xefire Opublikowano 16 Marca 2013 Zgłoś Udostępnij Opublikowano 16 Marca 2013 Witam, problem mój zaczął się od wykrycia przez eseta PSW.Win32.OnlineGames. Dałem do kwarantanny i od tego czasu zaczęły się problemy... Komputer spowolnił, oraz pojawił się svchost który przekraczał 200-300k nawet czasami więcej. W folderze C:\Users\\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content są dziwne pliki typu:7B2238AACCEDC3F1FFE8E7EB5F575EC9 bez rozszerzenia jako plik systemowy, mogę codziennie usuwać niestety na nic codziennie się pojawiajią... Równierz w folderze System Volume Information były te dziwne pliki ale skanowałem parę razy MBAM i wkońcu coś znalazł (potem puściłem DR Weba też coś znalazł, TDSkiler rówierz coś znalazł niestety logów nie mam z TDSSkilera). Po wykonaniu skyrptu (źle podanego przez użytkwonika forum) straciłem Windows Aero (wpiera mi że to wina combofixa (combofix też coś znalazł ale musiałem usunąć) którego używałem 4dni przed napisaniem na owym forum). Po starcie komputera zawsze nie mam internetu i muszę zabijać tego svchosta żeby znowu się pojawił... Czy jest wyjście aby przywrócić Windows Aero i żeby codziennie nie musiał tak robić? A tu logi: OTL: http://www.wklej.eu/...p?id=84cc9103c6 EXTRAS: http://www.wklej.eu/...p?id=7ceac4561b GMER:http://www.wklej.eu/...p?id=e724cb2190 @EDIT: A tu ciekway log który znalazłem na dysku C. service.log:http://www.wklej.eu/index.php?id=62cb3909aa Odnośnik do komentarza
diox Opublikowano 16 Marca 2013 Zgłoś Udostępnij Opublikowano 16 Marca 2013 Logi z TDSSKiller są na dysku C: . . Odnośnik do komentarza
xefire Opublikowano 16 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 16 Marca 2013 Ale log z TDSkiler mam nazwany: TDSSKiller.2.8.16.0_16.03.2013_12.42.18_log, mogę podać... Odnośnik do komentarza
picasso Opublikowano 17 Marca 2013 Zgłoś Udostępnij Opublikowano 17 Marca 2013 W raportach brak oznak infekcji. Przenoszę do działu Windows. problem mój zaczął się od wykrycia przez eseta PSW.Win32.OnlineGames. Dałem do kwarantanny i od tego czasu zaczęły się problemy... Ale w czym? Proszę podaj dokładną ścieżkę dostępu gdzie skaner się tego dopatrzył. Jak można to ocenić nie mając danych. Nazwa zagrożenia to za mało, musi być też podana ścieżka. Po wykonaniu skyrptu (źle podanego przez użytkwonika forum) straciłem Windows Aero (wpiera mi że to wina combofixa (combofix też coś znalazł ale musiałem usunąć) którego używałem 4dni przed napisaniem na owym forum). Następnym razem proszę podawaj linki do pomocy na innym forum, przecież w zasadach o tym mówię, bo ja muszę wiedzieć co robiono. Wyszukałam temat samodzielnie: http://www.elektroda.pl/rtvforum/topic2520999.html Dużo ominąłeś, np. Przywracanie systemu użyte kilkukrotnie i liczne przeboje po skryptach kreślące sprawy dokładniej, a Ty tu ani mru mru. "Skróciłeś" znacznie wypowiedź, bo pierwszym zgłaszanym skutkiem skryptu były zupełnie inne awarie, następnie brak sieci, dopiero na szarym końcu Aero. Nie twierdzę, że to się nie łączy, ale punktuję iż Twój opis szkieletowy. Następnie: ESET zastąpiony KIS, co bez wcześniejszych informacji nie jest oczywiste (mogło mnie skierować na fałszywy trop), bo ów ESET używany do usunięcia jakiejś infekcji to mógł być skaner online a nie ESET pełny, a to ogromna różnica w budowie. Co do skutków skryptu, to nie mogę ocenić czy ma związek z Aero, ponieważ oglądam tam wersję nieoryginalną (zedytował treść) i nie wiadomo co on tam wymyślił: "Widocznie musiałem popełnić błąd w skrypcie, skrypt zmieniłem widzę że po przywróceniu wróciło wszystko tak jak było wcześniej. Jeszcze raz proszę wykonać powyższy skrypt tym razem jest zmodyfikowany i dokończyć pozostałe instrukcje " Proszę z katalogu C:\_OTL wyciągnij wszystkie pliki logów i mi dostarcz, bo ja muszę sprawdzić co on takiego zrobił, że po skrypcie to: "Po wykonaniu skryptu komputer się zrestartował oraz serwer RPC się wyłączył i nie mogę się zalogować, 2minuty jestem w wyborze użytkownika po czym znowu się restartuję" Poza tym komentuję w spoilerze ogólnie temat, bo zostałeś wprowadzony w błąd kilka razy (m.in. sugerowano Ci infekcję której nie było w tych miejscach = ogólnie to żadnej infekcji nie było widać) + odpowiadam na pytania na które nie raczono Ci odpowiedzieć: 1. Odpowiedzi na Twoje pytania: "dzięki total uninstaller odkryłem, że nie mogę się dostać do Local Settings" "Jakiś skrót od doccument and settings wchodzę i piszę mi komunikat że nie jest dostępny..." C:\Documents and settings oraz C:\Users\Konto\Local Settings: to jest normalne. To nie są foldery tylko skróty (ikona strzałki), czyli linki symboliczne. Są one zablokowane celowo przez uprawnienia. Do wglądu temat: KLIK. "-Lista dziwnych procesów: conhost.exe, trustedinstaller.exe, WinMsgBallonSerwer.exe, WinMsgBallonClient.exe" Wszystkie procesy poprawne. - conhost.exe KLIK - trustedinstaller.exe to kluczowa usługa Instalator modułów Windows (niezbędna przy wykonywaniu aktualizacji systemu i operacji na komponentach Windows) - te "ballony" to składniki aplikacji RAIDXpert: KLIK "następnym razem spisze (TaskSTRun)" TaskSTRun.exe to aplikacja autorstwa Tigzy (autor m.in. RogueKiller). Sam to pobrałeś i uruchomiłeś, to co się dziwisz: [2013-03-11 19:02:34 | 000,035,328 | ---- | C] (Tigzy) -- C:\Users\b0Ne\Desktop\forceHide.exe [2013-03-11 19:02:27 | 000,347,648 | ---- | C] (Tigzy) -- C:\Users\b0Ne\Desktop\TaskSTRun.exe "a w harmonogram zadań są dziwne zadania z tymi dziwnymi plikami właśnie: Nazwa:{3E489413-6AB8-43A1-920A-747C19AF3369} Lokalizacja: \ Wyzwalacze: Gdy zadanie jest tworzone lub modifikowane." Ty chyba mylisz {GUID} zadań w Harmonogramie z {GUID} kopii cieniowych, gdyż mówisz "z tymi dziwnymi plikami", a jedne co ja mogę połączyć to Twoje grzebanie w System Volume Information. {GUID} to identyfikator, masa takich identyfikatorów w systemie i to nie jest to samo. Pokaż mi o jakie zadania Harmonogramu Ci chodzi. 2. Pomocnik nie bardzo trzeźwy: - "Widzę eset nadal jest zainstalowany więc gmer mi nic nie da." Nie rozumiem do czego zmierza. Co to znaczy "nic nie da". Log dostarczyłeś post wyżej przed tą wypowiedzią, czyli GMER się uruchomił i nic tylko log ocenić. - "2) ylwodwmh.exe - a ten co za jeden ? Czy któreś z nich znasz albo sam ściągałeś tworzyłeś ?" Mój Boże, ma log z GMER i nazwy pod jakimi GMER startował... GMER 2.1.19155 Rootkit scan 2013-03-14 13:58:29 Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-2 WDC_WD10EARX-00N0YB0 rev.51.0AB51 931,51GB Running: ylwodwmh.exe; Driver: C:\Users\b0Ne\AppData\Local\Temp\kxldqpow.sys - "Usunąłem katalog mount z dysku c, ponieważ zawierał infekcję - niepotrzebnie, widzę że była tam wykonana kopia zapasowa systemu nie zwróciłem na to uwagi. Prosiłbym o ponowne odtworzenie WinMount Windows RE" Głupoty. Na jakiej podstawie on wytypował infekcję w tym katalogu? Nie widzę żadnych danych z wyjątkiem raportu OTL, więc to biorę za odnośnik jego "diagnozy". To tylko oznaczało, że OTL nie może obliczyć sumy kontrolnej: ========== Custom Scans ========== [2009-07-14 02:39:46 | 000,027,136 | ---- | M] () Unable to obtain MD5 -- C:\Mount\Windows\System32\svchost.exe [2009-07-14 02:39:46 | 000,027,136 | ---- | M] () Unable to obtain MD5 -- C:\Mount\Windows\winsxs\amd64_microsoft-windows-services-svchost_31bf3856ad364e35_6.1.7601.17514_none_13e15f101bed4826\svchost.exe Tak m.in. może być ze względu na specyfikę podmontowanego katalogu Mount i prawdopodobnie byłoby to na wielu innych plikach z Mount. On nawet nie wie od czego pochodzi ten katalog (to nie jest kopia zapasowa systemu w rozumieniu, które on chyba sugeruje) i czym zrobiony, bo Ci każe go odtwarzać przez WinRE wg tego: KLIK. Wyraźnie jest zasugerowany nazwą "Mount", a takowa może wystąpić w bardzo wielu scenariuszach. Ja też nie wiem czym C:\Mount robiono, to wyglądało na jakiś podmontowany punkt do obrazu WIM i nie wiadomo do czego kierowało. W sumie: zaszkodził i tyle. Już w pierwszym skrypcie dziwne podchody robione, bo zadał do usuwania ten poprawny strumień NTFS (KLIK): @Alternate Data Stream - 296 bytes -> C:\Mount:$WIMMOUNTDATA - "gmer wskazuje nadal na infekcję svchost" Nie umie analizować raportów GMER, brak oznak infekcji. Proszę, mój log z fabrycznego systemu Windows 7 x64 zaraz po instalacji pokazujący prawidłowe wątki svchost.exe: GMER 2.1.19155 - http://www.gmer.net Rootkit scan 2013-03-17 08:18:09 Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-4 VBOX_HARDDISK rev.1.0 25.00GB Running: tnbki98u.exe; Driver: C:\Users\Fixitpc\AppData\Local\Temp\fxliyfod.sys ---- Threads - GMER 2.1 ---- Thread C:\Windows\System32\spoolsv.exe [1244:2516] 000007fef2e610c8 Thread C:\Windows\System32\spoolsv.exe [1244:2520] 000007fef2e26144 Thread C:\Windows\System32\spoolsv.exe [1244:2524] 000007fef9445fd0 Thread C:\Windows\System32\spoolsv.exe [1244:2528] 000007fef2e03438 Thread C:\Windows\System32\spoolsv.exe [1244:2532] 000007fef94463ec Thread C:\Windows\System32\spoolsv.exe [1244:2544] 000007fef2ef5e5c Thread C:\Windows\system32\svchost.exe [1416:2084] 000007fef4bb8470 Thread C:\Windows\system32\svchost.exe [1416:2100] 000007fef4bc2418 Thread C:\Windows\system32\svchost.exe [1416:2300] 000007fef35af130 Thread C:\Windows\system32\svchost.exe [1416:2372] 000007fef35a4734 Thread C:\Windows\system32\svchost.exe [1416:2672] 000007fef35a4734 Thread C:\Program Files\Windows Media Player\wmpnetwk.exe [880:2164] 000007fefb892a7c Thread C:\Program Files\Windows Media Player\wmpnetwk.exe [880:2180] 000007fef3c0d618 Thread C:\Program Files\Windows Media Player\wmpnetwk.exe [880:2392] 000007fef93a5124 ---- EOF - GMER 2.1 ---- - Pierwszy skrypt ma dziwne punkty: wywalanie programu Tigzy oraz zadań Google Update (czy on jest świadomy, że tworzy uszkodzone zadania w Harmonogramie? te zadania mają też wpisy w rejestrze, to tylko OTL jest niedołężny, że tego nie skanuje). Drugi już komentowałam wyżej, wywalenie C:\Mount to błąd. Trzeci niepoprawny: :OTL C:\Users\b0Ne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_uninst_98251107.lnk Pomylił się w komendach. :Files zamiast :OTL, jeśli chce usuwać ten skrót skanera Kaspersky Removal Tool. Komputer spowolnił, oraz pojawił się svchost który przekraczał 200-300k nawet czasami więcej. Nawet nie wiadomo jaki, które usługi hostuje. W Menedżerze zadań z prawokliku na ten szczególny svchost.exe "Przejdź do usług" i wpisz wszystkie, które się podświetlą. Po starcie komputera zawsze nie mam internetu Wyraźnie mówiłeś: "Wątpie żeby combofix mógł usunąć kartę sieciową. Przecież wcześniej przed zrobieniem skryptu miałem normalnie internet. Pomoże reinstalacja sterownika?" Patrząc na jego działania, widzę dwie rzeczy związane z siecią: 1. Był tu ESET, który filtruje urządzenia sieciowe. Były trudności z jego deinstalacją. Użycie Total Uninstall metodą nietrafioną, ten typ programów wymaga użycia specjalistycznego narzędzia producenta. Po Twojej rzekomej pełnej deinstalacji pomocnik na elektrodzie usuwał skryptem OTL ten uruchomiony sterownik ESET: DRV:64bit: - [2012-10-08 08:21:08 | 000,059,440 | ---- | M] (ESET) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\EpfwLWF.sys -- (EpfwLWF) Bez wątpienia to świadczy o niepełnej deinstalacji, a skryptem OTL w takiej sytuacji nie rozwiąże się wszystkich zależności sieciowych, a nawet może być gorzej. Dla pewności zastosuj ESET Uninstaller. Narzędzie musi być uruchomione z poziomu Trybu awaryjnego Windows, nie działa w Trybie normalnym. 2. Mam podejrzenie co Ci narobił pomocnik na elektrodzie. Oglądam jego skrypt już po poprawkach (nie wiem co było pierwotnie), ale zaraz po jego wykonaniu zapostowałeś nowy log OTL, który pokazał nową zmianę niewidoczną w poprzednich logach sprzed skryptu, tzn. uszkodzenie usługi Windows Live + uszkodzenie łańcucha sieciowego Winsock punktujące wyrwany w jakiś brutalny sposób plik Windows Live: SRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE -- (wlidsvc) O10:64bit: - NameSpace_Catalog5\Catalog_Entries64\000000000007 [] - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found O10:64bit: - NameSpace_Catalog5\Catalog_Entries64\000000000008 [] - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found O10 - NameSpace_Catalog5\Catalog_Entries\000000000008 [] - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found Uszkodzony Winsock powoduje problemy sieciowe, których natura może być bardzo różna. Naprawiaj szkody: - Tę nieszczęsną usługę wlidsvc na razie wyłącz posługując się Autoruns (karta Services). - Wykonaj pełny reset katalogu sieciowego Winsock: KLIK. Z artykułu wykonaj: reset części Protocol poprzez komendę netsh winsock reset oraz reset części NameSpace przez import stosownego pliku REG. Zresetuj system. Po punktach przedstaw czy sieć działa w sposób poprawny. Dodatkowe komentarze: "Aha po skrypcie usunęło mi kartę sieciową i muszę codziennie aktywować internet za pomocą takiego pendrvia dołączonego od usługodawcy, a patrze w menadżerze urządzeń to karta ma wykrzyknik, pisze że nie załadowano odpowiednich usług (a dałem w msconfig żeby wszystkie usługi microsoftu ładował) " Nie szukaj tego w msconfig, tam są tylko usługi programowe a nie sterowniki. Następnie: "To tak powiem Ci sytuacje, gdy wykonałem skrypt pojawiła się faktycznie karta sieciowa i działa ale prawdopodobnie ten wirus ją blokuje." Nie wierz w pomoc skryptu, przecież komentujesz skrypt usuwający katalog C:\Mount (w ogóle bez związku z siecią), a drugi poprawkowy ma z kolei taką adnotację: Konfiguracja IP systemu Windows Nie można opróżnić pamięci podręcznej programu rozpoznawania nazw DNS: Niepowodzenie funkcji podczas jej wykonywania. Czyli: zero akcji związanych z siecią. To inne Twoje działania musiały polepszyć sytuację. i muszę zabijać tego svchosta żeby znowu się pojawił... Możesz zabijać właśnie ten svchost.exe, który hostuje określone usługi systemowe, sam sobie odcinając dostęp do określonych funkcji. Nic tu nie wiadomo który svchost.exe zabijasz. Pytam o te dane powyżej. W folderze C:\Users\\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content są dziwne pliki typu:7B2238AACCEDC3F1FFE8E7EB5F575EC9 bez rozszerzenia jako plik systemowy, mogę codziennie usuwać niestety na nic codziennie się pojawiajią... Zostaw te pliki w świętym spokoju. Proszę, na moim systemie lista plików w tym katalogu: SystemLook 30.07.11 by jpshortstuff Log created at 06:38 on 17/03/2013 by Aretuza Administrator - Elevation successful ========== dir ========== C:\Users\Aretuza\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content - Parameters: "(none)" ---Files--- 08E382DC40DC2B571439BB7A5449C239 --a-s-- 55796 bytes [18:50 06/02/2013] [20:43 14/03/2013] 098A74825DEB4C50FAE88C91A0B9713D_A2E842D12728FEFF33CBD32D0983455D --a-s-- 1371 bytes [10:27 03/10/2012] [16:17 22/01/2013] 130ADF60D1B7B3CF82CC6CA82D961601_7E8FD0F9D578712CE47CCECFCC1D5873 --a-s-- 1999 bytes [10:59 14/02/2013] [10:59 14/02/2013] 130ADF60D1B7B3CF82CC6CA82D961601_BFF3E82445C199812E8EC4CC74EA6FD4 --a-s-- 1999 bytes [13:54 21/11/2012] [21:31 14/03/2013] 130ADF60D1B7B3CF82CC6CA82D961601_F3F138DDA4E72F849B7E03101CED9406 --a-s-- 1999 bytes [10:58 12/02/2013] [10:58 12/02/2013] 1DAF2884EC4DFA96BA4A58D4DBC9C406 --a-s-- 1393 bytes [20:04 10/02/2013] [20:04 10/02/2013] 1F15462BC5A6655F7F25415F98A0571C_DCDFD1CB0265ABEC6D0C6903AEA49913 --a-s-- 1424 bytes [05:15 06/03/2013] [13:40 14/03/2013] 1F39B5CFACECFDE48DB25BCA2231FAC6_659E8B339CB5D4A3440EE573BB1175E7 --a-s-- 1473 bytes [17:46 19/02/2013] [17:46 19/02/2013] 23B523C9E7746F715D33C6527C18EB9D --a-s-- 2220 bytes [09:03 25/07/2011] [11:46 16/03/2013] 2659C1A560AB92C9C29D4B2B25815AE8 --a-s-- 542 bytes [16:37 29/01/2013] [18:11 05/03/2013] 27371171D8BBA336302695C6CEB04833 --a-s-- 1019 bytes [19:06 05/02/2013] [20:08 26/02/2013] 29E7A8984BC663B2CB853E44E7863708_7A5E15A14C0F182689E403969B0457BE --a-s-- 471 bytes [19:50 16/01/2013] [00:59 05/03/2013] 3B6E683A7A45CC59BF035C9BA8C7AB9D --a-s-- 494 bytes [02:35 23/02/2013] [14:47 28/02/2013] 3D434AAE04CA1A2D4163E0DAD70AE256 --a-s-- 663149 bytes [00:04 09/02/2013] [00:04 09/02/2013] 3EF2DCFBD8E45DF4AF38995D1A2C2444_18DD0D5BCA6452C1694A94FB33C0BC5F --a-s-- 471 bytes [10:51 07/03/2013] [10:51 07/03/2013] 4309200C3DBAD0F6F0DFACE9165FD092 --a-s-- 727 bytes [20:04 10/02/2013] [20:04 10/02/2013] 49514950C94E8026A2B06312597DFF49_AFC22B77ED08EE3E2B28B6DE75CADDF5 --a-s-- 1342 bytes [19:06 05/02/2013] [20:08 26/02/2013] 4B60F9F3A5B2E31C4D52DC308211D7B4 --a-s-- 486 bytes [21:55 04/12/2012] [21:55 04/12/2012] 4DB1DABDF57ED9997FE8DCC77E93C04F --a-s-- 1865 bytes [09:52 29/02/2012] [17:35 12/03/2013] 4E2AEA6EA954D777BE6CD0F69A68DF16 --a-s-- 32340 bytes [10:58 12/02/2013] [10:58 12/02/2013] 5457A8CE4B2A7499F8299A013B6E1C7C_E638F9EA31276B58E6A32FDD5296AB01 --a-s-- 471 bytes [02:35 23/02/2013] [10:48 07/03/2013] 5457A8CE4B2A7499F8299A013B6E1C7C_E9FCAC30D964AFC39902EC989B1CC9E8 --a-s-- 471 bytes [14:47 28/02/2013] [00:59 05/03/2013] 5495C2E4531B22B3185CE59F8E73C447 --a-s-- 20834 bytes [02:45 11/02/2013] [12:50 18/02/2013] 57C8EDB95DF3F0AD4EE2DC2B8CFD4157 --a-s-- 6327 bytes [06:51 18/06/2012] [22:57 05/01/2013] 5BC9A8088940FF71F67479AA5E33F8A8 --a-s-- 26376 bytes [17:34 12/03/2013] [21:32 14/03/2013] 5C45AD19E3530EC4218F560AFC04C3F7 --a-s-- 533 bytes [12:00 25/08/2012] [13:26 23/01/2013] 60E31627FDA0A46932B0E5948949F2A5 --a-s-- 898 bytes [21:04 08/09/2011] [17:12 12/01/2013] 696F3DE637E6DE85B458996D49D759AD --a-s-- 813 bytes [01:01 13/08/2011] [22:04 05/02/2013] 69CB1FD121A3CCB01B235A51441959D6_078DC4B2390A7EFBCA49C4D0774B67BE --a-s-- 472 bytes [10:48 07/03/2013] [10:48 07/03/2013] 69CB1FD121A3CCB01B235A51441959D6_4F51777E2D4DABB9FD61C66AD8C69CA9 --a-s-- 472 bytes [02:35 23/02/2013] [02:35 23/02/2013] 6EAC7C827C974B0366C97123FCE75402 --a-s-- 9309 bytes [17:35 12/03/2013] [17:35 12/03/2013] 6EE3F4B30DD5A19E5ECECC8051B4EDE0 --a-s-- 389 bytes [05:39 27/06/2012] [05:39 27/06/2012] 7396C420A8E1BC1DA97F1AF0D10BAD21 --a-s-- 554 bytes [03:14 08/06/2012] [21:23 01/03/2013] 74BFD122C0875EC75DBE5C6DB4C59019 --a-s-- 35166 bytes [10:23 03/10/2012] [19:41 08/03/2013] 77EC63BDA74BD0D0E0426DC8F8008506 --a-s-- 49082 bytes [06:51 18/06/2012] [16:20 24/11/2012] 7ABB39FD6B9991518C220D761798B53A_0812EC39BD922A614D49A4F628226E92 --a-s-- 471 bytes [17:34 12/03/2013] [17:34 12/03/2013] 7B2238AACCEDC3F1FFE8E7EB5F575EC9 --a-s-- 506 bytes [23:36 19/09/2012] [23:36 19/09/2012] 7B8944BA8AD0EFDF0E01A43EF62BECD0_828B25318BE2C0861EB2426A9C3023F6 --a-s-- 1847 bytes [01:27 06/03/2013] [01:27 06/03/2013] 7B8944BA8AD0EFDF0E01A43EF62BECD0_DBEBBB72D7CF896A67503824FF19F0BB --a-s-- 1847 bytes [10:46 07/03/2013] [10:46 07/03/2013] 7BEC2AA2B822204A5971F5AFD3B9EF86 --a-s-- 25578 bytes [11:49 25/02/2013] [00:59 05/03/2013] 7D1F03728133589A90656A87E482B21F --a-s-- 18535 bytes [20:08 26/02/2013] [20:01 16/03/2013] 7D266D9E1E69FA1EEFB9699B009B34C8_0A9BFDD75B598C2110CBF610C078E6E6 --a-s-- 1891 bytes [01:27 06/03/2013] [01:27 06/03/2013] 803D392C3051B3E3A74EB48BC5861291 --a-s-- 1117 bytes [08:00 15/02/2013] [10:49 07/03/2013] 886A1A5C30DEBEF3D22E253D7D774283 --a-s-- 4694 bytes [15:18 27/11/2012] [10:59 18/02/2013] 8890A77645B73478F5B1DED18ACBF795_1E5D470765E0BE1964814B1F5A3581DC --a-s-- 471 bytes [19:50 16/01/2013] [18:11 05/03/2013] 8C60E8C3F81A2F579A31769EEBE5E360 --a-s-- 763 bytes [05:15 06/03/2013] [13:40 14/03/2013] 8DD2A2DB5F08B0D640FDD66A42355BE9 --a-s-- 490 bytes [10:27 03/10/2012] [16:17 22/01/2013] 8EDCF682921FE94F4A02A43CD1A28E6B --a-s-- 500 bytes [11:01 12/02/2013] [11:01 12/02/2013] 91ECFED5143F7F4F4576655D8EFAB51C_D46C119D3A19D577191EBCFBFD1B27C3 --a-s-- 1425 bytes [19:41 08/03/2013] [19:41 08/03/2013] 91ECFED5143F7F4F4576655D8EFAB51C_F30FCCBF37EC7547E1F7A87B8F7472F3 --a-s-- 1425 bytes [11:01 12/02/2013] [11:01 12/02/2013] 930D1D196EE05A60D0FD6680AB99D0D5 --a-s-- 194585 bytes [10:59 14/02/2013] [10:59 14/02/2013] 94308059B57B3142E455B38A6EB92015 --a-s-- 48483 bytes [16:07 23/07/2011] [05:40 17/04/2012] 944E5B697BC46FE14AB888AE8A1EBB99_7B391E40DA98B3451BCA155536F3C4CD --a-s-- 1499 bytes [10:49 07/03/2013] [10:49 07/03/2013] 955CAB6FF6A24D5820D50B5BA1CF79C7_0D0504E280D4BC90041F089A5D901106 --a-s-- 1582 bytes [11:00 12/02/2013] [11:00 12/02/2013] 955CAB6FF6A24D5820D50B5BA1CF79C7_AD9E7615297A3A83320AACE5801A04F9 --a-s-- 1582 bytes [00:09 12/02/2013] [00:09 12/02/2013] 969F6872C062F51ACB119B46DFBDDA7D_B6A78665305B1848AE7D26E778D2B09B --a-s-- 471 bytes [10:58 12/02/2013] [20:08 26/02/2013] 96D7A99548C36B10D2E8035A3E0DCA1A --a-s-- 1056478 bytes [20:45 28/01/2013] [01:53 20/02/2013] 9CD8982C888AB544945893084BD7523A --a-s-- 389 bytes [16:03 05/06/2012] [16:03 05/06/2012] A008D953E44E20C38D3C35C11A37E6CA --a-s-- 44216 bytes [14:47 28/02/2013] [14:47 28/02/2013] A1377F7115F1F126A15360369B165211 --a-s-- 597 bytes [01:01 13/08/2011] [22:58 05/01/2013] A3C4F17BF8CB09C3DF2A086B36306B5C_266F2B04936C0F10D8DD29983C9CBC31 --a-s-- 471 bytes [17:35 12/03/2013] [17:35 12/03/2013] A44F4E7CB3133FF765C39A53AD8FCFDD --a-s-- 558 bytes [02:55 28/03/2012] [22:50 17/04/2012] A4C1370976EA5CBCD83ED4662793FEEA_68F3F21C366D5F2DA544EEDED42EA604 --a-s-- 1814 bytes [18:50 06/02/2013] [20:43 14/03/2013] AC9005F5466BD463DF06D711B370595F --a-s-- 1117 bytes [20:05 10/02/2013] [21:41 14/03/2013] ACF244F1A10D4DBED0D88EBA0C43A9B5_A9C858C1E3D297A71D80B8E1560DA3B5 --a-s-- 1508 bytes [14:20 29/10/2012] [14:20 29/10/2012] B1279483C1393E991DEBB976D8C54379 --a-s-- 1285 bytes [10:49 07/03/2013] [10:49 07/03/2013] B171751C11ECDD4C0C4BC4BBF7B99FBF --a-s-- 85740 bytes [09:22 31/01/2013] [23:50 20/02/2013] B4D5429757BEF5DE32F124B0897C9968 --a-s-- 2186 bytes [10:49 07/03/2013] [10:49 07/03/2013] B681B8816EE79EAEAA5CA7DA9EC0DC58 --a-s-- 429 bytes [14:02 01/10/2012] [14:02 01/10/2012] B8CC409ACDBF2A2FE04C56F2875B1FD6 --a-s-- 561 bytes [23:44 04/09/2011] [01:28 06/03/2013] BD8A14C7C024625432CC03FE72E47EF0_F54D8A1E0F13A1A4833BE59557C6FAFD --a-s-- 1987 bytes [23:50 20/02/2013] [23:50 20/02/2013] BDE8BB2C29E7F452ACB994B16640641B_1DB020DEA18215A4B19DBFB891A39CDF --a-s-- 1923 bytes [22:40 28/02/2013] [22:40 28/02/2013] C29AA1B9D7AA8A9381D2CBB3F631AA4B_AE48409823BA0FAC6A5F3BFB4CC0E4E8 --a-s-- 472 bytes [00:59 05/03/2013] [00:59 05/03/2013] C85D71887265E283EC5EBF46764A2A28 --a-s-- 9715 bytes [21:32 27/09/2012] [21:32 27/09/2012] C8E7EC0C85688F4738F3BE49B104BA67 --a-s-- 469 bytes [02:45 11/02/2013] [02:45 11/02/2013] CA7B2D59B4E9BC2D316D1AECDFC12F63_50A9B7D6657E0E63E590E85A2D416D2B --a-s-- 1856 bytes [20:44 28/01/2013] [01:53 20/02/2013] CED209487D21B905304C249DD63B49BA_763EF36FA92455C61C561841DEEE7EE8 --a-s-- 471 bytes [17:09 28/02/2013] [17:09 28/02/2013] D0F063B6B88A2B8BFE21C3993A613447 --a-s-- 49692 bytes [09:03 25/07/2011] [14:15 01/03/2013] D725F3459E2275E9EA5871B92AD896D0 --a-s-- 23602 bytes [16:07 23/07/2011] [21:33 14/03/2013] E2EF7F0FB7284B9ACFD4F65D02218479 --a-s-- 772 bytes [16:07 23/07/2011] [09:12 31/01/2013] E6024EAC88E6B6165D49FE3C95ADD735 --a-s-- 558 bytes [08:24 16/03/2013] [08:24 16/03/2013] E6E835FBF68756BDC127B689887C65CF --a-s-- 60704 bytes [22:25 17/02/2013] [15:26 21/02/2013] F063BF7EF604434CBE00FF198F0D9B10 --a-s-- 4492 bytes [19:05 03/09/2012] [06:31 08/03/2013] F4B372709D6C2AD766C34D274501DC76_516445E2D2E0044FF0510B085B354A0C --a-s-- 1938 bytes [12:13 30/10/2012] [22:25 17/02/2013] F4B372709D6C2AD766C34D274501DC76_C08D897FBCD7D5D638FCD154D1404CBE --a-s-- 1938 bytes [17:35 12/03/2013] [17:35 12/03/2013] F5DDD23C10ADFC584C14B5F413D80047_7D6565F639DD51E315CD7B495DCBB069 --a-s-- 471 bytes [21:42 18/09/2012] [15:26 21/02/2013] F90F18257CBB4D84216AC1E1F3BB2C76 --a-s-- 550 bytes [00:24 20/09/2012] [01:28 06/03/2013] FB788E090BC1F3AA2FBC9E8FB2859601 --a-s-- 932 bytes [16:07 23/07/2011] [11:40 09/01/2013] ---Folders--- None found. -= EOF =- To jest katalog związany z certyfikatami, zawartość zaszyfrowana i ocenianie "po nazwach" to grzech. Równierz w folderze System Volume Information były te dziwne pliki ale skanowałem parę razy MBAM i wkońcu coś znalazł (potem puściłem DR Weba też coś znalazł, TDSkiler rówierz coś znalazł niestety logów nie mam z TDSSkilera). vs. "I czy to normalne że w folderze System Volume Information (na dysku C) mam takie pliki które zajmują 200-1,2GB? przykładowe nazwy: {8c9b16f7-8bf3-11e2-a6fd-902b3413bf1d}{3808876b-c176-4e48-b7ae-04046e6cc752} i taki folder C:\System Volume Information\SPP\OnlineMetadataCache gdzie również jest pełno tych plików... No i jakieś rozszerzenia .isw .hve .dat" Katalog System Volume Information to katalog związany z cieniowaniem woluminu (funkcje Przywracanie systemu / Kopia zapasowa Windows i inne operacje z woluminami). Proszę tam nie wchodzić i nie grzebać, bo jasno z treści wynika, że Ty nie wiesz jak to działa. Swoją drogą to nie powinieneś mieć w ogóle dostępu do C:\System Volume Information (błąd "Odmowa dostępu"). Prawdopodobnie któryś proces przekonfigurował uprawnienia i możesz tam wejść, a nie powinieneś mieć tego dostępu. To jest bardziej prawidłowe cytując znów z Elektrody: "A co dziwne do Volume Information na dysku D w ogóle nie mogę wejść... " Dokładnie tak samo powinno być na C... Ale log z TDSkiler mam nazwany: TDSSKiller.2.8.16.0_16.03.2013_12.42.18_log, mogę podać... Nie rozumiem o co Ci chodzi z nazwą... Masz przedstawić log z TDSSKiller, który powstał podczas wcześniejszych akcji. Na dysku znalazłeś ten log, więc to ten log. A tu ciekway log który znalazłem na dysku C. service.log To plik od programu Gigabyte: KLIK. Masz taki program zainstalowany: EasySaver B9.1214.1. . Odnośnik do komentarza
xefire Opublikowano 17 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 17 Marca 2013 Przede wszystkim bardzo dziękuję za tak obszerną odpowiedź . Wiedziałem, że coś mi zepsuł użytkownik forum elektroda... To zaczne po kolei: 1.Nie wiem już dokładnie gdzie to było ponieważ już nie mam eseta ;/. 1a.Nie wiedziałem czy można podawać linki na inne fora, skrypt był znacznie dłuższy, W OTL niestety nie mam plików 1b.Trusted installer prawdopodobnie blokuje internet, ponieważ faktycznie usunąłem tego dużego svchosta i nie pomogło, jednak jak usunąłem trusted installer.exe to odrazu pojawił się internet (wcześniej miałem jakiś WUDFhost.exe i myślałem że to on mi blokuję), mówił mi parę razy że to ZeroAcces, te zadania {198237 itd. poznikały. Dzięki piękne za odpowiedzi . 2.Już wiem że z forami typu elektroda gdzie nie ma sprawdzonych użytkowników nie warto zaczynać (oczywiście to forum polecę każdemu kto będzie miał problemy z komputerem ) 2a. Co do trzeźwości to rzeczywiście się zgodzę ponieważ dałem mu loga dr web (nie całego co prawda dla ułatwienia dałem mu tylko to co usunął/kwarantanna) a on mi pisze ze dr web nic nie wykrył -.-. 2b.To tak usługi svchosta: Autokonfiguracja sieci WLAN, Usługa modułu wyliczającego urządzenia przenośne, Klien śledzenia łączy rozproszonych, Wstępne ładowanie do pamięci, Usługa asystent zgodności programów, Połączenia sieciowe, Dostęp do infrejsu usługi HID, Automatyczna konfiguracja sieci przewodowej, Pliki trybu offline, Konstruktor punktów końcowych audio systemu Windows. 3.Zrobię tę punkty (naprawy sieci) później niestety teraz nie mam czasu. 3a.A o te pliki już się bałem że to jakiś złośliwy wirus który się kopiujię. Dziękuję jeszcze raz pięknie za wytłumaczenie i zajęcie się tym problemem. Autoruns: Internet Explorer File not found: C:\Windows\system32\ie4uinit.exe _uninst_98251107.lnk File not found: C:\Users\b0Ne\AppData\Local\Temp\_uninst_98251107.bat 98251107 98251107 File not found: system32\DRIVERS\98251107.sys ALSysIO File not found: C:\Users\b0Ne\AppData\Local\Temp\ALSysIO64.sys gdrv File not found: C:\Windows\gdrv.sys VGPU File not found: System32\drivers\rdvgkmd.sys WinRing0_1_2_0 File not found: C:\Users\b0Ne\AppData\Local\Temp\tmpE9E1.tmp WindowsLive Local NSP File not found: C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL WindowsLive NSP File not found: C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL WindowsLive Local NSP File not found: C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL WindowsLive NSP File not found: C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL livessp File not found: livessp W drivers odznacze te co nie znaleziono: WinRing0_1_2_0 File not found: C:\Users\b0Ne\AppData\Local\Temp\tmpE9E1.tmp (to była prawdopodobnie infekcja nie wiem za dobrze) VGPU File not found: System32\drivers\rdvgkmd.sys 98251107 98251107 File not found: system32\DRIVERS\98251107.sys ALSysIO File not found: C:\Users\b0Ne\AppData\Local\Temp\ALSysIO64.sys gdrv File not found: C:\Windows\gdrv.sys LSA providers: livessp File not found: livessp Rzeczywiścię miałaś rację że chodzi o Winsock: WindowsLive Local NSP File not found: C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL WindowsLive NSP File not found: C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL WindowsLive Local NSP File not found: C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL WindowsLive NSP File not found: C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL A tego wildsvc nie widze w autoruns. Odnośnik do komentarza
picasso Opublikowano 17 Marca 2013 Zgłoś Udostępnij Opublikowano 17 Marca 2013 skrypt był znacznie dłuższy To brzmi niepokojąco (nie widzę podstaw do "długich" skryptów, cóż on tam usuwał). Niestety bez logów nie zgadnę co tam mogło być. W OTL niestety nie mam plików Czy na pewno? Widzę w Twoim logu ten katalog: [2013-03-16 12:41:09 | 000,000,000 | ---D | C] -- C:\_OTL ...więc nie użyto Sprzątania OTL i logi powinny być. Na wszelki wypadek podaj mi spis co w nim jest. Uruchom SystemLook x64 i w oknie wklej: :dir C:\_OTL /s Klik w Look mówił mi parę razy że to ZeroAcces Ale co / kto mówił i gdzie? Czy masz na myśli pomocnika na tamtym forum (tylko ja nie widzę gdzie to padło)? Jeśli tak = kolejne głupoty i nieprawidłowa interpretacja wpisów Winsock typu "not found", tak nie wygląda to przy ZeroAccess, ZeroAccess robi inne przekierowanie w Winsock, a tu jest to uszkodzenie innego typu (zaginął gdzieś plik Windows Live wpięty w łańcuch). te zadania {198237 itd. poznikały Nadal nie wiadomo co to było. {GUID} nie jest dostateczny, by ocenić to. Używałeś liczne skanery, jeden z nich mógł utworzyć w Harmonogramie zadanie. 1b.Trusted installer prawdopodobnie blokuje internet, ponieważ faktycznie usunąłem tego dużego svchosta i nie pomogło, jednak jak usunąłem trusted installer.exe to odrazu pojawił się internet (wcześniej miałem jakiś WUDFhost.exe i myślałem że to on mi blokuję), mówił mi parę razy że to ZeroAcces, te zadania {198237 itd. poznikały. Mam nadzieję, że mówisz tylko o zabiciu procesu TrustedInstaller w menedżerze zadań, bo tego pliku nie wolno usunąć. 3.Zrobię tę punkty (naprawy sieci) później niestety teraz nie mam czasu. Tak więc oczekuję na wyniki, na razie nie mogę przejść dalej. EDIT: Dodałeś fragmenty Autoruns. A tego wildsvc nie widze w autoruns. Nawet po odznaczeniu filtrowania wpisów Microsoftu? Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę (po start nie ma spacji przez znakiem równości, to nie błąd): sc config wlidsvc start= disabled Co się pokazuje? Rzeczywiścię miałaś rację że chodzi o Winsock:WindowsLive Local NSP File not found: C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL WindowsLive NSP File not found: C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL WindowsLive Local NSP File not found: C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL WindowsLive NSP File not found: C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL To co cytowałam w OTL to jest dokładnie to samo co w Autoruns, tylko inny format przekazu. Nie usuwaj tych wpisów przez Autoruns. Mój artykuł, do którego Cię skierowałam, objaśnia dlaczego = Autoruns ma błąd przy usuwaniu z NameSpace (nie aktualizuje licznika dostawców). Podałam Ci co masz zrobić: pełną rekonstrukcję ręczną tego obszaru. Po tych działaniach i resecie systemu Winsock zostanie naprawiony w pełni. W drivers odznacze te co nie znaleziono:WinRing0_1_2_0 File not found: C:\Users\b0Ne\AppData\Local\Temp\tmpE9E1.tmp (to była prawdopodobnie infekcja nie wiem za dobrze) 98251107 98251107 File not found: system32\DRIVERS\98251107.sys ALSysIO File not found: C:\Users\b0Ne\AppData\Local\Temp\ALSysIO64.sys gdrv File not found: C:\Windows\gdrv.sys Te możesz usunąć w karcie Drivers, to szczątki po skanerze Kasperskiego (98251107), Gigabyte (gdrv) i monitorach (ALSysIO, WinRing0_1_2_0). WinRing0_1_2_0 to nie infekcja. Ten konkretny driver kierujący do takiego pliku TMP pochodzi od jednej z aplikacji monitorującej zasoby, a może to być: - RealTemp - Gadżety pomiarowe takie jak All CPU Meter czy PCMeterV - Możliwe inne rzeczy. _uninst_98251107.lnk File not found: C:\Users\b0Ne\AppData\Local\Temp\_uninst_98251107.bat To możesz usunąć w karcie Logon. To wspominany przeze mnie skrót deinstalacyjny skanera Kaspersky Removal Tool. Siedzi nadal w starcie, bo skrypt nieprawidłowy zadany i to się nie wykonało. LSA providers:livessp File not found: livessp Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "Security Packages"=hex(7):6b,00,65,00,72,00,62,00,65,00,72,00,6f,00,73,00,00,\ 00,6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,73,00,63,00,68,00,61,00,6e,00,\ 6e,00,65,00,6c,00,00,00,77,00,64,00,69,00,67,00,65,00,73,00,74,00,00,00,74,\ 00,73,00,70,00,6b,00,67,00,00,00,70,00,6b,00,75,00,32,00,75,00,00,00,00,00 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. . Odnośnik do komentarza
xefire Opublikowano 17 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 17 Marca 2013 1.OTL jest folder ale nie ma w nim plików. (sprzątanie chyba użyłem, ponieważ owy użytkownik powiedział, że wirusów już nie mam) 2. Mówił że to może być zero acces, ale edytował i usunął co napisał. 3.Wiesz co to były zadania tych plików (może dlatego że je usunąłem) 4.Tak trusted installer zabijam tylko w menadżerze zadań 5.Polecenie CMD pokazuję: [sC] Open Service NIEPOWODZENIE 1060: Określona niżej usługa nie istnieje jako usługa zainstalowana. 6.Zaraz zabieram się za naprawienie WinSock 7.Dodałem fix.reg do rejestru I moje pytanko po skrypcie tego użytkownika forum elektroda niestety przestało mi działać Windows Aero jest jakieś rozwiązanie? @EDIT: Wykonałem polecenie netsh winsock reset i zadziałało (po uruchomieniu systemu internet odrazu był ) Próbowałem fixit od microsoftu pokazuję mi że moja karta graficzna nie obsługuje direct x 9.0c i shadera 2.0 (mam HIS radeon 6790) Odnośnik do komentarza
picasso Opublikowano 17 Marca 2013 Zgłoś Udostępnij Opublikowano 17 Marca 2013 2. Mówił że to może być zero acces, ale edytował i usunął co napisał. Czyli jak mówiłam: głupoty. 3.Wiesz co to były zadania tych plików (może dlatego że je usunąłem) Nie wiem o jakich plikach mówisz. Podaj mi konkretnie jakie pliki masz na myśli. Nie mogły to być pliki stąd, gdyż do takowych nie ma zadań, w rozumieniu bezpośredniej ścieżki do tych plików: C:\Users\\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content C:\System Volume Information I przecież pokazywałeś konkretną nazwę zadania, która kieruje donikąd (pusta lokalizacja): "a w harmonogram zadań są dziwne zadania z tymi dziwnymi plikami właśnie: Nazwa:{3E489413-6AB8-43A1-920A-747C19AF3369} Lokalizacja: \ Wyzwalacze: Gdy zadanie jest tworzone lub modifikowane." Nazwa zadania: Jak mówię, te {identyfikatory} mogą być losowe, nie wiadomo co to utworzyło, a mógł to być nieszkodliwy program. Nie sugeruj się nimi. 4.Tak trusted installer zabijam tylko w menadżerze zadań Czy nadal to robisz? 5.Polecenie CMD pokazuję: [sC] Open Service NIEPOWODZENIE 1060: Określona niżej usługa nie istnieje jako usługa zainstalowana. Wnioski: - Albo nastąpiły zmiany od ostatniego skanu OTL i usługi faktycznie nie ma. - Albo OTL widzi szczątkowy klucz już nie traktowany jako usługa. Start > w polu szukania wpisz regedit > czy widzisz ten klucz: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wlidsvc Jeśli tak = usuń. @EDIT: Wykonałem polecenie netsh winsock reset i zadziałało (po uruchomieniu systemu internet odrazu był ) Ale czy wykonałeś wszystko? - Mówiłam: netsh winsock reset + import pliku REG z fabrycznym układem NameSpace (WinsockNSP_WIN7_Vista_64bit.reg). Komenda netsh nie resetuje NameSpace (a to przede wszystkim tu było uszkodzone), trzeba to adresować odrębnie. - Poza tym, czy zastosowałeś ESET Uninstaller? To istotne, bo ESET nie wyglądał na w pełni usunięty. Po tym chcę byś mi wyraźnie powiedział: co z tym obciążonym procesem svchost.exe (wg Twoje spisu to instancja sieciowa) po pełnej rekonstrukcji Winsock + użyciu ESET Uninstaller. Nie cykaj zadań partiami, tylko załatw to już do końca i podaj dokładnie wyniki. Próbowałem fixit od microsoftu pokazuję mi że moja karta graficzna nie obsługuje direct x 9.0c i shadera 2.0 (mam HIS radeon 6790) Jaki Fix-it? Czy mówisz o Fix-it do Aero? I moje pytanko po skrypcie tego użytkownika forum elektroda niestety przestało mi działać Windows Aero jest jakieś rozwiązanie? Na razie nie wiem o co chodzi, przy braku danych co on mącił jest mi ciężko odkręcić co robił, bo muszę zgadywać i to tu graniczy z wróżbiarstwem. Nie rozumiem co on robił, ale to musiała być jakaś rzeźnia, bo opis skutków skryptu straszny. Wstępnie podaj mi takie dane: 1. Dostosowany log z OTL zrobiony na następujących warunkach: tylko opcję Usługi ustaw na Wszystko, resztę opcji na Brak + szukanie plików na Żadne, klik w Skanuj (a nie Wykonaj skrypt!). 2. Uruchom SystemLook x64 i wklej do skanu: :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost /s HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Svchost /s :filefind aero.msstyles.mui dwm.exe themeservice.dll uxsms.dll Klik w Look. . Odnośnik do komentarza
xefire Opublikowano 17 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 17 Marca 2013 To tak wygląda na to że internet jest od razu po uruchomieniu oraz Windows Aero znowu działa. Chodziło mi o te pliki i foldery IME mogę usuwać cały czas i tak to nic nie da: dam parę screenów http://imageshack.us/gal.php?id=rZSskt7W2NHe0ujc4KHW2uCT Logi z OTL iSystemLookx64 i EsetUninstaller: OTL: http://wklej.eu/inde...p?id=7c4727850d SystemLook: http://wklej.eu/inde...p?id=8e4c7a4d9d Eset Uninstaller: http://wklej.eu/inde...p?id=acbb8395c5 Wygląda na to że jest wszystko w porządku. Dzięki wielkie za pomoc A svchost ma 120k chyba normalne... @EDIT: Jednak kurczę dzisiaj włączam komputer i internet był z opóźnieniem (na początku brak dostępu do sieci) ale nic nie zabijałem jakoś się przywrócił. A svchost od 120k do nawet 250k lub więcej ;/ Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się