picasso

W porządku. Klucz jest poprawny, widzę że z plikami sobie poradziłeś. Na przyszłość: to nie było potrzebne. Wystarczył byle jaki archiwizer, by otworzyć te pliki z kreską i z nich wypakować pliki właściwe, nawet masz już narzędzie do tego w systemie (7-zip). To zwyczajne CABy. I pozbądź się z systemu tych nierozpakowanych kopii (o ile już tego nie zrobiłeś po skanie OTL): [2011-03-12 19:00:08 | 000,176,792 | ---- | C] () -- C:\WINDOWS\System32\dllcache\tcpip.sy_ [2011-03-12 19:00:08 | 000,090,313 | ---- | C] () -- C:\WINDOWS\System32\dllcache\ndis.sy_ [2011-03-12 17:16:27 | 000,176,792 | ---- | C] () -- C:\WINDOWS\System32\drivers\tcpip.sy_ [2011-03-12 17:15:59 | 000,176,792 | ---- | C] () -- C:\tcpip.sy_ [2011-03-12 17:11:39 | 000,090,313 | ---- | C] () -- C:\WINDOWS\System32\drivers\ndis.sy_ [2011-03-10 23:44:40 | 000,090,313 | ---- | C] () -- C:\ndis.sy_ Spróbuj zresetować podstawową konfigurację sieci. Otwórz Notatnik i wklej w nim: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Network /v Config /f netsh firewall reset netsh winsock reset netsh int ip reset c:\resetlog.txt Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT > Uruchom ten plik Po tym jest wymagany restart komputera. Skrypt w OTL wykonany pomyślnie. 1. Jeszcze nie zauważyłam ukrytego katalogu "Version" na Pulpicie oraz jest tu jakiś dziwny numeryczny folder w Danych plikacji. Pierwszy usuń, sprawdź zawartość drugiego: [2011-02-21 13:42:51 | 000,065,536 | -H-- | M] () -- C:\Documents and Settings\Ami\Pulpit\Version[2010-12-12 20:10:56 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\38290 2. Przejdź do Dodaj / Usuń i odinstaluj MediaBar (to śmieć od Bearshare). .

Na wszelki wypadek sprawdź czy problemu braku uprawnień nie odziedziczy nowy obiekt w Koszu. Skasuj obojętną bzdurę i sprawdź jak zachowuje się opróżnianie Kosza. Jeśli będzie OK, sprawa zamknięta. Jeśli nie będzie OK, będziemy resetować uprawnienia "od samej góry".

Skrypt w OTL pomyślnie przetworzony. Aplikuje się Sprzątanie. Wątpię w koncepcję infekcji. Nie ma tu śladów tego rodzaju. Natomiast zdarzenia ze zbyt przedsiębiorczą osłoną web (lub innym komponentem) ESET nie są niczym niezwykłym, takich przypadków całkiem sporo miałam na poprzednim forum. Kolejna sprawa: nie wiadomo czy ESET któregoś komponentu po cichu sobie nie zaktualizował, nie wiadomo również czy nie zaszły inne zmiany konfiguracyjne w Windows, co mogło zaskutkować defektem uprzednio poprawnej konfiguracji. Powtarzaj do skutku na wszystkie kolejne obiekty w Koszu zgłaszające błąd, aż go opróżnisz z wadliwych obiektów. Z Twoje loga: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216015FF}" = Java™ 6 Update 15 .

Zrzut pamięci wskazuje na sterowniki grafiki (atikmdag.sys). Jaka wersja sterowników jest zainstalowana? Na wypadek gdyby trzeba było przeinstalować majdan i zaktualizować Catalysty podsuwam czyściciela sterowników Driver Sweeper. Ponadto dostarcz i raporty pod kątem sprzętowym (KLIK). Temat przemigruję do działu Hardware.

Pliki pomagające opisać problem: C:\Windows\Minidump\031211-16941-01.dmp Do wykonania punkt nr 5 z ogłoszenia: KLIK.

Skąd brałeś klucz NDIS? Zaprezentuj co zaimportowałeś. Sterowniki wrzucałeś do drivers - jeszcze do dllcache wstaw, pliki zawsze się podstawia do dwóch lokalizacji, adresując i Ochronę systemu plików. Następnie: czy teraz po wrzuceniu obu plików działa: usunięcie wszystkich urządzeń sieciowych w menedżerze urządzeń + restart w celu przebudowy? Należy również usunąć szczątki po infekcji: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-725345543-413027322-842925246-1002\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:51758 [2011-02-16 13:53:51 | 000,040,072 | ---- | C] (Four-F) -- C:\WINDOWS\System32\eqrnovvaa.exe [2011-03-04 16:07:33 | 000,017,295 | ---- | M] () -- C:\Documents and Settings\Ami\Dane aplikacji\6EF2.AE2 [2011-02-02 15:11:06 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Ami\Dane aplikacji\jrflcpyzaxdqcivn2rcqkmfgjasmcqo2 [2011-02-27 14:07:53 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Ami\Dane aplikacji\x23eewslmqejiksnbaxynlz2rmzu1lyi2 [2011-02-02 15:42:28 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Ami\Dane aplikacji\xcmwpz2caloc2bxvrxkp3cnehepjx3vv2 [2011-02-03 14:31:30 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Ami\Dane aplikacji\xd2r2tfjflvckzzc1rzoejsh2wclfm232 :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Documents and Settings\Ami\Dane aplikacji\xcmwpz2caloc2bxvrxkp3cnehepjx3vv2\svcnost.exe"=- "C:\Documents and Settings\Ami\Dane aplikacji\xd2r2tfjflvckzzc1rzoejsh2wclfm232\svcnost.exe"=- "C:\Documents and Settings\Ami\Dane aplikacji\jrflcpyzaxdqcivn2rcqkmfgjasmcqo2\csrss.exe"=- :Commands [emptyflash] [emptytemp] Klik w Wykonaj skrypt. 2. Zaprezentuj nowe logi z OTL, dołącz i ten z usuwania. .

W raportach nie notuję żadnych znaków infekcji w stanie czynnym, są tylko (stare) odpadki po Brontoku, ale nic nie wskazuje na to, by był w postaci całkowitej i aktywnej. Do sprzątnięcia: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL [2010-12-28 16:35:05 | 000,012,407 | ---- | C] () -- C:\Documents and Settings\Łukasz\Ustawienia lokalne\Dane aplikacji\Update.12.Bron.Tok.bin [2010-12-28 16:27:26 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Łukasz\Ustawienia lokalne\Dane aplikacji\BronFoldNetDomList.txt [2010-12-28 16:27:24 | 000,000,101 | ---- | C] () -- C:\Documents and Settings\Łukasz\Ustawienia lokalne\Dane aplikacji\BronNetDomList.bat [2010-12-28 15:51:01 | 000,012,407 | ---- | C] () -- C:\Documents and Settings\Łukasz\Ustawienia lokalne\Dane aplikacji\Bron.tok.A12.em.bin [2010-12-27 23:07:45 | 000,000,051 | ---- | C] () -- C:\Documents and Settings\Łukasz\Ustawienia lokalne\Dane aplikacji\Kosong.Bron.Tok.txt [2010-12-27 23:02:11 | 000,012,407 | ---- | C] () -- C:\Documents and Settings\Łukasz\Ustawienia lokalne\Dane aplikacji\ListHost12.txt O3 - HKU\S-1-5-21-1229272821-796845957-725345543-1004\..\Toolbar\WebBrowser: (no name) - {00000000-5736-4205-0008-781CD0E19F00} - No CLSID value found. O3 - HKU\S-1-5-21-1229272821-796845957-725345543-1004\..\Toolbar\WebBrowser: (no name) - {00000000-5736-4205-0008-F7ED0776FB27} - No CLSID value found. O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) :Commands [emptyflash] [emptytemp] Klik w Wykonaj skrypt. Po restarcie otrzymasz log. Wystarczy, że zaprezentujesz tylko ten log z usuwania. 2. Do aktualizacji przeglądarka Firefox i Java: INSTRUKCJE. 1. Logicznym przypuszczeniem jest, że problem stron może pochodzić od tego oprogramowania, które silnie ingeruje w sieć = tu ESET Smart Security (nakłada filtry na karty sieciowe). Koncepcja do sprawdzenia według wariantów: wyłącz wszystkie osłony + restart, jeśli to nie przyniesie skutków oczekuje testowa deinstalacja (nie jest możliwe zdeaktywowanie ESET w sposób całkowity). Zresztą, ten ESET nie taki nowy, datowanie sterowników na rok 2009. 2. Ewentualnie jeszcze można podejrzewać Bonjour wpięte w Winsock: O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Inc.) Rozwiązywałam to na forum (KLIK). Komenda dopasowana pod Twój SID konta i nazwę obiektu w Koszu: cacls C:\RECYCLER\S-1-5-21-1229272821-796845957-725345543-1004\Dc114 /E /G Wszyscy:F .

W pierwszej kolejności sprawdź czy są dane w rejestrze od tych dwóch brakujących sterowników: Start > Uruchom > regedit > czy widzisz takie klucze: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NDIS HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TCPIP Bez tych danych wstawienie plików nie zadziała.

W raportach widać szczątki po infekcji, ale tym zajmiemy się w drugiej kolejności. IE - HKU\S-1-5-21-725345543-413027322-842925246-1002\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:51758 [2011-02-16 13:53:51 | 000,040,072 | ---- | C] (Four-F) -- C:\WINDOWS\System32\eqrnovvaa.exe [2011-03-04 16:07:33 | 000,017,295 | ---- | M] () -- C:\Documents and Settings\Ami\Dane aplikacji\6EF2.AE2 [2011-02-02 15:11:06 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Ami\Dane aplikacji\jrflcpyzaxdqcivn2rcqkmfgjasmcqo2 [2011-02-27 14:07:53 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Ami\Dane aplikacji\x23eewslmqejiksnbaxynlz2rmzu1lyi2 [2011-02-02 15:42:28 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Ami\Dane aplikacji\xcmwpz2caloc2bxvrxkp3cnehepjx3vv2 [2011-02-03 14:31:30 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Ami\Dane aplikacji\xd2r2tfjflvckzzc1rzoejsh2wclfm232 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Documents and Settings\Ami\Dane aplikacji\xcmwpz2caloc2bxvrxkp3cnehepjx3vv2\svcnost.exe" = C:\Documents and Settings\Ami\Dane aplikacji\xcmwpz2caloc2bxvrxkp3cnehepjx3vv2\svcnost.exe:*:Enabled:ldrsoft -- (GnuPT - Protect Your Data) "C:\Documents and Settings\Ami\Dane aplikacji\xd2r2tfjflvckzzc1rzoejsh2wclfm232\svcnost.exe" = C:\Documents and Settings\Ami\Dane aplikacji\xd2r2tfjflvckzzc1rzoejsh2wclfm232\svcnost.exe:*:Enabled:ldrsoft -- (GnuPT - Protect Your Data) "C:\Documents and Settings\Ami\Dane aplikacji\jrflcpyzaxdqcivn2rcqkmfgjasmcqo2\csrss.exe" = C:\Documents and Settings\Ami\Dane aplikacji\jrflcpyzaxdqcivn2rcqkmfgjasmcqo2\csrss.exe:*:Enabled:ldrsoft -- (GnuPT - Protect Your Data) Natomiast odczyty "jest zainfekowany" oraz kilka innych adnotacji w ComboFix to wyniki posługiwania się modyfikowanym Windows. Czy do systemu można się teraz dostać? BSOD uzyskany po zamianie wskazuje na użycie złej wersji pliku NDIS.SYS, niezgodnej z tym systemem, również jest możliwa niezgodność danych w rejestrze. Ocenić mogę tylko to co zostało tu odnotowane na pewnika, czyli raporty. 1. W ComboFix widzę zupełny brak pliku NDIS.SYS oraz TCPIP.SYS (bez tych dwóch nie jest możliwe działanie sieci): c:\windows\System32\drivers\ndis.sys ... - brak elementu !!c:\windows\System32\drivers\tcpip.sys ... - brak elementu !! 2. OTL nie notuje w ogóle uszczerbku usługi NDIS, a jeśli równocześnie zachodzi brak pliku, to wygląda na to, że z rejestru został usunięty cały klucz NDIS i nie wystarczy tylko podstawić plik. Wypowiedź się wyraźnie, czy system jest dostępny? W zależności od odpowiedzi, zostaną zadane inne kroki weryfikacji + naprawy, dopasowane do sytuacji. Tylko wersja SP3 wchodzi w grę. Zresztą ten system ma kopię pliku NDIS.SYS (w cache ComboFix) i to ją wykorzystam. Zanim podam instrukcję proszę o wyraźną wypowiedź czy system jest aktualnie dostępny. .

Czyli mam rozumieć, że Kaspersky nic nie wykrył? Skoro stwarza takie problemy, tym bardziej należy go usunąć, tylko jeszcze nie wiem w jaki sposób to zrobimy, bo nie widzę żadnego automatu czyszczącego zgodnego z 64-bit..... Jaki kod błędu BSOD? Czy można uruchomić deinstalację w Trybie awaryjnym? Opisz to dokładniej, co to oznacza "nie można zainstalować", o jakiej lokalizacji na C mowa oraz jaki błąd jest zwracany? Po Spybocie (a mówiłam byś zdjął immunizację statyczną) pozostał modyfikowany plik HOSTS: O1 HOSTS File: ([2009-07-16 06:31:06 | 000,317,715 | R--- | M]) - C:\Windows\SysNative\drivers\etc\hostsO1 - Hosts: 127.0.0.1 www.007guard.com O1 - Hosts: 127.0.0.1 007guard.com O1 - Hosts: 127.0.0.1 008i.com O1 - Hosts: 127.0.0.1 www.008k.com O1 - Hosts: 127.0.0.1 008k.com O1 - Hosts: 127.0.0.1 www.00hq.com O1 - Hosts: 127.0.0.1 00hq.com O1 - Hosts: 127.0.0.1 010402.com O1 - Hosts: 127.0.0.1 www.032439.com O1 - Hosts: 127.0.0.1 032439.com O1 - Hosts: 127.0.0.1 www.0scan.com O1 - Hosts: 127.0.0.1 0scan.com O1 - Hosts: 127.0.0.1 www.1000gratisproben.com O1 - Hosts: 127.0.0.1 1000gratisproben.com O1 - Hosts: 127.0.0.1 www.1001namen.com O1 - Hosts: 127.0.0.1 1001namen.com O1 - Hosts: 127.0.0.1 100888290cs.com O1 - Hosts: 127.0.0.1 www.100888290cs.com O1 - Hosts: 127.0.0.1 100sexlinks.com O1 - Hosts: 127.0.0.1 www.100sexlinks.com O1 - Hosts: 127.0.0.1 10sek.com O1 - Hosts: 127.0.0.1 www.10sek.com O1 - Hosts: 127.0.0.1 www.1-2005-search.com O1 - Hosts: 127.0.0.1 1-2005-search.com O1 - Hosts: 127.0.0.1 123haustiereundmehr.com O1 - Hosts: 10895 more lines... Zadam więc resetowanie pliku HOSTS, usuwanie polis ActiveDesktop (zdejmowanie blokady Pulpitu), rekursywne ściąganie atrybutu ukryty z folderu Roaming (co obejmie foldery programów i rozszerzeń Firefox) a przy okazji i czyszczenie lokalizacji tymczasowych. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} "http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab" (Reg Error: Key error.) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} Reg Error: Value error. (Shockwave ActiveX Control) :Files attrib /d /s -s -h C:\Users\Sickpl\AppData\Roaming\* /C :Commands [resethosts] [emptyflash] [emptytemp] Rozpocznij operację przyciskiem Wykonaj skrypt. System zostanie zresetowany, na koniec otrzymasz log. 2. Wytwórz nowe logi z OTL opcją Skanuj. Dołącz i log uzyskany z usuwania. .

Nie okazał się sprawcą defektu z oknem na starcie, ale o tyle nie było OK, że to pochodna infekcji (lewy dodatek do Tibia musiał kiedyś być "zainstalowany"). Czy jest tu pewność, że w tle nie odbyła się jakaś niepożądana aktualizacja sterowników z Windows Update, wykonana na restarcie? Ponadto, skoro problem tyczy sprzętu, to rekwalifikuję temat na dział Hardware i tam przenoszę. Do podania są inne informacje uzupełniające: KLIK (dane o karcie z GPU-Z / raport ogólny inwentaryzacji sprzętu np. z HWiNFO32). .

Całkiem możliwe. Zresztą z tym aktualizatorem AllPlayer w Autostarcie były wcześniej problemy z UAC. Nie wiem jak jest teraz, ale i tak jest to obiekt zbędny i spokojnie go likwiduj. Nie! Nie wolno naruszyć tego co jest na zielono: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\LogonInit. Tylko klucz LogonInit masz skasować. I klucz na 100% jest, w przeciwnym wypadku OTL nie listowałby tego, on to wyciągnął z rejestru. Czy regedit uruchomiłaś jako Administrator? Masa sposobów na przywrócenie domyślnego pliku HOSTS. Można to zrobić ręcznie (KLIK) lub skorzystać z narzędzia Fix-it Microsoftu (KLIK). Ponadto, Spybot powinien był utworzyć kopię zapasową oryginału i wystarczy tylko pozamieniać pliki. W folderze C:\Windows\System32\drivers\etc zapewne jest wiele kopii pliku, ale liczy się tylko ten najmniejszy i z domyślną zawartością (w Windows 7 wszystkie linie są skomentowane przez znak #): # 127.0.0.1 localhost # ::1 localhost Jasne, rozumiem. A czy koleżanka nie pasowałaby do modelu AQQ? EDIT: Pisałam nie widząc edycji. Nie mam więcej komentarzy. Sama mówisz, że problem główny rozwiązany. .

Kiedy to okienko startuje? Faza logowania czy może już później przy wejściu na Pulpit? Ja tu widzę jeden pasujący element, resztkę po keyloggerze (obserwuję to często w logach z Tibią): O20 - Winlogon\Notify\LogonInit: DllName - logonInit.dll - File not found Start > w polu szukania wklep regedit > skasuj ten klucz: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\LogonInit Zresetuj system i zobaczymy co się stanie. Inne komentarze do tego co widzę w raportach: 1. Dodatkowo, możesz wyłączyć ze startu zbędniki. W Autoruns w karcie Logon odptaszkuj: O4 - HKLM..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\hpwuSchd2.exe (Hewlett-Packard)O4 - HKLM..\Run: [hpqSRMon] C:\Program Files\HP\Digital Imaging\bin\HpqSRmon.exe (Hewlett-Packard) O4 - HKLM..\Run: [QuickTime Task] C:\Program Files\QuickTime\QTTask.exe (Apple Inc.) O4 - HKU\S-1-5-21-1752334341-1099222793-536982158-1000..\Run: [ALLUpdate] C:\Program Files\ALLPlayer\ALLUpdate.exe () 2. Spybot Search & Destroy: program za stary, niezbyt dopasowany do platformy Windows 7 (brak 100% zgodności z mechanizmami tej platformy i nie ma integracji z Centrum) i za słaby na dzisiejsze zagrożenia. "Spybot" zresztą już jest w tym systemie w postaci zintegrowanego Windows Defender, a ponadto nowoczesne antywirusy mają już silnik wielofunkcyjny i spyware wchodzi w zakres detekcji. Sugeruję deinstalację Spybot Search & Destroy, wystarczy jako uzupełnienie dobry darmowy skaner na żądanie Malwarebytes' Anti-Malware. Uwaga: przed deinstalacją wejdź do opcji immunizacji statycznej i przywróć domyślny plik HOSTS, bo aktualnie jest nieźle modyfikowany: O1 HOSTS File: (430706 bytes) - C:\Windows\System32\drivers\etc\hostsO1 - Hosts: 127.0.0.1 www.007guard.com O1 - Hosts: 127.0.0.1 007guard.com O1 - Hosts: 127.0.0.1 008i.com O1 - Hosts: 127.0.0.1 www.008k.com O1 - Hosts: 127.0.0.1 008k.com O1 - Hosts: 127.0.0.1 www.00hq.com O1 - Hosts: 127.0.0.1 00hq.com O1 - Hosts: 127.0.0.1 010402.com (...) O1 - Hosts: 14824 more lines... Deinstalacja programu nie likwiduje tej modyfikacji. 3. Gadu-Gadu 10: Proponuję wymianę tego żercy zasobów na aplikację, która bardziej szanuje zasoby oraz nie lasuje psychiki szajsem reklamowym, a jednocześnie obsługuje wszystkie pożądane cechy sieci Gadu w najnowszej wersji protokołu (długie numery, szyfrowanie, multilogowanie ...). Do wglądu temat: Darmowe komunikatory. Propozycje: WTW, Miranda. GG10 nabiło też śmieci. Wejdź do folderu C:\Users\Monika\AppData\Local i skasuj stamtąd wszystkie pliki spełniające warunek Temp*.html. 4. Lisek do aktualizacji Firefox 3.6.15. 5. Wreszcie: jest już pierwszy SP do pobrania. Linkuję pełny instalator: Windows 7 Service Pack 1. .

Tu jeszcze z Google wygrzebany temat: KLIK. Różnie sobie tam poradzili z tym (niekoniecznie w sposób trwały). Ogólnie, sprawa kręci się wokół wymuszonego resetu ustawień (przestawianie opcji Paska + z powrotem, połączone z przeładowaniem powłoki explorer.exe).

To logiczne przypuszczczenie, ale ja to punktuję ponieważ, narzekasz na zamulenie. Czy sprawdziłeś chociaż jak system się zachowuje po wyłączeniu osłon Kasperskiego + restart? Czy sprawdziłeś też drugą koncepcję z Microsoft Update? .

To zmienia postać rzeczy (nasuwa się pytanie skąd ten Alcohol pochodził). Wykonaj pełny skan przez Kaspersky Removal Tool. Zgłoś się z raportem. Zaprezentuj nowe logi poświadczające zmiany. .

Xeremelegue Ale przecież ... nawet nie wiadomo czy to możliwe. Brak danych. Nie wiadomo co kolega narobił (może mało się znać na systemie, ale amnezji chyba nie ma?), nie wiadomo co jest na dysku i jaki jest na nim układ partycji oraz co one tak naprawdę zawierają (te informacje nie zostały tu jeszcze podane), nie wiadomo jaki to model Asus (i co dostarczono z nim) oraz czy (i w jaki sposób ) miał dostępne Recovery, nie wiadomo czy z Recovery można skorzystać. Kolega mógł przykładowo wykasować / uszkodzić serwisową partycję, a w takiej sytuacji jest pozamiatane. Cały czas dążymy tu do uzyskania informacji jaka czynność została przeprowadzona przed wystąpieniem błędu BOOTMGR. W każdym razie tu w supporcie Asus skrót: KLIK / KLIK. Sumując, jest powiedziane: 1. F9 przy starcie komputera, by dostać się do odzysku z partycji. Jeśli klawisz startowy nie działa (a to jest tu prawdopodobne), ale jest ciągle na dysku nienaruszona partycja Recovery (Ty to dopiero musisz sprawdzić!), robi się obejście: w menedżerze partycji dla partycji Recovery przyznaje się atrybut "aktywna", a restart komputera inicjuje boot z tej partycji i dostęp do interfejsu odzyskiwania. 2. W zależności od nowości modelu mogły być dostarczone gotowe dyski odzyskiwania. Jeśli nie, a użytkownik sam nie wyprodukował DVD Recovery, odzyskiwanie z partycji to jedyna możliwość. Rozpisz tu układ partycji. Jeśli Wiersz poleceń WinRE zbyt skomplikowany, to skorzystaj z jakiejś innej płyty typu LiveCD. .

Nie widzę tu żadnego obiektu infekcji, ani ... Kasperskiego. Przyznam, że czuję się skonfundowana, gdyż Twoja cała wypowiedź jest skonstruowana w trybie teraźniejszym, mimo że widzę tu mieszankę z trybem przeszłym. Przecież z tego co cytuję wynika, że postawiłeś system na nowo, czyli wszystkie wydarzenia sprzed reinstalacji są raczej nieaktualne. Ja nie jestem w stanie już sprawdzić tego co było przed i mogę analizować tylko sytuację obecną, a analizować nie mam co. Nie ma z tego działania raportu, trudno to ocenić. .

Redukcja do 3 procent wydaje się tu być odpowiednia (obliczam z ~74 GB widzialnego w nagłówku). Dla systemu XP 1-2GB przeznaczone na magazyn to wystarczający próg.

1. Mało pamięci RAM: 479,00 Mb Total Physical Memory | 144,00 Mb Available Physical Memory | 30,00% Memory free1,00 Gb Paging File | 1,00 Gb Available in Paging File | 74,00% Paging File free Paging file location(s): C:\pagefile.sys 1024 1024 [binary data] 2. W kontekście "zamulenia" zwraca uwagę stary Kaspersky Anti-Virus 6.0 for Windows Workstations. Najwyższy czas postąpić radykalnie i pozbyć się go z systemu. 3. Również przykuwa mój wzrok podwójna kontrolka Windows Update + Microsoft Update: O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} "http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1113469681109" (WUWebControl Class)O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} "http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1299253602890" (MUWebControl Class) A dlaczego to takie interesujące, jest w tym temacie: KLIK. ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{91130415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Basic Edition 2003 "{AC76BA86-7AD7-1038-7B44-CEA000000001}" = Adobe Reader 6.0.2 CE "FBDBServer_1_5_is1" = Firebird 1.5.1.4481 "ie7" = Windows Internet Explorer 7 "Microsoft SQL Server 2000" = Microsoft SQL Server 2000 "Microsoft SQL Server 2000 (TEST)" = Microsoft SQL Server 2000 (TEST) "Mozilla Firefox (3.6.3)" = Mozilla Firefox (3.6.3) Gdy już się uporasz z podstawowym problemem: Internet Explorer 8, Adobe Reader X (10.0.1), Firefox 3.6.15. Widzę także bardzo archaiczne oprogramowanie bazodanowe, czy są tu jakieś przeszkody np. dla aktualizacji Firebirda? I mam nadzieję, że przestrzały Office jest załatany na tyle na ile to możliwe. .

Czy na pewno wykonałeś wszystkie kroki z podawanego już linka (KLIK), czyli i usunięcie wyszukiwarki infekcji z Google Chrome? Było tu wiele osób z infekcją Qooqlle w Google Chrome i po wykonaniu owych czynności problem całkowicie ustąpił. Proszę pokaż mi na zrzutach ekranu jak Ty tę operację w Google Chrome prowadzisz i gdzie. Ponadto ostrzeżenie: nabawiłeś się tej infekcji z torrent, montując trefne kodeki. Na przyszłość wykaż większą rozwagę. Gdy jest dołączony jakiś "kodek" do paczki, to prawie gwarantowane, że to trojan. Kodeki są dostępne za darmo na stosownych stronach oficjalnych. A kodeki komercyjne (rzadko co wymaga egzotycznych płatnych kodeków...) pobiera się u źródła (czyli producenta) a nie na lewo... [2011-02-27 18:01:33 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\XviD MPEG-4 Video Codec-1.3.0-DEV 32-BIT[2011-02-27 18:01:32 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\XviD MPEG-4 Video Codec [2011-02-27 17:58:27 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Xvid [2011-02-27 17:58:27 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Xvid [2011-02-27 17:48:03 | 000,000,000 | ---D | C] -- C:\Users\Kiciolo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Theorica Divx ;-) Codecs [2011-02-27 17:48:03 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Theorica Divx ;-) Codecs [2011-02-27 17:47:59 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Theorica Divx ;-) Codecs W raportach jest OK. Została drobnostka, czyli usunięcie odpadków po pasku sponsoringowym DAEMON (następnym razem: odznacz instalację tego barachła). 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - File not found O3:64bit: - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - File not found Klik w Wykonaj skrypt. Restartu tym razem nie będzie. 2. W OTL wywołaj Sprzątanie. 3. Wyczyść foldery Przywracania systemu: INSTRUKCJE. 4. Odinstaluj Adobe Reader 9.1 i zastąp najnowszą wersją Adobe Reader X (odptaszkuj montaż sponsora McAfee). Przy okazji: ESET scrackowany. Chyba zdajesz sobie sprawę z groteski tej sytuacji. 5. Na koniec zostanie aktualizacja systemu: Windows 7 Service Pack 1. .

1. Porób mi screeny do weryfikacji, począwszy od uruchomienia Lenovo Care, a do wejścia w Rescue and Recovery oraz głębiej wszystkie ustawienia tam widzialne. 2. Wygeneruj szczegółowy raport ze SpaceSniffer. Jak mówiłam poprzednio, podałeś mi nie ten raport co należy. Program z prawokliku Uruchom jako Administrator (to ważne, w przeciwnym wypadku nie obliczy pewnych elementów). Program ma być skonfigurowany na pokazywanie nieznanej przestrzeni: Edit > Configure > Show Unknown Space Rozpoczynasz skan dysku C i czekasz aż do pojawienia się statusu "Ready". Gdy to się stanie: Zapisz wyniki: File > Export > poczekaj aż okno się zapełni częściowo zawartością > kliknij w "zębatą" dużą ikonę w lewym górnym narożniku > potwiedź zapis pliku File report.txt Log będzie potężny. Umieść plik File report.txt na serwisie SpeedyShare i podaj tu link. Możesz też dołączyć ogólny zrzut ekranu z okna SpaceSniffer. .

W raportach nie notuję nic związanego z infekcją, aczkolwiek jest podejrzane, że prawie wszystkie katalogi rozszerzeń Firefox uzyskały atrybut H = ukryty, nie jestem w stanie przypisać żadnej akcji do tego. Mam zastrzeżenia do rozszerzeń w Firefox, konkretniej: wmontowany wątpliwy reputacją vShare Toolbar. Jako pierwszy podejrzany jawi się tu COMODO i moduł Defense+ użyty w sposób zbyt przedsiębiorczy. Wyłącz ten moduł, zresetuj system i sprawdź co się dzieje.... Ponadto, nieoptymalna kondensacja oprogramowania zabezpieczającego. O tym rozprawiam poniżej. Czy przypadkiem tu nie nastąpiła błędna interpretacja co jest dozwolone a co zablokowane i w konsekwencji powstała jakaś niepożądana reguła blokująca system? Posługujesz się starociami (stary silnik = łatwiej oszukać / obejść, sama aktualizacja baz nie ma tu nic do rzeczy). Tu jest Windows 7 64-bit i jest oczekiwane, że oprogramowanie jest dobrane sensownie i up-to-date. Podsumowanie co widzę w raportach: - Avast: Przestarzała wersja 4, aktualną jest numer 6 (większa zgodność z 64-bitami + za darmo więcej funkcji). Do deinstalacji i zamiany najnowszym wcieleniem. SRV:64bit: - [2009-02-05 21:08:40 | 000,138,680 | ---- | M] (ALWIL Software) [Auto | Running] -- C:\Program Files\Alwil Software\Avast4\ashServ.exe -- (avast! Antivirus)SRV:64bit: - [2009-02-05 21:08:26 | 000,254,040 | ---- | M] (ALWIL Software) [On_Demand | Running] -- C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe -- (avast! Mail Scanner) SRV:64bit: - [2009-02-05 21:06:04 | 000,352,920 | ---- | M] (ALWIL Software) [On_Demand | Running] -- C:\Program Files\Alwil Software\Avast4\ashWebSv.exe -- (avast! Web Scanner) SRV:64bit: - [2009-02-05 21:01:25 | 000,018,752 | ---- | M] (ALWIL Software) [Auto | Running] -- C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe -- (aswUpdSv) DRV:64bit: - [2009-02-05 21:07:17 | 000,022,096 | ---- | M] (ALWIL Software) [File_System | Auto | Running] -- C:\Windows\SysNative\drivers\aswFsBlk.sys -- (aswFsBlk) DRV:64bit: - [2009-02-05 21:07:07 | 000,064,592 | ---- | M] (ALWIL Software) [File_System | Auto | Running] -- C:\Windows\SysNative\drivers\aswMonFlt.sys -- (aswMonFlt) - Spybot Search & Destroy: nie na ten system, program archaiczny, nieaktualizowany silnik (+ cienkie interwały aktualizacji baz), słaba detekcja, brak pełnej kompatybilności z Windows 7, nie wspominając już nawet o natywności na 64-bitach ... Dublujesz też funkcje systemu, Spybot nie odbiega modelem od tego co natywnie ma zintegrowane sam system (Windows Defender). Na dzień dzisiejszy program określony mianem "antywirus" już realizuje funkcje antyspyware i nie ma potrzeby okopywania się zbędnikami. Wyposażysz się w najnowszego Avasta, jako uzupełnienie MBAM na żądanie i z głowy. Spybot do deinstalacji. Przed deinstalacją w opcjach immunizacji statycznej przywróć domyślny plik HOSTS Windows, bo sama deinstalacja niestety tego nie odkręca. SRV - [2009-01-26 14:31:10 | 001,153,368 | ---- | M] (Safer Networking Ltd.) [Auto | Running] -- C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe -- (SBSDWSCService) - Ad-aware: zbędny w tym układzie, a datowanie wskazuje i na zaniedbania w tym sferach. Aktualna wersja Ad-aware z roku 2011 to również już multifunkcyjny silnik (antywirus + antyspyware). Przy czym: stwór to ciężki i w wersji darmowej wykazujący dysproporcję (strażnik mocno poszkodowany). Do deinstalacji. SRV - [2010-07-04 16:09:34 | 001,352,832 | ---- | M] (Lavasoft) [On_Demand | Stopped] -- C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWService.exe -- (Lavasoft Ad-Aware Service)DRV:64bit: - [2010-06-06 16:09:34 | 000,069,152 | ---- | M] (Lavasoft AB) [File_System | Boot | Running] -- C:\Windows\SysNative\drivers\Lbd.sys -- (Lbd) - COMODO Internet Security: również nie jest to najnowsza wersja. Do aktualizacji. SRV:64bit: - [2009-06-13 21:33:27 | 000,889,080 | ---- | M] () [Auto | Running] -- C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe -- (cmdAgent) - Outpost: widzę tu jeszcze szczątki tego oprogramowania .... Do usunięcia. Instrukcje podane poniżej. - Mały kaliber: HijackThis (kompletnie się nie nadaje na system 64-bit), SpywareBlaster (to też stare). Zalecę porządki i aktualizacje: 1. To co wyszczególniłam na temat oprogramowania zabezpieczającego do wykonania w pierwszej kolejności. Przestarzałe wersje wyrzucić. Zadanie priorytetowe. 2. Następnie uwolnienie systemu od sterowników / szczątków Outpost: DRV:64bit: - [2009-04-06 10:36:58 | 000,950,088 | ---- | M] (Agnitum Ltd.) [File_System | System | Running] -- C:\Windows\SysNative\drivers\SandBox64.sys -- (SandBox)DRV:64bit: - [2009-02-18 16:28:46 | 000,031,768 | ---- | M] (Agnitum Ltd.) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\afw.sys -- (afw) DRV:64bit: - [2009-02-10 15:14:00 | 000,399,384 | ---- | M] (Agnitum Ltd.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\afwcore.sys -- (afwcore) ----> Upewnij się, że karty sieciowe są wolne od filtrów Outpost, w przeciwnym wypadku po usunięciu sterowników na żywca padnie sieć. Panel sterowania > Sieć i Internet > Centrum sieci i udostępniania > po lewej wybierz Zmień ustawienia karty sieciowej > w folderze Połączeń sieciowych z prawokliku na każde połączenie po kolei wybierz Właściwości i pierwszej karcie zweryfikuj jakich komponentów używa dane połączenie. Jeśli będzie coś od Outpost, podświetl i odinstaluj, zatwierdź restartem komputera. ----> Start > w polu szukania wklep devmgmt.msc > z menu Widok włącz pokazywanie ukrytych urządzeń > ujawni się lista Sterowniki niezgodne z Plug and play > na owej liście szukaj tych trzech zakreślonych powyżej. Przypuszczalne nazwy wyświetlane: SandBox = Sandbox, afw = Agnitum Firewall Driver, afwcore = afwcore. Znalezione podświetl, odinstaluj i restart komputera. ----> Po restarcie dokończ. W programie Autoruns usuń następuje obiekty: Karta Drivers: DRV:64bit: - [2009-04-06 10:36:58 | 000,950,088 | ---- | M] (Agnitum Ltd.) [File_System | System | Running] -- C:\Windows\SysNative\drivers\SandBox64.sys -- (SandBox)DRV:64bit: - [2009-02-18 16:28:46 | 000,031,768 | ---- | M] (Agnitum Ltd.) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\afw.sys -- (afw) DRV:64bit: - [2009-02-10 15:14:00 | 000,399,384 | ---- | M] (Agnitum Ltd.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\afwcore.sys -- (afwcore) Karta AppInit: O20:64bit: - AppInit_DLLs: (c:\progra~1\agnitum\outpos~1\wl_hoo~1.dll) - File not found 3. Dysk systemowy ma krytycznie niską ilość dostępnego wolnego miejsca: Drive C: | 24,42 Gb Total Space | 1,38 Gb Free Space | 5,66% Space Free | Partition Type: NTFS 4. Jeśli się ze wszystkim uporasz (miejsce na dysku musi być odzyskane), globalna aktualizacja systemu. Do pobrania pełny instalator SP1: Windows 7 Service Pack 1. .

W OTL nie ma żadnych znaków infekcji. Co najwyżej zaleceniem jest wymontowanie paska sponsoringowego Crawler Toolbar i kasacja folderu adware OpenCandy, co oczywiście w niczym nie pomoże i jest zadaniem pobocznym na potem. Tylko, że OTL to za mało na diagnostykę infekcji i jest tu obowiązkiem przedstawić log wyszukujący ukryte modyfikacje. Wyszczególniają to zasady działu. 1. Pod kątem infekcji rootkit załącz: log z GMER + raport z Kaspersky TDSSKiller (jeśli coś wykryje, nic nie naprawiaj, przyznaj akcję Skip i tylko zaprezentuj log wynikowy). 2. Skoro są tu restarty, do wykonania punkt nr 5 z ogłoszenia: KLIK. Wygląda na to, że są zrzuty pamięci do analizy, a wskazuje na to nie tak dawna modyfikacja folderu zrzutów: [2011-03-05 21:44:47 | 000,000,000 | ---D | C] -- C:\Windows\Minidump Czy bierzesz pod uwagę, że może być odwrotnie = program zabezpieczający jako przyczyna? Avira to sterowniki. Uruchom Windows Defender, wejdź do sekcji Historia oraz Narzędzia > Elementy poddane kwarantannie i szukaj pasującego do zdarzenia wpisu. .

Wróćmy do pierwszego kroku, czyli Lenovo Care > Rescue and Recovery. Czy tu nie ma przypadkiem jakiś opcji zaawansowanych, które pozwalają obejrzeć kopie / zarządzać kopiami?