Skocz do zawartości

Cyrylica zamiast polskich znaków


Rekomendowane odpowiedzi

Od pewnego czasu pojawiają mi się rosyjskie znaczki zamias polskich. Już to w menu bot płyty dvd (np. CDA) lub na stronie www:

 

post-10689-0-52398900-1368357184_thumb.jpg

 

A nawet w outlooku. Wiele dziwnych rzeczy mi się z nim jeszcze dzieje, ale jak doczytam regulamin to założę posta w odpowiednim dziale i z odpowiednimi logami(bo nie mogę narazie znaleźć), Powiem tylko, że m.in avg mi wiele rzeczy podświetla na czerwono. Format mi się nie uśmiecha ponieważ mam dziwną płyte główną i nie potrafię znaleźć odpowiednich sterownków.

Pozdrawiam.

Logi:

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Zapewne zainstalowałeś jakiś ruski software, na liście uninstall widzę krzaki pomiędzy tymi dwoma pozycjami, sprawdź w "Dodaj/usuń programy" co to jest:

 

- "MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP

- "Óäŕëĺíčĺ ëîęŕëčçŕňîđŕ" = Óäŕëĺíčĺ ëîęŕëčçŕňîđŕ

- "PROSet" = Intel® PRO Network Connections Drivers

 

Widzę też takiego kwiatka:

 

[2013-04-19 16:51:33 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Krzysiek\Ustawienia lokalne\Dane aplikacji\Mail.Ru

Odnośnik do komentarza

- "MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP nie ma na liście

= Óäŕëĺíčĺ ëîęŕëčçŕňîđŕ odinstalowałem (no mam syf na kompie.to zruszczenie do fl studio, nie jestem jedynym użytkownikiem)

"PROSet" = Intel® PRO Network Connections Drivers -to chyba program, który miał mi pomóc w doborze sterowników.Nie ma na liście.

[2013-04-19 16:51:33 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Krzysiek\Ustawienia lokalne\Dane aplikacji\Mail.Ru  no jest pusty fiolder.

Odnośnik do komentarza

Coś nie bardzo się kwapią. Zatem spróbujmy

 

Uruchom OTL i w oknie Własne opcje skanowania skrypt wklej:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Krzysiek\USTAWI~1\Temp\catchme.sys -- (catchme)
IE - HKU\S-1-5-21-2000478354-1532298954-725345543-1004\..\SearchScopes\{E88E0043-C9D4-4e33-8555-FEE4F5B63060}: "URL" = http://go.mail.ru/search?q={searchTerms}&utf8in=1&fr=ietb
FF - prefs.js..network.proxy.backup.ftp: "62.85.54.110"
FF - prefs.js..network.proxy.backup.ftp_port: 3128
FF - prefs.js..network.proxy.backup.socks: "62.85.54.110"
FF - prefs.js..network.proxy.backup.socks_port: 3128
FF - prefs.js..network.proxy.backup.ssl: "62.85.54.110"
FF - prefs.js..network.proxy.backup.ssl_port: 3128
FF - prefs.js..network.proxy.ftp: "213.180.131.135"
FF - prefs.js..network.proxy.ftp_port: 80
FF - prefs.js..network.proxy.http: "213.180.131.135"
FF - prefs.js..network.proxy.http_port: 80
FF - prefs.js..network.proxy.no_proxies_on: ""
FF - prefs.js..network.proxy.share_proxy_settings: true
FF - prefs.js..network.proxy.socks: "213.180.131.135"
FF - prefs.js..network.proxy.socks_port: 80
FF - prefs.js..network.proxy.ssl: "213.180.131.135"
FF - prefs.js..network.proxy.ssl_port: 80
O3 - HKU\S-1-5-21-2000478354-1532298954-725345543-1004\..\Toolbar\WebBrowser: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - No CLSID value found.
O3 - HKU\S-1-5-21-2000478354-1532298954-725345543-1004\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found.
O3 - HKU\S-1-5-21-2000478354-1532298954-725345543-1004\..\Toolbar\WebBrowser: (no name) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - No CLSID value found.


:Files
C:\Documents and Settings\Krzysiek\Ustawienia lokalne\Dane aplikacji\Mail.Ru
C:\Documents and Settings\Krzysiek\Ustawienia lokalne\Dane aplikacji\Process.exe


:Commands
[resethosts]
[emptytemp]

 

Kliknij w Wykonaj skrypt.

 

 

Po restarcie zresetuj Firfoxa > Z menu Pomoc > Informacje dla pomocy technicznej > Zresetuj Firefox

 

Możesz też zrobić skan AdwCleaner http://www.bleepingcomputer.com/download/adwcleaner/

 

i przedstaw raport

Odnośnik do komentarza

Mlekoff

Przeprowadzone tu działania z OTL i AdwCleaner nie pomogą, to nie ta strefa ingerencji, brak związku z fontami. Tylko drobne uwagi w spoilerze.


1. Skrypt OTL wcale nie przetworzył pliku HOSTS zmodyfikowanego Spybotem:

========== COMMANDS ==========
File move failed. C:\WINDOWS\System32\drivers\etc\Hosts scheduled to be moved on reboot.
Error: Unble to create default HOSTS file!

Files\Folders moved on Reboot...
File move failed. C:\WINDOWS\System32\drivers\etc\Hosts scheduled to be moved on reboot.


Albo plik blokują uprawnienia, albo COMODO / Avira zabezpieczają plik przed dostępem. Poza tym, nawet jeśli komenda OTL by się udała, i tak źle resetuje ona plik na systemach XP i Windows 7, zawsze ustawia zawartość jaka domyślnie jest w Vista. Proponuję: zatrzymać wszystkie osłony rezydentne programów zabezpieczających i spożyć narzędzie Fix-it: KB972034.

2. Wykonaj dodatkowe drobne korekty. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
DRV - [2013-05-11 10:22:06 | 000,011,264 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\uzq0nze3.sys -- (uzq0nze3)
IE - HKLM\..\URLSearchHook: - No CLSID value found
FF - HKLM\Software\MozillaPlugins\@checkpoint.com/FFApi: C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\npFFApi.dll File not found
FF - HKLM\Software\MozillaPlugins\@ngm.nexoneu.com/NxGame: C:\Documents and Settings\All Users\Dane aplikacji\NexonEU\NGM\npNxGameeu.dll File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.124\npGoogleUpdate3.dll File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.124\npGoogleUpdate3.dll File not found
[2012-12-29 20:54:17 | 000,004,224 | ---- | C] (Microsoft Corporation) -- C:\Documents and Settings\Krzysiek\Ustawienia lokalne\Dane aplikacji\beep.sys
[2012-12-29 20:54:16 | 029,634,504 | ---- | C] (Microsoft Corporation) -- C:\Documents and Settings\Krzysiek\Ustawienia lokalne\Dane aplikacji\scan.exe
[2012-12-29 20:54:16 | 000,016,384 | ---- | C] (Microsoft Corporation) -- C:\Documents and Settings\Krzysiek\Ustawienia lokalne\Dane aplikacji\tskill.exe

:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZoneAlarm LTD Toolbar]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]


Klik w Wykonaj skrypt.

Jak mówię, nic z powyższych nie ma związku z problemem głównym.


 

- "MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP nie ma na liście
= Óäŕëĺíčĺ ëîęŕëčçŕňîđŕ odinstalowałem (no mam syf na kompie.to zruszczenie do fl studio, nie jestem jedynym użytkownikiem)
"PROSet" = Intel® PRO Network Connections Drivers -to chyba program, który miał mi pomóc w doborze sterowników.Nie ma na liście.

 
On mówi o wpisie "pomiędzy", tylko by uplasować to pozycyjnie w logu, pierwszy i trzeci nie interesują Cię wcale. Obie pozycje są na liście deinstalacji, a nie widzisz ich, bo pewnie mają ustawione tak parametry widokowe (np. wartość SystemComponent).

Opisany efekt wskazuje, że jakiś instalator zrobił podobną operację do tego: KLIK (czyli podmiana plików fontów oraz manipulacja w kluczu FontSubstitutes).
A jaki instalator: wbrew pozorom nie wygląda na oczywisty i na dodatek mocno szczątkowy "Mail.ru" w logu (na forum to było multum razy i nikt nie zgłaszał podmiany fontów), najbardziej podejrzane jest właśnie "zruszczenie do fl studio", bo to ma silny związek z czcionkami. I ja to proponuję odinstalować, niezależnie od tego czy ktoś "zruszczenia" używa, bo może deinstalator uruchomi proces odwracania zmian w czcionkach (jeśli jest odpowiedzialny za manipulację). Po deinstalacji, jeśli nie będzie poprawy, zadam skan na specyficzne sfery czcionek.


.

Odnośnik do komentarza

Odinstalowałem zruszczenie. Dalej "now№ wiadomoњж pocztow№"

 

post-10689-0-61230400-1368634419_thumb.jpg

 

Użyłem narzędzia fix. Skrypt wykonany. Log z otl:

 

05152013_193824.log.txt

OTL.Txt

 

Przewertowałem forum i hmmm, mam objawy jak w "Trzech Panów w łódce..." po przeczytaniu książki z chorobami. Wszystko mam. Lagowanie w grach nie tylko online, ciągłe "mielenie" dysku i "mrożenie" ekranu po pół godzinie grania w WOT, lagi we wpisywaniu tekstu w przeglądarce po kilkunastu minutach oglądania yt (tzn. wklepuję jakiś tekst, a potem siedzę i patrzę, jak literka po literce pojawia się na ekranie) itp. itd.

 

Pozdrawiam.

 

Doszedł jeszcze błąd aktualizacji windy. Tzn. był komunikat, że jedna z aktualizacji nie może być zainstalowana i komunikat po angielsku o błędzie aktualizacji i czy chcę wysłać czy later z nr błędu itd, tyle że "domownik" mi kliknął. Nie wiem gdzie może być składowany.w podglądzie zdarzeń jest:

 

Instalacja nie powiodła się: system Windows nie mógł zainstalować następującej aktualizacji,
ponieważ wystąpił błąd 0x80070643: Aktualizacja zabezpieczeń dla programu Microsoft .NET Framework 2.0
z dodatkiem SP2 w systemach Windows Server 2003 i Windows XP x86 (KB2804577).

0000: 57 69 6e 33 32 48 52 65   Win32HRe
0008: 73 75 6c 74 3d 30 78 38   sult=0x8
0010: 30 30 37 30 36 34 33 20   0070643
0018: 55 70 64 61 74 65 49 44   UpdateID
0020: 3d 7b 38 33 39 45 38 46   ={839E8F
0028: 39 46 2d 31 38 38 46 2d   9F-188F-
0030: 34 38 42 36 2d 42 34 33   48B6-B43
0038: 41 2d 41 34 43 33 43 42   A-A4C3CB
0040: 35 38 43 36 37 39 7d 20   58C679}
0048: 52 65 76 69 73 69 6f 6e   Revision
0050: 4e 75 6d 62 65 72 3d 32   Number=2
0058: 30 31 20 00               01 . 

 

ale tam coś było o visualstudio.albo visual8studio. Wiem, że to własnie tak brzmi "jakieś, coś", ale mi przed nosem zamknięto komunikat.

Odnośnik do komentarza

Odinstalowałem zruszczenie. Dalej "now№ wiadomoњж pocztow№"

 

Podaj skan dodatkowy pod kątem danych o czcionkach i stronach kodowych. Uruchom SystemLook i do okna wklej:

 

:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\FontSubstitutes
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Nls /s
 
:filefind
C_*.NLS*

 

Klik w Look.

 

 

Przewertowałem forum i hmmm, mam objawy jak w "Trzech Panów w łódce..." po przeczytaniu książki z chorobami. Wszystko mam. Lagowanie w grach nie tylko online, ciągłe "mielenie" dysku i "mrożenie" ekranu po pół godzinie grania w WOT, lagi we wpisywaniu tekstu w przeglądarce po kilkunastu minutach oglądania yt (tzn. wklepuję jakiś tekst, a potem siedzę i patrzę, jak literka po literce pojawia się na ekranie) itp. itd.

 

Potencjalne przyczyny:

 

1. W raporcie OTL są widoczne dwie kontrolki Internet Explorer związane z aktualizacją systemu, czyli Windows Update + Microsoft Update:

 

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} http://windowsupdate.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1356438587286 (WUWebControl Class)

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1365088854812 (MUWebControl Class)

 

Microsoft Update może mieć negatywny wpływ i zamulić system. Wykonaj kroki z tego tematu: KLIK. Zresetuj system.

 

2. Jeśli powyższe nie będzie mieć widocznych oznak poprawy, można też podejrzewać wpływ oprogramowania zabezpieczającego, czyli COMODO + Avira. Ten trop sprawdza się już poprzez całkowitą deinstalację aplikacji, gdyż tylko to daje pewność zdjęcia wszystkich czynności.

 

 

Użyłem narzędzia fix. Skrypt wykonany.

 

To wszystko zrobione poprawnie. Plik HOSTS zresetowany, skrypt wykonany.

 

 

 

.

Odnośnik do komentarza

Podaj skan dodatkowy pod kątem danych o czcionkach i stronach kodowych. Uruchom SystemLook

 

SystemLook.txt

 

Microsoft Update może mieć negatywny wpływ i zamulić system. Wykonaj kroki z tego tematu: KLIK

Czy wykonałeś kroki "I am currently using Microsoft Update. How can I access Windows Update?" z KB901037?

 

Czy mam zrobić "od góry do dołu" to, co jest na stronie pomocy technicznej MS ? Bo się motam.

 

W ogóle bardzo dziękuje za zainteresowanie się tematem.

Pozdrawiam.

Odnośnik do komentarza

Problem stanowią te ustawienia strony kodowej:

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Nls\CodePage]

"1250"="c_1251.nls"

"1251"="c_1251.nls"

"1252"="c_1251.nls"

 

Jakiś mechanizm zmienił odwołania i wstawił wszędzie skierowanie na plik c_1251.nls. Poza tym, są pewne różnice w kluczu FontSubstitutes. Doprowadzę to wszystko do wartości domyślnych z mojej wirtualnej maszyny XP. Przeprowadź następujące akcje:

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Nls\CodePage]
"1250"="c_1250.nls"
"1252"="c_1252.nls"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\FontSubstitutes]
"MS Sans Serif,0"="MS Sans Serif,238"
"Courier,0"="Courier New,238"
"Tahoma,0"=-
"Arial,0"=-
"Courier,204"=-
"Times New Roman,0"=-
"Verdana,0"=-

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

2. Zresetuj system. Podaj czy wszystko wróciło do normy.

 

 

Czy mam zrobić "od góry do dołu" to, co jest na stronie pomocy technicznej MS ? Bo się motam.

 

Wykonaj ustęp "Obecnie korzystam z witryny Microsoft Update. Jak można uzyskać dostęp do witryny Windows Update?". Następnie po przeprowadzeniu tej czynności wracasz do tematu na forum i sprawdzasz czy mają zasadność kroki w punktach 2 do 4.

 

 

 

.

Odnośnik do komentarza

Po polsku w końcu i outlook i strony itd. Dziękuję bardzo. 
Wykonałem ustęp "Obecnie korzystam z witryny Microsoft Update. Jak można uzyskać dostęp do witryny Windows Update?".

Resztę też - wyrejestrowanie i usunięcie biblioteki.

Prawdopodobnie jednak wadzi również duet Avira i Comodo. Przy ładowaniu się systemu, od momentu gdy pojawi się pulpit, "parasolka" jest "złożona" ok. półminuty. Dopiero potem pojawia się ikonka messengera(no nic z tym nie zrobiłem), a potem ok. pół minuty trwa zanim pojawi się ikonka Commodo. To nie pojawiło się nagle, tak mam od dłuższego czasu. Po całym władowaniu się systemu pierwsze otwarcie np. Mój komputer, albo uruchomienie przęglądarki lub cokolwiek, trwa dość długo. Potem się jakoś to " przeżera" i działa w miarę płynnie.

Avz odpalam od czasu do czasu. Wydaje mi się, że po tych wszystkich operacjach, jest "jakby" :-) ,mniej czerwonych wpisów.

 

Tem niemniej- dziękuje za pomoc. Cyrlica zniknęła więc temat jest załatwiony. Proszę jednak o podpowiedź, w którym miejscu forum mam założyć wątek? Chciałbym barzo, aby ktoś jeszcze mi tu podreperował system.

P.S

 Czy mam zostawić folder OTL movedfiles? Siedzi tam mail'ru

Odnośnik do komentarza

Wykonałem ustęp "Obecnie korzystam z witryny Microsoft Update. Jak można uzyskać dostęp do witryny Windows Update?".

Resztę też - wyrejestrowanie i usunięcie biblioteki.

 

Czy jest jakaś poprawa w pracy systemu? A w kwestii:

 

 

Prawdopodobnie jednak wadzi również duet Avira i Comodo. Przy ładowaniu się systemu, od momentu gdy pojawi się pulpit, "parasolka" jest "złożona" ok. półminuty. Dopiero potem pojawia się ikonka messengera(no nic z tym nie zrobiłem), a potem ok. pół minuty trwa zanim pojawi się ikonka Commodo. To nie pojawiło się nagle, tak mam od dłuższego czasu. Po całym władowaniu się systemu pierwsze otwarcie np. Mój komputer, albo uruchomienie przęglądarki lub cokolwiek, trwa dość długo. Potem się jakoś to " przeżera" i działa w miarę płynnie.

 

Już sugerowałam, by odinstalować na próbę, by się przekonać jak to wygląda bez tych aplikacji.

 

 

Proszę jednak o podpowiedź, w którym miejscu forum mam założyć wątek? Chciałbym barzo, aby ktoś jeszcze mi tu podreperował system.

 

Tu temat kontynuuj, bo nie ma po co rozkładać na dwa, tym bardziej że już jest wymieszane: tu podane dane o systemie = raporty OTL, tu robione rzeczy kompletnie nie związane z cyrylicą, tu były sugestie tyczące systemu. Poza tym: o co chodzi, co to za "Wiele dziwnych rzeczy mi się z nim jeszcze dzieje"

 

 

Avz odpalam od czasu do czasu. Wydaje mi się, że po tych wszystkich operacjach, jest "jakby" :-) ,mniej czerwonych wpisów.

 

I ustalmy cóż Ty za "czerwone" widzisz, bo to mogą być jakieś fałszywe alarmy...

 

 

Czy mam zostawić folder OTL movedfiles? Siedzi tam mail'ru

 

Opcja Sprzątanie w OTL usuwa z dysku OTL i jego kwarantannę.

 

 

 

.

Odnośnik do komentarza

Odpaliłem na próbę kilka filmów na YT w 1080p - no nie tnie. Przynajmniej narazie. Fakt, trochę trwa przłączanie między rozdzielczościami, ale nie tnie.

No te czerwone, fakt może się uczepiłem :-/

post-10689-0-91690600-1368722048_thumb.jpg

tu suspicius folder post-10689-0-14681700-1368722073_thumb.jpg

a tu log avz avz_log.txt

Kurcze, czytałem w regulaminie, żeby pisać o wszelkich narzędziach, których się używało... Miałem kilka dni temu jakąś infekcję, chyba podczas oglądania filmu z putlockera, kliknąłem reklamę(pojawiają się tam po nacijśnięciu play) i potem krzyczało mi, że mam sto wirusów i musze kupić "ich" program., ze avira jest zarażona, firefox się nie uruchamiał tylko IE. Nie pamiętam nazwy tej przypadłości, ale jakoś objawy mi się udało usunąć i przestał pojawiac się komunikat... czuję, że chyba brnę...

 

Przestała mi się uruchamiać strona weeb,tv. W żadnej przeglądarce nie moge jej otworzyć.

Odnośnik do komentarza

Odpaliłem na próbę kilka filmów na YT w 1080p - no nie tnie. Przynajmniej narazie. Fakt, trochę trwa przłączanie między rozdzielczościami, ale nie tnie.

 

Tu mogły pomóc dwie rzeczy, czyli reset pliku HOSTS (gruby plik obciąża usługę Klient DNS) + usunięcie Microsoft Update (obciąża proces usług aktualizacyjnych).

 

 

No te czerwone, fakt może się uczepiłem :-/

tu suspicius folder

 

1. Tak jak przypuszczałam: AVZ Antiviral Toolkit wykrywa czynności i komponenty COMODO. Obiekt cmdguard.sys to jest sterownik COMODO, cytuję z raportu OTL:

 

========== Driver Services (SafeList) ==========

 

DRV - [2013-04-25 12:05:20 | 000,099,392 | ---- | M] (COMODO) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\inspect.sys -- (Inspect)

DRV - [2013-04-15 19:38:59 | 000,032,816 | ---- | M] (COMODO) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\cmdhlp.sys -- (cmdHlp)

DRV - [2013-04-15 19:38:58 | 000,592,384 | ---- | M] (COMODO) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\cmdGuard.sys -- (cmdGuard)

DRV - [2013-04-15 19:38:58 | 000,018,528 | ---- | M] (COMODO) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\cmderd.sys -- (cmderd)

 

Oprogramowanie zabezpieczające wykorzystuje techniki, które mogą być błędnie ocenione przez inne skanery jako "rootkit". Tu kolejny przykład z forum, z kolei skaner AVG w zetknięciu z innym sterownikiem COMODO: KLIK. To nie jest rootkit.

 

2. Plik msv1_0.dll jest plikiem systemowym. Nie wierzę, że to "keylogger", tym bardziej że w logu jest:

 

C:\WINDOWS\system32\msv1_0.dll --> Suspicion for Keylogger or Trojan DLL

C:\WINDOWS\system32\msv1_0.dll>>> Behaviour analysis

Behaviour typical for keyloggers was not detected

 

 

Kurcze, czytałem w regulaminie, żeby pisać o wszelkich narzędziach, których się używało... Miałem kilka dni temu jakąś infekcję, chyba podczas oglądania filmu z putlockera, kliknąłem reklamę(pojawiają się tam po nacijśnięciu play) i potem krzyczało mi, że mam sto wirusów i musze kupić "ich" program., ze avira jest zarażona, firefox się nie uruchamiał tylko IE. Nie pamiętam nazwy tej przypadłości, ale jakoś objawy mi się udało usunąć i przestał pojawiac się komunikat... czuję, że chyba brnę...

 

Owszem, należy zawsze przedstawić co i jak robiono. Niemniej pierwszy raport z OTL bardzo dużo mówi, było wiadome od razu, że conajmniej używałeś:

 

 

 

1. AVZ, gdyż montuje bardzo charakterystyczny sterownik (notabene: niektóre antywirusy fałszywie wykrywają w nim infekcję "Bagle"). Usuwałam go w skrypcie OTL w ramach porządków. Skoro znów uruchomiłeś narzędzie, powrócił.

 

DRV - [2013-05-11 10:22:06 | 000,011,264 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\uzq0nze3.sys -- (uzq0nze3)

 

2. Rootkit Unhooker. W logu jego sterownik:

 

DRV - File not found [Kernel | On_Demand | Stopped] --  -- (rkhdrv40)

 

3. AdwCleaner, gdyż tworzy on charakterystyczny reset wyszukiwarek Internet Explorer. Pierwszy log z OTL miał te objawy, czyli było do przewidzenia, że powtórne użycie AdwCleaner nie będzie mieć skutków. Potwierdza to log z AdwCleaner, brak zmian, bo Ty już go użyłeś wcześniej. Usuń narzędzie posiłkując się opcją Odinstaluj.

 

4. Junkware Removal Tool, NoVirusThanks, Threat Expert, PrevxCSI, gdyż ich foldery są na dysku (możesz je skasować):

 

[2013-05-12 17:23:37 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERUNT

[2013-05-12 17:23:33 | 000,000,000 | ---D | C] -- C:\JRT

[2013-05-09 21:14:26 | 000,000,000 | ---D | C] -- C:\Program Files\NoVirusThanks

[2013-04-19 16:51:32 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Krzysiek\Ustawienia lokalne\Dane aplikacji\Threat Expert

[2013-03-25 21:10:23 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\PrevxCSI

 

5. Remove-it. W Danych aplikacji pliki (możesz je skasować):

 

[2012-12-29 20:54:17 | 000,951,291 | ---- | C] () -- C:\Documents and Settings\Krzysiek\Ustawienia lokalne\Dane aplikacji\remregfix.reg

[2012-12-29 20:54:17 | 000,610,455 | ---- | C] () -- C:\Documents and Settings\Krzysiek\Ustawienia lokalne\Dane aplikacji\HOSTS

[2012-12-29 20:54:17 | 000,018,308 | ---- | C] () -- C:\Documents and Settings\Krzysiek\Ustawienia lokalne\Dane aplikacji\IEDef.reg

[2012-12-29 20:54:17 | 000,005,228 | ---- | C] () -- C:\Documents and Settings\Krzysiek\Ustawienia lokalne\Dane aplikacji\nfig.reg

[2012-12-29 20:54:17 | 000,004,994 | ---- | C] () -- C:\Documents and Settings\Krzysiek\Ustawienia lokalne\Dane aplikacji\s.reg

[2012-12-29 20:54:17 | 000,004,512 | ---- | C] () -- C:\Documents and Settings\Krzysiek\Ustawienia lokalne\Dane aplikacji\hpregfix.reg

[2012-12-29 20:54:17 | 000,003,008 | ---- | C] () -- C:\Documents and Settings\Krzysiek\Ustawienia lokalne\Dane aplikacji\bgregfix.reg

[2012-12-29 20:54:17 | 000,002,600 | ---- | C] () -- C:\Documents and Settings\Krzysiek\Ustawienia lokalne\Dane aplikacji\exefix.reg

[2012-12-29 20:54:17 | 000,001,754 | ---- | C] () -- C:\Documents and Settings\Krzysiek\Ustawienia lokalne\Dane aplikacji\regf.reg

[2012-12-29 20:54:17 | 000,000,896 | ---- | C] () -- C:\Documents and Settings\Krzysiek\Ustawienia lokalne\Dane aplikacji\databasepath.reg

[2012-12-29 20:54:17 | 000,000,890 | ---- | C] () -- C:\Documents and Settings\Krzysiek\Ustawienia lokalne\Dane aplikacji\Remove-itRestorePoint.vbs

 

 

 

Raporty z OTL zostały już tu ocenione, infekcji nie widać, śmieci były usuwane. Na tym etapie sprawa zamknięta. O owej wcześniejszej infekcji nic nie da się powiedzieć, bo brak danych z tego okresu.

 

 

Przestała mi się uruchamiać strona weeb,tv. W żadnej przeglądarce nie moge jej otworzyć.

 

U mnie strona http://www.weeb.tv/ też się nie otwiera (blank), o ile oczywiście adres podany poprawnie.

 

 

.

Odnośnik do komentarza

Pozostaje mi tylko bardzo podziękować za pomoc. Powiem szczerze, że szukałem po necie forum, gdzie  aktualnie działasz. Kiedyś pomogłaś mi na SE. Poczytam o konfiguracjach firewall+antivir i popróbuję, a dziś odinstaluję comodo i avirę i odpalę world oftanks- zobaczymy. W sumie to mam bajzel w systemie i sprzęcie-dostałem go w spadku. Tu jakieś pliki wymiany sa na dysku nie systemowym, z braku gniazd podłączany jest albo cdrom i hdd lub hdd i hdd -w zależności od potrzeb. USB ciągle mi krzyczy, że pendrivy mąga działać szybciej, w mikserze sysytemowym dźwięku wejscia nagrywania są "martwe" ,ale mikrofon dział itd. itp.jak wspominałem nie sam z niego korzystam. no cóż jeszcze raz - Dziękuję. :)

 

adres weeb poprawny. może ich zamknęli :)

 

 

AHA! Przy usuwaniu "śmieci" zauważyłem folder \PCHealth\   wlazłem do \PCHealth\ErrorRep\QSignoff

i znalazłem 3038BA.txt  a tam " visualstudio8setup" - to ten gość co mi wczoraj wywalił błąd w windowsie po aktualizacji.

 

i znalazłem log narzędzia,którym usuwałem infekcje - novirusthanks/Hijack Hunter logs_2013-05-09_21_14_57.log.txt

 

 

 

Odnośnik do komentarza

Przy usuwaniu "śmieci" zauważyłem folder \PCHealth\ wlazłem do \PCHealth\ErrorRep\QSignoff  i znalazłem plik 3038BA.txt a tam " visualstudio8setup" - to ten gość co mi wczoraj wywalił błąd w windowsie po aktualizacji.

 

vs.

 

 

Instalacja nie powiodła się: system Windows nie mógł zainstalować następującej aktualizacji,

ponieważ wystąpił błąd 0x80070643: Aktualizacja zabezpieczeń dla programu Microsoft .NET Framework 2.0

z dodatkiem SP2 w systemach Windows Server 2003 i Windows XP x86 (KB2804577).

 

ale tam coś było o visualstudio.albo visual8studio. Wiem, że to własnie tak brzmi "jakieś, coś", ale mi przed nosem zamknięto komunikat.

 

W Twoim raporcie OTL Extras i tak widać stare .NET Framework:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2

"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2

 

Proponuję przeładować to wg kroków:

- Wejdź do Dodaj/Usuń programy i sprawdź czy te pozycje są widzialne. Jeśli tak, odinstaluj. Jeśli nie, od razu przejdź do:

- Usuń wszystkie wersje za pomocą .NET Framework Cleanup Tool.

- Zainstaluj pakiet .NET Framework 3.5 SP1 (klik w Instrukcje instalacji > Pełny pakiet).

 

 

znalazłem log narzędzia,którym usuwałem infekcje - novirusthanks/Hijack Hunter

 

Log nic ciekawego nie opowiada, to jest log para OTL i te dane w większości były już podane (raport OTL + odczyt z AVZ), to nie jest log przedstawiający usuwanie infekcji, a oznak infekcji w nim zresztą brak. I grubaśny odczyt pliku HOSTS w tym raporcie już nieaktualny po przeprowadzonym tu resecie pliku HOSTS.

 

 

 

.

Odnośnik do komentarza

Bardzo dziękuję. Nie będę się już dopatrywał na siłę problemów. Cyrlicy nie ma. Po deinstalacji aviry jakby nabrał oddechu. Myślę, że czas na zmianę bebechów, albo i całej budy. Na razie jest lepiej niż było.

Dziękuję raz jeszcze, nic więcej w tym temacie nie będę dodawał.

Pozdrawiam.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...