik wykrył błąd kontrolera na \Device\Harddisk1\DR1. Error - 2011-03-25 16:38:45 | Computer Name = PC | Source = Disk | ID = 262155 Description = Sterownik wykrył błąd kontrolera na \Device\Harddisk1\DR1. Error - 2011-03-26 07:06:01 | Computer Name = PC | Source = Disk | ID = 262155 Description = Sterownik wykrył błąd kontrolera na \Device\Harddisk1\DR1. Error - 2011-03-26 07:06:01 | Computer Name = PC | Source = Disk | ID = 262155 Description = Sterownik wykrył błąd kontrolera na \Device\Harddisk1\DR1. Error - 2011-03-26 07:06:02 | Computer Name = PC | Source = Disk | ID = 262155 Description = Sterownik wykrył błąd kontrolera na \Device\Harddisk1\DR1. Error - 2011-03-26 07:06:02 | Computer Name = PC | Source = Disk | ID = 262155 Description = Sterownik wykrył błąd kontrolera na \Device\Harddisk1\DR1. Error - 2011-03-26 07:06:03 | Computer Name = PC | Source = Disk | ID = 262155 Description = Sterownik wykrył błąd kontrolera na \Device\Harddisk1\DR1. Takie jeszcze tu błędy widać, kierujące na dysk numerowany jako 1. W Twoim logu są widzialne: Drive C: | 29,29 Gb Total Space | 9,17 Gb Free Space | 31,31% Space Free | Partition Type: NTFSDrive D: | 203,59 Gb Total Space | 158,94 Gb Free Space | 78,07% Space Free | Partition Type: NTFS Drive K: | 1,92 Gb Total Space | 0,01 Gb Free Space | 0,26% Space Free | Partition Type: FAT Przypuszczalnie dyskiem o numerze 1 będzie D, choć to tylko założenie w ciemno. Windows Vista i 7 mają problem z numerowaniem (KLIK), który zresztą jest i u mnie (wedle prawideł sprzętowych mojej konfiguracji jako dysk 0 powinien być wyliczony dysk z Windows, a on dostał właśnie numer 1 a nie 0). Spójrz sobie w Start > diskmgmt.msc > jak Windows widzi kolejność dysków i który jest ową jedynką. A do testowania dysku: MHDD. .

Nie mam pojęcia na jakich przesłankach się opierasz i skąd pomysł że aktualizacje zabezpieczeń są zupełnie nieistotne i można pokręcić nosem. Czy Ty się aby nie spodziewasz "nowych funkcji"? Nie w tym rzecz z tą aktualizacją.

Pokaż jakiego, bo w GMER są ślady po infekcji rootkitem w MBR i nie jest dla mnie jasne jak stare te ślady są i czy jest wymagana np. natychmiastowa wymiana haseł logowań. Dokładnie o to chodzi. Nie jestem pewna co sobie wyobrażasz patrząc na sformułowanie "Sprzątanie", chyba nie wydaje Ci się że to jest jakiś "sprytny tweaker" wykonujący globalne porządki? Nic z tego. Sprzątanie w OTL ma usunąć z dysku wszystkie składniki OTL i inne elementy używanych specjalistycznych programów do walki z malware (tylko tych które zaplanowało narzędzie) oraz przestawić widoczność plików i rozszerzeń do poziomu domyślnego. W Twoim przypadku ogranicza się to tylko do programu OTL. Po co usuwać OTL? A po co masz go trzymać na dysku skoro nie potrafisz samodzielnie zanalizować logów, zaś by wygenerować logi do oceny przez kogoś innego i tak zawsze należy pobierać od nowa OTL (często aktualizowany)? .

Rozwiń wypowiedź. Grzebiąc w Dzienniku zdarzeń, są jeszcze te błędy startu usług: Error - 2011-04-03 06:37:51 | Computer Name = Roger-Komputer | Source = Service Control Manager | ID = 7000Description = Nie można uruchomić usługi inetUpServ z powodu następującego błędu: %%2 Error - 2011-04-03 06:37:53 | Computer Name = Roger-Komputer | Source = Service Control Manager | ID = 7026 Description = Nie można załadować następujących sterowników startu rozruchowego lub systemowego: NetworkX 1. Usługa inetUpServ powinna pochodzić od adware (KLIK). Adware u Ciebie było, ponieważ usuwaliśmy skryptem tę stronę startową: IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://myclearsearch.com/" Ale usługi inetUpServ figurującej na błędzie nie ma w logu z OTL widocznej. Na wszelki wypadek pokaż nowy log z OTL, ale inaczej skonfigurowany: sekcję Usługi ustaw na Wszystko, ale wszystkie pozostałe sekcje przestaw na Brak, a wyszukiwanie plików na Żadne. Jeśli tego tam nie będzie widać, każę jeszcze sprawdzić rejestr. 2. Sterownik NetworkX pochodzi od systemu zabezpieczeń Crypkey: SRV - [2006-09-22 01:33:15 | 000,069,632 | ---- | M] (CrypKey (Canada) Ltd.) [Auto | Running] -- C:\Windows\SysWow64\Crypserv.exe -- (Crypkey License)DRV - [2006-01-10 04:47:27 | 000,031,846 | ---- | M] () [Kernel | System | Stopped] -- C:\Windows\system32\ckldrv.sys -- (NetworkX) [2011-02-26 12:46:18 | 000,000,047 | ---- | C] () -- C:\Windows\Crypkey.ini [2011-02-26 12:46:14 | 000,031,846 | ---- | C] () -- C:\Windows\SysWow64\Ckldrv.sys [2011-02-26 12:46:14 | 000,027,648 | R--- | C] () -- C:\Windows\Setup_ck.exe [2011-02-26 12:46:14 | 000,018,432 | ---- | C] () -- C:\Windows\Setup_ck.dll [2011-02-26 12:46:14 | 000,011,776 | ---- | C] () -- C:\Windows\Ckrfresh.exe Prawdopodobnie sterownik nie startuje z powodu tego, że oprogramowanie jest stare i 32-bitowe (na x64 wymagane natywne kompilacje 64-bitowe sterowników). Oprogramowanie weszło pewnie z jednym z instalowanych programów, toteż nie będę tu podejmować żadnej akcji. Pierwszy przykład masz we własnym temacie: przecież usługa Centrum zabezpieczeń nie jest tu pokazana w raporcie (OTL idzie przez system filtrowania). Analiza logów to nie wszystko. Log to tylko pewna szybka pomoc dla osoby, która dysponuje już wiedzą. A nie na odwrót. Zaś do tego by analizować logi z OTL jest wymagana bardzo dobra znajomość systemu (nie wspominając o wielkiej praktyce w walce z malware). Osoba obeznana z Windows nie potrzebuje żadnych instrukcji do raportów, bo wszystko jest samo przez się zrozumiałe. By prawidłowo przeczytać raport, musisz mieć w jednym palcu cały rejestr Windows i nie tylko. Jeśli interesują Cię owe logi z OTL, od tego właśnie zaczynaj = poszerzanie wiedzy o systemie, w przeciwnym wypadku nigdy nie będziesz w stanie wykonać poprawnej analizy i rozwiązywać samodzielnie zadań tego pokroju. .

"Podobna ilość danych"? Skoro tylko "podobna" to nie można tego brać serio. Ilość zainstalowanych aplikacji to nie jest wymierny parametr porównawczy. Potrafię bardzo łatwo zmanipulować wyniki mając dwa identyczne systemy i np. po jednym zainstalowanym programie na każdym z nich. Różnica: rodzaj zainstalowanych programów oraz rodzaj danych które tworzą. Jeden program może utworzyć bardzo rozgałęziony system kluczy, drugi wprowadza jeden nędzny zapis. Etc... Kolejna sprawa: pliki rejestru jako takie, czyli ich lokalizacja na dysku i stopień fragmentacji tegoż oraz stopień skompaktowania plików rejestru. Następnie: rodzaj oprogramowania zabezpieczającego i ilość pracujących w tle procesów. Wreszcie: sprzęt. Zbyt dużo czynników. Osobiście nie znam żadnej precyzyjnej metody porównaczej dla ferowania wyroków tego rodzaju. Przy okazji: może Cię zainteresuje konsolowy program RegBench, który para się prowadzeniem bardzo podstawowych benchmarków rejestru. Większe znaczenie dla szybkości rejestru ma nie tyle usuwanie zbędnych wpisów co scalenie plików rejestrów i defragmentacja dysku na którym rezydują. Owa "optymalizacja" = kompaktowanie? I czym defragmentujesz dysk (czy aplikacja posiada opcję "Boot time")? W Twoim poprzednim temacie mówiłam: Odpowiedziałeś: Pytam: na jaki? To może być (pożyteczna) blokada tych stron. To jest w Internet Settings, klucz zbiera zarówno witryny z ograniczeniem jak i witryny zaufane, a to co różni wpisy to przypisana im wartość i ona jest decydująca w ocenie. To co mi prezentujesz wygląda na działanie immunizacyjne przeprowadzone przez któryś program (przykłady: Spyware Blaster / Spybot Search & Destroy). Przedstawiłeś obrazki fragmentaryczne, akurat wycinając wszystkie istotne dane. Czyli, w którym kluczu to widzisz: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains Oraz co widzisz otwierając dowolny klucz witryny w wartości http, czy jest to 2 (Witryna zaufana) czy 4 (Witryna z ograniczeniami). Można to zrobić za jednym pociągnięciem, przez zwyczajny import rejestru zerujący klucze Domains: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains] .

W Załącznikach dopuszczam tylko rozszerzenie TXT. Ależ dało. Infekcja została usunięta, a to że Centrum nie działa = to tylko pośredni skutek działania infekcji i po usunięciu nie ma żadnych trudności teraz z ponownym włączeniem Centrum. 1. Włączenie Centrum: Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator > na liście wyszukaj usługę Centrum zabezpieczeń, z dwukliku przejdź do Właściwości usługi i Typ startowy przestaw na Automatyczny (opóźnione uruchomienie). Po tej akcji Centrum zacznie działać. 2. Przy okazji, skasuj folder tego sponsora (wszedł z instalacją Orbit Downloader): C:\Users\Roger\AppData\Roaming\ProgSense. 3. Wyczyść foldery Przywracania systemu: INSTRUKCJE. 4. Po ukończeniu zadań oczekuje główna aktualizacja całego Windows: 64bit- Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstationInternet Explorer (Version = 8.0.7600.16385) Czyli Service Pack 1 i Internet Explorer 9. Szczegóły aktualizacyjne: INSTRUKCJE. PS. Jaki jest powód, że mając WTW równocześnie używasz przestarzałego niepełnosprawnego Spika? Jeśli obsługa konta na serwerze Spik = zgodzę się (WTW nie pozwoli zalogować archaicznego serwera), ale jeśli inne motywy, to mnie ciekawi jakie. .

Może rozpocznij od klasyki, czyli przedstawienia wyglądu systemu. Poproszę o logi z OTL. Tak się zastanawiam ... Hasło pasek boczny + IE9 = czy Ty nie władowałeś przypadkiem ponownie Kasperskiego? Już raz uziemił gadżety. Pozostała po nim w owym czasie nieukończona sprawa z Onetem: KLIK / KLIK. Dawno już to było, pewnie nieaktualne. Informacyjne, należało przerejestrować pliki skryptowe wyrejestrowane przez Kasperskiego (KLIK).

Zakładam, że log jest zrobiony z poziomu tego samego konta na którym występuje defekt (w przeciwnym wypadku log nie pokazuje ustawień właściwego konta i należy go zrobić będąc zalogowanym na tym drugim koncie). Tamten wpis zniknął i nie widzę tu żadnego innego pasującego do efektu. Zwykle efekt pochodzi z: modyfikowanej wartości Userinit, wielokrotnego powielenia odniesień do explorer.exe (np. nieprawidłowo w Autostarcie / podwójny zapis Shell) lub też z błędów w zamknięciach ścieżek. Nie widzę tu nic z tej kolekcji. Aczkolwiek OTL ma system filtrowania. Proszę wygeneruj nowy log, ale tym razem przestaw pozycję Rejestr z Użyj filtrowania na Wszystko i pokaż wynikowy log. PS. Będziesz miał problem z usunięciem tego pliku: File not found -- C:\Documents and Settings\user\Pulpit\Na_szczescie.pps W związku z wadą nazwy jest "niewidzialny" dla systemu. Skorzystaj z tego tutoriala: KLIK (ustęp Nieprawidłowa nazwa pliku lub folderu i programy DeleteFXPFiles / Directory Fixer). .

Ta treść była kierowana do drugiego moderatora. Proszę mi pokazać nowy log z OTL. To sobie wyłącz powiadomienia w Centrum zabezpieczeń. .

Ale ja tu nie widzę w ogóle wzmianki o tym, czy próbowałeś najpierw zainstalować Windows Installer 4.5 (podałam link, w którym ktoś rozwiązał ten błąd tym sposobem), a dopiero po tym próba z SP2.

To nie ten obiekt. To jest inny wpis: O4 - HKLM..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe (Acer Inc.) ... wyłączony przez Autoruns (dlatego zostało to przemigrowane do podstruktury "AutorunsDisabled"). Sprawa strasznie dla mnie zagmatwana dlaczego jest taka różnica w detekcji wpisu między OTL a Autoruns. Zróbmy inaczej: przejrzę Twój rejestr osobiście. Proszę wytwórz kopię rejestru za pomocą ERUNT, jako miejsce kopii wskaż pusty folder utworzony na Pulpicie do tego celu, po ukończeniu zadania zapakuj wygenerowane pliki SOFTWARE + NTUSER.DAT do pliku ZIP, umieść na jakimś hostingu i podaj mi do tego link. .

Pomijając, że tu jest nieprawidłowa spacja w SID konta: :Reg [HKEY_USERS\ S-1-5-21-746137067-1390067357-839522115-1003\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe" .... przecież tego nie ma po co dodawać (i tak już jest właśnie ustawione). To jest HKCU (w OTL interpretowane przez SID użytkownika) a nie HKLM. Nie ma takiego wpisu na czystym systemie. To należy właśnie całkowicie usunąć, bo jest duplikat startu powłoki i zapewne dlatego pojawiają się przy starcie Moje dokumenty: O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)O20 - HKU\S-1-5-21-746137067-1390067357-839522115-1003 Winlogon: Shell - (explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- Klik w Wykonaj skrypt. Zresetuj system i podaj wyniki. .

Z takimi danymi daleko nie zajedziemy w temacie. Rozpocznij od realizacji ogłoszenia działu KLIK, konkretniej logi z OTL.

Nie jestem Ci w stanie pomóc, ponieważ w ogóle nie rozumiem problemu. Nadal nie wiem na czym polega defekt z save. Może inaczej: a po czym poznajesz, że jest problem? W Vista i 7 "Documents and settings" to jest C:\Users. Zaś ów Documents and settings (spójrz na nazwę = z XP) to nie jest folder w normalnym rozumieniu (!), to tylko link symboliczny do C:\Users dla zachowania wstecznej kompatybilności. Jest chroniony przez uprawnienia, by zapobiec m.in. właśnie temu co chcesz zrobić = interesowaniu się tym (tego się w ogóle nie odwiedza / nie otwiera). Poza tym, nie należy właśnie wykonywać tych czynności z artykułu. Na Windows 7 pliki desktop.ini są w tych lokalizacjach i mają pozostać (po ich usunięciu utracisz polonizację nazw tych folderów, przykład jak to działa: KLIK). Jeśli otwiera Ci się przy starcie plik desktop.ini, to spróbuj ponownie nałożyć właściwe atrybuty (SH = systemowy ukryty). Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i wklep polecenie: ATTRIB +H +S "C:\Users\Sickpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini" Po tej akcji, po restarcie systemu, w Menu Start rozwinięcie folderu Autostart nie powinno już pokazywać pliku desktop.ini (mimo, że on nadal będzie). Ta akcja na pewno likwiduje problem, ponieważ dokładnie taki sam był kiedyś na mojej wirtualnej maszynie. .

Był wymuszony restart. Sprawdź strukturę plików. Czyli startuj z płyty do WinRE, wybierz Wiersz polecenia i wklep komendę chkdsk X: /f /r (gdzie X = litera dysku z systemem).

To zmienia postać rzeczy. Wstępnie spróbuj programu Unassoc. Wyszukaj w nim rozszerzenie LNK (widzę na obrazku, że dotknęło skróty = nie widzę EXE per se) i popatrz czy dla tego typu jest czynna opcja Remove file association (User). Jeśli jest, skorzystaj z niej i zresetuj system. Jeśli zaś nie będzie to czynne, to podam import rejestru dla asocjacji LNK.

To jeden i ten sam sposób, polegający na skasowaniu pliku. Spróbuj zresetować cache przez drugi sposób: zmianę głębi kolorów 32-bit > 16-bit i z powrotem. Co do logów, jeszcze te drobnostki zostały: O3 - HKU\S-1-5-21-2069011637-85178407-3009836015-1000\..\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found.O3 - HKU\S-1-5-21-2069011637-85178407-3009836015-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. W kluczu: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser Skasuj te dwa widoczne tu {numerki}. .

To nie błąd. Niezalogowany działa w oparciu o ustawienie główne strefy czasowej w panelu ACP, zalogowany zaś bazuje na ustawieniach swojego profilu które nanoszą poprawkę na przeskoki czasu zimowego > letniego. Cytuję z panelu ACP: Native Server Time Zone If you have chosen the correct timezone and the clock is an hour out, this is because of daylight savings time and your members can correct this by editing their 'Board settings' via their User Control Panel. Po to są właśnie ustawienia w profilu, konkretniej opcja "Korekcja DST" (Daylight Savings Time). Dla gości nie ma takiej możliwości.

Objaw wskazuje na naruszenie cache ikon: [2011-03-27 19:07:12 | 001,215,530 | -H-- | M] () -- C:\Users\marecki\AppData\Local\IconCache.db Zresetuj to cache. Metody: KLIK. Co do logów: 1. Te dwa serwisy możesz całkowicie usunąć (Autoruns > karta Services): SRV - File not found [Disabled | Stopped] -- -- (JBOEQW)SRV - File not found [Disabled | Stopped] -- -- (CDUFSLAW) 2. Odinstaluj free-downloads.net Toolbar. 3. Skasuj te pliki (po infekcji): [2010-03-04 00:57:45 | 000,000,012 | ---- | C] () -- C:\Users\marecki\AppData\Roaming\rbuwzv.dat[2009-01-18 19:10:43 | 000,000,186 | ---- | M] () -- C:\Windows\Tasks\{0768DEC2-689F-4E9C-A70E-8A3511286FDA}.job [2009-08-04 19:57:55 | 000,000,186 | ---- | M] () -- C:\Windows\Tasks\{18E4F9C9-2474-41BC-9139-5D9B7264E6EA}.job [2009-07-02 23:22:36 | 000,000,422 | ---- | M] () -- C:\Windows\Tasks\{FB610AEA-B244-464E-A73B-58DFB2D0DEC2}.job 4. Aktualizacja systemu i aplikacji na widoku: Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstationInternet Explorer (Version = 8.0.6001.18928) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{1A0D2EFC-C4FC-446A-8BC3-57A54CE5EADD}" = Opera 10.53 "{1BC4026B-1957-4514-9058-2B542557F143}" = Opera 9.63 "{26A24AE4-039D-4CA4-87B4-2F83216010FF}" = Java™ 6 Update 10 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.2 - Polish "Gadu-Gadu" = Gadu-Gadu 7.7 A GG7 spokojnie można zamienić na alternatywny program (Darmowe komunikatory = np. WTW czy Miranda). .

To nie jest zależne od systemu. W systemie XP ta sama wersja NIS zachowuje się identycznie. W mojej opinii tu nie ma żadnego błędu per se, widać dokładnie tyle ile ustaliła instalacja. Nie zdziwię się wcale, jeśli otrzymasz odpowiedź, która Cię nie usatysfakcjonuje. No chyba, że na składzie mają jakiś inny instalator.... PS. Podsyłanie fiksów do wersji 2009 to kpina = ów hotfix rozpakuj via archiwizer typu 7-zip to sam zobaczysz co on chce ładować. Wstecznie datowane moduły bibliotek.

Oczywiście. Wyształcenie specjalizacji jest naturalne. "Człowiek Renesansu" to ogromna rzadkość. Temacik zamykam. Jeszcze raz przypominam: bady, komunikator, IE.

Może to jest błąd przeliczeń OTL, że pokazuje zero. Włącz pokazywanie plików ukrytych systemowych i na partycji C spójrz na plik pagefile.sys, jaki rozmiar ma na dysku. Jeśli jest więcej niż zero, plik jest ustawiony i nie ma się czym zajmować.

Tu przyznaję, złe założenie uczyniłam i zaczęłam sobie z tego zdawać sprawę dopiero przy kontrolerach. Odniosłam wrażenie (po Twoich testach malware), że mogę iść skrótowo i nie patyczkować się. A ja nie zawsze tak postępuję, przecież wyprowadzam z opresji osoby baaaardzo początkujące w dziale Malware. Staram się dostosować do obeznania osoby, w przeciwnym wypadku moja pomoc jest o kant. Pamiętam siebie z całkowitych początków. Nie potrafiłam nawet włączyć komputera przyciskiem, a do wszystkiego co widzisz doszłam samodzielnie, bez niczyjej pomocy i mam kalejdoskop trudów na patelni. I wbrew pozorom (tak, zdaję sobie sprawę, że tu w temacie błędny przekaz jest) nigdy o tym nie zapomniałam. Cóż mogę powiedzieć LikwidatoR, przepraszam. Naprawdę, wydawało mi się, że tu nie będzie trudności. Na swoje usprawiedliwienie powiem, że robisz dobre wrażenie, bo mnie oszukałeś. :lol:

Wszystko rozwiązane. Przypominam o badach na dysku. O reszcie drobnostek mówiłam. Czy coś tu jeszcze jest do załatwiania? Jeśli nie, kluczyk na temacie. Te browary prawie czuję.