picasso

Dopisałam powyżej już instrukcje. Poza tym, czy doszedłeś do czegoś z Windows Installer? Tylko dysk systemowy, a za taki uważam SW_Preload (C:) (System). Natomiast SW_Preload (C:) (Brak) wygląda na klasyczny błąd serwisowy Lenovo (czyli wadliwy obraz systemu producenta z winy producenta), tak jak opisane tu: KLIK. Czyli: odznacz ów "Brak" a zaznacz "System". To nie ten log. Log ze SpaceSniffer jest potężny (i jego ewentualna analiza przeze mnie to na potem) i generuje się go po ukończeniu skanowania opcją eksportu do pliku tekstowego. I czy na pewno SpaceSniffer startowałeś przez Uruchom jako Administrator? Bez tego program nie przeliczy pewnych ścieżek. EDIT: W Menu Start powinien być skrót do właściwego uruchomienia. .

Nie wygląda na to, byś emulację SPTD zdjął. W OTL SPTD ma status "Running", zaś w GMER niezmiennie aktywność losowego tworu spkj.sys (pochodna SPTD), której nie powinno być przy prawidłowym zdjęciu emulacji. Ale OK, zostawmy już to. Skrypt do OTL przetworzył co należy, tylko ręcznie zniszcz ten folder po pasku Softonic_France Toolbar: [2011-03-07 11:50:43 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\51eii27g.default\extensions\{364d4e0c-543f-4b85-abe3-19551139da4f} Pozostała sprawa pliku C:\WINDOWS\system32\sessmgr.exe, który występuje tylko w jednej nieprawidłowej kopii. 1. Pobierz plik sessmgr.exe wyekstraktowany z pakietu SP3 PL: KLIK. Plik połóż bezpośrednio na C:\, gdyż ta ścieżka będzie w skrypcie. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Processes killallprocesses :Files C:\WINDOWS\system32\sessmgr.exe|C:\sessmgr.exe /replace C:\WINDOWS\system32\dllcache\sessmgr.exe|C:\sessmgr.exe /replace Znana już sekwencja: Wykonaj skrypt, restart, log wynikowy. 3. Zrób nowe logi z OTL, już tradycyjnie przez Skanuj. Dołącz log uzyskany z podmiany plików. .

Czy mam rozumieć, że reset obszaru powiadomień narzędziem Fix-it skorygował tę "lukę" na pasku? 1. To jak najbardziej możliwe i naturalne. Pierwsza z brzegu instalacja Vista na mojej maszynie wirtualnej ma ten folder rozmiaru ~15GB. Co najwyżej z folderu Windows od razu możesz skasować tylko obiekty pobranych aktualizacji, czyli opróżnić folder C:\Windows\SoftwareDistribution\Download. 2. Tak, jest tu słabowita statystyka ogólna: Drive C: | 64,77 Gb Total Space | 4,04 Gb Free Space | 6,24% Space Free | Partition Type: NTFS Do precyzyjnej diagnozy zajętości miejsca możesz użyć mały darmowy programik portable SpaceSniffer i ewentualnie wyszukać gdzie poza folderem Windows można redukować. Aplikację należy wywołać przez Uruchom jako Administrator, a przed uruchomieniem skanu dysku włączyć detekcję i nieznanej przestrzeni z menu Edit > Configure > Show Unknown Space. .

Z logami skończyliśmy już, w OTL wywołaj Sprzątanie. GMER w porządku. Przy okazji, widać w nim to o czym mówiłam = zablokowany ukryty folder kopii zapasowych Lenovo C:\RRbackups. W skrypcie przez nieuwagę załączyłam ten wpis: Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\ deleted successfully. Post już dawno poprawiłam, ale widzę, że niestety zdążyłeś przede mną. Zaimportuj brakujący wpis, wygląd brany z maszyny Vista. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore] "RPSessionInterval"=dword:00000001 "RPLifeInterval"=dword:ffffffff "RPGlobalInterval"=dword:00015180 "FirstRun"=dword:00000000 "LastIndex"=dword:00000025 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\cfg] "DiskPercent"=dword:0000000f [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\Setup_Last] "Generalize_DisableSR"=dword:00000000 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik Następnie zrób reset Przywracania poprzez jego wyłączenie + włączenie: INSTRUKCJE. 1. Pobierz Windows Installer CleanUp, w nim podświetl tylko tę pozycję "Search Settings" i usuń. Następnie z dysku przez SHIFT + DEL skasuj folder tego śmiecia: C:\Program Files\Search Settings. 2. Kolejna sprawa: błąd sugeruje grubszy problem w systemie. Wstępnie podaję ten artykuł MS do obróbki: KB2438651. Patrz na ustęp "Windows Installer issues". Instalacja wersji Windows Installer 4.5 dotyczy tego systemu, to goła Vista, dopiero w SP2 4.5 zostało zintegrowane. Wstępnie pokaż listę usług systemowych. Uruchom narzędzie VistaForums SysInfo Tool, zaznacz Services i przeklej raport wynikowy. Jak rozumiem, nie wykonywałeś jeszcze zadań z: - SpaceSniffer: on przypuszczalnie też nie będzie miał uprawnień, by pokazać + obliczyć folder Lenovo. Prawdopodobnie trzeba będzie startować SpaceSniffer w innym kontekście zabezpieczeń (z poziomu konta SYSTEM). Instrukcje podam jak dojdziemy do tego. - SP: pewnie nie pobrałeś jeszcze, ale tu i tak pobieranie musi być na inny dysk niż systemowy, a przed próbą instalacji odzysk miejsca na dysku, bo są rzeczywiście kiepskie statystyki: Drive C: | 39,05 Gb Total Space | 0,26 Gb Free Space | 0,66% Space Free | Partition Type: NTFSDrive D: | 39,06 Gb Total Space | 0,24 Gb Free Space | 0,61% Space Free | Partition Type: NTFS Drive F: | 65,50 Gb Total Space | 30,71 Gb Free Space | 46,89% Space Free | Partition Type: NTFS Na razie zostaw to. Widzę poważniejsze problemy tutaj. .

Zostają czynności końcowe do przeprowadzenia: 1. Wyczyść lokalizacje tymczasowe za pomocą TFC - Temp Cleaner. 2. Posprzątaj po używanych narzędziach: Skasuj z dysku przez SHIFT+DEL folder C:\Avenger. ComboFix musi być w prawidłowy sposób odinstalowany, co także zresetuje foldery Przywracania systemu, a jako "skutek uboczny" także przestawi widoczność ukrytych plików (ale to już sam opcjami przestawisz). W Start > Uruchom > wklej polecenie: "c:\documents and settings\user\Moje dokumenty\Pobieranie\ComboFix.exe" /uninstall 3. Obowiązkowa aktualizacja systemu: Windows XP Home Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstationInternet Explorer (Version = 6.0.2900.2180) Kiepski status zabezpieczeń i odcięcie od krytycznych aktualizacji (MS zbanował XP poniżej progu SP3). Do instalacji: Service Pack 3 + Internet Explorer 8. Tak, IE też, niezależnie od tego, że wcale z niego nie korzystasz na korzyść Liska. Silnikiem IE po cichu posługuje się system i różne aplikacje, bez Twojej interwencji. Musi to był załatane. Po instalacjach głównych wejdź na Windows Update i zainstaluj wszystkie krytyczne łaty. 4. Aktualizacja software: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java™ 6 Update 23 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.1 - Polish "avast5" = avast! Free Antivirus "Gadu-Gadu 10" = Gadu-Gadu 10 "Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13) - Aktualna wersja to Avast 6. Za darmo więcej funkcji (osłona skryptów w IE, blokowanie URL, automatyczny sandbox). - Szczegóły aktualizacyjne rozpisane tutaj: INSTRUKCJE. - Opcjonalnie: wymiana ciężkiego mało strawnego potwora GG10 na program znacznie lżejszy, pozbawiony reklam i sprawnie obsługujący wszystkie ważne cechy nowego Gadu (m.in. długie numery, szyfrowanie, multilogowanie...). Opisy w temacie: Darmowe komunikatory. Propozycje z mojej strony: WTW lub Miranda. .

Skrypt prawidłowo wykonany, ale w OTL "Fast Browser Search" jak stoi tak stało, konfiguracja Firefox znów została przejęta: FF - prefs.js..browser.search.defaultenginename: "Fast Browser Search"FF - prefs.js..browser.search.defaultthis.engineName: "Fast Browser Search" FF - prefs.js..browser.search.defaulturl: "http://www.fastbrowsersearch.com/results/results.aspx?s=DEF&v=19&q=" FF - prefs.js..browser.search.order.1: "Fast Browser Search" FF - prefs.js..browser.search.selectedEngine: "Fast Browser Search" FF - prefs.js..keyword.URL: "http://www.fastbrowsersearch.com/results/results.aspx?s=NAUS&v=19&tid={D16EAD86-7D5D-313A-D48C-174921C7A376}&q=" [2011-03-07 09:33:53 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\Antoś\Dane aplikacji\Mozilla\Firefox\Profiles\yafjuyvs.default\extensions\{C2DCA7EB-22D2-4FD2-86A9-F99FCC8122BB} [2011-03-07 09:33:57 | 000,005,455 | ---- | M] () -- C:\Documents and Settings\Antoś\Dane aplikacji\Mozilla\Firefox\Profiles\yafjuyvs.default\searchplugins\fast-browser-search.xml Już miałam kiedyś taki przypadek na innym forum i stanęło na niczym. "Z powietrza" ten śmieć się rekonstruował w Lisku. Otwórz przeglądarkę, w pasku adresów wklep about:config i zapuść szukanie na ciągi Fast Browser Search + fastbrowsersearch.com. Przedstaw wyniki. Oj, chyba nieuważny jesteś. Extras jest tylko wtedy generowane, gdy opcja "Rejestr - skan dodatkowy" jest ustawiona na "Użyj filtrowania". Uruchomienie OTL więcej niż raz powoduje samoprzestawienie się tej opcji na "Brak" i należy ręcznie to przestawić. Extras po raz drugi w tym konkretnym przypadku nie jest mi jednak już potrzebny, umiem sobie "dośpiewać" dane na podstawie raportów. 1. Kontrolka nie została wymontowana z Internet Explorer: O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (MksSkanerOnline Class) - Uruchom Opcje internetowe > Programy > Zarządzaj dodatkami > wyszukaj MKS i Wyłącz. - Przejdź do folderu C:\Windows\Downloaded Program Files, z prawokliku na MksSkanerOnline Class z menu kontekstowego wybierz opcję usuwania kontrolki. 2. Jeszcze usuń wszystkie pliki o modelu nazwy hosts.*.backup, to kopie pliku HOSTS utworzone przez Spybota, oraz katalogi: [2011-02-28 11:46:11 | 000,429,281 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.20110228-150711.backup[2011-02-28 09:57:48 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.20110228-114611.backup [2011-02-18 11:25:13 | 000,429,996 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.20110225-104656.backup [2011-02-18 10:00:02 | 000,429,996 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.20110218-112513.backup [2011-02-16 14:58:45 | 000,429,996 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.20110218-100002.backup [2011-02-16 14:51:29 | 000,000,000 | ---D | C] -- C:\Program Files\Spybot - Search & Destroy [2011-02-16 14:51:29 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy [2011-02-16 13:36:03 | 000,000,000 | ---D | C] -- C:\Program Files\SkanerOnline Podawałam to na przyszłość. W aktualnej chwili nieużyteczne, już nim skanowałeś. Zaś sam skaner jest tzw. "jednorazowego użytku", nie potrafi się aktualizować i musi być pobierany za każdym razem od początku. .

Skłaniam się w kierunku Hardware i nawet miałam migrować już temat do innego działu. Ze swojej strony adresuję tylko część Windows / Software, by nie zaniedbać i tego.

Podałeś błędy link do OTL. Popraw. W GMER zanikły odczyty rootkit. Avenger skasował usługę, ale jej pliku już rzeczywiście nie było. Podsumuj co się teraz dzieje i czy nadal nie widzisz ukrytych plików (FIX.REG miał uwzględnioną konfigurację pokazywania ukrytych).

Skoro nie ma tu raportu z działań antywirusa = nie można nic na ten temat powiedzieć. Bez precyzyjnych danych ocena działań jest niemożliwa. W dostarczonym OTL nie widzę podstaw do szukania infekcji w stanie czynnym. Ale zabrakło loga z GMER i żadne warunki dla jego uruchomienia nie zostały przygotowane (czynne Alcohol + DAEMON i ich sterownik SPTD). 1. Jest tu folder po infekcji: [2011-02-23 10:28:04 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\My applications Folder ów jest regenerowany, ponieważ infekcja zmodyfikowała odnośnik do folderu powłoki Autostart (%USERPROFILE%\Menu Start\Programy\Autostart) i w zamian podstawiła ten folder. Korekta (przy okazji inne drobnostki notowane w logu) - otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\\Documents and Settings\\Jakub\\Ustawienia lokalne\\Temporary Internet Files\\Content.IE5\\YZ8NWXKH\\calc[1].exe"=- "C:\\WINDOWS\\System32\\cssrss.exe"=- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders] "Startup"=hex(2):25,00,55,00,53,00,45,00,52,00,50,00,52,00,4f,00,46,00,49,00,\ 4c,00,45,00,25,00,5c,00,4d,00,65,00,6e,00,75,00,20,00,53,00,74,00,61,00,72,\ 00,74,00,5c,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,79,00,5c,00,41,00,\ 75,00,74,00,6f,00,73,00,74,00,61,00,72,00,74,00,00,00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] "ProxyServer"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WMDM PMSP Service"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UTSCSI] "Start"=dword:00000004 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik Zresetuj komputer, następnie skasuj z dysku folder "My applications". 2. Do wywalenia Kaspersky (on może mieć znaczenie dla wieszania). Stary, notowalne ubytki w logu oraz błąd w Dzienniku zdarzeń: SRV - File not found [Auto | Stopped] -- -- (AVP)O4 - HKLM..\Run: [AVP] File not found O9 - Extra Button: Statystyki dla ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - File not found O20 - AppInit_DLLs: (C:\PROGRA~1\KASPER~1\KASPER~1.0FO\kloehk.dll) - File not found O20 - AppInit_DLLs: (C:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll) - File not found Error - 2011-03-06 15:41:22 | Computer Name = KUBA | Source = Service Control Manager | ID = 7000 Description = Nie można uruchomić usługi Kaspersky Anti-Virus 6.0 z powodu następującego błędu: %%2 Widzę na liście Dodaj / Usuń pozycję Kaspersky Anti-Virus 6.0 for Windows Workstations. W razie problemów użyj awaryjnego deinstalatora: Kaspersky Remover. 3. Jeśli cokolwiek się dzieje z systemem, zawsze się ściąga w pierwszej kolejności wszelkie modyfikacje, w celu przywrócenia domyślnych plików. Czyli tu: Pack Vista Inspirat 1.1 do zrolowania. To raczej wskazuje na problem sprzętowy. Skoro są restarty, to jeszcze do wykonania punkt 5 z ogłoszenia: KLIK. .

Zabrakło najważniejszej informacji: jakiego programu? PS. Wszystkie moje prace są tu na forum w sekcji Tutoriale. Poprawiłam link.

ComboFix okazał się nieskuteczny, usługa rootkit jest nadal czynna, choć nie mam pewności czy jej plik jeszcze grzeje miejsce na dysku i na wszelki wypadek i on zostanie załączony na usuwanie. 1. Uruchom Avenger i w pustym polu wklej: Drivers to delete: wfrzzym Files to delete: C:\WINDOWS\system32\qdkttulo.dll Rozpocznij usuwanie przez Execute i zatwierdź restart systemu. 2. Po restarcie otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs"=hex(7):36,00,74,00,6f,00,34,00,00,00,41,00,70,00,70,00,4d,00,67,00,\ 6d,00,74,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,42,\ 00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,43,00,72,00,79,00,70,00,74,00,\ 53,00,76,00,63,00,00,00,44,00,4d,00,53,00,65,00,72,00,76,00,65,00,72,00,00,\ 00,44,00,48,00,43,00,50,00,00,00,45,00,52,00,53,00,76,00,63,00,00,00,45,00,\ 76,00,65,00,6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,46,00,61,\ 00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\ 69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\ 00,69,00,74,00,79,00,00,00,48,00,69,00,64,00,53,00,65,00,72,00,76,00,00,00,\ 49,00,61,00,73,00,00,00,49,00,70,00,72,00,69,00,70,00,00,00,49,00,72,00,6d,\ 00,6f,00,6e,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,53,00,65,00,72,00,\ 76,00,65,00,72,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,57,00,6f,00,72,\ 00,6b,00,73,00,74,00,61,00,74,00,69,00,6f,00,6e,00,00,00,4d,00,65,00,73,00,\ 73,00,65,00,6e,00,67,00,65,00,72,00,00,00,4e,00,65,00,74,00,6d,00,61,00,6e,\ 00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,00,\ 00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,69,\ 00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,00,\ 74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,73,\ 00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,00,\ 63,00,65,00,73,00,73,00,00,00,53,00,63,00,68,00,65,00,64,00,75,00,6c,00,65,\ 00,00,00,53,00,65,00,63,00,6c,00,6f,00,67,00,6f,00,6e,00,00,00,53,00,45,00,\ 4e,00,53,00,00,00,53,00,68,00,61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,\ 00,73,00,73,00,00,00,53,00,52,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,\ 00,00,54,00,61,00,70,00,69,00,73,00,72,00,76,00,00,00,54,00,68,00,65,00,6d,\ 00,65,00,73,00,00,00,54,00,72,00,6b,00,57,00,6b,00,73,00,00,00,57,00,33,00,\ 32,00,54,00,69,00,6d,00,65,00,00,00,57,00,5a,00,43,00,53,00,56,00,43,00,00,\ 00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,70,00,\ 00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,74,00,00,00,77,00,73,00,63,00,73,\ 00,76,00,63,00,00,00,78,00,6d,00,6c,00,70,00,72,00,6f,00,76,00,00,00,6e,00,\ 61,00,70,00,61,00,67,00,65,00,6e,00,74,00,00,00,68,00,6b,00,6d,00,73,00,76,\ 00,63,00,00,00,42,00,49,00,54,00,53,00,00,00,77,00,75,00,61,00,75,00,73,00,\ 65,00,72,00,76,00,00,00,53,00,68,00,65,00,6c,00,6c,00,48,00,57,00,44,00,65,\ 00,74,00,65,00,63,00,74,00,69,00,6f,00,6e,00,00,00,68,00,65,00,6c,00,70,00,\ 73,00,76,00,63,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,4e,00,00,\ 00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "4445:TCP"=- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 "Hidden"=dword:00000001 "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik 3. Do oceny: nowe logi z OTL + GMER oraz raport, który poda Avenger po restarcie. .

W raportach widziałam Avirę, co z nią nie tak, za ciężka? Darmowe propozycje alternatywne: AV: Microsoft Security Essentials (antywirus "klasyczny") + Panda Cloud Antivirus (antywirus w chmurze, może być łączony z innym antywirusem). Przy okazji: Panda ma zestaw reguł zachowawczych (KLIK), a jedną z nich jest blokowanie instalacji rootkita TDL, tego samego który gościł na Twoim systemie. FW: PrivateFirewall .

To i ja podaję linka: KLIK. Proszę załączyć obowiązujące tu logi z OTL + GMER. ComboFix nie jest narzędziem "do logów" i nie wystarczy, raport z niego już zostaw, bo musi być wiadome co robił (a usuwał rootkita i nie wiadome czy skutecznie = nie ma raportu z GMER), ale muszą być podane raporty o których mówię. I proszę skorzystaj z Załączników forum.

Log z GMER jest zaciemniony działaniem sterownika emulacji SPTD (KLIK). DRV - [2010-11-30 12:41:04 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd) W OTL widzę infekcję = brzydkie ukryte zadanie w Harmonogramie i koresponujący plik DLL: [2011-03-06 16:49:40 | 000,000,328 | -HS- | M] () -- C:\WINDOWS\tasks\SORVUVLONA.job[2010-12-23 18:51:58 | 000,061,440 | RHS- | C] () -- C:\WINDOWS\System32\kbdbhcj.dll Kolejna sprawa, plik Windows nie ma sygnatury Microsoftu: SRV - [2008-04-14 22:51:40 | 000,142,336 | ---- | M] () [On_Demand | Stopped] -- C:\WINDOWS\system32\sessmgr.exe -- (RDSessMgr) [2009-03-16 20:39:23 | 000,142,336 | ---- | C] () -- C:\WINDOWS\System32\sessmgr.exe Czy jesteś świadomy blokady Przywracania systemu / było to robione celowo (?): [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]"Start" = 4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore] "DisableSR" = 1 Przechodząc do usuwania: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL [2011-03-06 16:49:40 | 000,000,328 | -HS- | M] () -- C:\WINDOWS\tasks\SORVUVLONA.job [2010-12-23 18:51:58 | 000,061,440 | RHS- | C] () -- C:\WINDOWS\System32\kbdbhcj.dll [2010-08-08 15:44:50 | 000,000,000 | ---D | M] (Softonic_France Toolbar) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\51eii27g.default\extensions\{364d4e0c-543f-4b85-abe3-19551139da4f} :Commands [emptyflash] [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. Po restarcie systemu zostanie podany log. 2. Następnie roboty deinstalacyjne w Dodaj / Usuń: Do deinstalacji zbędnik Logitech Desktop Messenger (to podrzucacz "newsów" producenta, w ogóle niepotrzebny do pracy sprzętu). Od razu można zastąpić Adobe Reader 9.4.2 przez najnowszy Adobe Reader X (instalacja z ominięciem sponsora McAfee). Rozważ usunięcie Spybot Search & Destroy. To stary program, słabo ciągnie, a dzisiejsze antywirusy są już multifunkcyjne i spyware wchodzi w zakres detekcji. Tu wystarczy tylko MBAM jako skaner ręczny. Jeśli zdecydujesz o deinstalacji, nie zapomnij w opcjach immunizacji statycznej odkręcić status pliku HOSTS. 3. Nowy log z OTL wykonaj na warunku dostosowanym, w oknie Własne opcje skanowania / skrypt wklej: /md5start sessmgr.exe /md5stop Klik w Skanuj (a nie Wykonaj skrypt!) i zaprezentuj wyniki. Dołącz i log powstały z usuwania w punkcie 1 .

Wykonałeś resztę zadań? Po prostu skasuj jego plik EXE. Tylko tyle. Chodziło mi o: Ustawienia > Osłona w czasie rzeczywistym > odznaczenie "Włącz ochronę w czasie rzeczywistym (zalecane)". To nie wygląda na prawidłową instalację. Dopóki stoi we właściwościach systemu znacznik "SP1", nowszy Service Pack nie wygląda na zainstalowany. Jak rozumiem, constant = nadal błąd Windows Update? W kwestii błędu 800F081F: znalazłam taki temat KLIK, gdzie to mowa o likwidacji problemu poprzez montaż nowszej wersji Windows Update Agent (ale to przecież tu już teoretycznie wykonane = najnowszego Agenta montuje automatycznie stosowany tu już Fix-it Microsoftu) lub Windows Installer 4.5 (możesz spróbować). Link: KLIK. .

W podanych raportach nie widzę oznak infekcji w stanie czynnym. Są tylko drobnostki do usunięcia, czyli: mapowanie pozostałe po podpięciu zainfekowanego USB, adware (Search Settings aktywne + RevelantKnowledge w autoryzacjach zapory) oraz wpisy typu "not found". I uwaga: [2011-03-06 08:44:04 | 003,911,040 | ---- | M] () -- C:\Users\Jagoda i Michał\Desktop\ComboFix[www.instalki.pl].exe Nigdy się nie pobiera ComboFix z serwisów pośrednich. Ów serwis nie ma żadnego pozwolenia na hostowanie kopii. Są tylko dwa autoryzowane serwisy punktowane w naszym opisie: KLIK. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-4182308462-1003076708-3753380735-1003\..\URLSearchHook: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb127\SearchSettings.dll (Vendio Services, Inc.) FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" O2 - BHO: (SearchSettings Class) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb127\SearchSettings.dll (Vendio Services, Inc.) O3 - HKU\S-1-5-21-4182308462-1003076708-3753380735-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [searchSettings] C:\Program Files\Search Settings\SearchSettings.exe (Vendio Services, Inc.) O4 - HKLM..\Run: [NBKeyScan] File not found O4 - HKLM..\Run: [Nokia FastStart] File not found O4 - HKU\S-1-5-21-4182308462-1003076708-3753380735-1003..\Run: [bitComet] File not found O4 - HKU\S-1-5-21-4182308462-1003076708-3753380735-1003..\Run: [fsm] File not found O4 - HKU\S-1-5-21-4182308462-1003076708-3753380735-1003..\Run: [software Informer] File not found O4 - HKU\S-1-5-21-4182308462-1003076708-3753380735-1003..\Run: [VoipBuster] File not found O4 - HKU\S-1-5-21-4182308462-1003076708-3753380735-1003..\Run: [VoipCheapCom] File not found [2009-11-10 20:01:16 | 000,002,233 | ---- | M] () -- C:\Users\Jagoda i Michał\AppData\Roaming\Mozilla\Firefox\Profiles\mvdcob2s.default\searchplugins\askcom.xml [2011-02-21 11:14:10 | 002,438,656 | -H-- | M] () -- C:\Users\Jagoda i Michał\AppData\Roaming\lotybf.exe :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "{6BFD574D-E806-4F86-923B-8AFCCCB75E15}"=- "{7CCA2905-0A09-4068-8DDC-89A9E30BEA62}"=- "TCP Query User{AE6F3C4A-34E6-43DB-BEFB-2C4E2C00835B}C:\program files\relevantknowledge\rlvknlg.exe"=- "UDP Query User{4714B5EA-8670-4F37-A9D7-33DF59043CE9}C:\program files\relevantknowledge\rlvknlg.exe"=- [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ""=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ""=- :Commands [emptyflash] [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z czyszczenia. 2. Przejdź do apletu deinstalacji oprogramowania i usuń śmiecia Search Settings 1.2. 3. Wytwórz nowe logi z OTL opcją Skanuj. Dołącz i log powstały przy usuwaniu w punkcie 1. 4. Zadania na potem: Windows Vista Home Premium Edition (Version = 6.0.6000) - Type = NTWorkstationInternet Explorer (Version = 8.0.6001.18882) System ma bardzo niski poziom zabezpieczeń, nie jest w ogóle aktualizowany, brakuje SP1 + SP2. Instalację rozpoczniesz jak się uporamy ze wszystkim. Będą do pobrania pełne instalatory SP1 + SP2 z artykułu KB935791 (Metoda 3). 1. Notuję, że nie została zdjęta działalność DAEMON Tools i sterownika SPTD, a to podstawowa przeszkoda dla GMER. Należy wykonać instrukcje z ogłoszenia (KLIK) i zatwierdzić operację restartem. DRV - [2008-03-03 20:27:47 | 000,716,272 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\Drivers\sptd.sys -- (sptd) 2. Jeśli powyższe nie pomoże, spróbuj jeszcze wykonać skan po odznaczeniu sekcji IAT/EAT, a jeśli i to nie pomoże, po kolei próbuj odznaczać kolejne sekcje, aż trafisz w tę, która generuje problem. 3. Miałam tu też dwa tematy z Vista bez żadnych Service Packów, GMER nie chciał ruszyć. Po aktualizacji systemu do statusu SP2 nagle ozdrowiał. Zobaczymy jaki wpływ na to będzie mieć usunięcie pewnych zapisów z Autostartu skryptem OTL. Jeśli nie pomoże, będziemy kombinować dalej, można tu powyłączać więcej w ramach "tuningu". Może należy przeinstalować całe Bluetooth: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{03D1988F-469F-4843-8E6E-E5FE9D17889D}" = Lenovo Bluetooth with Enhanced Data Rate Software 6.0.1.4900 Odinstaluj pozycję zakreśloną wyżej. Podaję instalatory Bluetooth: - Od producenta Lenovo: Bluetooth with Enhanced Data Rate Software II - ThinkPad (wersja 6.2.1.2900, nowsza niż Twoja) - Na wszelki wypadek podsuwam też inny instalator od Broadcom: Bluetooth Software. Do wypróbowania, jeśli ten od Lenovo okaże się niezdatny. Dla porównania temat, gdzie pomógł na ów błąd właśnie ten instalator: KLIK. W istocie Bluetooth Lenovo jest oznakowane jako Broadcom, masz to w logu: PRC - [2007-03-29 13:11:50 | 000,719,664 | ---- | M] (Broadcom Corporation.) -- C:\Program Files\Lenovo\Bluetooth Software\BTTray.exe Czy to przypadkiem nie jest właśnie od połączenia Bluetooth? Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > po lewej stronie wybierz Zarządzaj połączeniami sieciowymi > popatrz jakie połączenia są na liście. Zaprezentuj mi też z tego zrzut ekranu. Do analizy miejsca i śledzenia zajętości dysku wykorzystaj darmowy program SpaceSniffer (wywołany przez Uruchom jako Administrator, a przed uruchomieniem skanu dysku ustaw z menu Edit > Configure > Show Unknown Space). Mam pewne przypuszczenia co może drastycznie redukować wolne miejsce, to komputer Lenovo, czyli tu jest firmowy mechanizm wytwarzania kopii systemowej Rescue and Recovery (kopie gromadzone w zablokowanym przez uprawnienia i ukrytym katalogu = przypuszczalnie jest to C:\RRbackups). W Menu Start powinieneś mieć pozycję typu Lenovo Care, które udostępnia interfejs zarządzania kopiami zapasowymi. .

Log z GMER robiony w nieprawidłowych warunkach, podczas aktywności sterownika emulacji napędów wirtualnych: DRV - [2009-09-03 15:49:27 | 000,721,904 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd) W podanych raportach nie notuję żadnych śladów infekcji czynnej, jedynie statyczne ostałe się zapisy trojanów w konfiguracji zapory: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]"C:\Documents and Settings\Antoś\Dane aplikacji\xmxfvssx3nprlufjnbkjfqmzrdqflptu2\svcnost.exe" = C:\Documents and Settings\Antoś\Dane aplikacji\xmxfvssx3nprlufjnbkjfqmzrdqflptu2\svcnost.exe:*:Enabled:ldrsoft "C:\Documents and Settings\Antoś\Dane aplikacji\lzmzvr1gn3x2ttruidr1utqvkfmnufa2\csrss.exe" = C:\Documents and Settings\Antoś\Dane aplikacji\lzmzvr1gn3x2ttruidr1utqvkfmnufa2\csrss.exe:*:Enabled:ldrsoft Prócz powyższego, możemy wyczyścić Firefox i Internet Explorer pogwałcone przez śmiecia "Fast Browser Search" i posprzątać miejsca tymczasowe. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..browser.search.defaultenginename: "Fast Browser Search" FF - prefs.js..browser.search.defaultthis.engineName: "Fast Browser Search" FF - prefs.js..browser.search.defaulturl: "http://www.fastbrowsersearch.com/results/results.aspx?s=DEF&v=19&q=" FF - prefs.js..browser.search.order.1: "Fast Browser Search" FF - prefs.js..browser.search.selectedEngine: "Fast Browser Search" FF - prefs.js..keyword.URL: "http://www.fastbrowsersearch.com/results/results.aspx?s=NAUS&v=19&tid={D16EAD86-7D5D-313A-D48C-174921C7A376}&q=" [2009-12-03 11:58:37 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\Antoś\Dane aplikacji\Mozilla\Firefox\Profiles\yafjuyvs.default\extensions\{C2DCA7EB-22D2-4FD2-86A9-F99FCC8122BB} [2009-12-03 11:40:35 | 000,005,413 | ---- | M] () -- C:\Documents and Settings\Antoś\Dane aplikacji\Mozilla\Firefox\Profiles\yafjuyvs.default\searchplugins\fast-browser-search.xml O3 - HKLM\..\Toolbar: (no name) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - No CLSID value found. O3 - HKU\S-1-5-21-1202660629-1993962763-682003330-1003\..\Toolbar\WebBrowser: (no name) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - No CLSID value found. :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Documents and Settings\Antoś\Dane aplikacji\xmxfvssx3nprlufjnbkjfqmzrdqflptu2\svcnost.exe"=- "C:\Documents and Settings\Antoś\Dane aplikacji\lzmzvr1gn3x2ttruidr1utqvkfmnufa2\csrss.exe"=- :Commands [emptyflash] [emptytemp] Rozpocznij przyciskiem Wykonaj skrypt. System zostanie zresetowany i otrzymasz log z czyszczenia. 2. Do oceny: nowe logi z OTL z opcji Skanuj + log uzyskany z czyszczenia. Należy sobie zadać pytanie: czy MKS na pewno ma rację i jest to prawdziwe zagrożenie. Ten plik *.com wygląda na kopię jednego z narzędzi ekstraktowanych z ComboFix. Tak się składa, że MKS właśnie wykrywa w ComboFix hasło "Trojan.Agent.xeh", a skoro ComboFix był tu stosowany, logicznym przypuszczeniem jest, że MKS nadziewa się na składnik ComboFixa. Tu masz wyniki z MKS na flakach narzędzia, wykrywa jako trojana narzędzie pv.com: Można także wytłumaczyć fakt, że zmieniają się katalogi w System Volume Information = składnik wyekstraktowany z ComboFix przypuszczalnie nadal siedzi gdzieś na dysku w lokalizacji obejmowanej przez Przywracanie systemu, a Przywracanie systemu tworzące na bieżąco punkty uwzględnia ten plik i jest on powielany w każdym kolejnym punkcie. Mówiłeś, że ComboFix odinstalowałeś zgodnie z instrukcją. W takim przypadku: Przeszukaj dysk systemowy na nazwę pv.com, a jeśli coś znajdziesz, usuń. Usuń też katalog z kopią rejestru wytworzoną przez ComboFix C:\WINDOWS\ERDNT Na koniec ręcznie wyczyść foldery Przywracania systemu: INSTRUKCJE Notabene: MKS to przestarzały i upadły skaner i można poddawać w wątpliwość jego skuteczność w dzisiejszych czasach. Podobnie: Spybot Search & Destroy to archaizm i sugeruję deinstalację. Dziś antywirusy już adresują zagadnienie "spyware" i wystarczy jako uzupełnienie tylko dobry skaner na żądanie, a za taki uważam MBAM. Ponadto, na przyszłość: pobierałeś Dr. Web CureIt chyba z dobreprogramy.pl, o czym może świadczyć stała nazwa pliku "launch.exe". Strona domowa narzędzia (KLIK) proponuje całkiem co innego, odporniejszy na wyłączenie plik, bo o zmiennej losowej nazwie. Niestety ostatnio strona domowa dodała uciążliwość do pobierania, czyli należy wypełnić nazwę użytkownika + e-mail (można wpisać fałszywe dane, gdyż nie jest to potwierdzane) oraz serię idiotycznych pytań i anty-spambot kod weryfikacji Captcha. .

Spróbuj wyczyścić cache gadżetów w profilu tego konta, na którym ujawnia się defekt: C:\Users\To konto\AppData\Local\Microsoft\Windows Sidebar\Cache Wyłącz gadżet pogody, usuń całą zawartość folderu Cache, włącz gadżet, w Cache pojawią się nowe pliki. PS. Nie miałam czasu, by tutorial główny o gadżetach uzupełnić o odświeżanie tego miejsca. Cache ma właśnie znaczenie dla "zamrożenia" pewnych informacji w gadżetach typu pogoda. .

W moim przeświadczeniu, podjęcie określonych działań wynika z ustalenia logiczności tych działań a nie oceny poziomu "bezstresowości". 1. Za przesadę uważam ładowanie całego systemu od zera (nieważne, czy jest to kopia zapasowa uwzględniająca też dane uzupełnione wtórnie, czy stawianie na świeżo) w sytuacji, gdy: - precyzja nie stanowi problemu - akcja reinstalacji jest kompletnie nieproporcjonalna do zaszłych zmian w systemie (w mojej opinii to doprawdy bezsens przeładować wszystkie pliki Windows + wszystkie programy, gdy problem jest zawężony tylko do określonych partii Windows) - szybkość operacji zamyka się w mniejszym czasie niż wykonanie całej reinstalacji (zależy od tematu i czasu reakcji użytkownika, przy płynnej akcji sprawę rozwiązuję szybciej niż czasokres wyświetlania ekranów instalacyjnych). - kosztorys całkowity operacji nie przybiera znamion kuriozalnych Podejmuję czynności naprawcze wszędzie tam gdzie widzę szansę / sens. Przy okazji może mieć to wydźwięk edukacyjny. Już niejeden mi mówił, że się sporo nauczył tylko przy prowadzeniu tematu leczniczego i to niezależnie od pomyślności końcowego wyniku. Bo musiał klepnąć tu lub tam, czego by nie zrobił posługując się metodą globalnej reinstalacji, która - nie oszukujmy się - leci na jałowym biegu i wyrabia pewną indolencję. 2. Reinstalację, obojętnym sposobem, uważam za czyn ostateczny, gdy już naprawdę są bardzo słabe widoki na rozwiązanie, system jest dogłębnie uszkodzony, infekcja ma charakter niszczycielski (wirusy w wykonywalnych) i sprawy zaszły już za daleko lub system wygląda na pozornie czysty a nastąpiło zdarzenie poddające to w wątpliwość i waży się bezpieczeństwo czułych danych użytkownika. Gdy tak uważam, informuję użytkownika, że realizuje model "Zabłockiego" i logicznym wyborem jest format, a przy pewnym typie infekcji ostrzegam, by pod żadnym pozorem nie robił żadnych kopii zapasowych i nie korzystał z takowych, jeśli siedziały na dysku dostępnym podczas infekcji. 3. Reinstalacja może się okazać klasycznym przykładem roboty głupiego, gdy nie zostanie usunięte źródło infekcji, cały czas w posiadaniu tego użytkownika i zlokalizowane wcale nie tam gdzie jest podejrzewane / ma dostęp reinstalacja. Zgadzam się z Belfegor. Czynnik ludzki. Większość przypadków infekcji, to delikatnie mówiąc, wina samego użytkownika: ma nikłe pojęcie o czymkolwiek innym niż obsługa komunikatora / odtwarzacza / gry, dał się rozpracować jak dziecko metodami socjotechnicznymi, bez żadnej podejrzliwości klika w linki na Facebooku / Gadu, patrzy na cudowny plik keygen.exe i nic mu się nie nasuwa zdrożnego, wyłączył mu się czujnik bezpieczeństwa przy paczce z nielegalną zawartością lub pokusa wygrała z rozumem, z otwartymi rękami przyjmował prezenty kumpla i pozwalał podpinać pod swój komputer dysk przenośny czy pendrive, i odwrotnie = swoje wtyka gdzie popadnie, strzela samobója tak bardzo chcąc ulepszyć system i poszukując "niezawodnych czyścicieli", obraca się permanentnie w środowisku wysokiego ryzyka, wykazuje nonszalancję w kwestii zabepieczeń ograniczając swoje działania do posiadania antywirusa a jednocześnie lekceważąc inne aspekty, można wyliczać bez końca ... Nie trudno tu uzyskać leitmotiv, czyniąc z potężnej reinstalacji słabe narzędzie o nietrwałych skutkach. Pewni klienci działu Malware wracają jak bumerang. Często wychodzi na jaw, że ominęli jakieś końcowe zalecenia lekceważąc je, czytaj: nielegalny Windows i paranoiczne nastawienie kontra Windows Update, za to obowiązkowo zainstalowany scrackowany (i czasem nawet niezbyt aktualny) AV z lewego źródła (najlepszy przykład mitomanii w zabezpieczeniach). Smutne jest i to, że jest grupa użytkowników rodzaju "ekspresowy". Widzi problem tylko do momentu ustąpienia objawów bezpośrednich i nic już go więcej nie interesuje. To oznacza: jest aktywny w swoim własnym temacie tylko w fazie właściwego usuwania trojanów, i tyle go widzieliśmy, nie raczył nawet wykonać końcowych porządków. Możemy się go spodziewać już wkrótce. Przeładuje cały system i popełni dokładnie ten sam błąd. Ponowna reinstalacja? Gdyby ten typ miał wybierać "bezstresową" metodę polegającą na reinstalacji, nerwica gotowa, kompulsywne odświeżanie całego systemu, którego jakość również można poddać w wątpliwość. Ponadto, istotnym jest by zdiagnozowano infekcję i prawidłowo dobrano zachowanie, bo sama reinstalacja systemu to może być za mało. Wszystko przeładuje, a zapomni zmienić hasła we wszystkich serwisach online (uspokojony myślą, że to nie ma związku). Tylko niepotrzebnie się napracuje, a tu po reinstalacji po pewnym czasie niespodzianka, sprzątnięte wszystkie konta, bo przed formatem był backdoor przechwytujący te dane, dane wyciekły w eter, zaś delikwent nie potrafi powiązać faktów. Zdarzył się i całkowity falstart z Recovery producenta, które nie wymazało wszystkich śladów w rozruchu i było zupełnie nieskuteczne dla likwidacji rootkita w MBR. Inna sprawa: skoro nabawił się infekcji i wybiera jako metodę jej usunięcia "odświeżenie systemu", to czy można mu dowierzać, że nie podłoży sam sobie świni już przy procesie "odświeżania"? Piję do tego, że może się okopać obrazami systemu, kopiami zapasowymi ustawień pewnych aplikacji i nie być świadomym, że zrobił kopię zapasową infekcji, bo nie umie jej zdiagnozować. I takie przypadki miałam. Grzecznie formatował, po formacie w trybie natychmiastowym korzystał z kopii zapasowej sterowników czy zgromadzonych programów, powrót do punktu wyjścia. Notuję i to, że użytkownik po rzekomo czystej instalacji (rzekomo, gdyż to tylko w jego mniemaniu), powiela swoje zachowania, co ujawniają raporty w których widać dokładnie te same czynności. Każdy użytkownik ma opracowany świadomie bądź i nie pewien zestaw kroków wykonywany podczas instalacji i jest nieuniknionym, że nie zmieni sekwencji w stopniu pożądanym. Ważąc co zastosować dla takiego typu, wybieram podawanie konkretnych wskazówek a nie ogólników. Nie dla XP (jeden z najpopularniejszych systemów rozpracowywanych w dziale Malware). Ostatnim jest SP3, to i czasu zejdzie na wyszukiwanie wszystkich publikacji po roku 2008, nawet jeśli masowo ktoś pobierze wszystkie comiesięczne ISO wprost od MS. Zakładam, że mówimy o oryginalnym XP a nie "produkcjach artystycznych" ze sztucznymi integracjami, a i nie wiadomo jaka niespodzianka w środku. Oczywiście, da się zrobić samemu płytę, która powiedzmy, że zbliża się do "aktualnej", tylko i tak jest wymagana kupa czasu, by płytę przygotować bez błędu i uwzględnić w niej na pewno wszystko co potrzebne. Brak zagrożeń z tej strony zależy od typu infekcji. Poobijanie systemu po leczeniu (zadanym z sensem) zależy tylko od tego jak sprawny jest ten kto analizuje temat. Analizujący temat z pewnością nie może być tzw. "wyrobnikiem logów", który umywa ręce przy pierwszym napotkanym problemie wykraczającym poza stricte wyławianie szkodliwych wejść. Czytam niekiedy wypowiedzi na forach i włosy mi się podnoszą. Skwitowanie tematu w działach dedykowanych usuwaniu malware wypowiedzią "nie zajmuję się naprawą Windows" / "Windows to nie moja działka" (przy czym w logu platforma Windows + log to tylko skrótowa wizualizacja pewnych ustawień Windows = czym na litość Boską się zajmuje ten analizujący) całkowicie podważa kompetencje osoby prowadzącej analizę logów i potwierdza, że nie ma dostatecznej wiedzy by ją prowadzić. Malware zajmuje się ingerencją w różne sfery Windows, nie wszystko można wyczytać z logów, analizujący musi wykazać podstawową wiedzę o samym systemie i zdolność diagnostyki uszkodzenia różnorakimi metodami (tym samym potrafi rozwiązać temat i spoza infekcji i wykonać optymalizację systemu). Do licha, zgrzytam zębami, gdy widzę gdzieś, że użytkownik w temacie po usunięciu trojanów nadal zgłasza pewien problem zbieżny czasowo z wystąpieniem infekcji, ale analizujący uspokojony, że "w logach czysto" i skanery nic nie wykrywają, bezmyślnie wypuszcza użytkownika z problemem, bo twierdzi, infekcji już nie ma. Infekcji owszem może już nie ma, ale jej skutki nadal są i wymagają naprawy, tylko ta osoba nie zna się na tyle, by poprowadzić temat do końca. Nie omieszkam załączyć i komentarz: znów się zaczęło. Tym razem jest to choroba o nazwie OTL. Pseudoeksperci konstruują kuriozalne skrypty i zmuszają użytkownika do wykonania rzeczy podrzędnych (użytkownik oczywiście na ślepo to wykonuje, tkwiąc w błędnym przeświadczeniu, że właśnie zachodzą pożądane zmiany), przy czym nie adresują problemu głównego z którym przyszedł użytkownik. Nawet nie próbują się podjąć tematu lub jawnie spławiają według metody podanej wyżej. Nie powinni więc w ogóle zabierać głosu w temacie. To anegdota rodzaju: przychodzi monter grzejników i nakłada spaw na czajnik. .

Rychwal Ilość RAM jest obliczona w nagłówku OTL: 2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 73,00% Memory free4,00 Gb Paging File | 3,00 Gb Available in Paging File | 90,00% Paging File free Paging file location(s): C:\pagefile.sys 0 0 [binary data] tuli Kilkukrotnie już rozwiązywałam taki przypadek z odnawianiem "Printer" z powietrza. Dwa rozwiązania były przeze mnie zastosowane: 1. Kasacja wejścia odpowiadającego urządzeniu "Printer" w jednej z tych gałęzi (która zależy od rodzaju tego "Printera"): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\LPTENUM HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB (Do podkluczy w Enum może nie być uprawnień i należy posiłkować się tym tutorialem na forum: KLIK) 2. Przy nieskuteczności powyższego pomagało usunięcie reinstalatora urządzenia (należy wyszukać odpowiedni plik oem*.inf w C:\WINDOWS\inf odpowiadający zawartością do drukarki). PS. A jeśli uruchamiasz devmgmt.msc, to nie zapomnij w menu Widok włączyć urządzeń ukrytych. .

Najbardziej prawdopodobny wydaje się tu DivX. Te paczki zawsze miały upchane śmieci. Ponadto: PC Tools = Symantec. Firma została przecież spory czas temu przejęta przez Symantec, tylko zachowała pewną odrębność prezentacyjną produktów. Skoro nie odznaczyłeś tu sponsora w instalacji DivX, to jest prawdopodobne, że to zezwoliło na instalację reklam. Nie mogę odtworzyć tego zachowania z DivX, ponieważ nie mam licencjonowanego starszego DivX, który można upgradować. Instalacja paczki DivX Plus ze strony domowej nie proponuje mi nic od Symantec, za to próbuje mi podsuwać Google Chrome i przestawiać domyślną przeglądarkę. .

Log z OTL robiony na konfiguracji z innego forum, przedawnione instrukcje obliczania MD5. Log z GMER robiony w nieprawidłowych warunkach (czynna emulacja wirtualnych napędów SPTD). DRV - [2011-02-11 16:40:45 | 000,697,328 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\Drivers\sptd.sys -- (sptd) Będziemy usuwać: Qooqlle, zapyziały crack do NOD i czyścić lokalizacje tymczasowe. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-3093594755-15327316-2802845262-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" O4 - HKLM..\Run: [GProton] C:\ProgramData\GProton.exe () SRV - [2009-07-14 02:14:30 | 000,009,216 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\System32\regedt32.exe -- (NOD32FiXTemDono) :Commands [emptyflash] [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. Komputer zostanie zrestartowany i otrzymasz log z usuwania. 2. Do oceny nowe logi z OTL z opcji Skanuj. Nic nie wklejaj w dolne okno. Dołącz i log powstały z usuwania w punkcie 1. .

Landuss zapomniał podać instrukcję do innych przeglądarek widocznych na liście Dodaj / Usuń. Skrypty do OTL nie potrafią konfigurować Opery. To co w skrypcie zostało robione to: usunięcie głównych procesów qooqlle + rekonfiguracja Internet Explorer i Firefox. Dla Opery należy wykonać te dodatkowe kroki: KLIK. Zmiany się utrzymają, bo zostały już usunięte procesy Qooqlle. Format? Jeśli tylko pod kątem infekcji, to jest to gruba przesada. Qooqlle to infekcja prosta jak budowa cepa .... Jeśli jednak to nie infekcja jest decydująca, tylko zamiana na Windows 7 = wtedy owszem mogę się zgodzić z teorią formatu. .

tomulusss Proszę przeczytać post powyżej Twojego (ostatni w temacie i decydujący), w którym jest podane dlaczego strona wolno chodzi, kto ma się zająć naprawą oraz:

Nie mam na myśli GMER i OTL, bo żaden z nich nie był przeze mnie poinstruowany, by się tym zająć. Mnie chodziło o skaner typu Microsoft Security Essentials. Usługa była (jako wyłączona po akcji z Avenger), usługi nagle nie ma (ale GMER już nie wskazuje na rootkita) = coś to usunęło. Kończymy z logami: 1. Odinstaluj w prawidłowy sposób ComboFix. Jeśli go skasowałeś, pobierz ponownie na Pulpit. Następnie z klawiatury kombinacja klawisz z flagą Windows+ R i wklej polecenie: C:\Users\Olaf\Desktop\ComboFix.exe /uninstall 2. W OTL wywołaj opcję Sprzątanie. To usunie kwarantannę i program OTL oraz składniki Avenger. 3. Drobniejsze aktualizacje do wykonania: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216010FF}" = Java™ 6 Update 14 "{AC76BA86-7AD7-1033-7B44-A81200000003}" = Adobe Reader 8.1.2 "Gadu-Gadu" = Gadu-Gadu 7.7 "Gadu-Gadu 10" = Gadu-Gadu 10 "Mozilla Firefox (3.0.19)" = Mozilla Firefox (3.0.19) "Tlen.pl" = Tlen.pl - Firefox, Java, Adobe Reader do aktualizacji: INSTRUKCJE - Bezsensowne połączenie GG7 + GG10 (i jeszcze do tanga Tlen) zgrabnie można zastąpić jednym programem, który: obsługuje cechy nowego Gadu (takie jak długie numery, szyfrowanie, multilogowanie), nie ma żadnych reklam, może działać w trybie portable. Te warunki spełniają WTW i Miranda. Opisy tu: Darmowe komunikatory. Na temat Windows Update: log nie wykazuje błędów, więc załóżmy na początek, że problemu nie stanowi sfera skanowana przez CheckSur. Rozpocznijmy od podstaw: 1. W jaki sposób pobrałeś SP2? Czy metodą automatyczną z Windows Update czy pełny instalator? Jeśli przez Windows Update, to w zamian pobierz pełny instalator do uruchomienia z dysku. Linki w tym artykule: KB935791 (Metoda 3). Zanim uruchomisz, wykonaj punkty 2+3: 2. Zresetuj komponenty Windows Update posiłkując się Fixit Microsoftu z KB971058. Zaznacz tryb agresywny. 3. Tuż przed instalacją SP2 wyłącz sterownik emulacji napędów wirtualnych SPTD za pomocą narzędzia Defogger + osłonę rezydentną Microsoft Security Essentials. .