PiotrJIMI Opublikowano 8 Marca 2012 Zgłoś Udostępnij Opublikowano 8 Marca 2012 (edytowane) zrobiłem ale jeszcze coś nie tak,całkiem na dole opis witam serdecznie bardzo proszę o pomoc,w rozwiązaniu mojego dość poważnego kłopotu na moim komputerze. SYSTEM - MICROSOFT WINDOWS 7 HOME PREMIUM PL - SERVICE PACK-1 - SYSTEM ORYGINALNY Wszystko zaczeło się od tego że około dwa tygodnie temu mój komputer został zainfekowany wirusem "ZAROACCESS" z pliku programu keyloger.exe.Usunołem tego wirusa za pomocą programu antywirusowego MCAFEE oraz Malware Bytes Anti-Malware,Antizeroaccess,Fixzeroaccess. Przez pewien czas wszystko było dobrze.Kiedy to dnia 06.03 kupiłem nowy numer gazety komputerowej PC-FORMAT numer 4/2012 z dołączonej płyty zainstalowałem trzy interesujące mnie programy - 1. - PrivacyKeyboard 10.3 2. - Predator Lock Free 2.4 3. - Magic Boss Key 4.10 No i się zaczął horror z komputerem.Po uruchomieniu programu PRIVACYKEYBOARD 10.3 komputer tak strasznie mocno wręcz ogromnie spowolnił że nawet nie mogę korzystać wcale z internetu z przeglądarek internetowych INTERNET EXPLORER I OPERA najnowsza,z paska zadań zniknął pasek QUICK LAUNCH i w żaden sposób nie można tego paska szybkiego uruchamiania ponownie uruchomić,w prawokliku na pasku zadań i właściwości nie ma wcale tam pozycji QUICK LAUNCH,zniknęła także ikona FLAGI CENTRUM AKCJI z zasobnika paska zadań koło zegara,a wejście ponowne prawoklikiem na pasku zadań - właściwości-pasek zadań-dostosuj-i tam ustawienia zachowań są nieaktywne-kliknięcie w napis-włączanie i wyłączanie ikon systemowych-przy pozycji-centrum akcji i zasilanie-jest opcja wyłączone-nieaktywne. Ponieważ nie wiem który to z tych trzech wyżej wymienionych programów tak zaszkodził to dla pewności odinstalowałem wszystkie te trzy programy za pomocą programu REVO UNINSTALLER FREE w opcji zaawansowane usuwanie.Oczyściłem rejestr metodą w rejestrze ZNAJDŻ i programami do oczyszczania np.CCCLEANER,wyszukiwałem pliki w systemie za pomocą programu EVERYTHING i tam też pousuwałem wszystkie pozostałości. Po odinstalowaniu tego pierwszego programu pozostał napis w roku na oknie logowania do systemu tutaj gdzie wpisuje się hasło do systemu o treści THIS COMPUTER IS PROTECTED BY PRIVACYKEYBOARD --- JAK USUNĄĆ TEN NAPIS --- Ponowna próba zainstalowania programu kończy się komunikatem o treści IT IS NECESSARY TO UNINSTALL ALL THE PREVIOUS VERSIONS OF THE PRIVACYKEYBOARD OR ANTI-KEYLOGGER BEFORE INSTALLING THE PRIVACYKEYBOARD jak mam odinstalować jak ja już to zrobiłem a pozostałości juz nie pokazuje. System bardzo spowolnił,okna zachowują się tak jak by brakowało sterowników karty graficznej,choć w menedżerze urządzeń wszystko jest dobrze,system ogólnie działa ale od razu widać że coś nie jest tak jak być powinno,te okna czsami robią się białe po otwarciu i bardzo często wyskakuje napis BRAK ODPOWIEDZI i wtedy trzeba trochę poczekać jak to póści.Jest też objaw migania okien.Jakby pulpit pracował offline.Grafika. BARDZO PROSZĘ O JAK NAJSZYBSZĄ POMOC - - QUICK LAUNCH - FLAGA CENTRUM AKCJI - NAPIS W OKNIE lOGOWANIA - SYSTEM POWOLNY Reinstalacja systemu nie wchodzi w rachubę ponieważ mam tylko jedna partycję.Mam ja za dużo danych na komputerze.Jestem administratorem jednej ze stron internetowych i potrzebuje szybko i pilnie sprawnego komputera-a reinstalacja wykasuje mi program do html i flash którego ja już nie mam i nie będe miał,mam tylko na dysku. Załączam wszystkie możliwe logi dla pewności szybkości pomocy.Program COMBOFIX nie chce się wcale uruchomić. Aby wysłać ten list korzystam z innego komputera,na moim nie da się korzystać z internetu - ZA WOLNY. Przy odpowiedzi proszę szczegółowo napisać np.gdzie i w jakim programie ja mam coś kliknąć. Czekam na odzew.NAPRAWDĘ JA BĘDE BARDZO WDZIĘCZNY ZA POMOC. DZIĘKUJE I POZDRAWIAM PIOTR LOG-GMER GMER 1.0.15.15641 - http://www.gmer.net Rootkit quick scan 2012-03-07 20:45:42 Windows 6.1.7601 Service Pack 1 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-3 Hitachi_HDT721032SLA360 rev.ST2OA3AA Running: gmer.exe; Driver: C:\Users\PIOTR_~1\AppData\Local\Temp\ugldapob.sys ---- System - GMER 1.0.15 ---- Code 88A18134 ZwCreateKey Code \SystemRoot\system32\drivers\mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwMapViewOfSection [0x84661498] Code 88A1DCB4 ZwOpenKey Code 88A1688C ZwOpenKeyEx Code \SystemRoot\system32\drivers\mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwUnmapViewOfSection [0x846614AE] Code \SystemRoot\system32\drivers\mfehidk.sys (McAfee Link Driver/McAfee, Inc.) ZwYieldExecution [0x84661484] Code 889A2AC3 ExAcquireResourceExclusiveLite Code 88A1A2EB ExEnterPriorityRegionAndAcquireResourceExclusive Code 889A2A03 MmMapViewOfSection Code \SystemRoot\system32\drivers\mfehidk.sys (McAfee Link Driver/McAfee, Inc.) NtMapViewOfSection ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Ntfs \Ntfs mfehidk.sys (McAfee Link Driver/McAfee, Inc.) AttachedDevice \Driver\tdx \Device\Ip dwprot.sys (Dr.Web Protection for Windows/Doctor Web, Ltd.) AttachedDevice \Driver\tdx \Device\Tcp dwprot.sys (Dr.Web Protection for Windows/Doctor Web, Ltd.) AttachedDevice \Driver\tdx \Device\Udp dwprot.sys (Dr.Web Protection for Windows/Doctor Web, Ltd.) AttachedDevice \Driver\tdx \Device\RawIp dwprot.sys (Dr.Web Protection for Windows/Doctor Web, Ltd.) ---- EOF - GMER 1.0.15 ---- Edytowane 12 Marca 2012 przez picasso Odnośnik do komentarza
picasso Opublikowano 8 Marca 2012 Zgłoś Udostępnij Opublikowano 8 Marca 2012 (edytowane) Program COMBOFIX nie chce się wcale uruchomić. Mam z głowy tłuczenie do głowy, że tego się nie uruchamia na wariata. EDIT Tym razem zabrakło OTL Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). Na razie to pomijam. Kolejno na temat i odpowiadaj mi już w nowym poście, dla logiki konwersacji: - SYSTEM POWOLNY Jako pierwszy podejrzany nasuwa się pakiet McAfee Total Protection. Czy McAfee był tu doinstalowany w trakcie leczenia infekcji czy był już przedtem? Nasuwa się to pierwsze: wg loga z OTL pliki McAfee utworzone dnia 26 lutego. Metoda potwierdzenia czy to ten program winny: całkowita testowa deinstalacja. To jedyne co odcina wszystkie aktywności aplikacji, proste wyłączanie nie. Po deinstalacji popraw specjalizowanym usuwaczem McAfee Consumer Products Removal tool. - NAPIS W OKNIE lOGOWANIA Po odinstalowaniu tego pierwszego programu pozostał napis w roku na oknie logowania do systemu tutaj gdzie wpisuje się hasło do systemu o treści THIS COMPUTER IS PROTECTED BY PRIVACYKEYBOARD Program nie jest odinstalowany dobrze. Został po programie sterownik: DRV - [2012-01-27 12:43:08 | 000,367,824 | ---- | M] (Global Information Technology (UK) Limited.) [Kernel | System | Stopped] -- C:\Windows\System32\drivers\krnl_akl.sys -- (krnl_akl) Podasz dodatkowe szukanie na wystąpienia tego sterownika w rejestrze zanim zaczniemy go wywalać. Patrz dalej na ustęp z SystemLook. - FLAGA CENTRUM AKCJI zniknęła także ikona FLAGI CENTRUM AKCJI z zasobnika paska zadań koło zegara,a wejście ponowne prawoklikiem na pasku zadań - właściwości-pasek zadań-dostosuj-i tam ustawienia zachowań są nieaktywne-kliknięcie w napis-włączanie i wyłączanie ikon systemowych-przy pozycji-centrum akcji i zasilanie-jest opcja wyłączone-nieaktywne. Ikona Power jest nieaktywna na komputerach nie pracujących na baterii. Też tak mam. Ikona Centrum jest nieaktywna ze względu na ingerencję malware. 1. Wg raportu z Farbar Service Scanner usługa nie jest uruchomiona: Action Center:============wscsvc Service is not running. Checking service configuration:The start type of wscsvc service is OK.The ImagePath of wscsvc service is OK.The ServiceDll of wscsvc service is OK. Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator > wyszukaj na liście usługę Centrum zabezpieczeń, z dwukliku wejdź do jej Właściwości, czy usługa reaguje na przycisk uruchomienia? Jeśli nie, podaj co się dzieje / jakiś błąd? 2. W logu OTL widać trzy kuriozalne usługi, które nie istnieją na Windows 7: SRV - [2010-11-20 13:18:01 | 000,744,448 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\System32\ActionCenter.dll -- (ActionCenter)SRV - [2010-11-20 13:18:01 | 000,537,600 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\System32\ActionCenterCPL.dll -- (ActionCenterCPL)SRV - [2009-07-14 09:07:25 | 000,023,040 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\winsxs\x86_microsoft-windows-healthcenter.resources_31bf3856ad364e35_6.1.7600.16385_pl-pl_ee3c9ca9c658b5b8\ActionCenter.dll.mui -- (Menedżer Centrum Akcji) Pod tym kątem podasz mi eksport z rejestru tych kluczy. Patrz dalej na ustęp z SystemLook. - QUICK LAUNCH z paska zadań zniknął pasek QUICK LAUNCH i w żaden sposób nie można tego paska szybkiego uruchamiania ponownie uruchomić,w prawokliku na pasku zadań i właściwości nie ma wcale tam pozycji QUICK LAUNCH Quick Launch na Windows 7 nie jest obecne we Właściwościach w menu kontekstowym "Paski narzędzi". Co do zaniku obiektów: w pasku adresów Windows Explorer wklej %APPDATA%\Microsoft\Internet Explorer i ENTER. Czy w środku jest folder Quick Launch, a jeśli to co zawiera? Wszystko zaczeło się od tego że około dwa tygodnie temu mój komputer został zainfekowany wirusem "ZAROACCESS" z pliku programu keyloger.exe.Usunołem tego wirusa za pomocą programu antywirusowego MCAFEE oraz Malware Bytes Anti-Malware,Antizeroaccess,Fixzeroaccess. Po ZeroAccess jest jeszcze ta usterka w Winsock części NameSpace: O10 - NameSpace_Catalog5\Catalog_Entries\000000000001 [] - mswsock.dll (Microsoft Corporation)O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - mswsock.dll (Microsoft Corporation) ... oraz te obiekty na dysku: [2012-02-25 18:14:08 | 000,000,000 | -HSD | C] -- C:\Users\Piotr_Wielewicki\AppData\Local\58e4ad66[2012-02-25 18:14:31 | 000,000,000 | -HS- | M] () -- C:\Windows\System32\dds_log_trash.cmd Usuwanie tego rozkłada się na dwie akcje: 1. Reset Winsock przez reimport fabrycznych kluczy rejestru Windows 7. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5] "Num_Catalog_Entries"=dword:00000006 "Serial_Access_Num"=dword:0000000c [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001] "LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll" "DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000" "ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83 "SupportedNameSpace"=dword:0000000f "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000000 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002] "LibraryPath"="%SystemRoot%\\system32\\napinsp.dll" "DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000" "ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae "SupportedNameSpace"=dword:00000025 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000000 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000" "ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000027 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000000 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001" "ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000026 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000000 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000005] "LibraryPath"="%SystemRoot%\\System32\\mswsock.dll" "DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103" "ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b "SupportedNameSpace"=dword:0000000c "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000000 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000006] "LibraryPath"="%SystemRoot%\\System32\\winrnr.dll" "DisplayString"="NTDS" "ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac "SupportedNameSpace"=dword:00000020 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000000 "ProviderInfo"=hex: Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na ten plik wybierz opcję Scal 2. Doczyszczenie plików na dysku, przy okazji i lokalizacji tymczasowych i szczątków. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Piotr_Wielewicki\AppData\Local\58e4ad66 C:\Windows\System32\dds_log_trash.cmd :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- -- (ZTEusbser6k) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (ZTEusbnmea) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (ZTEusbnet) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (ZTEusbmdm6k) DRV - File not found [Kernel | System | Stopped] -- -- (MpKsl17d498cc) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (massfilter) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (F-Secure Standalone Minifilter) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (catchme) :Commands [emptytemp] Rozpocznij usuwanie przez Wykonaj skrypt. System zostanie zrestartowany i automatycznie otworzy się log z wynikami usuwania. 3. Wygeneruj nowy log z OTL opcją Skanuj (przypominam o Extras) + dołącz log z wynikami usuwania z punktu 1. Dodaj i raport z danymi, o których wspominałam wcześniej, tzn. uruchom SystemLook i w oknie wklej: :reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ActionCenter /s HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ActionCenterCPL /s HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Menedżer Centrum Akcji /s :regfind krnl_akl Klik w Look. Przedstaw raport. . Edytowane 8 Marca 2012 przez picasso Odnośnik do komentarza
PiotrJIMI Opublikowano 8 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 8 Marca 2012 z tym antywirusem MCAFEE to jest tak - jest to antywirus od TP SA wersja pełna jak mi wszedł ten wirus ZEROACCESS to ratowałem sie najpierw skanerem antywirusowym online ESET,pomyślałem że nie można mieć aktywnych dwóch antywirusów to odinstalowałem ten MCAFEE bo na początku on nic nie pomagał i dopiero póżniej czyli 26.02 ponownie go zainstalowałem i zrobiłem z nim skanowanie komputera i było wszystko ok.wstrzymam sie z jego odinstalowaniem i poczekam na pani decyzje,moge odinstalować ale czy to napewno wina MCAFEE.jaki darmowy antywirus pani mi poleca.zaraz wstawie ten log EXTRAS. Odnośnik do komentarza
PiotrJIMI Opublikowano 8 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 8 Marca 2012 (edytowane) usunołem zgodnie z wskazówkami tą pozostałość po tym privacykeyboard z system 32 plik krnl_akl.sys i znikła ta ikona w ekranie logowania i kompóter ku mojej radości przyśpieszył i nawet mogę juz uzywac internetu. services.msc - komunikat - system nie może uruchomić usługi centrum zabezpieczeń na komputerze komputer lokalny.błąd 5.odmowa dostępu QUICK LAUNCH - uruchamia sie tylko jako nowy pasek narzedzi a w środku zawiera te skróty które były wcześniej i działąją co z tym antywirusem odinstalować czy ma pani inny pomysł LOG - All processes killed ========== FILES ========== File\Folder C:\Users\Piotr_Wielewicki\AppData\Local\58e4ad66 not found. File\Folder C:\Windows\System32\dds_log_trash.cmd not found. ========== OTL ========== Error: No service named ZTEusbser6k was found to stop! Service\Driver key ZTEusbser6k not found. Error: No service named ZTEusbnmea was found to stop! Service\Driver key ZTEusbnmea not found. Error: No service named ZTEusbnet was found to stop! Service\Driver key ZTEusbnet not found. Error: No service named ZTEusbmdm6k was found to stop! Service\Driver key ZTEusbmdm6k not found. Error: No service named MpKsl17d498cc was found to stop! Service\Driver key MpKsl17d498cc not found. Error: No service named massfilter was found to stop! Service\Driver key massfilter not found. Error: No service named F-Secure Standalone Minifilter was found to stop! Service\Driver key F-Secure Standalone Minifilter not found. Error: No service named catchme was found to stop! Service\Driver key catchme not found. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Classic .NET AppPool ->Temp folder emptied: 0 bytes User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: DefaultAppPool ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Piotr_Wielewicki ->Temp folder emptied: 84300115 bytes ->Temporary Internet Files folder emptied: 4026580 bytes ->Java cache emptied: 0 bytes ->Opera cache emptied: 0 bytes ->Flash cache emptied: 456 bytes User: Public ->Temp folder emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 0 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 84,00 mb OTL by OldTimer - Version 3.2.36.1 log created on 03082012_220101 Files\Folders moved on Reboot... File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\0e69eb77 scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\0f3f4b40 scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\123b3e58 scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\1eaf0323 scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\1f2b5ccc scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\233664c0 scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\27f65204 scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\2f61c859 scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\32eb98ff scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\3884eb26 scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\4a227ade scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\5de9e1.dat scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\5de9e1.exe scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\781011e2 scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\81372fab scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\8535836c scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\85aca5d1 scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\8e7fbb68 scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\94745bc9 scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\9f6cfd69 scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\a2a731da scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\a56bf121 scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\a87c5b84 scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\ad3ac638 scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\b8ca0709 scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\bb5c2_xp.exe scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\be-scan scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\bg-scan scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\c56baee2 scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\cec2144f scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\cn-scan scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\cs-scan scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\de-scan scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\e0331e13 scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\ec60e7ea scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\el-scan scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\en-scan.chm scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\eo-scan scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\es-scan scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\et-scan scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\f00ac54c scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\f3ffa6fa scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\fd348ae8 scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\fe556f4c scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\fr-scan scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\hu-scan scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\it-scan scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\ja-scan scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\ko-scan scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\lt-scan scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\lv-scan scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\nl-scan scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\no-scan scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\pl-scan scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\pt-scan scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\ru-scan scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\ru-scan.chm scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\setup.dll scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\setup.key scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\setup_xp.ini scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\sk-scan scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\sr-scan scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\tr-scan scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\uk-scan scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\uz-scan scheduled to be moved on reboot. File move failed. C:\Users\Piotr_Wielewicki\AppData\Local\Temp\F5C0FA01-695EBD75-3F9FB701-815301CC\zh-scan scheduled to be moved on reboot. Registry entries deleted on Reboot... Edytowane 9 Marca 2012 przez PiotrJIMI Odnośnik do komentarza
picasso Opublikowano 8 Marca 2012 Zgłoś Udostępnij Opublikowano 8 Marca 2012 Na początek: proszę stosuj opcję "Edytuj", gdy nikt nie odpisał, zamiast śmiecić X postami własnymi w ciągu. Wszystko sklejam. Składniki ZeroAccess pomyślnie usunięte, Winsock skorygowany. Tylko, że wygląda na to, iż skrypt do OTL przepuszczałeś więcej niż raz, bo wszystko jest "not found". Skrypty są jednorazowe, nie wolno ich powtarzać. QUICK LAUNCH - uruchamia sie tylko jako nowy pasek narzedzi a w środku zawiera te skróty które były wcześniej i działąją Rozumiem, że to potwierdzenie, iż folder jest na dysku i ma wszystkie skróty. wstrzymam sie z jego odinstalowaniem i poczekam na pani decyzje,moge odinstalować ale czy to napewno wina MCAFEE Oczywiście, że nie wiadomo na pewno czy to wina McAfee. Jeżeli system nadal muli, koncepcja nadal aktualna. usunołem zgodnie z wskazówkami tą pozostałość po tym privacykeyboard z system 32 plik krnl_akl.sys i znikła ta ikona w ekranie logowania i kompóter ku mojej radości przyśpieszył i nawet mogę juz uzywac internetu. "Zgodnie ze wskazówkami"? Nic podobnego. Wróć do mojego posta i przeczytaj co napisałam. Tylko zakreśliłam w czym jest problem. Nie kazałam usuwać nic przed pozyskaniem skanu z SystemLook! A co jakby padł system po tym? Skan z SystemLook miał posłużyć mi jako dowód ile zapisów w rejestrze jest, by dopiero podjąć decyzję jak to usuwać. Tak się nie usuwa sterowników. Skutki Twoich działań: DRV - File not found [Kernel | System | Stopped] -- -- (krnl_akl) To jest niekompletnie usunięty sterownik. Tym się zajmę w imporcie do rejestru (patrz dalej). Wygląda też na to, że od PrivacyKeyboard jest i ten ukryty plik: [2012-01-27 12:43:14 | 000,649,424 | -HS- | C] () -- C:\Windows\System32\vkbd.exe Ten sobie ręcznie dokasować możesz. services.msc - komunikat - system nie może uruchomić usługi centrum zabezpieczeń na komputerze komputer lokalny.błąd 5.odmowa dostępu Pod tym kątem będzie reimport wyglądu usługi Centrum, przy okazji z dokasowaniem tych trzech dziwactw (usługi o których mówiłam, że nie występują na Windows 7), plus wykończenie wpisów rejestru sterownika PrivacyKeyboard. 1. Pobierz narzędzie psexec, wstaw do katalogu C:\Windows. 2. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc] "DisplayName"="@%SystemRoot%\\System32\\wscsvc.dll,-200" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\ 00,65,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,52,00,65,00,73,00,74,00,\ 72,00,69,00,63,00,74,00,65,00,64,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%SystemRoot%\\System32\\wscsvc.dll,-201" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,57,00,69,00,6e,00,\ 4d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="NT AUTHORITY\\LocalService" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\ 00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Security] "Security"=hex:01,00,14,80,c8,00,00,00,d4,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,98,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\ 00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\ 00,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,28,00,15,00,00,00,01,06,00,\ 00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,e5,55,dc,f4,e2,0e,a7,8b,eb,ca,\ 7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,\ [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ActionCenter] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ActionCenterCPL] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Menedżer Centrum Akcji] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\krnl_akl] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KRNL_AKL] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Plik przenieś wprost na C:\. 3. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę: psexec -s -d REG IMPORT C:\FIX.REG 4. Restart komputera. Sprawdź czy Centrum zabezpieczeń działa. . Odnośnik do komentarza
PiotrJIMI Opublikowano 9 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 9 Marca 2012 no zrobiłem tak jak było napisane,tylko że z tym paskiem zadań to jest tak że jak ja chcę obojętnie jaką ikonę z pulpiptu przesunąć i wstawić na ten pasek zadań to on mi wogóle tego nie przyjmuje ikona wraca na swoje poprzednie miejsce.usunołem ten plik vscd.exe ręcznie a polecenie CMD wyświetla mi to: C:\WINDOWS\SYSTEM 32>psexec -s -d REG IMPORT C:\FIX.REG NAZWA "PSEXEC' NIE JEST ROZPOZNAWANA JAKO POLECENIE WEWNĘTRZNE LUB ZEWNĘTRZNE,PROGRAM WYKONYWALNY LUB PLIK WSADOWY. system już nie jest tak powolny i internet działa,a ten ostatni plik FIX.REG dałem jako SCAL co zrobić jeszcze dalej i co z tym nie kompletnie usunietym sterownikiem Odnośnik do komentarza
picasso Opublikowano 9 Marca 2012 Zgłoś Udostępnij Opublikowano 9 Marca 2012 Piotr zaczynam się nieco irytować, już drugi raz robisz akcje których nie zadałam: system już nie jest tak powolny i internet działa,a ten ostatni plik FIX.REG dałem jako SCAL Nie mówiłam o używaniu Scal i jest dla tego powód: Scal nie zaimportuje ostatniego wpisu w pliku, czyli nie usunie tego klucza od Privacykeyboard: [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KRNL_AKL] Powód: klucz ma tak ustawione uprawnienia, że import opcją Scal (kontekst uprawnień konta administracyjnego) tego nie ruszy. Jest potrzebny import na uprawnieniu konta SYSTEM i to robić miał psexec. NAZWA "PSEXEC' NIE JEST ROZPOZNAWANA JAKO POLECENIE WEWNĘTRZNE LUB ZEWNĘTRZNE,PROGRAM WYKONYWALNY LUB PLIK WSADOWY. Albo albo: 1. Nie skopiowałeś wcale pliku psexec.exe do katalogu C:\Windows. Jeśli jednak na pewno tak: 2. Masz uszkodzone Zmienne środowiskowe. Panel sterowania > System > Zaawansowane > Zmienne środowiskowe > w sekcji Zmienne systemu sprawdź czy widnieje zmienna Path równa: %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem Jeśli w ogóle jej nie ma, opcją Nowa utwórz. Jeśli jest, ale ma inny ciąg, zedytuj. co zrobić jeszcze dalej i co z tym nie kompletnie usunietym sterownikiem Wcześniej mówiłam, że usuwanie sterownika jest w FIX.REG. I jak mówię teraz, poprzez użycie FIX.REG z opcji Scal a nie przez psexec jeden wpis od tego sterownika nie został usunięty. no zrobiłem tak jak było napisane,tylko że z tym paskiem zadań to jest tak że jak ja chcę obojętnie jaką ikonę z pulpiptu przesunąć i wstawić na ten pasek zadań to on mi wogóle tego nie przyjmuje ikona Tzn. co "robiłeś tak"? Czy tu nie ma jakiś nieporozumień znowu? Pod kątem paska tylko zadawałam pytanie czy jest katalog i czy ma wszystkie skróty. Nie udzieliłeś tego potwierdzenia. Poza tym, widzę że pierwszy opis był niedokładny, o przeciąganiu nic tu nie było wcześniej mówione... Mam pytanie: czy usuwałeś strzałki skrótów jakiś tweakerem może? . Odnośnik do komentarza
PiotrJIMI Opublikowano 9 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 9 Marca 2012 (edytowane) szanowna pani przepraszam za moje te samowolne działania,ale prosze mi uwierzyć ja ratuje sie czym moge,gdyby mój komputer nie był by mi aż tak potrzebny (sprawny) to bym go chyba za okno wyrzucił (drugie piętro).a na tą awrie ja już nie mam siły. teraz do rzeczy --- pasek QUICK LAUNCH jest aktywny,ma w sobie te wszystkie ikony z przed awarii i one też wszystkie prawidłowo działają,tylko że jest cały czas jako nowy pasek narzedzi a próba przesunięcia jakiejkolwiek ikony na miejsce QUICK LAUNCH tam po lewej stronie koło menu start kończy sie nie powodzeniem,nie wyskakuje żaden komunikat,poprostu pasek zadań nie przyjmuje ikon. plik psexec.exe skopiowałem tam do C:\WINDOWS tam w PANEL STEROWANIA-SYSTEM-ZAAWANSOWANE-ZMIENNE ŚRODOWISKOWE --- zmienna PATH miała całkiem inną waymrtość (ULEAD VIDEO STUDIO) tylko ze ten ulead ja już bardzo dawno odinstalowałem - zmieniłem na wartość podaną przez panią nic cały czas to nie pomogło ten sam komunikat w CMD co poprzednio-nie moge w zaden sposób przez to CMD zaimportować FIX.REG w rejestrze w podanym przez panią kluczu rzeczywiscie jest pozostałość po tym piekielnym PRIVACYKEYBOARD a próba recznego usuniecia konczy sie tym iż wyskakuje komunikat ze nie mozna usunąć bo KONTROLA DOSTEPU NIE nie usuwałem strzałek skrótu zadnym programem tylko jak istalowałem system to od razu po instalacji usunołem te strzałki przez rejest - plik - plk i lnk ale to był dawno i wszystko było ok robiłem tak jak pani napisała wczesniej jest jakis inny sposób na usuniecie tego z rejestru,co z tym zrobić prosze o poradę Edytowane 9 Marca 2012 przez PiotrJIMI Odnośnik do komentarza
picasso Opublikowano 9 Marca 2012 Zgłoś Udostępnij Opublikowano 9 Marca 2012 przepraszam za moje te samowolne działania,ale prosze mi uwierzyć ja ratuje sie czym moge Tylko zważ na to, że jedna z akcji którą podjąłeś mogła się skończyć na niestartującym Windows. Tak więc skoro czegoś nie rozumiesz, opuść temat, dopóki nie otrzymasz konkretnych instrukcji. w rejestrze w podanym przez panią kluczu rzeczywiscie jest pozostałość po tym piekielnym PRIVACYKEYBOARD a próba recznego usuniecia konczy sie tym iż wyskakuje komunikat ze nie mozna usunąć bo KONTROLA DOSTEPU Sprawa uprawnień jest oczywista od początku, doskonale wiem jaki jest układ tam i że klucza wprost z rejestru bez rekonfiguracji nie skasujesz. A Ty idziesz i próbujesz skasować. Przecież Ci mówię dlaczego użyty psexec. jest jakis inny sposób na usuniecie tego z rejestru,co z tym zrobić Można i ręcznie rekonfigurować, jest i X innych sposobów na to, ale nie są te instrukcje celowo podawane, ponieważ wychodzą tu nowe błędy i dopóki ich nie zdiagnozuję nie przejdę dalej. Co z tamtym kluczem zrobić dowiesz się dopiero jak Cię docisnę w kwestii tego, bo coś mi się tu nie zgadza: tam w PANEL STEROWANIA-SYSTEM-ZAAWANSOWANE-ZMIENNE ŚRODOWISKOWE --- zmienna PATH miała całkiem inną waymrtość (ULEAD VIDEO STUDIO) tylko ze ten ulead ja już bardzo dawno odinstalowałem - zmieniłem na wartość podaną przez panią nic cały czas to nie pomogło ten sam komunikat w CMD co poprzednio-nie moge w zaden sposób przez to CMD zaimportować FIX.REG Zresetowałeś system po edycji? NIE nie usuwałem strzałek skrótu zadnym programem tylko jak istalowałem system to od razu po instalacji usunołem te strzałki przez rejest - plik - plk i lnk ale to był dawno i wszystko było ok Czyli jednak, pytanie o tweaker miało charakter ogólny, chodziło mi o edycję w obszarze LNK. To jest zła metoda usuwania strzałek, ta metoda ma skutki uboczne w postaci różnych dewiacji (m.in. KLIK). Prawidłowa edycja usuwająca strzałki jest całkiem inna, w kluczu ShellIcons. Odwracaj skutki edycji LNK. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\lnkfile] @="Shortcut" "IsShortcut"="" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal Zresetuj komputer. . Odnośnik do komentarza
PiotrJIMI Opublikowano 10 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 10 Marca 2012 nadal nic nie działa to polecenie w CMD co dalej z tym co siedzi w rejestrze po tym PRIVACYKEYBOARD przez CMD chyba nic z tego jak i czym teraz usunąć te strzałki z ikon Odnośnik do komentarza
picasso Opublikowano 10 Marca 2012 Zgłoś Udostępnij Opublikowano 10 Marca 2012 nadal nic nie działa to polecenie w CMD Proszę o pokazanie: 1. Zrzutu ekranu prezentującego aplikację psexec.exe w folderze C:\Windows. 2. Zmiennych środowiskowych. W SystemLook wklej do skanu co podane niżej i przedstaw raport. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment co dalej z tym co siedzi w rejestrze po tym PRIVACYKEYBOARD przez CMD chyba nic z tego Proszę o cierpliwość. Najpierw musi być wyjaśniona opcja nierozpoznania komendy w CMD, bo to nie jest zdrowe. I nie kombinuj na własną rękę. jak i czym teraz usunąć te strzałki z ikon Tego się dowiesz potem, jest to najmniej istotna teraz opcja kosmetyczna. Nawiasem mówiąc, w podanym przeze mnie linku było to opisane ... . Odnośnik do komentarza
PiotrJIMI Opublikowano 10 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 10 Marca 2012 wysłałem log i zrzut proszę zauważyć całkiem na dole tak obecnie wygląda pasek zadań i QUICK LAUNCH czy mam podać login i hasło do mojego TEAM VIEWER może tak by było szybciej i lepiej SystemLook 30.07.11 by jpshortstuff Log created at 13:17 on 10/03/2012 by Piotr_Wielewicki Administrator - Elevation successful No Context: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment -= EOF =- Odnośnik do komentarza
picasso Opublikowano 10 Marca 2012 Zgłoś Udostępnij Opublikowano 10 Marca 2012 Dlaczego edytujesz wstecz post? Miałeś odpowiadać pod moim. Przeklejam do posta. Poza tym wymazałeś treść poprzednią. No jak wygląda teraz temat... Poprzeklejałam cytaty z mojego posta, by jakoś logikę zachować ... 1. Obrazek, przypomnę co mówiłam: Pobierz narzędzie psexec, wstaw do katalogu C:\Windows. Obrazek pokazuje, że narzędzie jest w zupełnie innej ścieżce niż zadana, czyli C:\, a nie w C:\Windows! Czyli przenosisz narzędzie do katalogu C:\Windows i ponawiasz komendę psexec. 2. Wyniki z SystemLook, moja wina, nie podałam komendy :reg, dlatego zły zwrot. proszę zauważyć całkiem na dole tak obecnie wygląda pasek zadań i QUICK LAUNCH + pasek QUICK LAUNCH jest aktywny,ma w sobie te wszystkie ikony z przed awarii i one też wszystkie prawidłowo działają,tylko że jest cały czas jako nowy pasek narzedzi a próba przesunięcia jakiejkolwiek ikony na miejsce QUICK LAUNCH tam po lewej stronie koło menu start kończy sie nie powodzeniem,nie wyskakuje żaden komunikat,poprostu pasek zadań nie przyjmuje ikon. Quick Launch jest tu jako "Pask narzędzi" i tak to będzie wyglądać jako Pasek narzędzi, to nie wskoczy tam gdzie duże ikony, bo jest to osobna strefa. Wyłącz ten Quick Lauch, by Cię nie wprowadzał w błąd, bo to jako "pasek narzędzi" nie jest nawet domyślnie włączone w Windows 7. Natomiast: uchwyć te kropki po lewej i przeciągnij na prawo, by poszerzyć pasek zasadniczy. Może przez to, że tak mało miejsca dałeś, nie widzisz ikon. . Odnośnik do komentarza
PiotrJIMI Opublikowano 10 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 10 Marca 2012 (edytowane) nie ma już tego w rejestrze,mój błąd że od razu nie dałem do c windows co z tymi strzałkami - nie znam angielskiego na tyle dobrze aby z tej stronyo tych strzałkach poczytać co jeszcze zrobić EDIT: mogę prosić o odpowiedz bo czekam i nie wiem co dalej zrobić system już wydaje się ok,tylko ten QUICK LAUNCH jak na zrzucie foto,ale ok niech już tak jest,i nadal nie ma flagi centrum akcji tam koło zegara,ale wstawiłem sobie tam ca do tego paska quick launch. ze strzałkami ja już sobie poradziłem proszę o odzew czy ja mam jeszcze coś zrobić,czy ma pani jeszcze jakieś zalecenia,czy to już wszystko Edytowane 12 Marca 2012 przez picasso Posty połączone. //picasso Odnośnik do komentarza
PiotrJIMI Opublikowano 11 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 11 Marca 2012 witam zauważyłem że trochę spowolnił mi internet --- neostrada 20 mb --- w tp powiedzieli że z ich strony wszystko jest dobrze. robiąc na potrzeby tego wpisu log z gmer zauważyłem iż jest w system 32 pozostałość po programie dr.web,plik dwprot.sys , jak to usunąć [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DWPROT\0000 ORAZ [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet001\DwProt\Enum [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet001\DwProt\Parameters tylko że ja już bardzo dawno ten program usunołem zasyłam logi proszę o poradę p.s. - może ma to coś wspólnego z tą moją poprzednią usterką,tutaj opisaną w tym samym dziale pod nazwą Wolny system - dziwne zachowanie systemu - opis końcowy całkiem na dole POZDRAWIAM PIOTR GMER.txt Odnośnik do komentarza
picasso Opublikowano 12 Marca 2012 Zgłoś Udostępnij Opublikowano 12 Marca 2012 Proszę trzymaj się zasad działu, posty łączę. Jest wyraźnie napisane w zasadach co się dzieje z postami przypominającymi. Podbijanie tematu nic Ci nie da, nie zajmę się tematem na zawołanie. Odpowiadam tylko wtedy, gdy: mam czas, mam siły na dany temat, mam coś do powiedzenia i co istotne stworzenie odpowiedzi kosztuje czas. W weekendy mnie prawie nie ma, a teraz już byłam w trakcie pisania odpowiedzi i nic mnie bardziej nie irytuje niż post "co robić". A nowy temat niepotrzebny, ma wątki zazębiające się z poprzednim. Doklejam do poprzedniego. Co do GMER, akurat pozostałość Dr. Web to najmniejszy tu problem (i je zbyt przeceniasz). Teraz widzę, że poprzednio musiałeś zrobić skan skrócony z GMER a nie pełny. Aktualny GMER nadal pokazuje pozostałości po rootkicie ZeroAccess, czyli zablokowane łącze symboliczne: ---- Files - GMER 1.0.15 ---- File C:\Windows\$NtUninstallKB2685$\1491381606 0 bytesFile C:\Windows\$NtUninstallKB2685$\1491381606\@ 2048 bytesFile C:\Windows\$NtUninstallKB2685$\1491381606\L 0 bytesFile C:\Windows\$NtUninstallKB2685$\1491381606\L\xadqopqo 78336 bytesFile C:\Windows\$NtUninstallKB2685$\1491381606\loader.tlb 2632 bytesFile C:\Windows\$NtUninstallKB2685$\1491381606\U 0 bytesFile C:\Windows\$NtUninstallKB2685$\1491381606\U\@00000001 45968 bytesFile C:\Windows\$NtUninstallKB2685$\1491381606\U\@000000c0 2560 bytesFile C:\Windows\$NtUninstallKB2685$\1491381606\U\@000000cb 3072 bytesFile C:\Windows\$NtUninstallKB2685$\1491381606\U\@000000cf 1536 bytesFile C:\Windows\$NtUninstallKB2685$\1491381606\U\@80000000 73216 bytesFile C:\Windows\$NtUninstallKB2685$\1491381606\U\@800000c0 43520 bytesFile C:\Windows\$NtUninstallKB2685$\1491381606\U\@800000cb 25600 bytesFile C:\Windows\$NtUninstallKB2685$\1491381606\U\@800000cf 31232 bytesFile C:\Windows\$NtUninstallKB2685$\4270572511 0 bytes 1. Uruchom GrantPerms, w oknie wklej: C:\Windows\$NtUninstallKB2685$ Klik w Unlock. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files fsutil reparsepoint delete C:\Windows\$NtUninstallKB2685$ /C C:\Windows\$NtUninstallKB2685$ :Services ActionCenter :OTL O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} "http://download.eset.com/special/eos/OnlineScanner.cab" (Reg Error: Key error.) Klik w Wykonaj skrypt. 3. W związku z tym, że był tu rootkit ZeroAccess, leczony na pół gwizdka (liczne ślady i szkody widzialne już po usuwaniu) proszę o skan na weryfikację plików systemowych. Wykonaj komendę sfc /scannow i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. 4. Drobnostka śmieciarska: w Google Chrome odinstaluj rozszerzenie Facemoods. 5. Przedstaw log z wynikami usuwania z punktu 2, log z wyników filtrowania SFC z punktu 3 nowy log z OTL z opcji Skanuj (bez Extras). robiąc na potrzeby tego wpisu log z gmer zauważyłem iż jest w system 32 pozostałość po programie dr.web,plik dwprot.sys , jak to usunąć (...) tylko że ja już bardzo dawno ten program usunołem 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i zatrzymaj sterownik Dr. Web poleceniem sc stop DwProt. Jeżeli poprawnie się zatrzyma, skasuj poleceniem sc delete DwProt. 2. Klucz LEGACY po tej operacji oczywiście zostanie, bo brak uprawnień. To już wykończysz przez nowy FIX.REG o zawartości: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DWPROT] ... zaimportowany przez komendę psexec -s -d REG IMPORT C:\FIX.REG. zauważyłem że trochę spowolnił mi internet --- neostrada 20 mb --- w tp powiedzieli że z ich strony wszystko jest dobrze. Tu prędzej McAfee się znów nasuwa. Aplikacja silnie związana z siecią. Dodatkowo, widzę zainstalowany Akamai NetSession Interface, program wystąpił w takim kontekście na forum: KLIK. Odinstaluj to. i nadal nie ma flagi centrum akcji tam koło zegara,ale wstawiłem sobie tam ca do tego paska quick launch. Czy Centrum zabezpieczeń działa, czy nie ma żadnych błędów w Panelu sterowania w sekcji Centrum? I widzę, że mój FIX.REG (ten z którym tu były takie przeboje z psexec) wcale się nie wykonał do końca, w logu z OTL nadal jest dziwna usługa: SRV - [2010-11-20 13:18:01 | 000,744,448 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\System32\ActionCenter.dll -- (ActionCenter) Taka usługa nie istnieje na Windows 7. Usuwanie jej załączam w powyższym skrypcie do OTL. tylko ten QUICK LAUNCH jak na zrzucie foto,ale ok niech już tak jest Zadaję pytanie, czy robiłeś to: Quick Launch jest tu jako "Pask narzędzi" i tak to będzie wyglądać jako Pasek narzędzi, to nie wskoczy tam gdzie duże ikony, bo jest to osobna strefa. Wyłącz ten Quick Lauch, by Cię nie wprowadzał w błąd, bo to jako "pasek narzędzi" nie jest nawet domyślnie włączone w Windows 7.Natomiast: uchwyć te kropki po lewej i przeciągnij na prawo, by poszerzyć pasek zasadniczy. Może przez to, że tak mało miejsca dałeś, nie widzisz ikon. I zobaczymy jeszcze co powie skan SFC na poprawność plików ... . Odnośnik do komentarza
PiotrJIMI Opublikowano 12 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 12 Marca 2012 (edytowane) Witam ponownie Tak wykonałem ja już teraz wszystkie zadania z dzisiaj odpowiadam na pytania - CENTRUM ZABEZPIECZEŃ - nadal jest nie możliwe samiostne włączenie C.Z. włączam ja to C.Z. poprzez plik FIX.REG-SCAL który pani mi podała tutaj w zeszłym roku,tak jak ja wtedy tutaj pisałem o tym moim kłopocie z tym C.Z. - ja już jakoś przyzwyczaiłem się do takiego włączania po każdym restarcie komputera. QUICK LAUNCH - tak wykonałem to i nic to nie dało , a jeszcze muszę jeszcze ten pasek języka PL włączać ręcznie poprzez panel sterowania-region i język bo sam nie chce się włączyć,ale do tego też się przyzwyczaję. MCAFEE - ten antywirus chyba na prawdę miesza coś w systemie,jaki darmowy antywirus pani by mi poleciła AVAST czy jakiś inny Po wymaganych restartach dzisiejszych komputer sam mi się trzy razy pod rząd resetował,az mi się gorocą zrobiło bo już myślałem że system całkowicie padł Przepraszam za te moje wczorajsze posty,ale bardzo mi zależy na jak najszybszym sprawnym KOMPUTERZE I INTERNECIE i chciałbym ja już to zakończyć Zayłam LOGI OTL_wyniki.txt Edytowane 12 Marca 2012 przez PiotrJIMI Odnośnik do komentarza
picasso Opublikowano 12 Marca 2012 Zgłoś Udostępnij Opublikowano 12 Marca 2012 PiotrJIMI ostatni raz powtarzam, proszę edytuj posty, gdy nikt jeszcze nie odpisał. Utworzyłeś trzy posty własne w ciągu. Sklejam. Nowy post oczywiście tworzysz, gdy mi odpowiadasz, ale sobie sam nie odpowiadaj ... Wyniki z OTL złe. Komenda fsutil nie została zinterpretowana, w ogóle nie nastąpiło rozlinkowanie łącza i OTL zaczął wywalać prawidłowe katalogi docelowe a nie konfigurację rootkit! Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i wpisz komendę: fsutil reparsepoint delete C:\Windows\$NtUninstallKB2685$ Co się pokazuje przy jej wykonaniu? "Odmowa dostępu" czy przechodzi do nowej linii? nie moge wysłać tego logu CBS nie wysyła albo brak uprawnień Zapewne próbujesz wysyłać CBS.LOG. Nie, to nie jest raport właściwy. Ty miałeś przefiltrować za pomocą automatycznej komendy w cmd, która utworzy osobny plik TXT. Proszę o stworzenie tego raportu i dołączenie tu: 1. Uruchom linię poleceń jako Administrator: 2. Wpisz polecenie: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt 3. Zostanie automatycznie otworzony w Notatniku ten plik. Przy okazji: logów z usuwania OTL oraz GMER nie możesz dołączyć w Załącznikach, bo to rozszerzenia *.LOG, w Załącznikach są tylko dopuszczone rozszerzenia *.TXT. Należy zmienić nazwę pliku, by się dołączył ... CENTRUM ZABEZPIECZEŃ - nadal jest nie możliwe samiostne włączenie C.Z. włączam ja to C.Z. poprzez plik FIX.REG-SCAL który pani mi podała tutaj w zeszłym roku,tak jak ja wtedy tutaj pisałem o tym moim kłopocie z tym C.Z. - ja już jakoś przyzwyczaiłem się do takiego włączania po każdym restarcie komputera. Nie rozumiem co mówisz. Rok temu (KLIK) nie podawałam żadnego FIX.REG, to Ty sam importowałeś wtedy jakieś niewiadome dane, których ja nie potwierdziłam. Zasadniczy właściwy plik FIX.REG usługi Centrum zabezpieczeń podałam tu w temacie a nie rok temu, a jego treść zgodna z Windows 7 to: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc] "DisplayName"="@%SystemRoot%\\System32\\wscsvc.dll,-200" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\ 00,65,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,52,00,65,00,73,00,74,00,\ 72,00,69,00,63,00,74,00,65,00,64,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%SystemRoot%\\System32\\wscsvc.dll,-201" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,57,00,69,00,6e,00,\ 4d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="NT AUTHORITY\\LocalService" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\ 00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Security] "Security"=hex:01,00,14,80,c8,00,00,00,d4,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,98,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\ 00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\ 00,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,28,00,15,00,00,00,01,06,00,\ 00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,e5,55,dc,f4,e2,0e,a7,8b,eb,ca,\ 7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,\ I pokaż co to za "FIX.REG sprzed roku", bo może to jest jakiś zły plik. Np. ta dziwna usługa "ActionCenter" z OTL to nie wiem jakim cudem tu się zagnieździła, może sam to właśnie wprowadzasz złym plikiem ... . Odnośnik do komentarza
PiotrJIMI Opublikowano 12 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 12 Marca 2012 (edytowane) Przechodzi do nowej lini po wpisaniu komendy w CMD zasyłam ten plik SFC FIX.REG ten o którym pisałem Edytowane 12 Marca 2012 przez PiotrJIMI Odnośnik do komentarza
picasso Opublikowano 12 Marca 2012 Zgłoś Udostępnij Opublikowano 12 Marca 2012 Przechodzi do nowej lini po wpisaniu komendy w CMD 1. W takim razie nastąpiło już rozlinkowanie i jest to zwyczajny folder. Upewnij się, że masz włączone wszystkie opcje widoku (w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > zaznaczone "Pokaż ukryte pliki i foldery" + odznaczone "Ukryj chronione pliki systemu operacyjnego") i sprawdź czy da się skasować ukryty folder C:\Windows\$NtUninstallKB2685$ przez SHIFT + DEL. 2. Na temat zbrodniczej akcji w OTL, pokaż mi skan na aktualną zawartość katalogu, który OTL omyłkowo chciał przetwarzać, bo może nie trzeba się zajmować odtwarzaniem kilku rzeczy z kwarantanny OTL. Uruchom SystemLook i do skanu wklej: :dir C:\windows\system32\config\systemprofile /s zasyłam ten plik SFC Narzędzie jednak wykryło szkody po ZeroAccess i naprawiało je: 2012-03-12 13:38:03, Info CSI 000001bd [sR] Cannot repair member file [l:16{8}]"dfsc.sys" of Microsoft-Windows-DFSClient, Version = 6.1.7601.17514, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch2012-03-12 13:38:03, Info CSI 000001be [sR] Repaired file \SystemRoot\WinSxS\Manifests\\[l:16{8}]"dfsc.sys" by copying from backup FIX.REG ten o którym pisałem Widzę, że to jest plik importujący dwie usługi (Centrum i Windows Defender). Część tycząca Centrum jest prawidłowa. Czyli ustalmy: usługa Centrum działa (w services.msc widoczna w stanie "Uruchomiono") tylko jej ikony brak w obszarze powiadomień? QUICK LAUNCH - tak wykonałem to i nic to nie dało , a jeszcze muszę jeszcze ten pasek języka PL włączać ręcznie poprzez panel sterowania-region i język bo sam nie chce się włączyć,ale do tego też się przyzwyczaję. Na temat przycisków paska po lewej: powiększ go chwytając granicę i przesuwając na prawo, a następnie sprawdź co się stanie, jeżeli we Właściwościach paska zmienisz pewne opcje, konkretnie chodzi mi o "Przyciski paska zadań" i przestawienie w rozwijanym menu na cokolwiek innego niż aktualnie. . Odnośnik do komentarza
PiotrJIMI Opublikowano 12 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 12 Marca 2012 (edytowane) tak,ten plik z c windows dał się usunąć poprzez shift-delete i ja go usunołem odinstalowałem ten MCAFEE także z pomocą tego narzędzia do usuwania antywirusa MCAFEE REMOVAL ......... DALSZEJ NAZWY NIE PAMIĘTAM ZAINSTALOWAŁEM ANTYWIRUS AVIRA FREE 2012 I SPYWARE TERMINATOR 2012 i komputer od razu odżył Z OSTATNIEJ CHWILI - DOPISUJE - EDYCJA POSTU zrobiłem restart komputera i wyskakuje taki napis " trwa konfiguracja komputera 100 % nie wyłączaj komputera czekaj" i za chwile pokazuje sie napis "trwa zamykanie" i dzieje sie tak trzy razy aż na k ońcu wyskoczy napis przy tym trzecim razie " trwa konfiguracja komputera 100 % - wycofywanie zmian" i dopiero wtedy pokazuje sie okno hasła i po wbiciu hasła dopiero uruchamia sie system.troche mnie to przeraza. TROCHE PANI POMOGĘ - przyczyną tego co powyżej był ten program SPYWARE TERMINATOR 2012 - odinstalowałem to i komputer włącza się już normalnie a z tym paskiem ok poprostu bede recznie to uruchamiał i już zasyłam ten LOG damy radę dzisiaj już tą sprawe zakończyć Edytowane 12 Marca 2012 przez PiotrJIMI Odnośnik do komentarza
picasso Opublikowano 13 Marca 2012 Zgłoś Udostępnij Opublikowano 13 Marca 2012 Wyniki z SystemLook OK. Naruszenie faktyczne nie nastąpiło. W ramach zamknięcia sprawy z czyszczeniem na poziomie poinfekcyjnym: 1. W OTL uruchom Sprzątanie, co skasuje z dysku kwarantannę OTL oraz OTL. Ręcznie dokasuj inne używane narzędzia. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Na wszelki wypadek wykonaj pełny skan za pomocą Malwarebytes Anti-Malware. Przedstaw raport, o ile coś zostanie znalezione. ZAINSTALOWAŁEM ANTYWIRUS AVIRA FREE 2012 I SPYWARE TERMINATOR 2012 i komputer od razu odżył Mam nadzieję, że w instalatorze Avira nie zaznaczałeś sponsora Ask Toolbar ... Spyware Terminatora i jemu podobnych nie pakuj w ten układ, nie mnóż programów z osłonami rezydentnymi czynnymi równolegle (zbyteczne obciążenie) i nie replikuj pewnych funkcjonalności. Aktualnie granica zatarta między "antywirus" i "antyspyware", programy antywirusowe są już multifunkcyjne i "spyware" wchodzi w zakres detekcji. Wybrałeś Avirę, OK, może być. Aczkolwiek ja mam do niej pewne pretensje, o przymuszanie sponsorem do uaktywnienia dodatkowych funkcji osłony (bez instalacji sponsora określona funkcja niedostępna). Np. Avast za darmo ma bardziej rozbudowanego rezydenta. Co do Avast: w najnowszej wersji 7 też pojawił się sponsor (Google Chrome), ale tu jest wybór (należy w Custom install podjąć decyzję). zrobiłem restart komputera i wyskakuje taki napis " trwa konfiguracja komputera 100 % nie wyłączaj komputera czekaj" i za chwile pokazuje sie napis "trwa zamykanie" i dzieje sie tak trzy razy aż na k ońcu wyskoczy napis przy tym trzecim razie " trwa konfiguracja komputera 100 % - wycofywanie zmian" i dopiero wtedy pokazuje sie okno hasła i po wbiciu hasła dopiero uruchamia sie system.troche mnie to przeraza. TROCHE PANI POMOGĘ - przyczyną tego co powyżej był ten program SPYWARE TERMINATOR 2012 - odinstalowałem to i komputer włącza się już normalnie Te komunikaty to wyglądały jak od Windows Update, instalacja aktualizacji ... Czy na pewno to była wina Terminatora, nie było tu zbiegu okoliczności? a z tym paskiem ok poprostu bede recznie to uruchamiał i już Nie ustosunkowałeś się do tego: Czyli ustalmy: usługa Centrum działa (w services.msc widoczna w stanie "Uruchomiono") tylko jej ikony brak w obszarze powiadomień? (...) Na temat przycisków paska po lewej: powiększ go chwytając granicę i przesuwając na prawo, a następnie sprawdź co się stanie, jeżeli we Właściwościach paska zmienisz pewne opcje, konkretnie chodzi mi o "Przyciski paska zadań" i przestawienie w rozwijanym menu na cokolwiek innego niż aktualnie. Konkretnie wypowiedz się na temat: - stanu usługi Centrum kontra ikona (to są dwie odrębne sprawy), bo nieaktywna ikona to wiem że jest, ale chcę potwierdzenia, że usługa Centrum ma się już dobrze po importach FIX.REG. Jak odnotował wcześniej skaner Farbar, usługa nie miała przed importami pożądanego stanu ("wscsvc Service is not running") i do teraz nie potwierdziłeś statusu usługi po wzdrożonych naprawach. - czy próbowałeś opcje przestawiać we Właściwościach paska. Gdy się upewnię w tych kwestiach, będę szukać kolejnych rozwiązań. damy radę dzisiaj już tą sprawe zakończyć Są tu dwie nierozwiązane sprawy. Nie wiadomo jakie jest podłoże usterek, może to co widzisz to tylko powierzchowny znak większego problemu. Dlatego diagnostyka nadal w toku, bez gwarancji czasowej kiedy nastąpi finał. Przy takich tematach nie można po prostu udzielić odpowiedzi tego rodzaju ... . Odnośnik do komentarza
PiotrJIMI Opublikowano 13 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 13 Marca 2012 no i kłopot komputer nadal się restartuje nawet po odinstalowaniu tego spyware terminator 2012 zrobiłem restart komputera i wyskakuje taki napis " trwa konfiguracja komputera 100 % nie wyłączaj komputera czekaj" i za chwile pokazuje sie napis "trwa zamykanie" i dzieje sie tak trzy razy aż na końcu wyskoczy napis przy tym trzecim razie " trwa konfiguracja komputera 100 % - wycofywanie zmian" i dopiero wtedy pokazuje sie okno hasła i po wbiciu hasła dopiero uruchamia sie system. nadal wystepuje ten kłopot,włączam rano komputer a tu lipa MALWARE BYTES ANTI MALWARE - NIC NIE WYKRYŁ CENTRUM ZABEZPIECZEŃ NADAL NIE DZIAŁA PASEK TAKŻE NIE-ALE CHYBA TO NAJMNIEJSZY KŁOPOT ALE BARDZIEJ TE RESTARTY - GDYBY NIE TO TO JUZ BY BYŁO OK WSTRZYMUJE SIE Z TYM SPRZATANIEM DO DECYZJI PROSZE O ODZEW Odnośnik do komentarza
picasso Opublikowano 13 Marca 2012 Zgłoś Udostępnij Opublikowano 13 Marca 2012 zrobiłem restart komputera i wyskakuje taki napis " trwa konfiguracja komputera 100 % nie wyłączaj komputera czekaj" i za chwile pokazuje sie napis "trwa zamykanie" i dzieje sie tak trzy razy aż na końcu wyskoczy napis przy tym trzecim razie " trwa konfiguracja komputera 100 % - wycofywanie zmian" i dopiero wtedy pokazuje sie okno hasła i po wbiciu hasła dopiero uruchamia sie system. Jak mówiłam, ekran odpowiada instalacjom aktualizacji Windows. Wnioskując z "wycofywania zmian", jest tu jakiś problem i zaplanowane aktualizacje nie mogą się zainstalować. Potrzebne więcej danych: 1. Pełny CBS.LOG. Przekopiuj plik C:\Windows\Logs\CBS\CBS.LOG na Pulpit. 2. Pełne Dzienniki zdarzeń. Przekopiuj cały katalog C:\WINDOWS\system32\winevt\Logs na Pulpit. Wszystkie materiały zapakuj do ZIP, shostuj np. na SpeedyShare i podaj tu link do tego. Analiza tego może potrwać. CENTRUM ZABEZPIECZEŃ NADAL NIE DZIAŁA Jaki błąd zwraca próba uruchomienia usługi Centrum przyciskiem w services.msc? . Odnośnik do komentarza
PiotrJIMI Opublikowano 13 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 13 Marca 2012 (edytowane) . Edytowane 14 Marca 2012 przez PiotrJIMI Odnośnik do komentarza
Rekomendowane odpowiedzi