Skocz do zawartości
PiotrJIMI

Wolny system - dziwne zachowanie systemu

Rekomendowane odpowiedzi

zrobiłem ale jeszcze coś nie tak,całkiem na dole opis

 

 

witam serdecznie

 

 

bardzo proszę o pomoc,w rozwiązaniu mojego dość poważnego kłopotu na moim komputerze.

 

SYSTEM - MICROSOFT WINDOWS 7 HOME PREMIUM PL - SERVICE PACK-1 - SYSTEM ORYGINALNY

 

Wszystko zaczeło się od tego że około dwa tygodnie temu mój komputer został zainfekowany wirusem "ZAROACCESS" z pliku programu keyloger.exe.Usunołem tego wirusa za pomocą programu antywirusowego MCAFEE oraz Malware Bytes Anti-Malware,Antizeroaccess,Fixzeroaccess.

Przez pewien czas wszystko było dobrze.Kiedy to dnia 06.03 kupiłem nowy numer gazety komputerowej PC-FORMAT numer 4/2012 z dołączonej płyty zainstalowałem trzy interesujące mnie programy -

 

1. - PrivacyKeyboard 10.3

2. - Predator Lock Free 2.4

3. - Magic Boss Key 4.10

 

No i się zaczął horror z komputerem.Po uruchomieniu programu PRIVACYKEYBOARD 10.3 komputer tak strasznie mocno wręcz ogromnie spowolnił że nawet nie mogę korzystać wcale z internetu z przeglądarek internetowych INTERNET EXPLORER I OPERA najnowsza,z paska zadań zniknął pasek QUICK LAUNCH i w żaden sposób nie można tego paska szybkiego uruchamiania ponownie uruchomić,w prawokliku na pasku zadań i właściwości nie ma wcale tam pozycji QUICK LAUNCH,zniknęła także ikona FLAGI CENTRUM AKCJI z zasobnika paska zadań koło zegara,a wejście ponowne prawoklikiem na pasku zadań - właściwości-pasek zadań-dostosuj-i tam ustawienia zachowań są nieaktywne-kliknięcie w napis-włączanie i wyłączanie ikon systemowych-przy pozycji-centrum akcji i zasilanie-jest opcja wyłączone-nieaktywne.

 

Ponieważ nie wiem który to z tych trzech wyżej wymienionych programów tak zaszkodził to dla pewności odinstalowałem wszystkie te trzy programy za pomocą programu REVO UNINSTALLER FREE w opcji zaawansowane usuwanie.Oczyściłem rejestr metodą w rejestrze ZNAJDŻ i programami do oczyszczania np.CCCLEANER,wyszukiwałem pliki w systemie za pomocą programu EVERYTHING i tam też pousuwałem wszystkie pozostałości.

 

Po odinstalowaniu tego pierwszego programu pozostał napis w roku na oknie logowania do systemu tutaj gdzie wpisuje się hasło do systemu o treści THIS COMPUTER IS PROTECTED BY PRIVACYKEYBOARD

 

--- JAK USUNĄĆ TEN NAPIS ---

 

Ponowna próba zainstalowania programu kończy się komunikatem o treści IT IS NECESSARY TO UNINSTALL ALL THE PREVIOUS VERSIONS OF THE PRIVACYKEYBOARD OR ANTI-KEYLOGGER BEFORE INSTALLING THE PRIVACYKEYBOARD jak mam odinstalować jak ja już to zrobiłem a pozostałości juz nie pokazuje.

System bardzo spowolnił,okna zachowują się tak jak by brakowało sterowników karty graficznej,choć w menedżerze urządzeń wszystko jest dobrze,system ogólnie działa ale od razu widać że coś nie jest tak jak być powinno,te okna czsami robią się białe po otwarciu i bardzo często wyskakuje napis BRAK ODPOWIEDZI i wtedy trzeba trochę poczekać jak to póści.Jest też objaw migania okien.Jakby pulpit pracował offline.Grafika.

 

BARDZO PROSZĘ O JAK NAJSZYBSZĄ POMOC -

- QUICK LAUNCH

- FLAGA CENTRUM AKCJI

- NAPIS W OKNIE lOGOWANIA

- SYSTEM POWOLNY

 

Reinstalacja systemu nie wchodzi w rachubę ponieważ mam tylko jedna partycję.Mam ja za dużo danych na komputerze.Jestem administratorem jednej ze stron internetowych i potrzebuje szybko i pilnie sprawnego komputera-a reinstalacja wykasuje mi program do html i flash którego ja już nie mam i nie będe miał,mam tylko na dysku.

 

Załączam wszystkie możliwe logi dla pewności szybkości pomocy.Program COMBOFIX nie chce się wcale uruchomić.

Aby wysłać ten list korzystam z innego komputera,na moim nie da się korzystać z internetu - ZA WOLNY.

 

Przy odpowiedzi proszę szczegółowo napisać np.gdzie i w jakim programie ja mam coś kliknąć.

 

Czekam na odzew.NAPRAWDĘ JA BĘDE BARDZO WDZIĘCZNY ZA POMOC.

DZIĘKUJE I POZDRAWIAM

PIOTR

 

LOG-GMER

 

 

GMER 1.0.15.15641 - http://www.gmer.net

Rootkit quick scan 2012-03-07 20:45:42

Windows 6.1.7601 Service Pack 1 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-3 Hitachi_HDT721032SLA360 rev.ST2OA3AA

Running: gmer.exe; Driver: C:\Users\PIOTR_~1\AppData\Local\Temp\ugldapob.sys

 

 

---- System - GMER 1.0.15 ----

 

Code 88A18134 ZwCreateKey

Code \SystemRoot\system32\drivers\mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwMapViewOfSection [0x84661498]

Code 88A1DCB4 ZwOpenKey

Code 88A1688C ZwOpenKeyEx

Code \SystemRoot\system32\drivers\mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwUnmapViewOfSection [0x846614AE]

Code \SystemRoot\system32\drivers\mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwYieldExecution [0x84661484]

Code 889A2AC3 ExAcquireResourceExclusiveLite

Code 88A1A2EB ExEnterPriorityRegionAndAcquireResourceExclusive

Code 889A2A03 MmMapViewOfSection

Code \SystemRoot\system32\drivers\mfehidk.sys (McAfee Link Driver/McAfee, Inc.) NtMapViewOfSection

 

---- Devices - GMER 1.0.15 ----

 

AttachedDevice \FileSystem\Ntfs \Ntfs mfehidk.sys (McAfee Link Driver/McAfee, Inc.)

AttachedDevice \Driver\tdx \Device\Ip dwprot.sys (Dr.Web Protection for Windows/Doctor Web, Ltd.)

AttachedDevice \Driver\tdx \Device\Tcp dwprot.sys (Dr.Web Protection for Windows/Doctor Web, Ltd.)

AttachedDevice \Driver\tdx \Device\Udp dwprot.sys (Dr.Web Protection for Windows/Doctor Web, Ltd.)

AttachedDevice \Driver\tdx \Device\RawIp dwprot.sys (Dr.Web Protection for Windows/Doctor Web, Ltd.)

 

---- EOF - GMER 1.0.15 ----

Edytowane przez picasso

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Program COMBOFIX nie chce się wcale uruchomić.

 

Mam z głowy tłuczenie do głowy, że tego się nie uruchamia na wariata.

 

 

EDIT

 

Tym razem zabrakło OTL Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). Na razie to pomijam. Kolejno na temat i odpowiadaj mi już w nowym poście, dla logiki konwersacji:

 

 

- SYSTEM POWOLNY

 

Jako pierwszy podejrzany nasuwa się pakiet McAfee Total Protection. Czy McAfee był tu doinstalowany w trakcie leczenia infekcji czy był już przedtem? Nasuwa się to pierwsze: wg loga z OTL pliki McAfee utworzone dnia 26 lutego. Metoda potwierdzenia czy to ten program winny: całkowita testowa deinstalacja. To jedyne co odcina wszystkie aktywności aplikacji, proste wyłączanie nie. Po deinstalacji popraw specjalizowanym usuwaczem McAfee Consumer Products Removal tool.

 

 

- NAPIS W OKNIE lOGOWANIA

 

Po odinstalowaniu tego pierwszego programu pozostał napis w roku na oknie logowania do systemu tutaj gdzie wpisuje się hasło do systemu o treści THIS COMPUTER IS PROTECTED BY PRIVACYKEYBOARD

 

Program nie jest odinstalowany dobrze. Został po programie sterownik:

 

DRV - [2012-01-27 12:43:08 | 000,367,824 | ---- | M] (Global Information Technology (UK) Limited.) [Kernel | System | Stopped] -- C:\Windows\System32\drivers\krnl_akl.sys -- (krnl_akl)

 

Podasz dodatkowe szukanie na wystąpienia tego sterownika w rejestrze zanim zaczniemy go wywalać. Patrz dalej na ustęp z SystemLook.

 

 

- FLAGA CENTRUM AKCJI

 

zniknęła także ikona FLAGI CENTRUM AKCJI z zasobnika paska zadań koło zegara,a wejście ponowne prawoklikiem na pasku zadań - właściwości-pasek zadań-dostosuj-i tam ustawienia zachowań są nieaktywne-kliknięcie w napis-włączanie i wyłączanie ikon systemowych-przy pozycji-centrum akcji i zasilanie-jest opcja wyłączone-nieaktywne.

 

Ikona Power jest nieaktywna na komputerach nie pracujących na baterii. Też tak mam. Ikona Centrum jest nieaktywna ze względu na ingerencję malware.

 

1. Wg raportu z Farbar Service Scanner usługa nie jest uruchomiona:

 

Action Center:

============

wscsvc Service is not running. Checking service configuration:

The start type of wscsvc service is OK.

The ImagePath of wscsvc service is OK.

The ServiceDll of wscsvc service is OK.

 

Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator > wyszukaj na liście usługę Centrum zabezpieczeń, z dwukliku wejdź do jej Właściwości, czy usługa reaguje na przycisk uruchomienia? Jeśli nie, podaj co się dzieje / jakiś błąd?

 

2. W logu OTL widać trzy kuriozalne usługi, które nie istnieją na Windows 7:

 

SRV - [2010-11-20 13:18:01 | 000,744,448 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\System32\ActionCenter.dll -- (ActionCenter)

SRV - [2010-11-20 13:18:01 | 000,537,600 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\System32\ActionCenterCPL.dll -- (ActionCenterCPL)

SRV - [2009-07-14 09:07:25 | 000,023,040 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\winsxs\x86_microsoft-windows-healthcenter.resources_31bf3856ad364e35_6.1.7600.16385_pl-pl_ee3c9ca9c658b5b8\ActionCenter.dll.mui -- (Menedżer Centrum Akcji)

 

Pod tym kątem podasz mi eksport z rejestru tych kluczy. Patrz dalej na ustęp z SystemLook.

 

 

- QUICK LAUNCH

 

z paska zadań zniknął pasek QUICK LAUNCH i w żaden sposób nie można tego paska szybkiego uruchamiania ponownie uruchomić,w prawokliku na pasku zadań i właściwości nie ma wcale tam pozycji QUICK LAUNCH

 

Quick Launch na Windows 7 nie jest obecne we Właściwościach w menu kontekstowym "Paski narzędzi". Co do zaniku obiektów: w pasku adresów Windows Explorer wklej %APPDATA%\Microsoft\Internet Explorer i ENTER. Czy w środku jest folder Quick Launch, a jeśli to co zawiera?

 

 

 

Wszystko zaczeło się od tego że około dwa tygodnie temu mój komputer został zainfekowany wirusem "ZAROACCESS" z pliku programu keyloger.exe.Usunołem tego wirusa za pomocą programu antywirusowego MCAFEE oraz Malware Bytes Anti-Malware,Antizeroaccess,Fixzeroaccess.

 

Po ZeroAccess jest jeszcze ta usterka w Winsock części NameSpace:

 

O10 - NameSpace_Catalog5\Catalog_Entries\000000000001 [] - mswsock.dll (Microsoft Corporation)

O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - mswsock.dll (Microsoft Corporation)

 

... oraz te obiekty na dysku:

 

[2012-02-25 18:14:08 | 000,000,000 | -HSD | C] -- C:\Users\Piotr_Wielewicki\AppData\Local\58e4ad66

[2012-02-25 18:14:31 | 000,000,000 | -HS- | M] () -- C:\Windows\System32\dds_log_trash.cmd

 

Usuwanie tego rozkłada się na dwie akcje:

 

1. Reset Winsock przez reimport fabrycznych kluczy rejestru Windows 7. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5]
"Num_Catalog_Entries"=dword:00000006
"Serial_Access_Num"=dword:0000000c
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001]
"LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll"
"DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000"
"ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83
"SupportedNameSpace"=dword:0000000f
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000000
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002]
"LibraryPath"="%SystemRoot%\\system32\\napinsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000"
"ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae
"SupportedNameSpace"=dword:00000025
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000000
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003]
"LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000"
"ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d
"SupportedNameSpace"=dword:00000027
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000000
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004]
"LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001"
"ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d
"SupportedNameSpace"=dword:00000026
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000000
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000005]
"LibraryPath"="%SystemRoot%\\System32\\mswsock.dll"
"DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103"
"ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b
"SupportedNameSpace"=dword:0000000c
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000000
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000006]
"LibraryPath"="%SystemRoot%\\System32\\winrnr.dll"
"DisplayString"="NTDS"
"ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac
"SupportedNameSpace"=dword:00000020
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000000
"ProviderInfo"=hex:

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na ten plik wybierz opcję Scal

 

2. Doczyszczenie plików na dysku, przy okazji i lokalizacji tymczasowych i szczątków. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

C:\Users\Piotr_Wielewicki\AppData\Local\58e4ad66

C:\Windows\System32\dds_log_trash.cmd

 

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- -- (ZTEusbser6k)

DRV - File not found [Kernel | On_Demand | Stopped] -- -- (ZTEusbnmea)

DRV - File not found [Kernel | On_Demand | Stopped] -- -- (ZTEusbnet)

DRV - File not found [Kernel | On_Demand | Stopped] -- -- (ZTEusbmdm6k)

DRV - File not found [Kernel | System | Stopped] -- -- (MpKsl17d498cc)

DRV - File not found [Kernel | On_Demand | Stopped] -- -- (massfilter)

DRV - File not found [Kernel | On_Demand | Stopped] -- -- (F-Secure Standalone Minifilter)

DRV - File not found [Kernel | On_Demand | Stopped] -- -- (catchme)

 

:Commands

[emptytemp]

 

Rozpocznij usuwanie przez Wykonaj skrypt. System zostanie zrestartowany i automatycznie otworzy się log z wynikami usuwania.

 

3. Wygeneruj nowy log z OTL opcją Skanuj (przypominam o Extras) + dołącz log z wynikami usuwania z punktu 1. Dodaj i raport z danymi, o których wspominałam wcześniej, tzn. uruchom SystemLook i w oknie wklej:

 

:reg

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ActionCenter /s

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ActionCenterCPL /s

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Menedżer Centrum Akcji /s

 

:regfind

krnl_akl

 

Klik w Look. Przedstaw raport.

 

 

 

.

Edytowane przez picasso

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

z tym antywirusem MCAFEE to jest tak - jest to antywirus od TP SA wersja pełna jak mi wszedł ten wirus ZEROACCESS to ratowałem sie najpierw skanerem antywirusowym online ESET,pomyślałem że nie można mieć aktywnych dwóch antywirusów to odinstalowałem ten MCAFEE bo na początku on nic nie pomagał i dopiero póżniej czyli 26.02 ponownie go zainstalowałem i zrobiłem z nim skanowanie komputera i było wszystko ok.wstrzymam sie z jego odinstalowaniem i poczekam na pani decyzje,moge odinstalować ale czy to napewno wina MCAFEE.jaki darmowy antywirus pani mi poleca.zaraz wstawie ten log EXTRAS.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

usunołem zgodnie z wskazówkami tą pozostałość po tym privacykeyboard z system 32 plik krnl_akl.sys i znikła ta ikona w ekranie logowania i kompóter ku mojej radości przyśpieszył i nawet mogę juz uzywac internetu.

 

services.msc - komunikat - system nie może uruchomić usługi centrum zabezpieczeń na komputerze komputer lokalny.błąd 5.odmowa dostępu

 

QUICK LAUNCH - uruchamia sie tylko jako nowy pasek narzedzi a w środku zawiera te skróty które były wcześniej i działąją

 

co z tym antywirusem odinstalować czy ma pani inny pomysł

 

 

LOG -

 

All processes killed

========== FILES ==========

File\Folder C:\Users\Piotr_Wielewicki\AppData\Local\58e4ad66 not found.

File\Folder C:\Windows\System32\dds_log_trash.cmd not found.

========== OTL ==========

Error: No service named ZTEusbser6k was found to stop!

Service\Driver key ZTEusbser6k not found.

Error: No service named ZTEusbnmea was found to stop!

Service\Driver key ZTEusbnmea not found.

Error: No service named ZTEusbnet was found to stop!

Service\Driver key ZTEusbnet not found.

Error: No service named ZTEusbmdm6k was found to stop!

Service\Driver key ZTEusbmdm6k not found.

Error: No service named MpKsl17d498cc was found to stop!

Service\Driver key MpKsl17d498cc not found.

Error: No service named massfilter was found to stop!

Service\Driver key massfilter not found.

Error: No service named F-Secure Standalone Minifilter was found to stop!

Service\Driver key F-Secure Standalone Minifilter not found.

Error: No service named catchme was found to stop!

Service\Driver key catchme not found.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Classic .NET AppPool

->Temp folder emptied: 0 bytes

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: DefaultAppPool

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Piotr_Wielewicki

->Temp folder emptied: 84300115 bytes

->Temporary Internet Files folder emptied: 4026580 bytes

->Java cache emptied: 0 bytes

->Opera cache emptied: 0 bytes

->Flash cache emptied: 456 bytes

 

User: Public

->Temp folder emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 0 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 84,00 mb

 

 

OTL by OldTimer - Version 3.2.36.1 log created on 03082012_220101

 

Files\Folders moved on Reboot...

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\0e69eb77 scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\0f3f4b40 scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\123b3e58 scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\1eaf0323 scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\1f2b5ccc scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\233664c0 scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\27f65204 scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\2f61c859 scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\32eb98ff scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\3884eb26 scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\4a227ade scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\5de9e1.dat scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\5de9e1.exe scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\781011e2 scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\81372fab scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\8535836c scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\85aca5d1 scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\8e7fbb68 scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\94745bc9 scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\9f6cfd69 scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\a2a731da scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\a56bf121 scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\a87c5b84 scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\ad3ac638 scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\b8ca0709 scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\bb5c2_xp.exe scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\be-scan scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\bg-scan scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\c56baee2 scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\cec2144f scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\cn-scan scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\cs-scan scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\de-scan scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\e0331e13 scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\ec60e7ea scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\el-scan scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\en-scan.chm scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\eo-scan scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\es-scan scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\et-scan scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\f00ac54c scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\f3ffa6fa scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\fd348ae8 scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\fe556f4c scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\fr-scan scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\hu-scan scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\it-scan scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\ja-scan scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\ko-scan scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\lt-scan scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\lv-scan scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\nl-scan scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\no-scan scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\pl-scan scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\pt-scan scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\ru-scan scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\ru-scan.chm scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\setup.dll scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\setup.key scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\setup_xp.ini scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\sk-scan scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\sr-scan scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\tr-scan scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\uk-scan scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\uz-scan scheduled to be moved on reboot.

File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\zh-scan scheduled to be moved on reboot.

 

Registry entries deleted on Reboot...

Edytowane przez PiotrJIMI

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Na początek: proszę stosuj opcję "Edytuj", gdy nikt nie odpisał, zamiast śmiecić X postami własnymi w ciągu. Wszystko sklejam.

 

 

Składniki ZeroAccess pomyślnie usunięte, Winsock skorygowany. Tylko, że wygląda na to, iż skrypt do OTL przepuszczałeś więcej niż raz, bo wszystko jest "not found". Skrypty są jednorazowe, nie wolno ich powtarzać.

 

 

QUICK LAUNCH - uruchamia sie tylko jako nowy pasek narzedzi a w środku zawiera te skróty które były wcześniej i działąją

 

Rozumiem, że to potwierdzenie, iż folder jest na dysku i ma wszystkie skróty.

 

 

wstrzymam sie z jego odinstalowaniem i poczekam na pani decyzje,moge odinstalować ale czy to napewno wina MCAFEE

 

Oczywiście, że nie wiadomo na pewno czy to wina McAfee. Jeżeli system nadal muli, koncepcja nadal aktualna.

 

 

usunołem zgodnie z wskazówkami tą pozostałość po tym privacykeyboard z system 32 plik krnl_akl.sys i znikła ta ikona w ekranie logowania i kompóter ku mojej radości przyśpieszył i nawet mogę juz uzywac internetu.

 

"Zgodnie ze wskazówkami"? Nic podobnego. Wróć do mojego posta i przeczytaj co napisałam. Tylko zakreśliłam w czym jest problem. Nie kazałam usuwać nic przed pozyskaniem skanu z SystemLook! A co jakby padł system po tym? Skan z SystemLook miał posłużyć mi jako dowód ile zapisów w rejestrze jest, by dopiero podjąć decyzję jak to usuwać. Tak się nie usuwa sterowników. Skutki Twoich działań:

 

DRV - File not found [Kernel | System | Stopped] --  -- (krnl_akl)

 

To jest niekompletnie usunięty sterownik. Tym się zajmę w imporcie do rejestru (patrz dalej). Wygląda też na to, że od PrivacyKeyboard jest i ten ukryty plik:

 

[2012-01-27 12:43:14 | 000,649,424 | -HS- | C] () -- C:\Windows\System32\vkbd.exe

 

Ten sobie ręcznie dokasować możesz.

 

 

services.msc - komunikat - system nie może uruchomić usługi centrum zabezpieczeń na komputerze komputer lokalny.błąd 5.odmowa dostępu

 

Pod tym kątem będzie reimport wyglądu usługi Centrum, przy okazji z dokasowaniem tych trzech dziwactw (usługi o których mówiłam, że nie występują na Windows 7), plus wykończenie wpisów rejestru sterownika PrivacyKeyboard.

 

 

 

1. Pobierz narzędzie psexec, wstaw do katalogu C:\Windows.

 

2. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc]
"DisplayName"="@%SystemRoot%\\System32\\wscsvc.dll,-200"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\
  00,65,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,52,00,65,00,73,00,74,00,\
  72,00,69,00,63,00,74,00,65,00,64,00,00,00
"Start"=dword:00000002
"Type"=dword:00000020
"Description"="@%SystemRoot%\\System32\\wscsvc.dll,-201"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,57,00,69,00,6e,00,\
  4d,00,67,00,6d,00,74,00,00,00,00,00
"ObjectName"="NT AUTHORITY\\LocalService"
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\
  00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\
  67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\
  00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\
  00,00,00,00
"DelayedAutoStart"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Security]
"Security"=hex:01,00,14,80,c8,00,00,00,d4,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,98,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\
  00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\
  00,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,28,00,15,00,00,00,01,06,00,\
  00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,e5,55,dc,f4,e2,0e,a7,8b,eb,ca,\
  7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,\
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ActionCenter]
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ActionCenterCPL]
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Menedżer Centrum Akcji]
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\krnl_akl]
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KRNL_AKL]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Plik przenieś wprost na C:\.

 

3. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę:

 

psexec -s -d REG IMPORT C:\FIX.REG

 

4. Restart komputera. Sprawdź czy Centrum zabezpieczeń działa.

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

no zrobiłem tak jak było napisane,tylko że z tym paskiem zadań to jest tak że jak ja chcę obojętnie jaką ikonę z pulpiptu przesunąć i wstawić na ten pasek zadań to on mi wogóle tego nie przyjmuje ikona wraca na swoje poprzednie miejsce.usunołem ten plik vscd.exe ręcznie a polecenie CMD wyświetla mi to:

 

C:\WINDOWS\SYSTEM 32>psexec -s -d REG IMPORT C:\FIX.REG

 

NAZWA "PSEXEC' NIE JEST ROZPOZNAWANA JAKO POLECENIE WEWNĘTRZNE LUB ZEWNĘTRZNE,PROGRAM WYKONYWALNY LUB PLIK WSADOWY.

 

system już nie jest tak powolny i internet działa,a ten ostatni plik FIX.REG dałem jako SCAL

 

co zrobić jeszcze dalej i co z tym nie kompletnie usunietym sterownikiem

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Piotr zaczynam się nieco irytować, już drugi raz robisz akcje których nie zadałam:

 

system już nie jest tak powolny i internet działa,a ten ostatni plik FIX.REG dałem jako SCAL

 

Nie mówiłam o używaniu Scal i jest dla tego powód: Scal nie zaimportuje ostatniego wpisu w pliku, czyli nie usunie tego klucza od Privacykeyboard:

 

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KRNL_AKL]

 

Powód: klucz ma tak ustawione uprawnienia, że import opcją Scal (kontekst uprawnień konta administracyjnego) tego nie ruszy. Jest potrzebny import na uprawnieniu konta SYSTEM i to robić miał psexec.

 

 

NAZWA "PSEXEC' NIE JEST ROZPOZNAWANA JAKO POLECENIE WEWNĘTRZNE LUB ZEWNĘTRZNE,PROGRAM WYKONYWALNY LUB PLIK WSADOWY.

 

Albo albo:

 

1. Nie skopiowałeś wcale pliku psexec.exe do katalogu C:\Windows. Jeśli jednak na pewno tak:

 

2. Masz uszkodzone Zmienne środowiskowe. Panel sterowania > System > Zaawansowane > Zmienne środowiskowe > w sekcji Zmienne systemu sprawdź czy widnieje zmienna Path równa:

 

%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem

 

Jeśli w ogóle jej nie ma, opcją Nowa utwórz. Jeśli jest, ale ma inny ciąg, zedytuj.

 

 

co zrobić jeszcze dalej i co z tym nie kompletnie usunietym sterownikiem

 

Wcześniej mówiłam, że usuwanie sterownika jest w FIX.REG. I jak mówię teraz, poprzez użycie FIX.REG z opcji Scal a nie przez psexec jeden wpis od tego sterownika nie został usunięty.

 

 

no zrobiłem tak jak było napisane,tylko że z tym paskiem zadań to jest tak że jak ja chcę obojętnie jaką ikonę z pulpiptu przesunąć i wstawić na ten pasek zadań to on mi wogóle tego nie przyjmuje ikona

 

Tzn. co "robiłeś tak"? Czy tu nie ma jakiś nieporozumień znowu? Pod kątem paska tylko zadawałam pytanie czy jest katalog i czy ma wszystkie skróty. Nie udzieliłeś tego potwierdzenia. Poza tym, widzę że pierwszy opis był niedokładny, o przeciąganiu nic tu nie było wcześniej mówione...

 

Mam pytanie: czy usuwałeś strzałki skrótów jakiś tweakerem może?

 

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

szanowna pani

 

przepraszam za moje te samowolne działania,ale prosze mi uwierzyć ja ratuje sie czym moge,gdyby mój komputer nie był by mi aż tak potrzebny (sprawny) to bym go chyba za okno wyrzucił (drugie piętro).a na tą awrie ja już nie mam siły.

 

teraz do rzeczy ---

 

pasek QUICK LAUNCH jest aktywny,ma w sobie te wszystkie ikony z przed awarii i one też wszystkie prawidłowo działają,tylko że jest cały czas jako nowy pasek narzedzi a próba przesunięcia jakiejkolwiek ikony na miejsce QUICK LAUNCH tam po lewej stronie koło menu start kończy sie nie powodzeniem,nie wyskakuje żaden komunikat,poprostu pasek zadań nie przyjmuje ikon.

 

plik psexec.exe skopiowałem tam do C:\WINDOWS

 

tam w PANEL STEROWANIA-SYSTEM-ZAAWANSOWANE-ZMIENNE ŚRODOWISKOWE --- zmienna PATH miała całkiem inną waymrtość (ULEAD VIDEO STUDIO) tylko ze ten ulead ja już bardzo dawno odinstalowałem - zmieniłem na wartość podaną przez panią

 

nic cały czas to nie pomogło ten sam komunikat w CMD co poprzednio-nie moge w zaden sposób przez to CMD zaimportować FIX.REG

 

w rejestrze w podanym przez panią kluczu rzeczywiscie jest pozostałość po tym piekielnym PRIVACYKEYBOARD a próba recznego usuniecia konczy sie tym iż wyskakuje komunikat ze nie mozna usunąć bo KONTROLA DOSTEPU

 

NIE nie usuwałem strzałek skrótu zadnym programem tylko jak istalowałem system to od razu po instalacji usunołem te strzałki przez rejest - plik - plk i lnk ale to był dawno i wszystko było ok

 

robiłem tak jak pani napisała wczesniej

 

jest jakis inny sposób na usuniecie tego z rejestru,co z tym zrobić

 

prosze o poradę

Edytowane przez PiotrJIMI

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
przepraszam za moje te samowolne działania,ale prosze mi uwierzyć ja ratuje sie czym moge

 

Tylko zważ na to, że jedna z akcji którą podjąłeś mogła się skończyć na niestartującym Windows. Tak więc skoro czegoś nie rozumiesz, opuść temat, dopóki nie otrzymasz konkretnych instrukcji.

 

 

w rejestrze w podanym przez panią kluczu rzeczywiscie jest pozostałość po tym piekielnym PRIVACYKEYBOARD a próba recznego usuniecia konczy sie tym iż wyskakuje komunikat ze nie mozna usunąć bo KONTROLA DOSTEPU

 

Sprawa uprawnień jest oczywista od początku, doskonale wiem jaki jest układ tam i że klucza wprost z rejestru bez rekonfiguracji nie skasujesz. A Ty idziesz i próbujesz skasować. :P Przecież Ci mówię dlaczego użyty psexec.

 

 

jest jakis inny sposób na usuniecie tego z rejestru,co z tym zrobić

 

Można i ręcznie rekonfigurować, jest i X innych sposobów na to, ale nie są te instrukcje celowo podawane, ponieważ wychodzą tu nowe błędy i dopóki ich nie zdiagnozuję nie przejdę dalej. Co z tamtym kluczem zrobić dowiesz się dopiero jak Cię docisnę w kwestii tego, bo coś mi się tu nie zgadza:

 

 

tam w PANEL STEROWANIA-SYSTEM-ZAAWANSOWANE-ZMIENNE ŚRODOWISKOWE --- zmienna PATH miała całkiem inną waymrtość (ULEAD VIDEO STUDIO) tylko ze ten ulead ja już bardzo dawno odinstalowałem - zmieniłem na wartość podaną przez panią

 

nic cały czas to nie pomogło ten sam komunikat w CMD co poprzednio-nie moge w zaden sposób przez to CMD zaimportować FIX.REG

 

Zresetowałeś system po edycji?

 

 

NIE nie usuwałem strzałek skrótu zadnym programem tylko jak istalowałem system to od razu po instalacji usunołem te strzałki przez rejest - plik - plk i lnk ale to był dawno i wszystko było ok

 

Czyli jednak, pytanie o tweaker miało charakter ogólny, chodziło mi o edycję w obszarze LNK. To jest zła metoda usuwania strzałek, ta metoda ma skutki uboczne w postaci różnych dewiacji (m.in. KLIK). Prawidłowa edycja usuwająca strzałki jest całkiem inna, w kluczu ShellIcons. Odwracaj skutki edycji LNK. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CLASSES_ROOT\lnkfile]
@="Shortcut"
"IsShortcut"=""

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal

 

Zresetuj komputer.

 

 

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

nadal nic nie działa to polecenie w CMD

 

co dalej z tym co siedzi w rejestrze po tym PRIVACYKEYBOARD przez CMD chyba nic z tego

 

jak i czym teraz usunąć te strzałki z ikon

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
nadal nic nie działa to polecenie w CMD

 

Proszę o pokazanie:

 

1. Zrzutu ekranu prezentującego aplikację psexec.exe w folderze C:\Windows.

 

2. Zmiennych środowiskowych. W SystemLook wklej do skanu co podane niżej i przedstaw raport.

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment

 

 

co dalej z tym co siedzi w rejestrze po tym PRIVACYKEYBOARD przez CMD chyba nic z tego

 

Proszę o cierpliwość. Najpierw musi być wyjaśniona opcja nierozpoznania komendy w CMD, bo to nie jest zdrowe. I nie kombinuj na własną rękę.

 

 

jak i czym teraz usunąć te strzałki z ikon

 

Tego się dowiesz potem, jest to najmniej istotna teraz opcja kosmetyczna. Nawiasem mówiąc, w podanym przeze mnie linku było to opisane ...

 

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

wysłałem log i zrzut

 

proszę zauważyć całkiem na dole tak obecnie wygląda pasek zadań i QUICK LAUNCH

 

czy mam podać login i hasło do mojego TEAM VIEWER może tak by było szybciej i lepiej

 

SystemLook 30.07.11 by jpshortstuff

Log created at 13:17 on 10/03/2012 by Piotr_Wielewicki

Administrator - Elevation successful

 

No Context: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment

 

-= EOF =-

post-2-0-36976600-1331384142_thumb.jpg

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Dlaczego edytujesz wstecz post? Miałeś odpowiadać pod moim. Przeklejam do posta. Poza tym wymazałeś treść poprzednią. No jak wygląda teraz temat... Poprzeklejałam cytaty z mojego posta, by jakoś logikę zachować ...

 

1. Obrazek, przypomnę co mówiłam:

 

Pobierz narzędzie psexec, wstaw do katalogu C:\Windows.

 

Obrazek pokazuje, że narzędzie jest w zupełnie innej ścieżce niż zadana, czyli C:\, a nie w C:\Windows! Czyli przenosisz narzędzie do katalogu C:\Windows i ponawiasz komendę psexec.

 

2. Wyniki z SystemLook, moja wina, nie podałam komendy :reg, dlatego zły zwrot.

 

 

proszę zauważyć całkiem na dole tak obecnie wygląda pasek zadań i QUICK LAUNCH

 

+

 

pasek QUICK LAUNCH jest aktywny,ma w sobie te wszystkie ikony z przed awarii i one też wszystkie prawidłowo działają,tylko że jest cały czas jako nowy pasek narzedzi a próba przesunięcia jakiejkolwiek ikony na miejsce QUICK LAUNCH tam po lewej stronie koło menu start kończy sie nie powodzeniem,nie wyskakuje żaden komunikat,poprostu pasek zadań nie przyjmuje ikon.

 

Quick Launch jest tu jako "Pask narzędzi" i tak to będzie wyglądać jako Pasek narzędzi, to nie wskoczy tam gdzie duże ikony, bo jest to osobna strefa. Wyłącz ten Quick Lauch, by Cię nie wprowadzał w błąd, bo to jako "pasek narzędzi" nie jest nawet domyślnie włączone w Windows 7.

Natomiast: uchwyć te kropki po lewej i przeciągnij na prawo, by poszerzyć pasek zasadniczy. Może przez to, że tak mało miejsca dałeś, nie widzisz ikon.

 

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

nie ma już tego w rejestrze,mój błąd że od razu nie dałem do c windows

 

co z tymi strzałkami - nie znam angielskiego na tyle dobrze aby z tej stronyo tych strzałkach poczytać

 

co jeszcze zrobić

 

 

EDIT:

 

mogę prosić o odpowiedz bo czekam i nie wiem co dalej zrobić

 

system już wydaje się ok,tylko ten QUICK LAUNCH jak na zrzucie foto,ale ok niech już tak jest,i nadal nie ma flagi centrum akcji tam koło zegara,ale wstawiłem sobie tam ca do tego paska quick launch.

 

ze strzałkami ja już sobie poradziłem

 

proszę o odzew czy ja mam jeszcze coś zrobić,czy ma pani jeszcze jakieś zalecenia,czy to już wszystko

Edytowane przez picasso
Posty połączone. //picasso

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

witam

 

zauważyłem że trochę spowolnił mi internet --- neostrada 20 mb --- w tp powiedzieli że z ich strony wszystko jest dobrze.

 

robiąc na potrzeby tego wpisu log z gmer zauważyłem iż jest w system 32 pozostałość po programie dr.web,plik dwprot.sys , jak to usunąć

 

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DWPROT\0000

 

ORAZ

 

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet001\DwProt\Enum

 

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet001\DwProt\Parameters

 

tylko że ja już bardzo dawno ten program usunołem

 

zasyłam logi

 

proszę o poradę

 

p.s. - może ma to coś wspólnego z tą moją poprzednią usterką,tutaj opisaną w tym samym dziale pod nazwą Wolny system - dziwne zachowanie systemu - opis końcowy całkiem na dole

 

POZDRAWIAM

 

PIOTR

GMER.txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Proszę trzymaj się zasad działu, posty łączę. Jest wyraźnie napisane w zasadach co się dzieje z postami przypominającymi. Podbijanie tematu nic Ci nie da, nie zajmę się tematem na zawołanie. Odpowiadam tylko wtedy, gdy: mam czas, mam siły na dany temat, mam coś do powiedzenia i co istotne stworzenie odpowiedzi kosztuje czas. W weekendy mnie prawie nie ma, a teraz już byłam w trakcie pisania odpowiedzi i nic mnie bardziej nie irytuje niż post "co robić". A nowy temat niepotrzebny, ma wątki zazębiające się z poprzednim. Doklejam do poprzedniego.

 

 

Co do GMER, akurat pozostałość Dr. Web to najmniejszy tu problem (i je zbyt przeceniasz). Teraz widzę, że poprzednio musiałeś zrobić skan skrócony z GMER a nie pełny. Aktualny GMER nadal pokazuje pozostałości po rootkicie ZeroAccess, czyli zablokowane łącze symboliczne:

 

---- Files - GMER 1.0.15 ----

 

File C:\Windows\$NtUninstallKB2685$\1491381606 0 bytes

File C:\Windows\$NtUninstallKB2685$\1491381606\@ 2048 bytes

File C:\Windows\$NtUninstallKB2685$\1491381606\L 0 bytes

File C:\Windows\$NtUninstallKB2685$\1491381606\L\xadqopqo 78336 bytes

File C:\Windows\$NtUninstallKB2685$\1491381606\loader.tlb 2632 bytes

File C:\Windows\$NtUninstallKB2685$\1491381606\U 0 bytes

File C:\Windows\$NtUninstallKB2685$\1491381606\U\@00000001 45968 bytes

File C:\Windows\$NtUninstallKB2685$\1491381606\U\@000000c0 2560 bytes

File C:\Windows\$NtUninstallKB2685$\1491381606\U\@000000cb 3072 bytes

File C:\Windows\$NtUninstallKB2685$\1491381606\U\@000000cf 1536 bytes

File C:\Windows\$NtUninstallKB2685$\1491381606\U\@80000000 73216 bytes

File C:\Windows\$NtUninstallKB2685$\1491381606\U\@800000c0 43520 bytes

File C:\Windows\$NtUninstallKB2685$\1491381606\U\@800000cb 25600 bytes

File C:\Windows\$NtUninstallKB2685$\1491381606\U\@800000cf 31232 bytes

File C:\Windows\$NtUninstallKB2685$\4270572511 0 bytes

 

1. Uruchom GrantPerms, w oknie wklej:

 

C:\Windows\$NtUninstallKB2685$

 

Klik w Unlock.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

fsutil reparsepoint delete C:\Windows\$NtUninstallKB2685$ /C

C:\Windows\$NtUninstallKB2685$

 

:Services

ActionCenter

 

:OTL

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1

O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} "http://download.eset.com/special/eos/OnlineScanner.cab" (Reg Error: Key error.)

 

Klik w Wykonaj skrypt.

 

3. W związku z tym, że był tu rootkit ZeroAccess, leczony na pół gwizdka (liczne ślady i szkody widzialne już po usuwaniu) proszę o skan na weryfikację plików systemowych. Wykonaj komendę sfc /scannow i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK.

 

4. Drobnostka śmieciarska: w Google Chrome odinstaluj rozszerzenie Facemoods.

 

5. Przedstaw log z wynikami usuwania z punktu 2, log z wyników filtrowania SFC z punktu 3 nowy log z OTL z opcji Skanuj (bez Extras).

 

 

robiąc na potrzeby tego wpisu log z gmer zauważyłem iż jest w system 32 pozostałość po programie dr.web,plik dwprot.sys , jak to usunąć (...)

 

tylko że ja już bardzo dawno ten program usunołem

 

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i zatrzymaj sterownik Dr. Web poleceniem sc stop DwProt. Jeżeli poprawnie się zatrzyma, skasuj poleceniem sc delete DwProt.

 

2. Klucz LEGACY po tej operacji oczywiście zostanie, bo brak uprawnień. To już wykończysz przez nowy FIX.REG o zawartości:

 

Windows Registry Editor Version 5.00

 

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DWPROT]

 

... zaimportowany przez komendę psexec -s -d REG IMPORT C:\FIX.REG.

 

 

zauważyłem że trochę spowolnił mi internet --- neostrada 20 mb --- w tp powiedzieli że z ich strony wszystko jest dobrze.

 

Tu prędzej McAfee się znów nasuwa. Aplikacja silnie związana z siecią. Dodatkowo, widzę zainstalowany Akamai NetSession Interface, program wystąpił w takim kontekście na forum: KLIK. Odinstaluj to.

 

 

i nadal nie ma flagi centrum akcji tam koło zegara,ale wstawiłem sobie tam ca do tego paska quick launch.

 

Czy Centrum zabezpieczeń działa, czy nie ma żadnych błędów w Panelu sterowania w sekcji Centrum? I widzę, że mój FIX.REG (ten z którym tu były takie przeboje z psexec) wcale się nie wykonał do końca, w logu z OTL nadal jest dziwna usługa:

 

SRV - [2010-11-20 13:18:01 | 000,744,448 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\System32\ActionCenter.dll -- (ActionCenter)

 

Taka usługa nie istnieje na Windows 7. Usuwanie jej załączam w powyższym skrypcie do OTL.

 

 

tylko ten QUICK LAUNCH jak na zrzucie foto,ale ok niech już tak jest

 

Zadaję pytanie, czy robiłeś to:

 

Quick Launch jest tu jako "Pask narzędzi" i tak to będzie wyglądać jako Pasek narzędzi, to nie wskoczy tam gdzie duże ikony, bo jest to osobna strefa. Wyłącz ten Quick Lauch, by Cię nie wprowadzał w błąd, bo to jako "pasek narzędzi" nie jest nawet domyślnie włączone w Windows 7.

Natomiast: uchwyć te kropki po lewej i przeciągnij na prawo, by poszerzyć pasek zasadniczy. Może przez to, że tak mało miejsca dałeś, nie widzisz ikon.

 

I zobaczymy jeszcze co powie skan SFC na poprawność plików ...

 

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Witam ponownie

 

Tak wykonałem ja już teraz wszystkie zadania z dzisiaj

 

odpowiadam na pytania -

 

CENTRUM ZABEZPIECZEŃ - nadal jest nie możliwe samiostne włączenie C.Z. włączam ja to C.Z. poprzez plik FIX.REG-SCAL który pani mi podała tutaj w zeszłym roku,tak jak ja wtedy tutaj pisałem o tym moim kłopocie z tym C.Z. - ja już jakoś przyzwyczaiłem się do takiego włączania po każdym restarcie komputera.

 

QUICK LAUNCH - tak wykonałem to i nic to nie dało , a jeszcze muszę jeszcze ten pasek języka PL włączać ręcznie poprzez panel sterowania-region i język bo sam nie chce się włączyć,ale do tego też się przyzwyczaję.

 

MCAFEE - ten antywirus chyba na prawdę miesza coś w systemie,jaki darmowy antywirus pani by mi poleciła AVAST czy jakiś inny

 

Po wymaganych restartach dzisiejszych komputer sam mi się trzy razy pod rząd resetował,az mi się gorocą zrobiło bo już myślałem że system całkowicie padł

 

Przepraszam za te moje wczorajsze posty,ale bardzo mi zależy na jak najszybszym sprawnym KOMPUTERZE I INTERNECIE i chciałbym ja już to zakończyć

 

Zayłam LOGI

OTL_wyniki.txt

Edytowane przez PiotrJIMI

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

PiotrJIMI ostatni raz powtarzam, proszę edytuj posty, gdy nikt jeszcze nie odpisał. Utworzyłeś trzy posty własne w ciągu. Sklejam. Nowy post oczywiście tworzysz, gdy mi odpowiadasz, ale sobie sam nie odpowiadaj ...

 

Wyniki z OTL złe. Komenda fsutil nie została zinterpretowana, w ogóle nie nastąpiło rozlinkowanie łącza i OTL zaczął wywalać prawidłowe katalogi docelowe a nie konfigurację rootkit! Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i wpisz komendę:

 

fsutil reparsepoint delete C:\Windows\$NtUninstallKB2685$

 

Co się pokazuje przy jej wykonaniu? "Odmowa dostępu" czy przechodzi do nowej linii?

 

 

nie moge wysłać tego logu CBS

 

nie wysyła albo brak uprawnień

 

Zapewne próbujesz wysyłać CBS.LOG. Nie, to nie jest raport właściwy. Ty miałeś przefiltrować za pomocą automatycznej komendy w cmd, która utworzy osobny plik TXT. Proszę o stworzenie tego raportu i dołączenie tu:

 

1. Uruchom linię poleceń jako Administrator:

 

cmdelevated.gif

 

2. Wpisz polecenie:

 

findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt

 

 

3. Zostanie automatycznie otworzony w Notatniku ten plik.

 

Przy okazji: logów z usuwania OTL oraz GMER nie możesz dołączyć w Załącznikach, bo to rozszerzenia *.LOG, w Załącznikach są tylko dopuszczone rozszerzenia *.TXT. Należy zmienić nazwę pliku, by się dołączył ...

 

 

CENTRUM ZABEZPIECZEŃ - nadal jest nie możliwe samiostne włączenie C.Z. włączam ja to C.Z. poprzez plik FIX.REG-SCAL który pani mi podała tutaj w zeszłym roku,tak jak ja wtedy tutaj pisałem o tym moim kłopocie z tym C.Z. - ja już jakoś przyzwyczaiłem się do takiego włączania po każdym restarcie komputera.

 

Nie rozumiem co mówisz. Rok temu (KLIK) nie podawałam żadnego FIX.REG, to Ty sam importowałeś wtedy jakieś niewiadome dane, których ja nie potwierdziłam. Zasadniczy właściwy plik FIX.REG usługi Centrum zabezpieczeń podałam tu w temacie a nie rok temu, a jego treść zgodna z Windows 7 to:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc]
"DisplayName"="@%SystemRoot%\\System32\\wscsvc.dll,-200"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\
  00,65,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,52,00,65,00,73,00,74,00,\
  72,00,69,00,63,00,74,00,65,00,64,00,00,00
"Start"=dword:00000002
"Type"=dword:00000020
"Description"="@%SystemRoot%\\System32\\wscsvc.dll,-201"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,57,00,69,00,6e,00,\
  4d,00,67,00,6d,00,74,00,00,00,00,00
"ObjectName"="NT AUTHORITY\\LocalService"
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\
  00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\
  67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\
  00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\
  00,00,00,00
"DelayedAutoStart"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Security]
"Security"=hex:01,00,14,80,c8,00,00,00,d4,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,98,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\
  00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\
  00,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,28,00,15,00,00,00,01,06,00,\
  00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,e5,55,dc,f4,e2,0e,a7,8b,eb,ca,\
  7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,\

 

I pokaż co to za "FIX.REG sprzed roku", bo może to jest jakiś zły plik. Np. ta dziwna usługa "ActionCenter" z OTL to nie wiem jakim cudem tu się zagnieździła, może sam to właśnie wprowadzasz złym plikiem ...

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Przechodzi do nowej lini po wpisaniu komendy w CMD

 

zasyłam ten plik SFC

 

FIX.REG ten o którym pisałem

Edytowane przez PiotrJIMI

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Przechodzi do nowej lini po wpisaniu komendy w CMD

 

1. W takim razie nastąpiło już rozlinkowanie i jest to zwyczajny folder. Upewnij się, że masz włączone wszystkie opcje widoku (w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > zaznaczone "Pokaż ukryte pliki i foldery" + odznaczone "Ukryj chronione pliki systemu operacyjnego") i sprawdź czy da się skasować ukryty folder C:\Windows\$NtUninstallKB2685$ przez SHIFT + DEL.

 

2. Na temat zbrodniczej akcji w OTL, pokaż mi skan na aktualną zawartość katalogu, który OTL omyłkowo chciał przetwarzać, bo może nie trzeba się zajmować odtwarzaniem kilku rzeczy z kwarantanny OTL. Uruchom SystemLook i do skanu wklej:

 

:dir
C:\windows\system32\config\systemprofile /s

 

 

zasyłam ten plik SFC

 

Narzędzie jednak wykryło szkody po ZeroAccess i naprawiało je:

 

2012-03-12 13:38:03, Info    CSI    000001bd [sR] Cannot repair member file [l:16{8}]"dfsc.sys" of Microsoft-Windows-DFSClient, Version = 6.1.7601.17514, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch

2012-03-12 13:38:03, Info CSI 000001be [sR] Repaired file \SystemRoot\WinSxS\Manifests\\[l:16{8}]"dfsc.sys" by copying from backup

 

 

FIX.REG ten o którym pisałem

 

Widzę, że to jest plik importujący dwie usługi (Centrum i Windows Defender). Część tycząca Centrum jest prawidłowa. Czyli ustalmy: usługa Centrum działa (w services.msc widoczna w stanie "Uruchomiono") tylko jej ikony brak w obszarze powiadomień?

 

 

QUICK LAUNCH - tak wykonałem to i nic to nie dało , a jeszcze muszę jeszcze ten pasek języka PL włączać ręcznie poprzez panel sterowania-region i język bo sam nie chce się włączyć,ale do tego też się przyzwyczaję.

 

Na temat przycisków paska po lewej: powiększ go chwytając granicę i przesuwając na prawo, a następnie sprawdź co się stanie, jeżeli we Właściwościach paska zmienisz pewne opcje, konkretnie chodzi mi o "Przyciski paska zadań" i przestawienie w rozwijanym menu na cokolwiek innego niż aktualnie.

 

 

 

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

tak,ten plik z c windows dał się usunąć poprzez shift-delete i ja go usunołem

 

odinstalowałem ten MCAFEE także z pomocą tego narzędzia do usuwania antywirusa MCAFEE REMOVAL ......... DALSZEJ NAZWY NIE PAMIĘTAM

 

ZAINSTALOWAŁEM ANTYWIRUS AVIRA FREE 2012 I SPYWARE TERMINATOR 2012 i komputer od razu odżył

 

Z OSTATNIEJ CHWILI - DOPISUJE - EDYCJA POSTU

 

zrobiłem restart komputera i wyskakuje taki napis " trwa konfiguracja komputera 100 % nie wyłączaj komputera czekaj" i za chwile pokazuje sie napis

 

"trwa zamykanie" i dzieje sie tak trzy razy aż na k ońcu wyskoczy napis przy tym trzecim razie " trwa konfiguracja komputera 100 % - wycofywanie zmian" i dopiero wtedy pokazuje sie okno hasła i po wbiciu hasła dopiero uruchamia sie system.troche mnie to przeraza.

 

TROCHE PANI POMOGĘ - przyczyną tego co powyżej był ten program SPYWARE TERMINATOR 2012 - odinstalowałem to i komputer włącza się już normalnie

 

 

a z tym paskiem ok poprostu bede recznie to uruchamiał i już

 

zasyłam ten LOG

 

damy radę dzisiaj już tą sprawe zakończyć

Edytowane przez PiotrJIMI

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Wyniki z SystemLook OK. Naruszenie faktyczne nie nastąpiło. W ramach zamknięcia sprawy z czyszczeniem na poziomie poinfekcyjnym:

 

1. W OTL uruchom Sprzątanie, co skasuje z dysku kwarantannę OTL oraz OTL. Ręcznie dokasuj inne używane narzędzia.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Na wszelki wypadek wykonaj pełny skan za pomocą Malwarebytes Anti-Malware. Przedstaw raport, o ile coś zostanie znalezione.

 

 

ZAINSTALOWAŁEM ANTYWIRUS AVIRA FREE 2012 I SPYWARE TERMINATOR 2012 i komputer od razu odżył

 

Mam nadzieję, że w instalatorze Avira nie zaznaczałeś sponsora Ask Toolbar ... Spyware Terminatora i jemu podobnych nie pakuj w ten układ, nie mnóż programów z osłonami rezydentnymi czynnymi równolegle (zbyteczne obciążenie) i nie replikuj pewnych funkcjonalności. Aktualnie granica zatarta między "antywirus" i "antyspyware", programy antywirusowe są już multifunkcyjne i "spyware" wchodzi w zakres detekcji. Wybrałeś Avirę, OK, może być. Aczkolwiek ja mam do niej pewne pretensje, o przymuszanie sponsorem do uaktywnienia dodatkowych funkcji osłony (bez instalacji sponsora określona funkcja niedostępna). Np. Avast za darmo ma bardziej rozbudowanego rezydenta. Co do Avast: w najnowszej wersji 7 też pojawił się sponsor (Google Chrome), ale tu jest wybór (należy w Custom install podjąć decyzję).

 

 

zrobiłem restart komputera i wyskakuje taki napis " trwa konfiguracja komputera 100 % nie wyłączaj komputera czekaj" i za chwile pokazuje sie napis

 

"trwa zamykanie" i dzieje sie tak trzy razy aż na k ońcu wyskoczy napis przy tym trzecim razie " trwa konfiguracja komputera 100 % - wycofywanie zmian" i dopiero wtedy pokazuje sie okno hasła i po wbiciu hasła dopiero uruchamia sie system.troche mnie to przeraza.

 

TROCHE PANI POMOGĘ - przyczyną tego co powyżej był ten program SPYWARE TERMINATOR 2012 - odinstalowałem to i komputer włącza się już normalnie

 

Te komunikaty to wyglądały jak od Windows Update, instalacja aktualizacji ... Czy na pewno to była wina Terminatora, nie było tu zbiegu okoliczności?

 

 

a z tym paskiem ok poprostu bede recznie to uruchamiał i już

 

Nie ustosunkowałeś się do tego:

 

 

Czyli ustalmy: usługa Centrum działa (w services.msc widoczna w stanie "Uruchomiono") tylko jej ikony brak w obszarze powiadomień?

 

(...)

 

Na temat przycisków paska po lewej: powiększ go chwytając granicę i przesuwając na prawo, a następnie sprawdź co się stanie, jeżeli we Właściwościach paska zmienisz pewne opcje, konkretnie chodzi mi o "Przyciski paska zadań" i przestawienie w rozwijanym menu na cokolwiek innego niż aktualnie.

 

Konkretnie wypowiedz się na temat:

- stanu usługi Centrum kontra ikona (to są dwie odrębne sprawy), bo nieaktywna ikona to wiem że jest, ale chcę potwierdzenia, że usługa Centrum ma się już dobrze po importach FIX.REG. Jak odnotował wcześniej skaner Farbar, usługa nie miała przed importami pożądanego stanu ("wscsvc Service is not running") i do teraz nie potwierdziłeś statusu usługi po wzdrożonych naprawach.

- czy próbowałeś opcje przestawiać we Właściwościach paska.

Gdy się upewnię w tych kwestiach, będę szukać kolejnych rozwiązań.

 

 

damy radę dzisiaj już tą sprawe zakończyć

 

Są tu dwie nierozwiązane sprawy. Nie wiadomo jakie jest podłoże usterek, może to co widzisz to tylko powierzchowny znak większego problemu. Dlatego diagnostyka nadal w toku, bez gwarancji czasowej kiedy nastąpi finał. Przy takich tematach nie można po prostu udzielić odpowiedzi tego rodzaju ...

 

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

no i kłopot

 

komputer nadal się restartuje nawet po odinstalowaniu tego spyware terminator 2012

 

 

zrobiłem restart komputera i wyskakuje taki napis " trwa konfiguracja komputera 100 % nie wyłączaj komputera czekaj" i za chwile pokazuje sie napis

 

"trwa zamykanie" i dzieje sie tak trzy razy aż na końcu wyskoczy napis przy tym trzecim razie " trwa konfiguracja komputera 100 % - wycofywanie zmian" i dopiero wtedy pokazuje sie okno hasła i po wbiciu hasła dopiero uruchamia sie system.

 

nadal wystepuje ten kłopot,włączam rano komputer a tu lipa

 

MALWARE BYTES ANTI MALWARE - NIC NIE WYKRYŁ

 

CENTRUM ZABEZPIECZEŃ NADAL NIE DZIAŁA PASEK TAKŻE NIE-ALE CHYBA TO NAJMNIEJSZY KŁOPOT

 

ALE BARDZIEJ TE RESTARTY - GDYBY NIE TO TO JUZ BY BYŁO OK

 

WSTRZYMUJE SIE Z TYM SPRZATANIEM DO DECYZJI

 

PROSZE O ODZEW

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
zrobiłem restart komputera i wyskakuje taki napis " trwa konfiguracja komputera 100 % nie wyłączaj komputera czekaj" i za chwile pokazuje sie napis

 

"trwa zamykanie" i dzieje sie tak trzy razy aż na końcu wyskoczy napis przy tym trzecim razie " trwa konfiguracja komputera 100 % - wycofywanie zmian" i dopiero wtedy pokazuje sie okno hasła i po wbiciu hasła dopiero uruchamia sie system.

 

Jak mówiłam, ekran odpowiada instalacjom aktualizacji Windows. Wnioskując z "wycofywania zmian", jest tu jakiś problem i zaplanowane aktualizacje nie mogą się zainstalować. Potrzebne więcej danych:

 

1. Pełny CBS.LOG. Przekopiuj plik C:\Windows\Logs\CBS\CBS.LOG na Pulpit.

 

2. Pełne Dzienniki zdarzeń. Przekopiuj cały katalog C:\WINDOWS\system32\winevt\Logs na Pulpit.

 

Wszystkie materiały zapakuj do ZIP, shostuj np. na SpeedyShare i podaj tu link do tego. Analiza tego może potrwać.

 

 

CENTRUM ZABEZPIECZEŃ NADAL NIE DZIAŁA

 

Jaki błąd zwraca próba uruchomienia usługi Centrum przyciskiem w services.msc?

 

 

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...