covo

jednak procmon pokaże tylko stan obecny odwołań do (np.) klucza, a mogą istnieć odwołania/trzymanie wykonane przed uruchomieniem  procmoma (np. w czasie boot).

czyli jednak wspomniany wyżej p. explorer: 

i jeśli chodzi o konkretny klucz, to klawisz find; a jeśli w ogóle o rejestr, to klik w SYSTEM górny panel i oglądanie w dolnym panelu type -> key, ale nie jest jasne, czy w ten sposób podejrzy się całościowa działalność (np. kernela) w sprawie konkretnego klucza, czyli to, o co najbardziej chodzi.

to chwilowo tyle dla porządku i potomności.

TCPOptimizer, nie 27 MB, ale ok 700 kB, zero instalacji.

https://www.speedguide.net/downloads.php

byc może:

sprawa polega na swoistym "konflikcie": w gruncie rzeczy masz dwa ff i jeśli ten na bocznej partycji został poprawnie ustawiony w sprawie Primetime, to ma to swoje odbicie w katalogach mozilli na partycji c:  i ten główny ff przy instalowaniu primetime... może głupieje, bo czerpie wiedzę z katalogów mozilli na c:, w którym buszuje boczny ff.

Zamknij ff na głównej partycji (a wcześniej zlikwiduj właściwe dla primetime wpisy w about...), odinstaluj ff z bocznej partycji, pokasuj:

C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Mozilla

(takie katalogi mam u siebie, pomimo, że używam ff portable...)

-  teraz uruchamiasz ff na głównej partycji i zakładasz primetime.

łatwiutko procmon jednym filtrem pokazuje wszystko (?), co związane jest z konkretnym kluczem. Co nie znaczy, że proc. expl. nie zrobi tego.

Jest pytanie:

czy procmon pokazuje absolutnie wszystko, co z systemu "dociera" do klucza i np. może być hakiem na kluczu, powodem jego zablokowania?

tylko jakie kłopoty...? nie aż destrukcyjne dla systemu. Cookies.

z ciekawości jednakowoż: żadne kłopoty istotne --> http://tinyurl.com/y9v2wone

i takoż --> http://tinyurl.com/yc3rda42

całkowicie losowy, przykładowy klucz:

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account

- nie widzę w proc. expl. możliwości wpisania go w jakieś okno (?) i wylistowania wszelkich procesów, do poziomu nawet sterowników kernelowych, etc., które odwołują się do tego akurat klucza. (co innego, gdy jest proces zadany, nie klucz)

sa programy, ktore latwo pokazuja CO trzyma/blokuje konkretny plik.

Czy jest program, ktory pokaze: CO trzyma/chroni/blokuje konkretny klucz rejestru?

1.

Osoba, która zna system czyta raporty typu FRST z zamkniętymi oczami    [....]  

 

2.

widać, że nie znasz na tyle systemu by móc korzystać z tego narzędzia samodzielnie. 

 

3.

C:\Documents and Settings\NetworkService\Cookies.

Ten folder nie nadaję się do usunięcia

 

4.

Załącz w skrypcie: C:\y\IP multicast.pdf, plik zostanie przeniesiony do kwarantanny FRST.

1.

powiedzialbym inaczej: osoba, ktora zna frst (i do pewnego niezbednego poziomu system) czyta raporty frst z oczkami zamknietymi, bo rozumie w raporcie wszystko. To, ze ktos zna system, implikuje tylko i wylacznie to, ze rozumie "podmioty" w raporcie frst.

2.

nie znam na tyle frst, zeby korzystac z frst w sposob zaawansowany i samodzielnie. Ale w prosty sposob korzystac z frst - wystarczy pare spraw doprecyzowac w wiedzy i  nie widze przeszkod. Akurat mnie interesuje frst tylko jako narzedzie do prostych operacji [jest ich moze z... dziesiec], ktorych standardowo wykonac [z pewnych powodow] nie mozna. Jakims tam asumptem do tego tematu byly kiepskie efekty usuniecia pewnego klucza. Wykonano inna metoda.  Nie jest powiedziane, ze nie utworze tego klucza jeszcze raz, tylko po to, by sprobowac, jak z jego usunieciem poradzi sobie frst.

3.

A jakaz to destrukcja po jego holokauscie czeka system? 

(btw:

rownie dobrze moglem napisac "system32" - przeciez napisalem, ze wszelkie katalogi, klucze, etc. sa brane z marszu, jeno przykladowo)

4.

tak podejrzewalem, chcialem sie upewnic (jak i w innych sprawach; ja pytam, ktos odpowiada. Albo nie. Tak to powinno dzialac. Na koncu uklony i rozchodzimy sie. "Co nie?"

u mnie tez dziala. Po staremu. Czyli nie dziala.

edit po czasie:

zartow koniec, bo jednak faktycznie juz dziala, a powodem bylo... rozszerzenie do ff - "grab any media", widocznie zbyt agresywnie "wgryzalo" sie w strone mbanku. 

u mnie od paru dni zero mozliwosci korzystania z webkonta mbankowego;

po loginie i pass: pokazuje sie napis "zalogowano", po chwili juz, juz, juz widac strone mojego konta, tzw ulamek sekundy to widze, a potem trrrach i to widze:

https://s13.postimg.org/rldprzjmv/screen.png

(ublock wylaczony, ladowanie www z pominieciem cache)

  No i co?

dzieki za zainteresowanie Tak, ja przejrzalem tutorial FRST, ale - i jestem do tego przekonany - napisany jest jednak zbyt skrotowo, momentami wrecz malo jasno "dzieki" temu. Ale jest. Nie zalezy mi wszakze na wnikaniu w jakies ekwilibrystyki z FRST, ale na opanowaniu absolutnie podstawowych operacji. Przeto pare spraw (wszedzie sa oczywiscie tylko przykladowe obiekty: katalogi, pliki, etc.):

1.

RemoveDirectory: C:\Documents and Settings\NetworkService\Cookies

 - usunie katalog Cookies.

Jaka dyrektywa usunie plik:  C:\y\IP multicast.pdf

2.

czy dyrektywa RemoveDirectory: usuwa puste i niepuste katalogi, czyli takze pliki w nich zawarte?

3.

Jaka dyrektywa usunie skrot do pliku:  IP multicast.pdf (orientacyjnie: "IP multicast.pdf"), czyli plik lezacy np. tak:
C:\y\IP multicast.pdf.lnk

4.

biorac pod lupe ledwie trzy dyrektywy, wystarczy stworzyc fixlist.txt (unocode-8) i zawrzec w nim tylko tresc o takim ksztalcie przykladowym?:

DeleteKey: HKEY_CURRENT_USER\Control Panel\Desktop
DeleteValue: HKEY_LOCAL_MACHINE\HARDWARE\ACPI\FACS|00000000
RemoveDirectory: C:\Documents and Settings\NetworkService\Cookies

- dac do katalogu z FRST i fix?

albo po prostu skopiowac ppm ponizsze:

Start::
DeleteKey: HKEY_CURRENT_USER\Control Panel\Desktop
DeleteValue: HKEY_LOCAL_MACHINE\HARDWARE\ACPI\FACS|00000000
RemoveDirectory: C:\Documents and Settings\NetworkService\Cookies
End::

- nastepnie fix w FRST, ktory ze schowka po prostu wezmie sobie powyzsza tresc?

5.

Czy jesli klucz / wartosc w rej. / katalog / plik / skrot  nie daja sie skasowac dzieki FRST w trybie normalnym  -  FRST sam wykona reboot, zeby max "oddalic" sie od systemu?

Czy nie wykona reboot i nalezy probowac wykonac skrypt FRST w trybie awaryjnym, moze sie uda, a jesli nie uda sie likwidacja, to... no wlasnie, co dalej? Bo wowczas wniosek jest taki, ze "cos" (kernelowo... na przyklad?) kotwiczy/trzyma obiekt do likwidacji  - ale CO?

Czyli zmierzam do wiedzy najwazniejszej: jak - majac jakas prosta dyrektywe do dyspozycji - likwidowac skryptem fixlist.txt max odporne na usuwanie spod ppm obiekty?

dzieki za wyjasnienia.

nudzisz sie, ze haczysz ludzi o watki z wrzesnia, jako stare? omijaj je.

FRST umożliwia łatwe przywracanie rejestru XP (na nowszych systemach jest to awykonalne).

jest to gdzies klarownie opisane i do przejrzenia?

Tutaj piszą, że FF już nie wspiera XP

wspiera / nie wspiera, akademickie dyskusje

dla xp caly czas jest wydawana linia esr (52.x.y) http://tinyurl.com/d96jmab z aktualnymi poprawkami bezpieczenstwa, aczkolwiek juz bez tych nowych (najdelikatniej mowiac) problematycznych usprawnien, firefox ESR dziala na xp (i wyzej) z galonem dostepnych rozszerzen , ktore dla firefox  = lub > 53 zaczynaja miec problemy (nie rozwijam sprawy).

ostatni firefox dla xp:

http://tinyurl.com/qbfv6fk

albo portable, np. http://tinyurl.com/y8r2b2vm

od zainstalowania sp3 moze zaczac sie rozmowa o sieci (w tym: przegladarki),ktora nie dziala ok. Dopiero wowczas.

ale tez:

1. zakladam, ze stery do karty sieciowej masz ok.

2. wszelkie laty, fixy, etc. dla xp powinny byc (ale juz po sp3 powinno dzialac ok)

Na wszelki wypadek wez stad:

http://tinyurl.com/y8r2b2vm

firefoxa portable, zero instalacji, bedziesz mogl porownac dzialanie z IE. A potem przejsc w ogole na firefoxa, IE 8 to nie jest to...

1.  Pobierz pakiet sterowników do karty sieciowej

2.  następnie wstaw instalacje tego sterownika.

 

3.  Wtedy będziesz mógł wyszukać indeksy do pozostałych sterowników i byc moze program bedzie w stanie automatycznie pobrac i zainstalowac reszte. 

mozesz jasniej wg pktow -  co i jak miales na mysli?

jak wspomnialem wyzej: czytalem i stosowalem link picasso
czyli: i podlinkowany tam temat --> Uruchamianie aplikacji na uprawnieniu konta SYSTEM.
wykorzystalem przeto to cudo --> http://tinyurl.com/ya6avv69
- uruchomilo regedit z uprawnieniami SYSTEM (o czym moze swiadczyc to, ze ujrzalem podklucze dla SAM; poza tym, ja w ogole uzywam zewnetrznego edytora rejestru z takimi natywnymi uprawnieniami).
Klucz nie daje sie usunac.
przymierze sie do kasperskiego cd [wspomnialem wyzej].

EDYCJA:

do znawcow FRST:

kaspersky cd pomogl, ale pomyslalem, ze to troche taka armata byla na muche (jednak nic innego nie pomagalo...) i pewnie jest delikatniejsza metoda (w kazdym razie warto sprobowac):

czy moglby ktos, kto jest specem od FRST, pokazac, jak powinien wygladac plik fixlist.txt, jesli chcialbym wykasowac:
1.
tylko taki klucz (to tylko przyklad): HKEY_CURRENT_USER\Control Panel\Desktop
2.
albo tylko taka w nim wartosc: MenuShowDelay

dzieki

... pomijajac FRST, pozostaje mi do wyprobowania np taka metoda --> https://support.kaspersky.com/us/8110#

klucz rejestru nie daje sie usunac.
W uprawnieniach ma wpisane tylko: "Wszyscy", uprawnienia dla "Wszyscy" -> odczyt i pelna kontrola.
Desperacko dodalem do "Wszyscy" ile dalo sie: wszelkie mozliwe grupy, administratora, uzytkownikow, etc. - i kazdemu nadalem uprawnienia do kazdej mozliwej operacji (czyli takze "usun").
Ale klucz nie daje sie usunac, a po probie usuniecia  -  traci wszystko, co dodalem i znow pokazuje co ma w uprawnieniech, tzn --> "wszyscy", uprawnienia dla "wszyscy" -> odczyt i pelna kontrola.
 

czytalem i stosowalem --> https://www.fixitpc.pl/topic/1893-nieusuwalne-klucze-rejestru/

jakis pomysl na usuniecie tego klucza?

antywirus: uwazam za calkowicie zbedna sprawe, jako program chodzacy w tle. Bezsensowne obciazanie systemu. Jedyny antywir. jaki mam, to w jednym pliku cureIT (mozna sie sprzeczac, czy to jest TO), skanuje (ppm) pliki sciagane, przed ich uruchomieniem. Ewentualnie wrzucam na virustotal.com.

Wystarczy przegladarka z wlasciwymi zabezpieczeniami. I od czasu do czasu przeskanowanie systemu przez adwcleaner, Malwarebytes' Anti-Malware, SUPERAntiSpyware...  - jesli jakies drobiazgi sa, to wylapia.

Inaczej wyglada sprawa w tzw. zakladach pracy. Tam  dobry antywir. w tle jest niezbedny.

1.  Nessus,

2.  Microsoft Security Compliance Manager 4.0.0.1.

 

usiłuję odnalezc je w sieci w wersjach dla xp oraz jako darmowe  - raczej porażka... Moze masz jakies dobre, a konkretne wiesci?

(np. nessus w wiki "is free of charge for personal use in a non-enterprise environment", ale na firmowej www slepy jestem w sprawie xp i darmowosci...)

chwalilem wyzej strone IDM, ze podaje , jak zainstalowac poprawke poszerzajaca baze certyfikatow dla xp. ale... moze i poszerza, jednak  na tej www:

http://tinyurl.com/y7gjxabx

jest plik do sciagniecia --> https://forum.dobreprogramy.pl/uploads/default/original/3X/6/0/60c2fec34b118d6f269fb7aad6c293aa9f726b88.zip

i za licho sam IDM nie chce wykonac download, woła o certyfikaty

czyli - srednio w xp pomaga poprawka z posready...

Nie wyszukuje mi aktualizacji o takim numerze przez WSUS w Windows Server 2003.

tak tylko przypominajaco:

chodzilo - w pewnym momencie - o poprawke WindowsXP-KB3055973-v3-x86-Embedded-ENU.exe dla posready, ktora miala w XP PL poszerzyc / "uwspolczesnic" "baze certyfikatow", poszerzyc zdolnosc komunikacji protokolowej po http/-s, ale niestety, nawet z wiadomymi wpisami posready w rejestr nie chciala sie zainstalowac, bowiem jest angielska poprawka, w moj xp jest pl.

I nagle oswiecenie:

http://www.internetdownloadmanager.com/support/xp-https-problems.html

- elegancki opis jak to zrobic: otoz rownorzedna poprawka jest KB3081320 , w sieci latwo znalezc ten plik pasujacy do xp PL.

zainstalowalo sie i juz bez problemu mozna z sieci np. pobierac pliki jakiekolwiek, ktorych pewne programy nie chcialy pobierac wlasnie z uwagi na brak certyfikatow w xp (np. IDM nie chcial i jego www podpowiedziala, jak to opanowac)

xp;

najpierw - przy pelnej galezi kontrolerow dzwieku,video i gier - pojawily sie (przy kazdej pozycji w managerze urzadzen) zolte znaki => wypiely sie sterowniki (?).

Restart. Nic sie nie zmienilo.

Proba recznej instalacji kazdej pozycji w galezi osobno - nie udaje sie, system nie znajduje instalowanych elementow.

Nastepnie: proba instalacji calej galezi kontrolerow przez "dodaj sprzet" w panelu sterowania - nie udaje sie.

Wykasowalem wiec kazdy element z galezi "kontrolery"osobno.

Restart i jest to -> http://i.imgur.com/qKt9RIp.png.

Jak wykonac odtworzenie pelnej galezi "kontrolerow video i gier" bez reinstalacji (nakladkowej...) calego systemu?

processexplorer

(.......)

Opcja jest trochę ukryta ale pokazuje bardzo dokładne wykresy obciążenia, zajętości pamięci itp.

 

dla xp GPU Usage nie ma detekcji:

https://forum.sysinternals.com/process-explorer-does-not-display-gpu-usage_topic29347.html