covo

Popieprzyłem coś w ustawieniach KMPlayera i musiałem zresetować ustawienia na domyślne. Wszystko wróciło do normy i odpala filmy od razu. Dzięki za pomoc. Pzdr

moze miales zapisywanie ustawiem kmplayera w pliku *.ini", a nie w rejestrze, to znaczaco spowalnia uruchamianie. Tak w kazdym razie bylo kiedys u mnie.

Witam! Nie mogę wyłączyć Centrum zabezpieczeń w Windows Vista i 7. Wyłączam je w usługach oraz zaznaczam by się nie uruchamiało, jednak nadal się uruchamia.

cos koło tego:

http://windows7themes.net/disable-windows-7-security-center-warnings-completely.html

 - wylaczenie albo tylko alertow Centrum, albo w ogole Centrum.

Sprawa calkowitego wylaczenia Centrum jest oczywiscie sprawa dyskusyjna, ale nie jest rownoznaczna w zadnym stopniu z polozeniem systemu. I wielu  uzytkownikow - tych-ktorzy-wiedza-co-robia  - wylacza Centrum. Jak i wiele innych komponentow windows.

Z Centrum jest troche tak, jak z wylaczeniem DEP w xp - niekiedy wylaczenie jest po prostu wygodne dla uzytkownika. Ale warto, zeby wiedzial, "co robi".

[...]  wartość MoveImages w kluczu Memory Management.

 

[....]   Uruchom FRST i kliknij w Fix. 

co wiecej wykonuje w tej sytuacji, z tym poleceniem (typu delete)  FRST, ze nie mozna najprosciej wyciac tego klucza - w jakimkolwiek edytorze rejestru?

 lav filters  [....]   zamiast tych wszystkich wynalazków, które zajmują już coraz więcej miejsca tylko.

no wiesz.... ffdshow nie jest zle, a nawet nadal b. dobre, w koncu do niedawna - potega. A na dzisiaj? Mysle, ze przyda sie merytorycznych pare uwag w sprawie ffdshow / lav:

http://www.videoaudio.pl/forum/index.php?showtopic=8370&hl=lav

http://www.videoaudio.pl/forum/index.php?showtopic=8495&hl=lav

btw:

i oczywiscie nalezy ODinstalowac wszelkie wynalazki kodekowo-filtrowe i albo ffdshow,albo lav (albo i to, i to) + ew. ac3

Ten soft jest w porządku, [......]  pozostałem przy samym defragmentatorze

PerfectDisk Free Defrag tez nie od macochy, a nawet b.b.dobry i tutaj ciekawostka:

po defragmentacji Puranem - PerfectDisk pokazuje jeszcze duzy stopien fragmentacji, nawet b. duzy, wolnej przestrzeni... Zapewne maja rozne mechanizmy detekcji fragmentacji, ale zeby az taki rozny wynik? zrezygnowalem z Puran. Zaufalem jednak Perfectowi.

warto miec w wersjach portable i opere (najlepiej wersja 12.16, bowiem ta "nowa" i dalsze - bez sensu) i  FF  - wlasnie dla takich sytuacji sciagania "czegos tam".

akurat te sytuacje znakomicie obsluguje takze opera 12.16 z dodatkiem:

https://addons.opera.com/pl/extensions/details/savefromnet-helper/?display=en

- klikasz w przycisk tego rozszerzenia i ... sciagnalem bez problemu ten kawalek, cos okolo 7 minut ma. Jakos tak.

mozesz to blizej wyjasnic? dlaczego > 0 ? 

btw:

jest gdzies znany/opisany przypadek infekcji sys. gosp. z maszyny wirtualnej zalozonej na nim?

w skład obowiązkowych raportów wchodzą FRST i GMER. 

 

[.......]

Usługa memsweep2 kierująca na losowo numerowany plik to usługa Sophos Anti-Rootkit.

stosowałeś przestarzałe rootkit detektory: Rootkit Revealer (program z 2006!) oraz RootRepeal (z 2009). 

 

[.......]

Brak raportu z TDSSKiller, więc nie można ocenić co tam widziałeś. Proszę dodaj raporty TDSSKiller, o ile nadal masz je na dysku C:\.

Co do obowiazkowych raportow: gdzies tutaj widzialem namalowane, ze OTL & FRST,a nie - FRST i Gmer, co nie oznacza, ze te pierwsze dalem, to fakt, sorry   A moze po prostu nie widze tej www, a warto,zeby byla, bo ktos inny bedzie slal OTL i FRST.

Revealer - no tak, jakos tak odruchowo zapuscilem... Wiem,ze staroc; moze nie do konca czuje, ze absolutnie nie ma sensu uzywac,ze nie wylapie niczego, czego by nie zlapal najnowszy soft rootkitowy.

A co do Sophos Anti-Rootkit - odpuscic sobie? (na przyszlosc)

Papierow z TDSSKiller - nic z tego, nie ma sladu.

OK, poprawiam wiec sprawe:

Wszelkie alcohole, deamony, dyski od nich wirtualne - odinstalowane; sterownik sptd - odinstalowany, a przy okazji: wpis w HKLM/.../services - wykasowany, innych wpisow sptd nie ruszalem.

(rozumiem, ze dla dzialania zakladanych potem dyskow wirtualnych, nalezy via SPTDinst zainstalowac ten sterownik)

Po powyzszych operacjach: aswMBR - nie daje juz zadnych czerwonych alarmow.

Logi:

FRST

http://wklej.eu/index.php?id=c809337d7a

Addition

http://wklej.eu/index.php?id=b387253159

Shortcut

http://wklej.eu/index.php?id=cbbbbc3d3b

GMER

http://wklej.eu/index.php?id=6b2e9f043d

btw:

teraz widze - po deinstalacji wirtualiow - ze zniknela w managerze urzadzen cala linia "kontrolery scsi...", miala dwie pod-linie - jakies dwa kontrolery (?), jeden z nich mial permanentnie zolty znak, manipulowalem nimi, odinstalowania, zainstalowania, wszystko zmierzalo do zwiazku z sptd.sys... - rozumiem, ze ta linia kontrolerowa to dotyczyla dyskow wirtualnych zalozonych z alcohola i daemona i ze fizycznie/realnie nie istnieja,  i ze pojawi sie, gdy zaloze wirtualia.

Tak jest? 

================================

                                                   dla potomnych: rozwiazanie dalsze jest takie:

w zasadzie nie ma nic groznego, ale skoro logi juz są, to wniosek taki: w notatniku wpisac to, co miedzy liniami:

---------------------------------------------------------

C:\WINDOWS\system32\5.tmp

C:\WINDOWS\system32\4.tmp

C:\WINDOWS\system32\3.tmp

C:\WINDOWS\system32\75.tmp

C:\WINDOWS\system32\74.tmp

C:\WINDOWS\system32\73.tmp

C:\WINDOWS\system32\72.tmp

C:\WINDOWS\system32\71.tmp

C:\WINDOWS\system32\70.tmp

C:\WINDOWS\system32\Drivers\rootrepeal.sys

C:\WINDOWS\system32\Agent.OMZ.Fix.exe

C:\WINDOWS\system32\IEDFix.C.exe

C:\WINDOWS\system32\VACFix.exe

C:\WINDOWS\system32\o4Patch.exe

C:\WINDOWS\system32\404Fix.exe

C:\WINDOWS\system32\IEDFix.exe

C:\WINDOWS\system32\VCCLSID.exe

Reboot:

--------------------------------------------------------------

- plik zapisac jako fixlist.txt i umieścic w katalogu z FRST i uruchomic FRST, i klik w Fix. 

xpsp3;

prosze o rzucenie okiem na te oto dwa logi:

OTL.txt

http://wklej.eu/index.php?id=c2eb0e64c7

Extras.txt   

http://wklej.eu/index.php?id=ef0712764f

dodatkowo obrazek z aswMBR:

http://img31.otofotki.pl/wo553_capture_001_13032014_151241.png.html

Zdaje sie, ze wazne:

w autoruns permanentnie pojawiaja sie w HKLM-services wpisy-uslugi, nazwy losowe, np.:

awo2z0j, z info, ze dla uslugi -  "file not found", a file = awo2z0j.sys  i ten *.sys ma byc w TEMP; ale go nie ma.

Prawoklikiem  likwidacja wpisu w autoruns nie udaje sie -> info: "okreslona usluga nie istnieje jako zarejestrowana".

Ale prawoklikiem docieram z autoruns do tego wpisu w rejestrze i wykasowuje wpis o usludze, nastepnie odswiezenie autoruns i ... juz sa nowe uslugi ->  w tej chwili powstala jedna: memsweep2 i  jej plik -> file not found = 83.tmp.

(przed ta sytuacja bylo najprawdopodobniej rootkitowe zarazenie systemu, teoretycznie poradzil sobie z tym TDSKILLER..., uznajmy ten wpis jako meldunek z nowego frontu, opisow tamtej bitwy brak)

A jakiś log z narzedzia co było usuwane koleś moze byś dał? Bo na razie to pierdzielisz farmazony.

po pierwsze - nie jestem Twoim kolesiem.

po drugie - jesli chcesz byc Himilsbachem portalu, to rob to tak, by pokolenia chcialy Ciebie cytowac, poki co - żenada.

po trzecie - odrozniaj pytania od "btw" autorow zakladajacych temat; pytanie zadalem jasne, "btw" jest tylko "btw" i nie ma w nim problemu, problem jest zawarty w pytaniu. Nie podoba sie - nie pisz. Jezykiem robisz z forum trzeciorzedny ściek, smiem podejrzewac, ze nie to miala w planach dama, ktora je zakladala.

gdzie konkretnie? bo mnie ciekawi

serwer: news.b3d.pl

grupa: b3d.forum

wątek: [ot] Jak pozbyc sie root-kita

Nie chodzi mi o epitety ku autorowi,ale o merytoria: ma rację, czy nie ma racji, jesli ma - dlaczego i kiedy, jesli nie ma - dlaczego.

Teoretycznie usunięcie czegoś takiego jak Rokit przez narzędzia do tego przeznaczone jest skuteczne. Jest małe "ale", takie narzędzie musi zidentyfikować zagrożenie na podstawie sygnatur, które otrzymuje w formie aktualizacji.

a jakas inna (gleboka, merytoryczna) odpowiedz na moje pytanie?

bo poki co, to napisales, ze jesli narzedzie do usuwania rootkita nie zna go, to go nie usunie. Z tym, ze to jest - oczywiste.

Bo kiedy narzedzie zna wirusa na przyklad? Kiedy zna sygnature i ma ja w bazie. I zalozyc nalezy, ze sa jakies "nowosci" poza baza, nie sa rozpracowane i stad - heurystyka. Tak jakos to wyglada. I wowczas: usuwa z powodu detekcji na podstawie bazy sygnatur oraz na podstawie mechanizmow heurystycznych.

A jak to jest w przypadku rootkitow? Zwazywszy na to, ze nie jest to tylko plik/pliki,ale dodatkowo caly mechanizm ukrycia-przetrwania-odtwarzania, to ja nie wiem, czy moze byc tutaj mowa tylko o prostej "sygnaturze"... Chociaz moze  - tak. Moze rootkity tez maja cos takiego jak sygnature dla ich rozpoznawania. W koncu jakos musza byc rozpoznawalne przez narzedzia do usuwania...

Mozliwe sa przeto dwa przypadki (byc moze tylko dwa):

1.

sa rootkity o ktorych wiemy wszystko (powiedzmy,iz oznacza to, ze znamy ich jakas tam "sygnature"). Czy kazde solidne, z dobra, najnowsza data/baza sygantur (?), narzedzie do usuwania rootkitow usunie je? Czyli jest tak,jak z progr. antywirusowymi.

2.

a co, jesli nie znamy "sygnatury" konkretnego rootkita? i co najwyzej slabo znamy jego "nature" - mozliwe est usuniecie? czy nie jest mozliwe, bo na heurystyke nie ma tutaj miejsca...

Usiluje zrozumiec, co moze oznaczac zdanie, ze rootkita nigdy sie do konca nie usunie .  Nawet, gdy stosuje sie narzedzie majace pelna wiedze o naturze konkretnego rootkita, majace w bazie jego "sygnature". Zakladam, ze ktos kto to powiedzial, uwazal, ze inaczej jest z wirusami - te mozna na 100% usunac.

czytalem na jednej z grup, że nie ma czegos takiego, jak pozbycie sie rootkita na 100%.

Ja zakladam, ze chodzi o to, ze: nawet jesli uda sie osiagnac efekt praktyczny typu: usunieto, bo zero detekcji softem wykrywajacym, czyli system niby czysty, to jednak tzw. cos pozostaje.

.

No dobrze - to co pozostaje po rzekomym "usunieciu" rootkita, czego juz nie da sie usunac? A moze to bzdura?

btw:

a jestem teraz w swiatku rootkitowym, tuz po usunieciu (?) rootkita za pomoca KasperskyTDSSKiller.

Jeżeli mówimy o tym 

https://www.youtube.com/watch?v=e-AcLZF6LB4

wget'cie, to jest komenda do ściągnięcia cureit.exe. Jeżeli chodzi o inny downloader, to link https://www.freedrweb.com/download+cureit/gr/?lng=en powinien ściągać automatycznie cureit.exe bez "ptaszkowania" Dr.Web License Agreement.

dzieki za yt, poogladam w ogole o wgecie na yt.

a co do linka na cureit: IDManager pokazal mi ,ze sciaga stad http://download.geo.drweb.com/pub/drweb/cureit/1393491928.440/67byjk4h.exe i wystarczy mi teraz miec to zapamietane, odpalic IDM, klepnac w powtorne sciaganie i najnowszy cureIT sciaga sie bez problemu we wskazane stale miejsce.

1.

wget https://www.freedrweb.com/download+cureit/gr/?lng=en -O cureit.exe

a dokladniej?

xpsp3;
podpowiedzcie mi proszę, jak rozwiązać z wget-em dwa zadania:

1.
jak "wyprodukować" skrót (i do czego...), by po kliknieciu w niego sciągał stąd
http://www.freedrweb.com/download+cureit/?nc=t&lng=pl
plik cureIT?

2.
jak stworzyć przy pomocy wget-a sciaganie w/w pliku o wyznaczonej godzinie, do konkretnego katalogu?

plącze mi się po głowie... at.exe? harmonogram zadan? - dzwoni, nie wiem gdzie...
 

juz jest ok;

zreperowane metoda samurajska: wykasowalem do czysta caly nowy / krotszy ciag Path i w puste miejsce wkleilem (bez zmian...) ten stary ciag (zachowalem w pliku txt).

Zadzialalo. Widocznie bylo cos przyplatane, czego nie bylo widac...

dzieki.

przy zmienionej sciezce:

Path=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\system32\WBEM

- bez zmian, bledy, jak na poczatku.

Sluchaj, a moze... jakas usluga z "WBEM" powinna dzialac... W ogole jakas usluga zwiazana ze zm. srod. 

tak dla orientacji - zmienne systemu i uzytkownika wystepujace u mnie, moze czegos nie ma...

; User: ja
[HKEY_CURRENT_USER\Environment]
"TEMP"="E:\\SYSTEMOWE\\TEMP"
"TMP"="E:\\SYSTEMOWE\\TMP"

; System variables
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment]
"ComSpec"=hex(2):25,53,79,73,74,65,6D,52,6F,6F,74,25,5C,73,79,73,74,65,6D,33,32,5C,63,6D,64,2E,65,78,65,00
"devmgr_show_details"="1"
"devmgr_show_nonpresent_devices"="1"
"FP_NO_HOST_CHECK"="NO"
"NUMBER_OF_PROCESSORS"="4"
"OS"="Windows_NT"
"Path"="%SystemRoot%\\system32;%SystemRoot%;%SystemRoot%\\system32\\WBEM"
"PATHEXT"=".COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH"
"PROCESSOR_ARCHITECTURE"="x86"
"PROCESSOR_IDENTIFIER"="x86 Family 6 Model 42 Stepping 7, GenuineIntel"
"PROCESSOR_LEVEL"="6"
"PROCESSOR_REVISION"="2a07"
"TEMP"="E:\\SYSTEMOWE\\TEMP"
"TMP"="E:\\SYSTEMOWE\\TMP"
"windir"=hex(2):25,53,79,73,74,65,6D,52,6F,6F,74,25,00

ok - oznaczalo, ze ze zmienna Path jest/bylo wszystko w porzadku, bez poprawiania.

 wartosc Path = 

C:\Program Files\PC Connectivity Solution\;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\system32\WBEM;d:\QuickTime Alternative\QTSystem;d:\MKVToolNix

w tej sprawie - jest ok

http://pl.comp.os.ms-windows.winnt.narkive.com/iQ4xrVEw/o-czym-mowi-ten-klucz

dzieki, wykosilem.

sprawdź sobie Reguły dodatkowe.

swiete slowa

(z poltora roku temu jednak wykonalem ten wpis wg pliku txt, ktory mam jako dyzurna sciage obok pliku instalacyjnego aviry)

dzieki Wam obu.

to moze jeszcze uda sie oswiecic problem z {C631DF4C-088F-4156-B058-4375F0853CD8}....

Co do punktu 2 - Nie blokowałeś reklam w avira free?

nie,nie blokowalem.

(a skad akurat taki pomysl na ew. przyczyne tego komunikatu?)

pojawia sie w dzienniku zdarzen bardzo bardzo duzo ponizszych wpisow - jako BLAD -  i pytanie moje jest najprostsze:  jaka na to rada?

1.

"System Windows nie może wykonać kwerendy wpisu rejestru DllName dla aplikacji {C631DF4C-088F-4156-B058-4375F0853CD8}, która nie zostanie załadowana. Prawdopodobną przyczyną jest błąd rejestracji."

wyrozniony podklucz mam tylko w takim kluczu:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{C631DF4C-088F-4156-B058-4375F0853CD8}]
@="Microsoft Offline Files"
"EnableAsynchronousProcessing"=dword:00000000
"NoBackgroundPolicy"=dword:00000000
"NoGPOListChanges"=dword:00000000
"NoMachinePolicy"=dword:00000000
"NoSlowLink"=dword:00000000
"NoUserPolicy"=dword:00000001
"PerUserLocalSettings"=dword:00000000
"ProcessGroupPolicy"="ProcessGroupPolicy"
"RequiresSuccessfulRegistry"=dword:00000001

- w zwiazku z GPExtensions poczytalem to: http://support.microsoft.com/kb/216357  ale nie za bardzo czuje, co wykonac... (poza tym: art. jest o w2k)

2.

"Dostęp do D:\Avira\AntiVir Desktop\avnotify.exe został ograniczony przez administratora przy użyciu lokalizacji z regułą zasad {088ce76a-04e8-49d3-92ed-0f046a7f4b0e} o ścieżce D:\Avira\AntiVir Desktop\avnotify.exe"

wyrozniony podklucz mam tylko tutaj:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{088ce76a-04e8-49d3-92ed-0f046a7f4b0e}]
"LastModified"=hex ( b ) :e8,06,f6,20,46,fd,cd,01
"Description"=""
"SaferFlags"=dword:00000000
"ItemData"="D:\\Avira\\AntiVir Desktop\\avnotify.exe"

3.

"Komputer nie mógł odnowić swojego adresu z sieci (z serwera DHCP) dla karty sieciowej o adresie B803050A3039. Wystąpił następujący błąd:
Operacja została anulowana przez użytkownika. . Komputer będzie dalej próbował sam uzyskać adres z serwera adresów sieciowych (DHCP)."

- serwerem dhcp jest u mnie modemo-router (+ laptop z karta wifi), roznie dziala, ale ja nie zauwazam przerw sieciowych

pomoc bardzo doceniam, dzieki, ale jednak zatrzymalem sie w polowie drogi i zamilklem, bowiem nagle zajecia + inny problem - z siecia; wroce do tego problemu debugu weekendowo, zapewne poprosze o dalsza pomoc