karololszak Opublikowano 2 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 2 Sierpnia 2010 No więc tak, 'dorwałem' pewną sieć WiFi, i byłem na tym forum (sprawdziłem wątek komputera kolegi, no ale niestety nie mogę w nim [jak na razie] odpowiedzieć - tak się składa że kolega wyjeżdża jutro ;/), postanowiłem więc sprawdzić mój komputer pod względem różnego 'syfu'. Daemon Tools wyłączony przy pomocy narzędzia 'Defogger', przed wszystkimi skanami. Avast! 5 wyłączyłem przed skanem GMERa, ale po skanie OTL. Trochę widzę errorów u mnie jest, widzę że coś mam z tymi IP i DHCP namieszane [trzeba zajrzeć do routera i w konfigurację połączenia.. ;p]. BTW, support jest naprawdę świetny! :-D Odnośnik do komentarza
picasso Opublikowano 3 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 3 Sierpnia 2010 Nie widzę tu nic czynnego, ale małe śmieci i "not found" można skorygować. Znalazły się tu mikro ślady po brzydkich wtrętach, czyli usługa montowana na pliku zfrjmrwk.dat, ukryty katalog "svchost" w Danych aplikacji oraz plugin MyWebSearch.com w Firefox. Jest jeszcze grupa plików o datowaniu na 2002, z czego większość ma bełkotliwe nazwy, nie wiem co to za pliki, ale choć wyglądają podejrzanie, to pierwsze dwa po nazwach sugerują, że to przypuszczalnie jest od zabezpieczenia Sentinel, a nawet jest usługa pasująca do całości: [2002-09-28 23:00:00 | 000,001,025 | ---- | C] () -- C:\WINDOWS\System32\clauth2.dll[2002-09-28 23:00:00 | 000,001,025 | ---- | C] () -- C:\WINDOWS\System32\clauth1.dll[2002-09-28 23:00:00 | 000,001,025 | ---- | C] () -- C:\WINDOWS\System32\bokakdi.dll[2002-09-28 23:00:00 | 000,000,204 | ---- | C] () -- C:\WINDOWS\System32\s0461wl.dll[2002-09-28 23:00:00 | 000,000,100 | ---- | C] () -- C:\WINDOWS\System32\prsgrc.dll[2002-09-28 23:00:00 | 000,000,016 | ---- | C] () -- C:\WINDOWS\System32\lzfp0vd.dll[2002-09-28 23:00:00 | 000,000,016 | ---- | C] () -- C:\WINDOWS\System32\kjh7vdm.dll DRV - [2002-12-17 05:41:10 | 000,076,288 | ---- | M] (Rainbow Technologies, Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\System32\Drivers\SENTINEL.SYS -- (Sentinel) Kombinowałeś tu też z AutoRuns i za jego pomocą wyłączałeś pewne wpisy, toteż nie ruszam tego co jest pochodną zabiegu deaktywacji w tym sofcie. *********************************************** 1. Znany Ci już scenariusz w OTL, czyli w ustępie Własne opcje skanowania / skrypt: :OTL DRV - File not found [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\drivers\zfrjmrwk.dat -- (abwswfcq) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\KAROLO~1\Pulpit\Pobrane\AIRCRA~1.3-W\AIRCRA~1.3-W\bin\PEEK5.SYS -- (PEEK5) DRV - File not found [Kernel | Disabled | Stopped] -- C:\DOCUME~1\KAROLO~1\USTAWI~1\Temp\cpuz130\cpuz_x32.sys -- (cpuz130) SRV - File not found [Disabled | Stopped] -- C:\WASAY\PROMAGIC\wspmsv.exe -- (WasayPMsv) SRV - File not found [On_Demand | Stopped] -- C:\Program Files\SoundTaxi Media Suite\STSService.exe -- (STSService) SRV - File not found [Disabled | Stopped] -- C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService) FF - prefs.js..browser.search.defaultthis.engineName: "XfireXO Customized Web Search" O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-2000478354-682003330-725345543-1003\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O16 - DPF: {42F2D240-B23C-11D6-8C73-70A05DC10000} "file:///c:/windows/NOTEPAD.EXE" (Reg Error: Key error.) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.) O16 - DPF: DirectAnimation Java Classes Reg Error: Value error. (Reg Error: Key error.) O16 - DPF: Microsoft XML Parser for Java Reg Error: Value error. (Reg Error: Key error.) [2010-06-08 11:29:24 | 000,000,917 | ---- | M] () -- C:\Documents and Settings\EDYTOWANE\Dane aplikacji\Mozilla\Firefox\Profiles\haaozoct.default\searchplugins\conduit.xml [2009-12-07 16:56:35 | 000,024,684 | ---- | M] (MyWebSearch.com) -- C:\Program Files\Mozilla Firefox\plugins\NPMyWebS.dll [2009-02-17 18:35:26 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\TEMP [2010-05-23 21:58:19 | 000,000,000 | -H-D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\svchost :Commands [emptyflash] [emptytemp] [clearallrestorepoints] Wykonaj skrypt .... 2. (Problematyczna) Zapora sprzętowa nVidia. I tak masz wszystkie usługi na statusie "wyłączone": SRV - [2005-02-24 17:23:12 | 000,139,264 | -H-- | M] () [Disabled | Stopped] -- C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe -- (ForceWare Intelligent Application Manager (IAM)) ForceWare Intelligent Application Manager (IAM)SRV - [2005-02-24 17:20:02 | 000,131,133 | -H-- | M] (NVIDIA) [Disabled | Stopped] -- C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe -- (nSvcIp)SRV - [2005-02-24 17:19:36 | 000,057,409 | -H-- | M] (NVIDIA) [Disabled | Stopped] -- C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe -- (nSvcLog)SRV - [2004-11-30 10:08:56 | 000,020,543 | -H-- | M] (Apache Software Foundation) [Disabled | Stopped] -- C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe -- (ForcewareWebInterface) .... to czemu nie posunąć się dalej i kompletnie to odinstalować. Na liście Dodaj / Usuń widać bezpośrednie wejście do usuwania NVIDIA ForceWare Network Access Manager (niektóre wersje sterowników mają to wpięte w ogólne sterowniki nVidia, które u Ciebie widzę stoją osobno). Obrabiając jeszcze Dodaj / Usuń to wiadomo, że przydałyby się tu i ówdzie aktualizacje. Już czujesz grunt po poprzednich moich wypowiedziach. Ja tylko się wypowiem o wirtualizerze, jako sofcie który jedzie na sterownikach. Posiadasz pierwszą wersję brandowaną jako InnoTek VirtualBox, a tu już było brandowanie przez Sun, a teraz to Oracle, i poza faktem zmiany skrzydeł, była tu masa zmian sprawnościowych. 3. Dziennik zdarzeń: Error - 2010-08-02 17:11:02 | Computer Name = KAROOL-PC | Source = Service Control Manager | ID = 7026Description = Nie można załadować następujących sterowników startu rozruchowego lub systemowego: DiskFilt nvatabus nvcchflt Te wszystkie usługi rzeczywiście widzę jako zatrzymane: DRV - [2005-02-12 02:11:32 | 000,016,640 | R--- | M] (NVIDIA Corporation) [Kernel | Boot | Stopped] -- C:\WINDOWS\System32\DRIVERS\nvcchflt.sys -- (nvcchflt)DRV - [2005-02-12 02:11:02 | 000,089,856 | R--- | M] (NVIDIA Corporation) [Kernel | Boot | Stopped] -- C:\WINDOWS\System32\DRIVERS\nvatabus.sys -- (nvatabus)DRV - [2002-04-26 22:51:18 | 000,008,224 | R--- | M] (Wasay) [Kernel | Boot | Stopped] -- C:\WINDOWS\System32\drivers\DISKFILT.SYS -- (DiskFilt) Popatrz do Dziennika jakie są podane szczegóły dla tej grupy. Ten Wasay to przypuszczalnie w ogóle mógłby zostać skasowany w całości, bo widzę do pary wybrakowaną usługę (którą usuwam w OTL). Ale na wszelki wypadek bez radykalnych kroków. Czy masz w rękach nadal Autoruns? Możnaby było je odptaszkować, by nie startowały. A jeśli nie masz tego narzędzia już, to zawsze mogę dać alternatywny sposób np. import do rejestru rekonfigurujący wartość Start. Error - 2010-08-02 17:11:02 | Computer Name = KAROOL-PC | Source = Service Control Manager | ID = 7000Description = Nie można uruchomić usługi WinFast TV2000/DV2000 WDM Tuner. z powodu następującego błędu: %%1058 Błąd usługi WFTUNE versus wyglądająca na żywą pozycja w programach oraz usługi nie wykazujące braków: DRV - [2004-09-24 07:58:26 | 000,009,284 | ---- | M] (Copyright @2000-2006 Leadtek Research Inc.) [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\wf88xbar.sys -- (WF88XBAR)DRV - [2004-09-24 07:58:24 | 000,208,851 | ---- | M] (Copyright @2000-2006 Leadtek Research Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\wf88vcap.sys -- (WF23880)DRV - [2004-09-24 07:58:24 | 000,034,101 | ---- | M] (Copyright @2000-2006 Leadtek Research Inc.) [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\wf88tune.sys -- (WFTUNE) Skocz w Dziennik zdarzeń i przeklej dokładną formułę błędu. 4. Podstawowa sprawa: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstationInternet Explorer (Version = 8.0.6001.18702) System w stanie XP SP2 jest dziurawy, a teraz i mocno poszkodowany. MS odciął takie XP od aktualizacji (dopuszcza dostarczanie łat tylko dla XP SP3) i nie otrzymasz już żadnego krytycznego updatu, a pierwszym z brzegu krytycznym uaktualnieniem jest łata z wczoraj, naprawiająca lukę w parsowaniu skrótów umożliwiającą infekowanie z USB tylko przez podejrzenie jego zawartości..... Obowiązkiem jest tu załatanie przez Service Pack 3, a następnie wyposażenie się w aktualizacje post-SP3. Tymczasowe obejście zabezpieczające przez infekcją via LNK to narzędzie Sophos. Ono nie jest wymagane po wdrożeniu łaty. . Odnośnik do komentarza
karololszak Opublikowano 3 Sierpnia 2010 Autor Zgłoś Udostępnij Opublikowano 3 Sierpnia 2010 1: Skrypt wykonany (log w załączniku) 2: NVIDIA ForceWare Network Access Manager usunięty, a co do InnoTek VirtualBox - ostatnio go nie używam (bo jak na razie nie jest mi potrzebny) - więc nie zgłębiam się w aktualizację; prawdopodobnie go usunę. Podobnie z innymi programami, których używam sporadycznie (a ich ostatnio trochę się nazbierało..) - myślę nad wyrzuceniem części z nich, przy okazji zwolni się trochę miejsca 3: Skopiowałem do pliku tekstowego to co znalazłem; Te błędy generuje karta TV, która aktualnie nie jest podłączona do źródła obrazu, ale prawdopodobnie funkcjonuje poprawnie. 4: Aktualizacje automatyczne włączone, system ciągnie aktualizacje (w tym SP3) Rejestr przeczyszczony przy pomocy RegCleaner 4.3 by Jouni Vuorio (miałem na dysku), głównie różne 'not-found'y itp. Użyłem również CCleaner. Nowe skany z OTL i GMERa w załączniku. Odnośnik do komentarza
picasso Opublikowano 4 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 4 Sierpnia 2010 Jeszcze takie drobnostki: 1. Jakoś mi uciekł błąd w Dzienniku dotyczący Usługi Pomocy, więc sprawdź co tam za szczegóły widnieją: Error - 2010-08-03 07:33:25 | Computer Name = KAROOL-PC | Source = Service Control Manager | ID = 7000Description = Nie można uruchomić usługi helpsvc z powodu następującego błędu: %%2 2. W OTL usługi, które generowały błąd startu i które wskazałam do deaktywacji, nie zostały wyłączone, nadal mają status Boot zamiast Disabled: DRV - [2005-02-12 02:11:32 | 000,016,640 | R--- | M] (NVIDIA Corporation) [Kernel | Boot | Stopped] -- C:\WINDOWS\System32\DRIVERS\nvcchflt.sys -- (nvcchflt)DRV - [2005-02-12 02:11:02 | 000,089,856 | R--- | M] (NVIDIA Corporation) [Kernel | Boot | Stopped] -- C:\WINDOWS\System32\DRIVERS\nvatabus.sys -- (nvatabus)DRV - [2002-04-26 22:51:18 | 000,008,224 | R--- | M] (Wasay) [Kernel | Boot | Stopped] -- C:\WINDOWS\System32\drivers\DISKFILT.SYS -- (DiskFilt) Czy jest z tym jakiś problem, tzn. czy nie masz programu Autoruns już na dysku, albo czekasz tu na inną instrukcję? 3. W OTL jest problem z usunięciem dwóch kontrolek, odpadków po przestarzałej Java MS: Starting removal of ActiveX control DirectAnimation Java Classes Reg Error: Value error.Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes Reg Error: Value error.\ not found.Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\DirectAnimation Java Classes Reg Error: Value error.\ not found.Starting removal of ActiveX control Microsoft XML Parser for Java Reg Error: Value error.Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java Reg Error: Value error.\ not found.Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\Microsoft XML Parser for Java Reg Error: Value error.\ not found. ... co ma odbicie w ostaniu się tych pozycji: O16 - DPF: DirectAnimation Java Classes Reg Error: Value error. (Reg Error: Key error.)O16 - DPF: Microsoft XML Parser for Java Reg Error: Value error. (Reg Error: Key error.) Przeszukaj rejestr via RegScanner na okoliczność tych dwóch fraz "DirectAnimation Java Classes" + "Microsoft XML Parser for Java". Dodatkowo wytwórz raport z katalogu, gdzie zwykle obserwuję pliki dowiązane do tych wpisów: Start > Uruchom > cmd i wklej polecenie: DIR /S C:\WINDOWS\java >C:\LOG.TXT & start notepad C:\LOG.TXT 4. Są trzy zbędne zadania w Harmonogramie: [2010-08-03 13:21:16 | 000,000,284 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job[2010-08-03 13:21:15 | 000,000,902 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job[2010-08-03 13:21:15 | 000,000,898 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job W Autoruns w karcie Scheduled Tasks można to wyciąć. Ciągle posiłkuję się odnośnikiem do Autoruns, bo nie padło stwierdzenie, że go nie ma w rękach. 5. Masz zainstalowany dodatek BitComet AntiARP, ale usługa jest wyłączona, co implikuje że to kolejny element do deinstalacji. SRV - [2007-05-08 04:43:22 | 000,484,864 | ---- | M] () [Disabled | Stopped] -- C:\Program Files\BitComet\AntiARP\BitCometAntiARP.exe -- (BitComet AntiARP) Dalsze działania w Twojej gestii, czyli weryfikacja oprogramowania, deinstalacja niepotrzebnego, a na koniec porządna defragmentacja dysku. Aktualizacje automatyczne włączone, system ciągnie aktualizacje (w tym SP3) Mam tu jedną uwagę w kwestii instalacji SP3. Widzę w Twoim zestawie BootSkin Stardocka. On operuje na sterowniku, który może generować takie problemy ;873159"]KLIK. Daję ten link na wszelki wypadek. . Odnośnik do komentarza
karololszak Opublikowano 4 Sierpnia 2010 Autor Zgłoś Udostępnij Opublikowano 4 Sierpnia 2010 1: Typ zdarzenia: Błąd Źródło zdarzenia: Service Control Manager Kategoria zdarzenia: Brak Identyfikator zdarzenia: 7000 Data: 2010-08-04 Godzina: 12:55:40 Użytkownik: Brak Komputer: KAROOL-PC Opis: Nie można uruchomić usługi helpsvc z powodu następującego błędu: Nie można odnaleźć określonego pliku. Aby znaleźć więcej informacji, zobacz http://go.microsoft.com/fwlink/events.asp w Centrum pomocy i obsługi technicznej. Wydaje mi się prawdopodobne, że ten błąd jest przez to iż w jakiś sposób kiedyś wyłączałem pomoc, nie pamiętam jednak jak.. Skasowałem jakiś plik chyba 2: Dobra, wykonane Nie mogłem ich znaleźć w Autoruns 'na szybko' 3: Wyniki RegScanner'a + log w załączniku 4: Zauważyłem wczoraj, po skanach, i wyłączyłem już wtedy... 5: BitComet AntiARP usunięty, jak również i inne programy... Dzięki za info o BootSkin'ie - i tak planowałem go skasować (efekt aż taki super nie jest), i w sumie to chyba tylko spowalnia start systemu Polecisz jakieś narzędzie do defragmentacji dysku? Korzystałem już z większości tych które mogłem znaleźć na DobreProgramy.pl (większość - triale) [nie używałem tylko tego od O&O]; Obecnie na dysku posiadam Defraggler'a Piriform'a, wydaje mi się że się nada Trochę niepotrzebnych programów już wyrzuciłem, sporo poprawek już wgranych (w tym SP3). Nowe logi z OTL + GMER w załącznikach. BTW - w GMERze widzę pełno wpisów, o wiele więcej niż na komputerach kolegów Głównie jest to moduł ochrony avast!a i 'SPTD' (czyli raczej nic co wzbudza podejrzenia), zainteresowały mnie jednak te wpisy powiązane z 'KSecDD.sys' oraz te powiązane z 'lsass.exe' - czy to może być coś wartego uwagi? #Edit: komputer dosyć wolno startuje, tak samo z wyłączaniem... Wiadomo, może to być wina sprzętu (najnowszy to on nie jest ), chociaż soft też może spowalniać... Załączam więc również log z BootLog XP (możesz go sobie w nim załadować, ładnie prezentuje graficznie ) Odnośnik do komentarza
picasso Opublikowano 5 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 5 Sierpnia 2010 zainteresowały mnie jednak te wpisy powiązane z 'KSecDD.sys' oraz te powiązane z 'lsass.exe' - czy to może być coś wartego uwagi? Nie wiem jaki proces zainicjował wypłynięcie tego w logu, w poprzednim tego nie było. Ale te odniesienia do warstw kryptograficznych nie wyglądają mi na szkodliwe. Ponów raz jeszcze skan z GMER dla uzyskania wyniku czy to było jakieś zjawisko okresowe, czy jest "trwałe". 3: Wyniki RegScanner'a + log w załączniku A znalazły się jednak kluczyki i to tam gdzie OTL tego nie widział. Są także pliki w folderze Java. Na początek sprawdźmy czy jest wykonalna metoda naturalna dla kontrolek ActiveX, to znaczy zweryfikuj czy są te dwa obiekty wyświetlane, a jeśli to z prawokliku na nie wybierz opcję deinstalacji: C:\WINDOWS\Downloaded Program Files\DirectAnimation Java Classes C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java Jeśli obiekty są a zadanie się wykona, sprawdź w OTL czy te dwa wpisy O16 zanikły i ponów też szukanie przez RegScanner. Natomiast jeśli zadanie się nie powiedzie lub takich obiektów wcale nie ma, podam po prostu zbiorczy plik BAT usuwający z rejestru i dysku. komputer dosyć wolno startuje, tak samo z wyłączaniem... Wiadomo, może to być wina sprzętu (najnowszy to on nie jest ), chociaż soft też może spowalniać... Załączam więc również log z BootLog XP Ten wykres nie jest dla mnie jednoznaczny, dużo skrzyżowanych zadań. Czy możesz mi powiedzieć gdzie "wizualnie" wyczuwasz najdłuższy przestój: ekran z logo (kernel i sterowniki), ekran logowania (usługi programowe), wejście na Pulpit? Krążąc wokół startu: 1. Ta nieszczęsna Usługa pomocy: Wydaje mi się prawdopodobne, że ten błąd jest przez to iż w jakiś sposób kiedyś wyłączałem pomoc, nie pamiętam jednak jak.. Po prostu ją całkowicie wyłącz, by nie próbowała startować. 2. Jest tu niespójna para, usługa Hamachi wyłączona, ale nie jego sterownik: SRV - [2010-03-30 11:16:12 | 001,107,336 | ---- | M] (LogMeIn Inc.) [Disabled | Stopped] -- C:\Program Files\LogMeIn Hamachi\hamachi-2.exe -- (Hamachi2Svc)DRV - [2010-02-03 15:56:56 | 000,026,176 | -H-- | M] (LogMeIn, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hamachi.sys -- (hamachi) Program zainstalowany, jeśli nie korzystasz, wywal go. Minus dwie usługi startowe. 3. Przypominam raz jeszcze, w Dzienniku zdarzeń jest cała litania na sterowniki WinFasta, które próbują się uruchamiać i nie mogą: Error - 2010-08-04 10:29:38 | Computer Name = KAROOL-PC | Source = Service Control Manager | ID = 7000Description = Nie można uruchomić usługi WinFast CX2388x WDM Video Capture. z powodu następującego błędu: %%1058 Error - 2010-08-04 10:29:38 | Computer Name = KAROOL-PC | Source = Service Control Manager | ID = 7000Description = Nie można uruchomić usługi WinFast TV2000/DV2000 WDM Crossbar. z powodu następującego błędu: %%1058 Error - 2010-08-04 10:29:38 | Computer Name = KAROOL-PC | Source = Service Control Manager | ID = 7000Description = Nie można uruchomić usługi WinFast TV2000/DV2000 WDM Tuner. z powodu następującego błędu: %%1058 Więc należy tu zdecydować, czy je tymczasowo odfajczyć w Autoruns, czy wymontować sterowniki całkowicie z komputera, czy ożywiać sprzęt. 4. Dręcząc jeszcze Dodaj/Usuń, zastanawiam się czy Sentinel System Driver, który zresztą punktowałam na początku, to jest coś potrzebnego, czy coś z tego korzysta? Bo jeśli nie, to odpada kolejna usługa startowa. Po wyrzuceniu starego SpeedFana poleci kolejna. 5. Sterowniki stricte sprzętowe komputera, można poszukać nowszych wersji. 6. Wreszcie Avast oraz upiększacze powłoki. 7. A na koniec defragmentacja: Polecisz jakieś narzędzie do defragmentacji dysku? Korzystałem już z większości tych które mogłem znaleźć na DobreProgramy.pl (większość - triale) [nie używałem tylko tego od O&O]; Obecnie na dysku posiadam Defraggler'a Piriform'a, wydaje mi się że się nada Defraggler ma tę wadę, że nie ma boot-defragmentacji, czyli nie ruszy tych samych obszarów co systemowy defragmenter (wirtualna / hibernacja / pliki rejestru / pliki Dziennika / MFT). To oznacza po prostu przeciętność, może być szybki i klocki przestawiać sprawniej niż systemowy, ale nadal kluczowe zablokowane spod Windows pliki nie zostaną przesunięte. Darmowe defragmentery, które mają tę funkcję: Puran Defrag Free Edition, Ultimate Defrag Freeware Edition i UltraDefrag. Tego pierwszego nie ma na dobrychprogramach , dwa pozostałe są, to i zakładam, że znane Tobie. . Odnośnik do komentarza
karololszak Opublikowano 5 Sierpnia 2010 Autor Zgłoś Udostępnij Opublikowano 5 Sierpnia 2010 W C:\WINDOWS\Downloaded Program Files tych plików co powinny być nie ma, znalazłem za to uszkodzony (Damaged) plik skanera online MKS - więc go skasowałem. Tak więc poproszę ten BAT 1: Wyłączona 2: Hamachi odinstalowałem, stwierdziłem że aktualnie nie jest mi potrzebne - a jeśli będzie, to po prostu je od nowa zainstaluję 3: Na WinFast'a polowałem od dłuższego czasu, pamiętam że kiedyś w usługach szukałem ale nie mogłem znaleźć i sobie odpuściłem... Wyłączone przy pomocy Autoruns 4: Sentinel System Driver - w ogóle tego nie zauważyłem gdy przeglądałem Dodaj/Usuń w poszukiwaniu 'śmieci'; wątpię by było potrzebne, tak więc 'poszło z dymem ' 5: Sterowniki jako-takie aktualne mam [przynajmniej jak ostatnio sprawdzałem], do aktualizacji na pewno ten od grafiki; przy okazji, z poziomu menadżera urządzeń wyłączyłem port LPT (drukarki) i oba COMy, jak i również stację dyskietek. Nie używam, więc raczej potrzebne nie będą I pytanko - skoro wyłączyłem 'stację dyskietek', to czy można bezpiecznie wyłączyć również 'kontroler stacji dyskietek'? 6: Avast jest aktualny (co kilka dni sprawdzam sam update'y), poza tym sam się aktualizuje w tle. Co do wszelkich *fajerwerków* - poszukam aktualizacji, pewnie coś się znajdzie. Przy okazji spytam - może używasz jakiegoś menadżera od aktualizacji, który pilnuje wszystkiego za Ciebie? Mi by się w sumie taki przydał; próbowałem kilku, jednak moim zdaniem są to trochę niewypały (nieraz opóźnienie wynosi kilka dni, jak nie dłużej..) 7: Puran Defrag Free Edition, i w nim Boot Time Defrag Jest dobrze Co do startu, to teraz i tak się dużo polepszyło, najwolniejszy jest chyba moment 'przeskoku' z logo + pasek ładowania na pulpit (wyłączyłem ekran logowania [ale automatyczne logowanie jest] i 'Zapraszamy'): zdąrzy pojawić się tapeta i "wisi" z dobre ~5 sec, i potem dopiero powoli wszystko zaczyna "zaskakiwać" -- coś jakby explorer powoli zaskakiwał... Chociaż może to być wina tych wszystkich 'upiększaczy', tak więc zostawię ten start systemu w spokoju "Podejrzane wpisy" w GMERze zniknęły, więc loga nie załączam bo praktycznie się nie zmienił. Skan z OTL w załączniku, 'jakby co'. Odnośnik do komentarza
picasso Opublikowano 6 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 6 Sierpnia 2010 Hamachi odinstalowałem, stwierdziłem że aktualnie nie jest mi potrzebne - a jeśli będzie, to po prostu je od nowa zainstaluję Sterownik Hamachi stawił opór i pozostał: DRV - [2010-02-03 15:56:56 | 000,026,176 | -H-- | M] (LogMeIn, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\hamachi.sys -- (hamachi) Potraktuj go Autoruns. Sentinel System Driver - w ogóle tego nie zauważyłem gdy przeglądałem Dodaj/Usuń w poszukiwaniu 'śmieci'; wątpię by było potrzebne, tak więc 'poszło z dymem ' To chyba teraz już można wyrzucić z dysku pliki wyglądające na pochodną Sentinel: [2002-09-28 23:00:00 | 000,001,025 | ---- | C] () -- C:\WINDOWS\System32\clauth2.dll[2002-09-28 23:00:00 | 000,001,025 | ---- | C] () -- C:\WINDOWS\System32\clauth1.dll[2002-09-28 23:00:00 | 000,001,025 | ---- | C] () -- C:\WINDOWS\System32\bokakdi.dll[2002-09-28 23:00:00 | 000,000,204 | ---- | C] () -- C:\WINDOWS\System32\s0461wl.dll[2002-09-28 23:00:00 | 000,000,100 | ---- | C] () -- C:\WINDOWS\System32\prsgrc.dll[2002-09-28 23:00:00 | 000,000,016 | ---- | C] () -- C:\WINDOWS\System32\lzfp0vd.dll[2002-09-28 23:00:00 | 000,000,016 | ---- | C] () -- C:\WINDOWS\System32\kjh7vdm.dll tych plików co powinny być nie ma Otwórz Notatnik i wklej w nim: REG DELETE "HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes" /f REG DELETE "HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java" /f REG DELETE "HKLM\SOFTWARE\Microsoft\Code Store Database\Global Namespace\Java Packages" /f RD /S /Q C:\WINDOWS\java\Packages RD /S /Q C:\WINDOWS\java\classes PAUSE Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako DEL.BAT > Uruchom ten plik Dałam pauzę, byś widział czy wystąpią tu jakieś błędy. Jeśli tak, to przeklej jaki format błędu. Jeśli nie, to wytwórz sobie log z OTL i porównaj czy te dwa zapisy O16 zniknęły. tapeta i "wisi" z dobre ~5 sec, i potem dopiero powoli wszystko zaczyna "zaskakiwać" -- coś jakby explorer powoli zaskakiwał... Gdybyśmy założyli powłokę jako źródło, to na pierwszy ogień sprawdź ten program do kontenerów Pulpitu Fences, który startuje via SharedTaskScheduler. To takie moje przypuszczenia. Przy okazji spytam - może używasz jakiegoś menadżera od aktualizacji, który pilnuje wszystkiego za Ciebie? Mi by się w sumie taki przydał; próbowałem kilku, jednak moim zdaniem są to trochę niewypały (nieraz opóźnienie wynosi kilka dni, jak nie dłużej..) Nie. Po prostu nie dowierzam w takie menedżery, niby ma się pojawić wygoda użytkowa, ale skąd pewność, że menedżer poda naprawdę właściwe dane we właściwym czasie. Wolę osobiście widzieć co jest dostępne i czy mam to instalować. W związku z tym nie mam tu żadnej praktyki na alternatywnych interfejsach aktualizacji oprogramowania i nie jestem w stanie nic polecić. I pytanko - skoro wyłączyłem 'stację dyskietek', to czy można bezpiecznie wyłączyć również 'kontroler stacji dyskietek'? Tak. . Odnośnik do komentarza
karololszak Opublikowano 6 Sierpnia 2010 Autor Zgłoś Udostępnij Opublikowano 6 Sierpnia 2010 Sterownik Hamachi - ok, wyłączony w Autoruns Pozostałości po Sentinel-u: usunięte; używając wyszukiwania Windows, część z nich miała swoje odpowiedniki w .tgz (z których dll-ki pewnie były wypakowywane), i te też usunąłem Te pozostałości w rejestrze po maszynach jawy (plik bat) - żaden błąd nie wystąpił; W OTL te 016 zniknęły. Podam kilka linijek z OTLa, które mnie zainteresowały: OTL.txt: O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. [...] O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found. [...] O18 - Protocol\Handler\AutorunsDisabled - No CLSID value found [...] O34 - HKLM BootExecute: (autocheck autochk *) - File not found [...] Extras.txt: [...] htmlfile [edit] -- Reg Error: Key error. [...] regfile [merge] -- Reg Error: Key error. [...] txtfile [edit] -- Reg Error: Key error. [...] "C:\Program Files\Common Files\Ahead\Nero Web\SetupX.exe" = C:\Program Files\Common Files\Ahead\Nero Web\SetupX.exe:*:Enabled:Nero ProductSetup -- File not found [...] "D:\Program Files\Codemasters\DiRT\DiRT.exe" = D:\Program Files\Codemasters\DiRT\DiRT.exe:*:Enabled:DiRT Executable -- File not found [...] "C:\Program Files\Metasploit\Framework3\bin\ruby.exe" = C:\Program Files\Metasploit\Framework3\bin\ruby.exe:*:Enabled:Ruby interpreter (CUI) 1.9.1.0 [i386-cygwin] -- File not found [...] "C:\Program Files\TightVNC\vncviewer.exe" = C:\Program Files\TightVNC\vncviewer.exe:*:Enabled:vncviewer -- File not found [...] "D:\oj\Hamachi\hamachi-2-ui.exe" = D:\oj\Hamachi\hamachi-2-ui.exe:*:Enabled:LogMeIn Hamachi -- File not found Większość to 'not found'-y, ale ja takich nie lubię Podasz jakieś *magiczne linijki* do OTLa, czy zostawić to w spokoju? Fences również podejrzewałem, ale zauważyłem, że ładuje się on (wizualnie) po 'starcie' explorera: tak jak pisałem, jest [sama] tapeta, na niej ~5sec, potem pojawiają się ikonki i pasek start, a potem (po ~2 sec) zaskakuje fences ze swoimi obramowaniami na ikonki. Ale to już odpuszczę, jakoś przeżyję, i tak komputer trochę szybciej startuje głównie to pewnie zasługa defragmentacji + przeczyszczenia systemu ze zbędnych programów, chociaż i pomoc z tego forum również się przyczyniła Odnośnik do komentarza
picasso Opublikowano 6 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 6 Sierpnia 2010 Nie wszystko co OTL listuje jako "not found" czy "key error" jest rzeczywiście brakiem czy błędem. To już analizujący musi być dostatecznie obeznany, by umieć odróżnić. O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. Wpis Windows Live Messenger. On często się pokazuje w cudzych logach w taki sposób "no file, no name", toteż go nie ruszałam. Ale widziałam w raporcie, że wyłączałeś już jakieś inne rozszerzenia Live, to i do kolekcji to może iść. O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.[...] O18 - Protocol\Handler\AutorunsDisabled - No CLSID value found Mówiłam: Kombinowałeś tu też z AutoRuns i za jego pomocą wyłączałeś pewne wpisy, toteż nie ruszam tego co jest pochodną zabiegu deaktywacji w tym sofcie. To oznacza po prostu wpis wyłączony przez Autoruns i to w Autoruns będziesz widział, które to są zapisy. One tam będą w formie oryginalnej wyświetlane ale odptaszkowane. Deaktywacja via Autoruns polega na przemigrowaniu wpisu do nowej formuły "AutorunsDisabled". I to ten obiekt będzie listował program w typie OTL, a nie to co było pierwotnie. O34 - HKLM BootExecute: (autocheck autochk *) - File not found U wszystkich ten zapis jest dokładnie taki sam. Jest on prawidłowy. W tym przypadku "file not found" to nie jest prawdziwy odczyt. To tylko to w jaki sposób OTL czyta wartość Boot Execute, która nie posługuje się bezpośrednią ścieżką do pliku, tylko właśnie ciągiem "autocheck autochk *". A plik C:\WINDOWS\system32\autochk.exe masz na dysku, bo gdybyś nie miał, to wita Cię uroczy komunikat przy starcie Windows "autochk program not found skipping AUTOCHECK", na ekranie fazy startu aplikacji natywnych (patrz: checkdisk). Ten błąd pojawia się też w innych okolicznościach: wyzerowana wartość Boot Execute właśnie lub problemy z widzialnością partycji. Generalnie = wszystko jest OK. htmlfile [edit] -- Reg Error: Key error.[...] regfile [merge] -- Reg Error: Key error. [...] txtfile [edit] -- Reg Error: Key error. Dla porównania mój wyciąg z Vista: ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\\shell\[command]\command]batfile [open] -- "%1" %*cmdfile [open] -- "%1" %*comfile [open] -- "%1" %*cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)exefile [open] -- "%1" %*helpfile [open] -- Reg Error: Key error.hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)htmlfile [edit] -- "C:\Program Files\Microsoft Office\Office12\msohtmed.exe" %1 (Microsoft Corporation)htmlfile [print] -- "C:\Program Files\Microsoft Office\Office12\msohtmed.exe" /p %1 (Microsoft Corporation)inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)piffile [open] -- "%1" %*regfile [merge] -- Reg Error: Key error.scrfile [config] -- "%1"scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)scrfile [open] -- "%1" /Stxtfile [edit] -- Reg Error: Key error.Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Pokazuje się "Key error", bo w ogóle nie ma w moim rejestrze klucza tego rodzaju: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\merge HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\edit A z opcjami kontekstowymi dla plików REG (Scal) i plików TXT (Edytuj) jest wszystko w porządku. Różni nas akcja Edytuj dla pliku HTML, bo mam zainstalowaną przeglądarkę plików Office i ona sobie pokojarzyła. "C:\Program Files\Common Files\Ahead\Nero Web\SetupX.exe" = C:\Program Files\Common Files\Ahead\Nero Web\SetupX.exe:*:Enabled:Nero ProductSetup -- File not found[...] "D:\Program Files\Codemasters\DiRT\DiRT.exe" = D:\Program Files\Codemasters\DiRT\DiRT.exe:*:Enabled:DiRT Executable -- File not found [...] "C:\Program Files\Metasploit\Framework3\bin\ruby.exe" = C:\Program Files\Metasploit\Framework3\bin\ruby.exe:*:Enabled:Ruby interpreter (CUI) 1.9.1.0 [i386-cygwin] -- File not found [...] "C:\Program Files\TightVNC\vncviewer.exe" = C:\Program Files\TightVNC\vncviewer.exe:*:Enabled:vncviewer -- File not found [...] "D:\oj\Hamachi\hamachi-2-ui.exe" = D:\oj\Hamachi\hamachi-2-ui.exe:*:Enabled:LogMeIn Hamachi -- File not found To są wpisy programów autoryzowanych w zaporze systemowej. Można to sobie oczyścić, jeśli program już nie istnieje. Na różne sposoby. 1. Start > Uruchom > firewall.cpl i w karcie Wyjątki do usuwania czytelne nazwy programów. 2. Lub bezpośrednia kasacja tych wartości w rejestrze z klucza: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List Fences również podejrzewałem, ale zauważyłem, że ładuje się on (wizualnie) po 'starcie' explorera: tak jak pisałem, jest [sama] tapeta, na niej ~5sec, potem pojawiają się ikonki i pasek start, a potem (po ~2 sec) zaskakuje fences ze swoimi obramowaniami na ikonki. To co widzisz oczami nie jest do końca zgodne z zakresem czasowym ładowania, "na oczy" nie da się oceniać takich rzeczy. Równie dobrze jednak to może być Avast lub jakiś inny program zaplanowany do uruchomienia. Po prostu wypróbuj to i owo. . Odnośnik do komentarza
karololszak Opublikowano 6 Sierpnia 2010 Autor Zgłoś Udostępnij Opublikowano 6 Sierpnia 2010 No dobra, tak więc uważam diagnostykę za skompletowaną, moje wszelkie wątpliwości i "obawy" zostały rozwiązane, tak więc uważam iż temat można zamknąć Dzięki za pomoc! Przy okazji, pytanie: gdzie można przejść taki 'trening' o którym mowa w tematach podczepionych? Chętnie bym się takiego podjął, bo uważam iż by mi się to przydało - komputery pod "moją kontrolą" głównie są OK, czego niestety nie mogę powiedzieć o komputerach moich niektórych znajomych. Infekcję potrafię przeważnie rozpoznać, jednak mam problem właśnie z jej dogłębną diagnostyką i skutecznym sposobem usuwania. Rodzai "syfu" jest mnóstwo, więc przydałby mi się jakiś kurs jak to i owo rozpoznać. No i myślałem że może kiedyś mógłbym się przyłączyć do Waszej (głównie Twojej ) ekipy na forum Odnośnik do komentarza
picasso Opublikowano 6 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 6 Sierpnia 2010 (edytowane) Przy okazji, pytanie: gdzie można przejść taki 'trening' o którym mowa w tematach podczepionych? Masz na myśli ogłoszenie "Uprawnieni do pomocy"? Tu na forum jest to futuryzm. To jest dopiero przewidywane, gdy zajdzie potrzeba dokoptowania "trzeciego" do tanga, jakbyśmy już nie wyrabiali. W moich wyobrażeniach funkcjonuje szkoła nauki walki z malware, tak jak na zachodzie, ale to tylko plany, których nie urzeczywistniam jeszcze z braku bodźca. Natomiast zawsze można się zapisać do którejś ze szkół zagranicznych (UNITE), chociaż ja mam pewne zastrzeżenia do sposobu prowadzenia treningu. Za dużo tam jest formalizmów i odpowiadania gotowymi formułkami (a za mało zadań konceptualnych) oraz moim zdaniem niewłaściwy materiał do szkolenia (HijackThis, uważany za "prosty do nauki", w mojej opinii zaś demoralizujący w kierunku indolencji). W związku z tym, że ja nigdy nie przeszłam przez żaden trening, nigdy nie byłam w żadnej szkole i jestem czystym samoukiem, mam inną percepcję tego rodzaju edukacji. Można się zgadzać, można się nie zgadzać. . Edytowane 16 Września 2010 przez picasso Logi usunięte - diagnostyka z powietrza. Należało je zedytować i reuploadować. Proszę nie róbcie takich sztuk. Odnośnik do komentarza
Rekomendowane odpowiedzi