covo

dzięki, czyli wypada zejść do piekieł z tymi dmp. a co do alcohola (troche wyzej opisalem) - tez tak nisko? nie jest możliwe sledztwo prostsze?

SMART: z HD Tune http://i.imgur.com/MWv8b4D.png z GSmartControl http://i.imgur.com/u46uCTl.png zastanawia mnie dlaczego 3-y podkreslone fioletowo pozycje maja z GSmart lekko niepokojaca uwage pre-failure (rozumiec jako ostrzezenie...?), natomiast z hdtune - że jest ok? (btw: co do pozycji z zoltym kolorem z hdtune - wyczytalem i rozumiem, ze jest bezpiecznie)

zanim zadam wlasciwe pytanie - prosba o podstawowe wyjasnienia/potwierdzenia/zaprzeczenia w takiej oto sprawie: jest laptop, ma karta wifi, pobiera internet z routera (vectra). W Adapterwatch wyglada to tak: http://i.imgur.com/pJcgPQb.png (oznaczylem interesujace mnie segmenty dwoma kolorami dla dwoch kart) 0. Czy te dwa klucze: {C944....} i {5AEF....} sa niezmienne - od momentu inst. systemu - dla tych dwoch kart, czy co właczenie sprzetu, to przyznawane sa inne? Sa, jako podklucze, i w tym kluczu: http://i.imgur.com/li1ZY0g.png, i w tym: http://i.imgur.com/eoMsZBs.png (nie rozwijalem,ale sa) - ktory z nich jest tym najglowniejszym kluczem,jedynym istotnym? 1. rozumiem, ze karta Intela laczy sie oczywiscie bezprzewodowo z routerem. Laptop jest "w sieci domowej",ma ip=192.168.0.29, a router jest brama i ma w tejze sieci ip=192.168.01. 2. Jaka role pelni Realtek? Co to w ogole za karta, do czego? Czy w tej chwili bezuzyteczna (ip=0.0.0.0)? Bo sluzy tylko do ewentualnego polaczenia bezposredniego kablowego z innymi punktami w sieci (ktorych teraz nie ma) ? 3. skonfigurowalem inne niz opcjonalne z vectry serwery dns - open dnsy i widze, ze sa i przy Intelu, i przy Realtek. Korzystalem z pewnego prostego programu do ustalenia serwerow dns, widzial wszystkie karty - "polecialem z metra", zakladam, ze dlatego Realtek ma to samo, co Intel, aczkolwiek Realtekowi nic po dns-ach. Jak mniemam. a/ Czy DNS-y faktycznie nie sa potrzebne karcie Realtek? skoro nieczynna.... b/ Czy - skoro Intel laczy sie routerem,a dopiero router z ogolniejsza siecia vectrowa - to rzeczywiscie korzystam z wlasnorecznie ustalonych open DNS-ów? (czy jednak lacze sie z opcjonalnymi dns-ami vectry i samodzielny wybor open dns jest fikcją, bo nie dziala, nie omija dns-ow vectry i komenda ns lookup [tutaj adres] dajaca taka odpowiedz http://i.imgur.com/5xwHrJZ.png - nie mowi prawdy...? c/ ustalone MTU=1500 - czy to jest MTU dla lacznosci karta Intela <--> router w obu kierunkach, czy... czy inaczej to "gra"? Zadalem takie proste pytanka, bowiem mam o wiele wieksze watpliwosci , ale najpierw chce ustalic wiedze pewna co do banalnych podstaw. Nastepnie zapytam o wazniejsze sprawy.

1. problem w tym, ze av nie chodzi w tle, calkowicie wygaszony, sluzy tylko do sprawdzania przez ppm. Poza tym - jest od tzw. "zawsze" i te aplikacje dzialaly dotad bez problemu. 2. Co do DEP / EMET - sprawe opisalem wyzej: DEP wylaczony calkowicie i zwyczajowo. 3. pamięć... - troche ponad miesiac temu,bez specjalnego powodu, sprawdzana memtestem, jest ok, a aplikacje nie dzialaja od b.b dawna 4. no i warto wspomniec, ze jedna z tych aplikacji (Color_Pilot.exe) od czasu do czasu jednak daje sie uruchomic, ale zadnej reguly - kiedy, dlaczego... - nie dostrzeglem. pytanie: tak zastanawiam sie, czy jest jakis zwiazek - czy moze byc jakis zwiazek - miedzy kolapsem tych aplikacji, a tym, ze od dawna nie moge utworzyc napedow wirtualnych w alcoholu; poza tym felerem - alc. dziala ok. Opisalem to tutaj: https://www.fixitpc.pl/topic/23697-alcohol-nagle-zero-możliwosci-napędów-wirtualnych/ Przy probie zalozenia napedow wirt. alc. nie daje zadnego pliku dmp, jeno komunikat... wg mnie komunikat lekko bez sensu. Usilowalem podejrzec sprawe w procmonitorze - nic cpecjalnego nie widac. Juz pomijajac to, czy jest zwiazek czy go nie ma - jak z kolei dotrzec do przyczyny tej z kolei awarii alcohola...? pytanie: z ciekawosci pytam, na przyszlosc: skoro juz wspomniales o av, hipotetycznie zalozmy, ze w tle chodza jakies komponenty z av i widac je np w procexp. Jak , bez odinstalowania av, wytropic, za co sie one łapią w systemie, ze moga to i owo blokowac (np dzialanie innych programow, ich funkcjonalnosc)...? Oczywiscie: bardzo dzieki za czas poświecony tematowi

cos sie mi z dropboxem pokićkało,wiec wszystkie dmp z poprzedniego "doswiadczenia" sa w jednej paczce (ale moze masz jeszcze na dysku...) -> https://www.dropbox.com/s/3jjqnp06aet3t8q/dumps.rar?dl=0 A teraz co do "tryb oczekiwania" i "wyjatki pierwszego rodzaju": 1. Doctor.TCP.exe tryb oczekiwania https://www.dropbox.com/s/ytb5l1n4w71x1i3/Doctor.TCP.exe_140912_215736.dmp?dl=0 wyjatki I rodz. https://www.dropbox.com/s/a908c2ikhhav2d9/Doctor.TCP.exe_140912_220033.dmp?dl=0 2. TorrentSpy-0.2.4.26.exe za licho nie chce dac dmp w tych dwoch trybach, za to zawsze w tym momencie daje dmp z watsona (w katalogu watsona; ale nie podsylam, bylo). Jednakże: w ktorejs tam (moze 15-tej) probie "tryb oczekiwania", nagle (losowa sprawa) dal dodatkowy komunikat, ze (o ile pamietam) - "apl. nieprawidlowo otwarta"/"zainicjowana...", a procdump dal dmp -> https://www.dropbox.com/s/qxonzgee4pyz7io/TorrentSpy-0.2.4.26.exe_140912_220538.dmp?dl=0 - ale to zapewne/raczej nie jest to o co chodzi, bo to zapewne byl jakis inny crash, a nie ten notoryczny, ktory zamierzamy wysledzic.... 3. Color_Pilot.exe + Easy WIFI Radar.exe to samo co w 2., tzn dzialam procdumpem, jak napisales, ale zero dmp z niego, za to w tym momencie produkowane sa z watsona btw: nie jest jasne, dlaczego co jakis czas Color_Pilot jednak daje sie uruchomic, powiedzmy...10% prob uruchomienia jest udanych,reszta daje dmp z watsona, tylko z watsona).

załóżmy,że te dwa polecenia beda wykonane dla umownego programu aaa.exe: 1. czy zanim dwa powyzsze polecenia beda wykonane, to musi byc zamiana watsona na procdump - procdump -ma -i c:\dumps? 2. w "trybie oczekiwania" i dla "wyjatkow pierwszego rodzaju": procdump.exe i aaa.exe musza byc w tym samym katalogu? 3. w "trybie oczekiwania": najpierw polecenie potem uruchomienie aaa.exe, OK, to jasne. A co dla "wyjatkow p-go rodzaju" ? - najpierw polecenie z wiersza i tez potem uruchomic aaa.exe?

1. dziwna sprawa z tym programem: co jakis czas odpala sie prawidlowo, ale w wiekszosci przypadkow jest crash. Tutaj sa dwa zlapane pliki dmp: - z watsonem https://www.dropbox.com/s/7fkpan8xnesxj2o/Color_Pilot_user.dmp?dl=0 - gdy procdump zastapil watsona: https://www.dropbox.com/s/t62pl257rztb51t/Color_Pilot_b2e.exe_140909_235100.dmp?dl=0 (windbg podpowiada: crtdll.dll ?) 2. ten program regularnie produkuje dwa pliki dmp, jeden po drugim,zawsze parę (przy watsonie natomiast daje jeden dmp): https://www.dropbox.com/s/t4ne5ti17z279on/Doctor.TCP.exe_140909_234744.dmp?dl=0 https://www.dropbox.com/s/uxl3lzo23zzagdc/Doctor.TCP.exe_140909_234744-1.dmp?dl=0 (windbg podpowiada... Doctor.TCP.exe ? sam dla siebie program problemem?) 3. ten program wywraca sie z jednym dmp: https://www.dropbox.com/s/m4zsyzzh6of94mo/Easy%20WIFI%20Radar.exe_140909_233934.dmp?dl=0 (j/w ?) 4. ten program dostaje szału - wpada w "nieskonczonosc" i produkuje masowo pliki dmp, jeden po drugim,jak w pętli, nie zatrzymasz (z trudem) - to zapelnią dysk; jeden z nich ponizej (przy watsonie natomiast daje jeden dmp): https://www.dropbox.com/s/yyzom3qxz74ytvl/TorrentSpy-0.2.4.26.exe_140909_233158.dmp?dl=0 (windbg podpowiada kernel32.dll, jakas mocno "jadrowa" sprawa...) Wszystkie dmp przejrzalem z ciekawosci, na szybko, w windbg, ale wnioskow nie mam...

tak dla jsnosci i jakiejs mojej orientacji zanim zrobie to i owo z procdump Russinovicha: poki co dla watsona mam takie zapisy w rejestrze: http://i.imgur.com/tlERA8s.png http://i.imgur.com/Jfr8KRQ.png oraz w dwoch (jedynych) kluczach CrashControl (nizej daje przyklad jednego z nich ) zmienilem sciezke (np. przy wypadku BSOD) dla memory.dmp, zeby miec zawsze w stalym miejscu wszelkie zrzuty, mniejsze i te wieksze (kernelowe chocby): http://i.imgur.com/shuVMRv.png I to dziala - wszelkie zrzuty laduja w jednym,wyznaczonym katalogu Dr Watson. C:\>procdump -ma -i c:\dumps a/ czy chodzi o to, ze procdump.exe polozyc bezposrednio na C: i utworzyc tam katalog dumps? dokladnie tak ma byc, czy to jest tylko wzor, a procdump.exe + dumps moga lezec gdziekolwiek, byle sciezki dobre wpisac w tym poleceniu? (pytam, bo "lekko" zakrecony jest opis u Russinovicha, ale widze/czuje, ze chodzi o rejestracje procdump.exe w miejsce watsona...) b/ co teraz stanie sie po wykonaniu powyzszego polecenia (z wlasciwymi sciezkami)... watson bedzie zastapiony przez procdump.exe? pewnie tak. Ale calkowicie przejmie role watsona? Czy zmiany rejestrowe we wszystkich (i tylko tych) powyzszych obrazkach nastapia? Czy procdump.exe bedzie odtad domyslnie w akcji nie tylko przy minidump-ach, ale i przy wszelkich zrzutach, takze tych wiekszych? Co do DEP: i tutaj zaczyna sie ciekawostka ja zawsze , po instalacji xp, WYłączam DEP (panel sterow > system...). Pewnie dlatego,ze za czesto mi wrzeszczal... Tak robie od lat. Jak tylko zaczely sie te awarie programow - od razu sprawdzilem DEP i faktycznie, byl wylaczony http://i.imgur.com/ylxONms.png. Ale - juz po napisaniu tego tematu tutaj,a przed Twoja odpowiedzia - cos mnie tknelo i uruchomilem EMET, i pokazal, ze jest... wrecz odwrotnie. Wiec emet-em wylaczylem DEP. Z ponad 20-u programow prawie wszystkie ożyły. Juz są OK. Wiec jest pytanie "oboczne" niejako: dlaczego przez "panel ster > system..." widze, ze DEP jest na stale wylaczony, jak zabetonowany,chociaz EMET-em moge go wlaczac i wylaczac, a programy wowczas dzialaja, badz nie dzialaja.Moze w panelu sterowania DEP jest z jakichs powodow na stale wyszarzony, a dopiero EMET skutecznie dziala na boot.ini dając wlasciwy wpis... Czyli EMET-em "uleczylem" duzo programow, ale czterech (innych niz podanych w zalozonym temacie) - niestety nie. Te ciagle daja pliki dmp. Wiec po Twojej odpowiedzi (gdy juz bede wiedzial co-i-jak), podesle co trzeba z przykladowych dwoch awaryjnych programikow (bo to jakies male cuda są). Co podeslac? linki na pliki dmp (przy pomocy procdump)? czy tylko wyniki dla nich z windbg?

no tak, ale... zawsze pracował na intelu, a programy chodziły bez zarzutu.

zaraz, zaraz.... chwileczke mowisz, ze problemem jest Ultraiso... A jak myslisz - dlaczego moj post tutaj? :) przeciez wlasnie dlatego, ze debugowanie masowo mi wykazuje,ze te programy sa "same dla siebie" problemem, ultraiso dla ultraiso, a w drugim przykladzie - problemem dla DesktopOK_Unicode jest sam DesktopOK_Unicode. Tyle, to ja widze. Po co konfig sprzetowa? laptop w porzadku, jak dotad programy chodzily bez problemu, "pasty nie trzeba wymieniac", gwarantuje. FRST, OTL? Tylko - dlaczego? po co? - skoro calosc przeskanowana: AdwCleaner, gmer, Malwarebytes Anti-Rootkit, Malwarebytes' Anti-Malware, KasperskyTDSSKiller, Webroot, avira, drweb... - zero sygnalu o czymkolwiek. Nie bylo infekcji. rootkita,ani zadnego innego goscia. Po co armaty otl i frst...? Moze nie idzmy po odruchach bezwarunkowych... Zatrzymajmy sie na problemie slepego wynikowo debugowania, nic nie wykazuje,a programy leżą i to jest ciekawe,że debugowanie masowo wrecz nic nie pokazuje. Dlaczego nie pokazuje? Co moze byc powodem, przy zalozeniu, ze nie ma hakow wynikajacych z infekcji? Nie wierze w tym przypadku w infekcje, a moglbym, bo miewalem i otl/frst byly w robocie. Te programy na czyms sie po prostu "roztrzaskuja", czegos "nie łapią", jest moze jakis nagly, z jakiegos powodu ubytek w systemie - stad moj zwrot ku debugowaniu. BTW: a zauwazanie programow, ktore nagle sie nie uruchamiaja, ale daja pliki *.dmp zaczelo sie od zauwazenia tego: https://www.fixitpc.pl/topic/23697-alcohol-nagle-zero-mozliwosci-napedow-wirtualnych/ - tylko ze w tym akurat przypadku plik dmp nie powstaje. Czyli nadal brak mozliwosci zakladania dyskow wirtualnych w alcoholu120 ,ale doszlo to, co jest tematem tutaj.

pewne programy, nie wszystkie (co jest wazna uwaga) - nagle nie dają sie uruchomic. To są programy z roznych "dziedzin", nie ma żadnej reguly, jedne sa b.proste - jakies do notowania, inne troche wieksze - multimedialne. I codziennie na jakis taki wlasnie trafiam - dotąd dzialal bez zarzutu, dzisiaj - zgon. Kazdy z nich, jak na zawolanie, przy probie uruchomienia daje zrzut *.dmp w katalogu watsona. Postanowilem wreszcie sprawdzic o co chodzi - czyli debugowac pliki dmp tworzone przez te programy-niewypały. Debugging Tools for Windows z windbg_6.12.0002.633_x86.msi zainstalowany. Debuguję, windbg.exe dociaga potrzebne symbole, wspomagam poleceniem !analyze -v i .... nie mam zadnych wnioskow, debugowanie nie podpowiada/nie sugeruje zadnego winnego niewatpliwych awarii przy probach uruchamian tych wielu programow. Tych programow awaryjnych wytropilem juz z 20 parę i żaden nie ma sensownego/podpowiadającego cos konkretnego po debugowaniu wlasciwego *.dmp. Dlaczego debugowanie wrecz masowo nie odpowiada na pytanie o przyczyne awarii wielu programow? Pomożecie? Ponizej przykladowe dwa pliki *.dmp - powstaly przy probie uruchomienia dwoch prostych programow. I ich dwa wyniki debugowania w Debugging Tools for Windows. Jakby komus chcialo sie przyjrzec sprawie - bede bardzo**2 zobowiazany. plik dmp pierwszy https://www.dropbox.com/s/kb24yo9t30r8v04/user_1.dmp?dl=0 wynik debugowania: http://wklej.eu/index.php?id=6018ce588d plik dmp drugi: https://www.dropbox.com/s/kko6ep5getqlfa0/user_2.dmp?dl=0 wynik debugowania: http://wklej.eu/index.php?id=058cb7550a

o do licha... - nie ma pomysłu na awarie?

alcohol120 nagle zgubil wszelkie napedy wirtualne, a proba ich utworzenia w liczbie wiekszej od zera powoduje taki komunikat: http://i.imgur.com/GAqfuYq.png - problem w tym, że ACPI jest (z managera urzadzen: http://i.imgur.com/zGPKbF7.png), ale tez jest poniekad opcjonalnie, bo zadnej mozliowsci WLĄczania ACPI w biosie nie ma (taki ten laptop jest i kropka) Wszelkie odinstalowania / zainstal. alcohola nie pomagaja, takze troche bledne (bo niby dlaczego to robic...) odinstal /zainstal przy okazji sterownika spdt (za pomoca SPTDinst) - nic nie pomaga. Nawiasem mowiac spdt z alcoholem "jakos tam" powiazany jest, chocby tutaj widac: http://i.imgur.com/874EBzQ.png Krotko mowiac: prosba o podpowiedz - jak to naprawic?

kmplayer do wersji 3.6.0.87 potplayer videolan mpc - be smplayer

i w sumie trudno wyczuc - ktora metoda obiektywnie jest lepsza, skoro "najczesciej uzywane" to czesto "modyfikowane", a "modyfikowane" - to zawsze uzywane... Czyli jesli glownie pliki sie modyfikuje, to sensowniej uzywac Perfect; ale juz gracze - raczej nie bawia sie w zmiane/modyfikacje - to Puran... Jakos tak mniej wiecej..

no faktycznie,faktycznie, troche wysofistykowane, ale jest...

moze miales zapisywanie ustawiem kmplayera w pliku *.ini", a nie w rejestrze, to znaczaco spowalnia uruchamianie. Tak w kazdym razie bylo kiedys u mnie.

cos koło tego: http://windows7themes.net/disable-windows-7-security-center-warnings-completely.html - wylaczenie albo tylko alertow Centrum, albo w ogole Centrum. Sprawa calkowitego wylaczenia Centrum jest oczywiscie sprawa dyskusyjna, ale nie jest rownoznaczna w zadnym stopniu z polozeniem systemu. I wielu uzytkownikow - tych-ktorzy-wiedza-co-robia - wylacza Centrum. Jak i wiele innych komponentow windows. Z Centrum jest troche tak, jak z wylaczeniem DEP w xp - niekiedy wylaczenie jest po prostu wygodne dla uzytkownika. Ale warto, zeby wiedzial, "co robi".

co wiecej wykonuje w tej sytuacji, z tym poleceniem (typu delete) FRST, ze nie mozna najprosciej wyciac tego klucza - w jakimkolwiek edytorze rejestru?

no wiesz.... ffdshow nie jest zle, a nawet nadal b. dobre, w koncu do niedawna - potega. A na dzisiaj? Mysle, ze przyda sie merytorycznych pare uwag w sprawie ffdshow / lav: http://www.videoaudio.pl/forum/index.php?showtopic=8370&hl=lav http://www.videoaudio.pl/forum/index.php?showtopic=8495&hl=lav btw: i oczywiscie nalezy ODinstalowac wszelkie wynalazki kodekowo-filtrowe i albo ffdshow,albo lav (albo i to, i to) + ew. ac3

PerfectDisk Free Defrag tez nie od macochy, a nawet b.b.dobry i tutaj ciekawostka: po defragmentacji Puranem - PerfectDisk pokazuje jeszcze duzy stopien fragmentacji, nawet b. duzy, wolnej przestrzeni... Zapewne maja rozne mechanizmy detekcji fragmentacji, ale zeby az taki rozny wynik? zrezygnowalem z Puran. Zaufalem jednak Perfectowi.

warto miec w wersjach portable i opere (najlepiej wersja 12.16, bowiem ta "nowa" i dalsze - bez sensu) i FF - wlasnie dla takich sytuacji sciagania "czegos tam". akurat te sytuacje znakomicie obsluguje takze opera 12.16 z dodatkiem: https://addons.opera.com/pl/extensions/details/savefromnet-helper/?display=en - klikasz w przycisk tego rozszerzenia i ... sciagnalem bez problemu ten kawalek, cos okolo 7 minut ma. Jakos tak.

mozesz to blizej wyjasnic? dlaczego > 0 ? btw: jest gdzies znany/opisany przypadek infekcji sys. gosp. z maszyny wirtualnej zalozonej na nim?

Co do obowiazkowych raportow: gdzies tutaj widzialem namalowane, ze OTL & FRST,a nie - FRST i Gmer, co nie oznacza, ze te pierwsze dalem, to fakt, sorry A moze po prostu nie widze tej www, a warto,zeby byla, bo ktos inny bedzie slal OTL i FRST. Revealer - no tak, jakos tak odruchowo zapuscilem... Wiem,ze staroc; moze nie do konca czuje, ze absolutnie nie ma sensu uzywac,ze nie wylapie niczego, czego by nie zlapal najnowszy soft rootkitowy. A co do Sophos Anti-Rootkit - odpuscic sobie? (na przyszlosc) Papierow z TDSSKiller - nic z tego, nie ma sladu. OK, poprawiam wiec sprawe: Wszelkie alcohole, deamony, dyski od nich wirtualne - odinstalowane; sterownik sptd - odinstalowany, a przy okazji: wpis w HKLM/.../services - wykasowany, innych wpisow sptd nie ruszalem. (rozumiem, ze dla dzialania zakladanych potem dyskow wirtualnych, nalezy via SPTDinst zainstalowac ten sterownik) Po powyzszych operacjach: aswMBR - nie daje juz zadnych czerwonych alarmow. Logi: FRST http://wklej.eu/index.php?id=c809337d7a Addition http://wklej.eu/index.php?id=b387253159 Shortcut http://wklej.eu/index.php?id=cbbbbc3d3b GMER http://wklej.eu/index.php?id=6b2e9f043d btw: teraz widze - po deinstalacji wirtualiow - ze zniknela w managerze urzadzen cala linia "kontrolery scsi...", miala dwie pod-linie - jakies dwa kontrolery (?), jeden z nich mial permanentnie zolty znak, manipulowalem nimi, odinstalowania, zainstalowania, wszystko zmierzalo do zwiazku z sptd.sys... - rozumiem, ze ta linia kontrolerowa to dotyczyla dyskow wirtualnych zalozonych z alcohola i daemona i ze fizycznie/realnie nie istnieja, i ze pojawi sie, gdy zaloze wirtualia. Tak jest? ================================ dla potomnych: rozwiazanie dalsze jest takie: w zasadzie nie ma nic groznego, ale skoro logi juz są, to wniosek taki: w notatniku wpisac to, co miedzy liniami: --------------------------------------------------------- C:\WINDOWS\system32\5.tmp C:\WINDOWS\system32\4.tmp C:\WINDOWS\system32\3.tmp C:\WINDOWS\system32\75.tmp C:\WINDOWS\system32\74.tmp C:\WINDOWS\system32\73.tmp C:\WINDOWS\system32\72.tmp C:\WINDOWS\system32\71.tmp C:\WINDOWS\system32\70.tmp C:\WINDOWS\system32\Drivers\rootrepeal.sys C:\WINDOWS\system32\Agent.OMZ.Fix.exe C:\WINDOWS\system32\IEDFix.C.exe C:\WINDOWS\system32\VACFix.exe C:\WINDOWS\system32\o4Patch.exe C:\WINDOWS\system32\404Fix.exe C:\WINDOWS\system32\IEDFix.exe C:\WINDOWS\system32\VCCLSID.exe Reboot: -------------------------------------------------------------- - plik zapisac jako fixlist.txt i umieścic w katalogu z FRST i uruchomic FRST, i klik w Fix.

xpsp3; prosze o rzucenie okiem na te oto dwa logi: OTL.txt http://wklej.eu/index.php?id=c2eb0e64c7 Extras.txt http://wklej.eu/index.php?id=ef0712764f dodatkowo obrazek z aswMBR: http://img31.otofotki.pl/wo553_capture_001_13032014_151241.png.html Zdaje sie, ze wazne: w autoruns permanentnie pojawiaja sie w HKLM-services wpisy-uslugi, nazwy losowe, np.: awo2z0j, z info, ze dla uslugi - "file not found", a file = awo2z0j.sys i ten *.sys ma byc w TEMP; ale go nie ma. Prawoklikiem likwidacja wpisu w autoruns nie udaje sie -> info: "okreslona usluga nie istnieje jako zarejestrowana". Ale prawoklikiem docieram z autoruns do tego wpisu w rejestrze i wykasowuje wpis o usludze, nastepnie odswiezenie autoruns i ... juz sa nowe uslugi -> w tej chwili powstala jedna: memsweep2 i jej plik -> file not found = 83.tmp. (przed ta sytuacja bylo najprawdopodobniej rootkitowe zarazenie systemu, teoretycznie poradzil sobie z tym TDSKILLER..., uznajmy ten wpis jako meldunek z nowego frontu, opisow tamtej bitwy brak)