zafrasowany Opublikowano 22 Marca 2011 Zgłoś Udostępnij Opublikowano 22 Marca 2011 Witam , widze, ze picasso przeniosla sie tutaj z innego forum wiec ja rowniez tak uczynie. Ok , nie powiem, ze bedzie krotko, ale za to maksymalnie konkretnie. Windows XP Home sp3, komputer stacjonarny pamietajacy czasy gdy ludzie nie znali Youtube, 2 lata temu zmiana dysku i upgrade ramu, a tak to wielka staroc.. no ale moj jedyny jak na razie. Ochrona-wczesniej AVG i Comodo Firewall, teraz ok 2 msc temu wyrzucilem AVG i mam tylko caly pakiet Comodo (najnowszy CIS ). W CIS wlaczylem opcje skanera rootkitow (heurestics - low). Program znalazl Rootkit.HiddenValue@0 w HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load co ciekawe, nie widac tego "load' w tej galezi rejestu w Regedit, ani nawet w Regalyzer. na forum Comodo pare osob mialo podobne problemy z "rootkitami" (?) i u nich rowniez tych wartosci w rejestrze nie widac. Screen z Regedit nie wiem dlaczeg Comodo widzi tam ten "load" i twierdzi, ze to rootkit. Wskutek tego, iz pare innych osob mialo podobne problemy na forum Comodo, i wskutek przeskanowania kompa: SuperAntiSpyware, Dr Cure It Web, Malware Bytes (nie wykazaly zadnych infekcji) a takze RootkitRevelerem i Sophos Anti Rootkit (nie pokazaly problemow w HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load ) stwierdzilem, ze z duza doza prawdopodobiensta to jakis FP. Uzylem ponadto rowniez Registry Trash Key Finder, Ccleaner, Comodo System leaner oraz Wise Registry Cleaner, a wiec imponujaca liczba narzedzei, ale zadne z nich nie wyczyscilo rejestru na tyle, zeby Comodo przestal pokazywac tego "rootkita". No ale naszlo mnie i uzylem rowniez MBRCheck.exe, zalaczam log. Znalazl on Unknown MBR Code co mnie najpierw przestraszylo, ale za chwile stwierdzilem, ze to moze roniez nie jest powod do niepokoju, albowiem mam partycje C zaszyfowana TrueCryptem (pre-boot password authentication). Wiec moze to ten TrueCrypt jest powodem tego nieznanego kodu MBR? Licze, ze ktos na to spojrzy trzezwym i eksperckim okiem No i na tym bylby koniec, gdyby nie fakt, iz po zainstalowaiu WWDC.exe i zamknieciu wszystkich portow, lacznie z opcja na samej gorze, port 135 i usluga DCOM, wszystko bylo OK, ale dzisiaj jak wlaczylem ponownie WWDC, pojawil sie komunikat "Your system seems to be infected by a virus, your SVCHOST virtual memory usage (dokladnej wartosci nie zapisalem), is beyond usual values. It is strongly advised to check your sytem with an anti virus up to date and an antiTrojan" Mniej wiecej w tym samym czasie w Comodo widzialem, ze svchost laczy sie z adresem 65.199.63.7 ( screen ) o ktorym nie znalazlem w google nic odobrego ani zlego. No ale dzis wtorek, czas na windows update , w pogladzie zdarzen znalazlem, ze update sie nie udala, byc moze dlatego, ze pare dni wczesniej w WWDC zablokowalem DCOM (to moj calkowicie "wild guess"). Reasumujac, zalaczam log gmera, dwa logi z OT i log z MBRcheck.exe Uprzejie prosze o 1. przejrzenie logow 2. zinterpretowanie tego dziwnego wyniku z Comodo Rootkit.HiddenValue@0 w HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load 3. Zinterpretowanie logu MBR Check.. czy to kod True Crypta czy znak infekcji rootkitem MBR? 4. zinterpretowanie komunikatu WWDC o przekroczeniu pamieci svchost. Czy to mozliwe i prawdopodobne, ze svchost sciaga windows update i nie moze jej zainstalowac, bo WWDC wylaczyl zbyt wiele? Jesli tak, to jak przywrocic mozliwosc automatycznej aktualizacji windowsa? dodam, iz nie widac na kompie sladow infekcji, ale ja sie nie boje wyskakujacych reklam lub fake-komunikatow o wirusie. Mi glownie chodzi o bezpieczenstwo, prywatnosc i swiadomosc, ze jestem na prawie 100% wolny of infekcji i moj komputer nalezy tylko do mnie pozdrawiam i z gory dziekuje MBRCheck_03.22.11_01.02.52.txt gmer.txt OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 23 Marca 2011 Zgłoś Udostępnij Opublikowano 23 Marca 2011 1. przejrzenie logow Nie widzę podstaw do szukania infekcji. 1. Co najwyżej można usunąć drobne szczątki oznaczone jako "not found". Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\1D.tmp -- (MEMSWEEP2) O3 - HKU\S-1-5-21-1645522239-287218729-725345543-1004\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found. O9 - Extra Button: Zaznaczanie HP Smart - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - Reg Error: Key error. File not found O16 - DPF: {A9F8D9EC-3D0A-4A60-BD82-FBD64BAD370D} "http://h20264.www2.hp.com/ediags/dd/install/HPDriverDiagnosticsxp2k.cab" (Reg Error: Key error.) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) Klik w Wykonaj skrypt. Klik w Sprzątanie. Koniec. 2. W Dzienniku zdarzeń widzę: Error - 2011-03-21 18:22:46 | Computer Name = PAWEL | Source = Service Control Manager | ID = 7001Description = Usługa Klient DHCP zależy od usługi NetBios przez TCP/IP, której nie można uruchomić z powodu następującego błędu: %%1058 Error - 2011-03-21 18:22:46 | Computer Name = PAWEL | Source = Service Control Manager | ID = 7001Description = Usługa Przeglądarka komputera zależy od usługi Serwer, której nie można uruchomić z powodu następującego błędu: %%1058 To zapewne skutek uboczny użycia WWDC. Odkręć w nim status NetBIOS. Error - 2011-03-21 18:24:24 | Computer Name = PAWEL | Source = Service Control Manager | ID = 7022Description = Usługa Usługa HP CUE DeviceDiscovery zawiesiła się podczas uruchamiania. Typowy błąd notowany przy sprzęcie Hewlett-Packard. Wina kiepskich sterowników. Zawieszenie tej usługi może wpływać na bardzo długi start. Start > Uruchom > services.msc > wyszukaj tę usługę, zatrzymaj ją + Typ startowy przestaw na Wyłączona. Error - 2011-03-21 18:23:04 | Computer Name = PAWEL | Source = Ftdisk | ID = 262193Description = Konfigurowanie pliku strony dla zrzutu awaryjnego nie powiodło się. Upewnij się, że na partycji rozruchowej znajduje się plik strony i że jest wystarczająco duży, aby zawierać całą pamięć fizyczną. O tym nie wiem co sądzić, bo wg raportu jest plik wymiany i to duży: 1,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 59,00% Memory free3,00 Gb Paging File | 2,00 Gb Available in Paging File | 74,00% Paging File freePaging file location(s): C:\pagefile.sys 0 0 [binary data] 3. Do aktualizacji: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{AC76BA86-7AD7-1033-7B44-A94000000001}" = Adobe Reader 9.4.2"Gadu-Gadu" = Gadu-Gadu 7.7"Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13) - Zaktualizuj przeglądarkę i Adobe. Szczególy tutaj: INSTRUKCJE. - Gadu-Gadu 7.7 - To inwalida, nie obsługuje nawet w pełni własnej sieci (!) i nie ma szyfrowania. Do czytania mój temat: Darmowe komunikatory. Propozycja zamiany przez: WTW lub Mirandę. Powody: brak reklam, portable, lekkie, obsługują nowe specyfikacje protokołu GG8/10 (czyli lepiej obsługą sieć Gadu niż GG7!). 2. zinterpretowanie tego dziwnego wyniku z Comodo Rootkit.HiddenValue@0 w HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load slightly_concerned to na pewno false positive. Oto z mojej czyściutkiej wirtualnej maszyny XP reprodukcja tego zgłoszenia po włączeniu "Rootkit scan" (i też tego nie widać w regedit oraz module przeglądania rejestru w GMER): PS. RootkitRevealer do kosza. To przestarzały program sprzed 5 lat, zabugowany i obchodzony przez rootkity. On to się co najwyżej nadaje do wyszukiwania kluczy znullowanych, a i tu wiary do końca nie daję. 3. Zinterpretowanie logu MBR Check.. czy to kod True Crypta czy znak infekcji rootkitem MBR? PhysicalDrive0 Model Number: SAMSUNGHD252HJ, Rev: 1AC01113 Size Device Name MBR Status -------------------------------------------- 232 GB \\.\PhysicalDrive0 Unknown MBR code SHA1: 08CB6C73536FF3AA36D4D6612F42080FB9E8C5FF Jeśli jest tu szyfrowanie partycji czynne, to z pewnością odczyt w MBRCheck jest wynikową modyfikacji MBR przez TrueCrypt. W tym raporcie nie można ocenić tego wprost. MBRCheck może tylko wypowiedzieć się czy kod jest standardowym lub jednym z mu znanych (OEM), wszystko czego nie rozpoznaje klasyfikuje jak widać. Wyszukiwanie SHA1 na Google nie zwraca żadnych wyników. 4. zinterpretowanie komunikatu WWDC o przekroczeniu pamieci svchost. Ten komunikat WWDC nie może być brany za żaden wyznacznik. Metoda pomiaru pamięci jako oceny potencjalnej infekcji to ułuda. No ale dzis wtorek, czas na windows update , w pogladzie zdarzen znalazlem, ze update sie nie udala, byc moze dlatego, ze pare dni wczesniej w WWDC zablokowalem DCOM (to moj calkowicie "wild guess"). Który podgląd zdarzeń masz na myśli? Tu w prezentowanym Dzienniku zdarzeń jest tylko to co niżej i nie przedstawia to specjalnej troski (KB317541): Error - 2011-03-15 04:13:49 | Computer Name = PAWEL | Source = crypt32 | ID = 131080Description = Nie można automatycznie pobrać aktualizacji numeru sekwencji głównej listy innych firm z: , wystąpił błąd: Operacja została zwrócona, ponieważ przekroczono limit czasu. Czy to mozliwe i prawdopodobne, ze svchost sciaga windows update i nie moze jej zainstalowac, bo WWDC wylaczyl zbyt wiele? Jesli tak, to jak przywrocic mozliwosc automatycznej aktualizacji windowsa? Tego svchosta zostaw w spokoju. Nie ma tu nic na temat tego na czym polega niemożność zainstalowania łaty - podaj szczegóły. Jeśli miałoby zaś chodzić o problemy łączenia z witryną WU, to mogłeś mieć problem z powodu COMODO, wyłączenia NetBIOS w WWDC, chwilowego problemu na łączu i masy innych czynników. Odkręcanie akcji w WWDC to nie trudność - wystarczy cofnąć wstecz to co w nim zrobiłeś. Mniej wiecej w tym samym czasie w Comodo widzialem, ze svchost laczy sie z adresem 65.199.63.7 ( screen ) o ktorym nie znalazlem w google nic odobrego ani zlego. Wyniki z Whois: KLIK. Nic mi to nie mówi. Z drugiej strony, nie wygląda mi to na żadne szkodliwe działania. . Odnośnik do komentarza
zafrasowany Opublikowano 23 Marca 2011 Autor Zgłoś Udostępnij Opublikowano 23 Marca 2011 Nie widzę podstaw do szukania infekcji. to dobrze Co do mojej osoby, o ile 5 lat temu bylem szczerze zdziwiony, gdy ktos powiedzial mi, ze fakt, ze jeden antywirus nie znalazl wirusa, nie swiadczy o tym, ze na 100% komp jest czysty, o tyle od tego czasu troche sie doksztalcilem, a do tego stalem sie bardzo ostrozny, (no bo nie powiem sam o sobie, ze prawie-paranoikiem... ). Nie wiem, czy wolalbym ukryta kamere we wlasnej sypialni czy keyloggera na kompie 1. Co najwyżej można usunąć drobne szczątki oznaczone jako "not found". Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: (...) skrypt wykonalem, dzieki 2. W Dzienniku zdarzeń widzę: Error - 2011-03-21 18:22:46 | Computer Name = PAWEL | Source = Service Control Manager | ID = 7001 Description = Usługa Klient DHCP zależy od usługi NetBios przez TCP/IP, której nie można uruchomić z powodu następującego błędu: %%1058 Error - 2011-03-21 18:22:46 | Computer Name = PAWEL | Source = Service Control Manager | ID = 7001 Description = Usługa Przeglądarka komputera zależy od usługi Serwer, której nie można uruchomić z powodu następującego błędu: %%1058 To zapewne skutek uboczny użycia WWDC. Odkręć w nim status NetBIOS. a czy te bledy w czyms przeszkadzaja? bo to, ze rejestruje je Dziennik Zdarzen, to maly problem dla mnie BTW oprocz WWDC uzylem tez kiedys SeconfigXP, a takze zastosowalem sie do Twoich b. starych postow ze starego forum, na ktorym pisalas, jakie uslugi lepiej powylaczac w Windowsie XP, dla zwiekszenia bezpieczenstwa i przyspieszenia pracy. Moze tamte modyfikacje rowniez wplywaja na niektore alerty w Dzienniku zdarzen, ale jak mniemam sa to rzeczy jednak dosc drugorzedne. Error - 2011-03-21 18:24:24 | Computer Name = PAWEL | Source = Service Control Manager | ID = 7022 Description = Usługa Usługa HP CUE DeviceDiscovery zawiesiła się podczas uruchamiania. Typowy błąd notowany przy sprzęcie Hewlett-Packard. Wina kiepskich sterowników. Zawieszenie tej usługi może wpływać na bardzo długi start. Start > Uruchom > services.msc > wyszukaj tę usługę, zatrzymaj ją + Typ startowy przestaw na Wyłączona. zrobione, dzieki O tym nie wiem co sądzić, bo wg raportu jest plik wymiany i to duży: 1,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 59,00% Memory free 3,00 Gb Paging File | 2,00 Gb Available in Paging File | 74,00% Paging File free Paging file location(s): C:\pagefile.sys 0 0 [binary data] cos luzno pamietam, ze przy instalacji TrueCrypta dla dodatkowego bezpieczenstwa zalecane byly jakies machlojki z plikiem wymiany. Ale szczegolow za zadne skarby nie przytocze. Moze to ma z tym zwiazek, moze nie... ale nawet jesli nie, to chyba nie powod, zeby byc znowu slightly_concerned BTW kiedys za zadne skarby nie wiedzialem, (i w sumie do dzis nie wiem) skad sie bierze sporadyczny alert w Dziennik Zdarzen -> System (event ID 4226) "protokol tcp/ip osiagnal limit zabezpieczen ustalony dla prob rownoczesnych polaczen TCP". Ludzie mowili, ze albo korzystam a p2p, albo mi wirus na kompie spam rozsyla, ale ani to ani to nie mialo miejsca. Alert ten mam sporadycznie do dzis, i mialem go tez tuz po zmianie dysku na nowy ze sklepu i natychmiastowym zainstalowaniu wszystkich zabezpieczen. W sumie nie pytam o to, tylko przytaczam jako zdarzenie z dziennika zdarzen, nie do konca jasne. Gadu-Gadu 7.7 - To inwalida, nie obsługuje nawet w pełni własnej sieci (!) i nie ma szyfrowania. Do czytania mój temat: Darmowe komunikatory. Propozycja zamiany przez: WTW lub Mirandę. Powody: brak reklam, portable, lekkie, obsługują nowe specyfikacje protokołu GG8/10 (czyli lepiej obsługą sieć Gadu niż GG7!). dzieki za rekomendacje, GG 7.7 uzywam dlatego, bo za zadne skarby nie wejde na nowsze wersje, pelne reklam i zbednych dodatkow. Rozwaze zmiane na cos innego, choc wtedy chyba strace dostep do dosc sporego archiwum. slightly_concerned to na pewno false positive. Oto z mojej czyściutkiej wirtualnej maszyny XP reprodukcja tego zgłoszenia po włączeniu "Rootkit scan" (i też tego nie widać w regedit oraz module przeglądania rejestru w GMER): super, no to wyjasnilo sie juz nie na 99,98% ale na 100%, ze to false positive PhysicalDrive0 Model Number: SAMSUNGHD252HJ, Rev: 1AC01113 Size Device Name MBR Status -------------------------------------------- 232 GB \\.\PhysicalDrive0 Unknown MBR code SHA1: 08CB6C73536FF3AA36D4D6612F42080FB9E8C5FF Jeśli jest tu szyfrowanie partycji czynne, to z pewnością odczyt w MBRCheck jest wynikową modyfikacji MBR przez TrueCrypt. W tym raporcie nie można ocenić tego wprost. MBRCheck może tylko wypowiedzieć się czy kod jest standardowym lub jednym z mu znanych (OEM), wszystko czego nie rozpoznaje klasyfikuje jak widać. Wyszukiwanie SHA1 na Google nie zwraca żadnych wyników. w sumie pomylilo mi sie, myslalem, ze mbrcheck.exe to to samo co mbr.exe nie wiem, ktory z nich jest bardziej miarodajnym narzedziem w celu wykrywania infekcji typu rootkit MBR (chodzi mi o teoretyczna sytuacje, a nie moj przypadek). dla pewnosci, zrobilem tez 3 sekundowy skan mbr.exe i wynik jest OK: Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net Windows 5.1.2600 Disk: SAMSUNG_HD252HJ rev.1AC01113 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK Tego svchosta zostaw w spokoju. Nie ma tu nic na temat tego na czym polega niemożność zainstalowania łaty - podaj szczegóły. Jeśli miałoby zaś chodzić o problemy łączenia z witryną WU, to mogłeś mieć problem z powodu COMODO, wyłączenia NetBIOS w WWDC, chwilowego problemu na łączu i masy innych czynników. Odkręcanie akcji w WWDC to nie trudność - wystarczy cofnąć wstecz to co w nim zrobiłeś. Pobiezna lektura internetu wskazala, ze wylaczenie zbyt wiele w WWDC uniemozliwia jakos windowsupdate, ale tym razem akurat bardzo mozliwym jest, iz to zle doczytalem. Wyniki z Whois: KLIK. Nic mi to nie mówi. gdy polaczylem sie z windowsupdate.com przez IE pojawily mi sie w 'outbound connections" w Comodo podobne adresy IP do tego, z ktorym laczyl sie svchost wtedy kiedy WWDC zalarmowal mnie o tym, ze svchost zuzywa za duzo pamieci, wiec wszystko wskazuje na to, ze to istotnie Microsoft ! Ogolnie to bardzo dziekuje za pomoc. Odnośnik do komentarza
picasso Opublikowano 24 Marca 2011 Zgłoś Udostępnij Opublikowano 24 Marca 2011 a czy te bledy w czyms przeszkadzaja?bo to, ze rejestruje je Dziennik Zdarzen, to maly problem dla mnie To są błędy a nie kosmetyczne zgłoszenia. Error - 2011-03-21 18:22:46 | Computer Name = PAWEL | Source = Service Control Manager | ID = 7001Description = Usługa Klient DHCP zależy od usługi NetBios przez TCP/IP, której nie można uruchomić z powodu następującego błędu: %%1058 Error - 2011-03-21 18:22:46 | Computer Name = PAWEL | Source = Service Control Manager | ID = 7001Description = Usługa Przeglądarka komputera zależy od usługi Serwer, której nie można uruchomić z powodu następującego błędu: %%1058 Albo albo: - włączasz usługi nadrzędne (NetBIOS / Serwer), by nie było niezdarnej próby uruchamiania usług zależnych, które padają jak muchy ze względu na złą konfigurację - wyłączasz usługi zależne (Przeglądarka komputera / DHCP), które się nie mogą uruchomić, skoro i tak nie działają usługi od których zależą cos luzno pamietam, ze przy instalacji TrueCrypta dla dodatkowego bezpieczenstwa zalecane byly jakies machlojki z plikiem wymiany. Ale szczegolow za zadne skarby nie przytocze. Moze to ma z tym zwiazek, moze nie... ale nawet jesli nie, to chyba nie powod, zeby byc znowu slightly_concerned To zapewne o to chodzi: KLIK. Twoje objawy sugerują, że TrueCrypt wymusił wyłączenie pliku wymiany (co nie jest dobrym pomysłem). Nie przyjrzałam się za dokładnie wcześniej na log. Otóż tu stoi w rozmiarze zero (na moim systemie XP OTL oblicza rozmiar początkowy i końcowy pliku): 3,00 Gb Paging File | 2,00 Gb Available in Paging File | 74,00% Paging File free Paging file location(s): C:\pagefile.sys 0 0 [binary data] To wyjaśniałoby błąd w Dzienniku zdarzeń. BTW kiedys za zadne skarby nie wiedzialem, (i w sumie do dzis nie wiem) skad sie bierze sporadyczny alert w Dziennik Zdarzen -> System (event ID 4226) "protokol tcp/ip osiagnal limit zabezpieczen ustalony dla prob rownoczesnych polaczen TCP". Ludzie mowili, ze albo korzystam a p2p, albo mi wirus na kompie spam rozsyla, ale ani to ani to nie mialo miejsca.Alert ten mam sporadycznie do dzis, i mialem go tez tuz po zmianie dysku na nowy ze sklepu i natychmiastowym zainstalowaniu wszystkich zabezpieczen. W sumie nie pytam o to, tylko przytaczam jako zdarzenie z dziennika zdarzen, nie do konca jasne. Przekroczenie limitu nie jest charakterystyczne tylko dla P2P i malware. Trudno tu zgadywać, to należałoby diagnozować in realtime, który proces tworzy te specyficzne połączenia. Czyli w trakcie zdarzenia: 1. Z linii komend netstat -ano i szukać procesu z dużą liczbą otwartych i nieustanowionych połączeń TCP (o statusie SYN_SENT). 2. Lub jeszcze wygodniej za pomocą dedykowanego narzędzia TCP-Z, które ma monitor połączeń, a przy okazji jest patcherem owego limitu i to patcherem działającym nieinwazyjnie (patchuje pamięć a nie plik TCPIP.SYS). Program nie musi być użyty jako patcher, do statystyk masz cały czas dostęp. Oto przykładowy wygląd statystyk (dla lepszej wizualizacji zapuściłam pierwszego z brzegu klienta torrent, by pokazać o co chodzi): Patrzysz na kolumnę "Half Open" i jakie liczby tam się pojawiają. Domyślnie limit dla XP dopuszcza 10 połączeń. dzieki za rekomendacje, GG 7.7 uzywam dlatego, bo za zadne skarby nie wejde na nowsze wersje, pelne reklam i zbednych dodatkow.Rozwaze zmiane na cos innego, choc wtedy chyba strace dostep do dosc sporego archiwum. Za żadne skarby nie polecam nowych oryginalnych klientów GG. Zgroza. Pewne nadzieje daje jeszcze nadchodzące GG11. Być może Gadu Network zdało sobie sprawę, że klienci wypływają przez oczka sieci. Przy GG11 pojawiły się mętne aluzje o możliwości "dopasowania komunikatora do potrzeb". Jakoś powątpiewam w poprawę bytu .... Jeśli weźmiesz WTW, archiwum nie stracisz. WTW ma wbudowaną funkcję importu archiwum GG7. Z Mirandą byłoby gorzej. Do niej znam tylko starą sfatygowaną wtyczką importu archiwum GG6 i nie sprawdzałam, czy ona da radę przetworzyć format GG7. w sumie pomylilo mi sie, myslalem, ze mbrcheck.exe to to samo co mbr.exenie wiem, ktory z nich jest bardziej miarodajnym narzedziem w celu wykrywania infekcji typu rootkit MBR (chodzi mi o teoretyczna sytuacje, a nie moj przypadek). Aktualnie nie można polegać na jednym narzędziu. Na forum stosuję naprzemiennie: Kaspersky TDSSKiller (ogólnie już wykrywa bootkity, nie tylko rodzinę TDL), MBRCheck, aswMBR (to następca MBR.EXE) i oczywiście GMER. Na forum miałam też przypadek, że żadne z nich (z wyłączeniem aswMBR - nie istniało wtedy jeszcze) nie wykryło rootkita w MBR, który był. Diagnozę wystawiłam pośrednio, na podstawie widoczności określonych autoryzacji w zaporze. W tamtym temacie użytkownik robił Recovery producenta i jest możliwe, że ten proces w jakiś sposób zaciemnił sprawę ogłupiając narzędzia. PS. Twoich b. starych postow ze starego forum, na ktorym pisalas, jakie uslugi lepiej powylaczac w Windowsie XP, dla zwiekszenia bezpieczenstwa i przyspieszenia pracy. Ten temat o usługach jest także tu. W sekcji Tutoriali są prawie wszystkie moje stare prace plus kilka nowych. . Odnośnik do komentarza
zafrasowany Opublikowano 25 Marca 2011 Autor Zgłoś Udostępnij Opublikowano 25 Marca 2011 witam raz jeszcze, nie chce naduzywac uprzejmosci, bo zaczalem od "rootkita" ale potem Ty sama zwrocilas mi uwage na inne rzeczy.. a wiec: To są błędy a nie kosmetyczne zgłoszenia. Albo albo: - włączasz usługi nadrzędne (NetBIOS / Serwer), by nie było niezdarnej próby uruchamiania usług zależnych, które padają jak muchy ze względu na złą konfigurację - wyłączasz usługi zależne (Przeglądarka komputera / DHCP), które się nie mogą uruchomić, skoro i tak nie działają usługi od których zależą wylaczylem uslugi zalezne To zapewne o to chodzi: KLIK. Twoje objawy sugerują, że TrueCrypt wymusił wyłączenie pliku wymiany (co nie jest dobrym pomysłem). Nie przyjrzałam się za dokładnie wcześniej na log. Otóż tu stoi w rozmiarze zero (na moim systemie XP OTL oblicza rozmiar początkowy i końcowy pliku): 3,00 Gb Paging File | 2,00 Gb Available in Paging File | 74,00% Paging File free Paging file location(s): C:\pagefile.sys 0 0 [binary data] To wyjaśniałoby błąd w Dzienniku zdarzeń. czyli co byloby optymalnym ustawieniem dla pliku wymiany w tej sytuacji? jesli da sie to krok po kroku (ale bardzo skrotowo) opisac, bylbym wdzieczny generalnie to ta sytuacja z tym bledem ma raczej miejsce juz od 2 lat, od czasu zmiany dysku, instalacji na nowo systemu i szybkiego "zatruecryptowania" go moja wiedza w tym zakresie nie jest najwieksza, delikatnie rzecz ujmujac aha, ogolnie oprocz bledu o ktorym teraz mowimy, a wiec oprocz Error - 2011-03-21 18:23:04 | Computer Name = PAWEL | Source = Ftdisk | ID = 262193 Description = Konfigurowanie pliku strony dla zrzutu awaryjnego nie powiodło się. Upewnij się, że na partycji rozruchowej znajduje się plik strony i że jest wystarczająco duży, aby zawierać całą pamięć fizyczną. przy starcie komputera jest jeszcze jeden blad: KLIK Dzieki raz jeszcze za poswiecony czas Odnośnik do komentarza
picasso Opublikowano 25 Marca 2011 Zgłoś Udostępnij Opublikowano 25 Marca 2011 czyli co byloby optymalnym ustawieniem dla pliku wymiany w tej sytuacji? Po prostu plik włączyć, czyli przestawić mu parametr początkowy i końcowy na inne wartości niż 0. przy starcie komputera jest jeszcze jeden blad: KLIK Klasa {2C82180E-8C3C-4A1B-BEB1-B9140713E701} to HP CUE Discovery. Usługę wyłączyliśmy ze względu na to, że się zawieszała, dlatego teraz się to zgłasza. Tu nie ma wyboru: albo usługę włączysz i będzie zagrożenie, że się zacznie wieszać przy starcie, albo wyłączysz. Ewentualnie popatrz czy nie ma aktualizacji sterowników HP, ale powątpiewam w takie rozwiązanie. Ów feler miał być rzekomo rozwiązany w którymś fiksie HP, przy czym widziałam już dość dawno temu, że osoby po instalacji poprawki i tak miały zawieszenia tej uługi. . Odnośnik do komentarza
zafrasowany Opublikowano 25 Marca 2011 Autor Zgłoś Udostępnij Opublikowano 25 Marca 2011 Po prostu plik włączyć, czyli przestawić mu parametr początkowy i końcowy na inne wartości niż 0. no i sie troche teraz pogubilem napisalas wczesniej 'O tym nie wiem co sądzić, bo wg raportu jest plik wymiany i to duży: 1,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 59,00% Memory free 3,00 Gb Paging File | 2,00 Gb Available in Paging File | 74,00% Paging File free Paging file location(s): C:\pagefile.sys 0 0 [binary data]" a potem, ze Truecrypt wymusil wylaczenie pliku wymiany rozumiem, ze na to wskazuje blad przy starcie systemu, ale czy screenshot tez ? oto moje obecne ustawienia, nic nie zmienialem jeszcze, ani nawet nie jestem pewien co zmienic link - zrzut ekranu Odnośnik do komentarza
picasso Opublikowano 25 Marca 2011 Zgłoś Udostępnij Opublikowano 25 Marca 2011 (edytowane) no i sie troche teraz pogubilem Może to jest błąd przeliczeń OTL, że pokazuje zero. Włącz pokazywanie plików ukrytych systemowych i na partycji C spójrz na plik pagefile.sys, jaki rozmiar ma na dysku. Jeśli jest więcej niż zero, plik jest ustawiony i nie ma się czym zajmować. Edytowane 25 Kwietnia 2011 przez picasso 25.04.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi