Skocz do zawartości

Czy skan z OTL może trwać aż tak długo?


Eridani

Rekomendowane odpowiedzi

Dzień dobry wszystkim.

Mam podejrzenie, że komputer jest zainfekowany, postanowiłam więc zrobić skan diagnostyczny OTL zgodnie z wytycznymi z poradnika. Skanowało się ponad 9 godzin i niestety musiałam wyłaczyć komputer... Czy to może aż tak długo trwać? Z tego co widziałam na pasku, to program ciągle skanował w plikach usera, w bardzo głębokiej ścieżce w Dane Aplikacji - zrobiłam skrina, żeby zapytać czy to jest normalne i po prostu mam czekać aż skończy.

Windows 7, 32, partycja C zapełniona: 69gb na 100gb

post-9056-0-11841000-1354617700_thumb.jpg

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

To nie jest normalne co się pokazuje na pasku dolnym i to wyjaśnia tak zastraszająco długi skan. Otóż OTL wpadł w pętlę nieskończoną skanowania linków symbolicznych zwrotnie punktujących do siebie samych. Co to są te linki wyjaśnione tu przy okazji skanu McAfee natrafiającego na ten sam schemat: KLIK. I jak mówię, to nie jest normalne, nigdy nie widziałam, by OTL miał ten problem. Wnioski się nasuwają takie: coś się stało u Ciebie i uprawnienia linków symbolicznych zostały naruszone, brak tam "Odmowy dostępu" = OTL nie trafia na naturalną barierę zapobiegającą wchodzeniu w tę szczególną ścieżkę.

 

1. Upewnij się, że masz włączone wszystkie opcje Widoku: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok: zaznacz Pokaż ukryte pliki i foldery + odptaszkuj Ukryj chronione pliki systemu operacyjnego

 

2. Następnie sprawdź czy otworzenie tego obiektu zwraca "Odmowę dostępu": C:\Users\All Users\Dane aplikacji. Domyślnie ma być Odmowa. Dodatkowo sprawdź też inne linki tego typu w systemie, a pierwszy z brzegu to C:\Documents and Settings. Wszędzie ma być Odmowa. Jej brak to usterka w systemie i naprawa tego jest bardziej finezyjna.

 

 

 

.

Odnośnik do komentarza

Wyjaśnij mi skąd to podejrzenie, co się dzieje:

 

Mam podejrzenie, że komputer jest zainfekowany

 

W logach nic ciekawego. Są tylko odpadki adware, ale to mały problem. Doczyść (instrukcje w spoilerze).

 

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Services
Browser Manager
cpuz130
 
:Files
C:\ProgramData\Browser Manager
C:\Users\Ania\AppData\Roaming\Babylon
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
C:\Program Files\mozilla firefox\searchplugins\search.xml
 
:OTL
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253"
IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7"
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=120812_bandext_3312_5&babsrc=SP_ss&mntrId=c098705b000000000000b0487ab8331b"
IE - HKCU\..\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}: "URL" = "http://blekko.com/ws/?source=c3348dd4&tbp=rbox&toolbarid=blekkotb_031&u=BC52A3017AC77F1F6FD44D50522695E1&q={searchTerms}"
IE - HKCU\..\SearchScopes\{AC129BF9-68BF-4bc4-A1DC-ECB62712FF99}: "URL" = "http://search.kikin.com/search/?q={searchTerms}"
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253"
IE - HKCU\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7"
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{b64982b1-d112-42b5-b1e4-d3867c4533f8}: C:\ProgramData\Browser Manager\2.2.565.25\{16cdff19-861d-48e3-a751-d99a27784753}\FirefoxExtension
IE - HKCU\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found
O2 - BHO: (no name) - {2EECD738-5844-4a99-B4B6-146BF802613B} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found.
O4 - HKCU..\Run: []  File not found
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (Reg Error: Key error.)
O20 - AppInit_DLLs: (c:\progra~2\browse~1\22565~1.25\{16cdf~1\browse~1.dll) - c:\ProgramData\Browser Manager\2.2.565.25\{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.dll ()
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Default_Search_URL"=-
"Search Bar"=-
"Search Page"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"BrowserMngrDefaultScope"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. Przedstaw go.

 

4. Skoryguj domyślne wyszukiwarki IE po użyciu AdwCleaner. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

 

[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]

 

[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]

 

[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]

 

[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

 

 

 

 

O nowy log z OTL na razie nie proszę, bo kolejne skanowanie przez 10 godzin to dramat. Potem go sprawdzę. Naszym bieżącym problemem jest dostęp do struktury linków symbolicznych, co nie powinno mieć miejsca:

 

Do plików można wejść, nie ma żadnej odmowy. Co zalecasz?

 

Naprawa tego wymaga operacji tego typu: KLIK. Materiał daję tylko poglądowo, na razie nic nie wykonuj, bo nie jest jasnym jak daleki zakres naruszeń jest u Ciebie. I czy to w ogóle nadal są linki? Na początek podaj mi wynik komendy wyszukującej linki symboliczne:

 

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

DIR /AL /S C:\ >C:\log.txt

 

Wykonanie tej komendy chwilę potrwa. Czekaj cierpliwie, aż znak zachęty przejdzie do nowej linii. To oznacza pełne ukończenie zadania.

 

2. Wynikowo powstanie plik C:\log.txt. Doczep go tu.

 

 

 

.

Odnośnik do komentarza

Wyjaśnij mi skąd to podejrzenie, co się dzieje:

Babylon, Blekko i AVG SiteSafety - nagła inwazja tych upierdliwców, których nie mogłam się sama pozbyć. Podmieniały strony startowe. Nie wiem czy to z ich powodu, ale wyłączył mi się samoistnie adBlock. Nie instalowałam tych toolbarów świadomie, jak instaluję jakiś program zawsze zwracam uwagę na proponowane dodatki. Walczyłam z tym chyba z tydzień, w końcu odpuściłam.

Do tego doszedł problem z siecią, coś namieszało mi między modemem a routerem (nagle poblokowało mi wszystkie porty). Problem nadal istnieje, ale zostawiam go, bo chyba nie ma nic wspólnego z wirusami, skoro tak twierdzisz po obejrzeniu logów. Tego jednak nie wiedziałam zakładając temat i powiązałam te toolbary z problemami z siecią.

 

Zrobiłam wszystko według Twojej instrukcji. Logi dołączam do posta, natomiast log z tej ostatniej operacji spakowałam zipem i zmieniałm rozszerzenie na txt (nie mam uprawnień na dołączanie tutaj zipów), ponieważ wyszło 22 mb.

 

Tak mi jeszcze przyszło do głowy, żeby sprawdzić uprawnienia dostępu do folderu Users. SYSTEM oraz grupa Admin mają full dostęp, a ja loguję się jako Admin na koncie. Powiem szczerze, że mało co rozumiem na temat uprawnień w Win7 i nie wiem skąd się to wzięło - ale wydaje mi się, że nie powinno byc pełnego dostępu... Może stąd te problemy. Nie jestem pierwszym właścicielem komputera, ale obecnie jestem jedynym użytkownikiem (przynajmniej tak mi się do dzisiaj wydawało...)

Dołączam też skrina z widokiem tych uprawnień.

 

Dziękuję za pomoc i czekam na dalsze instrukcje.

AdwCleanerS1.txt

LOG.zip.txt

post-9056-0-71081400-1354830616_thumb.jpg

Odnośnik do komentarza

Babylon, Blekko i AVG SiteSafety - nagła inwazja tych upierdliwców, których nie mogłam się sama pozbyć. Podmieniały strony startowe. Nie wiem czy to z ich powodu, ale wyłączył mi się samoistnie adBlock. Nie instalowałam tych toolbarów świadomie, jak instaluję jakiś program zawsze zwracam uwagę na proponowane dodatki. Walczyłam z tym chyba z tydzień, w końcu odpuściłam.

Coś jednak gdzieś przy którejś instalacji musiało zostać przeoczone, albo może instalator programu był tak bezczelny, że w ogóle takich opcji nie podawał tylko cicha instalacja śmieci z biegu.

 

 

Zrobiłam wszystko według Twojej instrukcji. Logi dołączam do posta, natomiast log z tej ostatniej operacji spakowałam zipem i zmieniałm rozszerzenie na txt (nie mam uprawnień na dołączanie tutaj zipów), ponieważ wyszło 22 mb.

Na przyszłość: proszę nie oszukuj w taki sposób rozszerzeń i takie pliki umieszczaj raczej na zewnętrznym hostingu, ja celowo blokuję tu na forum w załącznikach ZIP. Co do rozmiarów raportu: zaćmiło mnie i nie ostrzegłam. Skoro OTL ma dostęp do cyklicznego linka to i CMD. Log jest ogromny, bo cmd weszło w pętlę tak jak OTL i przeskanowało całą strukturę zwrotnie siebie samą punktującą.

 

Potrzebuję nieco czasu na przejrzenie tego ogromnego raportu. Zgłoszę się tu z instrukcjami jak skończę.

 

 

Tak mi jeszcze przyszło do głowy, żeby sprawdzić uprawnienia dostępu do folderu Users. SYSTEM oraz grupa Admin mają full dostęp, a ja loguję się jako Admin na koncie.

Uprawnienia katalogu Users to co innego niż to o czym mówię. Twoje uprawnienia Users są poprawne (u mnie takie same). Chodzi tu o uprawnienia linków symbolicznych, są to specyficzne obiekty.

 

 

 

.

Odnośnik do komentarza

Ufff, w końcu wygrzebałam czas na porównanie tego koszmarnego raportu. Z raportu wynika to co już było mówione: C:\Documents and Settings (to nadal link = tak ma być) utraciło prawidłowe uprawnienia i jest dostęp tworzący pętlę zwrotną. Na początek przywrócę oryginalne uprawnienia dla C:\Documents and Settings i poproszę o nowy skan na linki symboliczne. Przeprowadź następujące działania:

 

1. Pobierz SetACL. Z folderu x86 przekopiuj plik SetACL.exe do katalogu C:\Windows

 

2. Otwórz Notatnik i wklej w nim:

 

"\\?\C:\Documents and settings",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)"

 

Plik zapisz pod nazwą fix.txt. Skopiuj plik na C:\. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

SetACL -on "C:\Documents and settings" -ot file -actn restore -bckp C:\fix.txt

 

3. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

DIR /AL /S C:\ >C:\log.txt

 

Czekaj cierpliwie na wynikowy plik C:\log.txt. Przedstaw go. Jeśli zadanie w punkcie dwa poprawnie się wykona, log będzie znacznie krótszy.

 

 

.

Odnośnik do komentarza

Kolejne działania na następny "otwarty" link:

 

1. Otwórz Notatnik i wklej w nim:

 

"\\?\C:\ProgramData\Application Data",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)"

 

Plik zapisz pod nazwą fix.txt. Skopiuj plik na C:\. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

SetACL -on "C:\ProgramData\Application Data" -ot file -actn restore -bckp C:\fix.txt

 

2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

DIR /AL /S C:\ >C:\log.txt

 

Przedstaw wynikowy C:\log.txt. Wagę mniejszą powinien mieć w stosunku do poprzednika.

 

Nie wiem ile tu rund jeszcze przed nami. Wyjdzie z raportu.

 

 

 

.

Odnośnik do komentarza

Picasso, chyba coś się sypnęło, bo nowy log ma aż 99 mb!

 

https://www.dropbox.com/s/6cjhe7pwgiv3k9y/log.zip

 

Jak się "logowało" to podpatrzyłam, że strasznie tam dużo plików z katalogu temp, ale nie chciałam robić żadnego czyszczenia w trakcie naszego naprawiania, żeby czegoś nie schrzanić... Jeśli chcesz, to zrobię najpierw standardowy porządek na C i wygeneruję jeszcze jeden log.

Odnośnik do komentarza

Nie, nic się nie sypnęło, ujawniają się kolejne elementy usterki. Nie komentowałam wcześniej, ale te dwa wcześniejsze log.txt wcale nie były całe, w sensie nie zrzuciły danych kompletnie. Widziałam wyraźnie, że log jakby stopuje po pierwszym linku i tyle. Nie wiem czy to dlatego, że ogromna ilość danych przetwarzana w cmd i brakuje po prostu pamięci, by przetworzyć tę kuriozalną strukturę, czy dlatego że skan udaje że skończył. To właśnie jest powód dla którego robię po kawałku i dlatego mówiłam, że "nie wiem ile jeszcze rund przed nami".

 

Tu chyba także brakuje kilku linków symbolicznych, ale ich odtwarzanie potem. Najpierw trzeba zamknąć dostęp do tych już istniejących.

 

 

1. Ładujesz sekwencje:

 

Plik fix.txt o zawartości:

 

"\\?\C:\ProgramData\Dane aplikacji",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\ProgramData\Dane aplikacji" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\Users\Default User",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\Users\Default User" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\Users\Default\AppData\Local\Application Data",1,"O:SYD:AI(D;;CC;;;WD)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\Users\Default\AppData\Local\Application Data" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\Users\Default\AppData\Local\Dane aplikacji",1,"O:SYD:AI(D;;CC;;;WD)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\Users\Default\AppData\Local\Dane aplikacji" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programy",1,"O:SYD:AI(D;;CC;;;WD)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programy" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\Users\Default\Application Data",1,"O:SYD:AI(D;;CC;;;WD)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\Users\Default\Application Data" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\Users\Default\Dane aplikacji",1,"O:SYD:AI(D;;CC;;;WD)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\Users\Default\Dane aplikacji" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\Users\Default\Documents\Moja muzyka",1,"O:SYD:AI(D;;CC;;;WD)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\Users\Default\Documents\Moja muzyka" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\Users\Default\Documents\Moje obrazy",1,"O:SYD:AI(D;;CC;;;WD)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\Users\Default\Documents\Moje obrazy" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\Users\Default\Documents\Moje wideo",1,"O:SYD:AI(D;;CC;;;WD)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\Users\Default\Documents\Moje wideo" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\Users\Default\Documents\My Music",1,"O:SYD:AI(D;;CC;;;WD)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\Users\Default\Documents\My Music" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\Users\Default\Documents\My Pictures",1,"O:SYD:AI(D;;CC;;;WD)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\Users\Default\Documents\My Pictures" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\Users\Default\Documents\My Videos",1,"O:SYD:AI(D;;CC;;;WD)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\Users\Default\Documents\My Videos" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\Users\Default\Local Settings",1,"O:SYD:AI(D;;CC;;;WD)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\Users\Default\Local Settings" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\Users\Default\Menu Start",1,"O:SYD:AI(D;;CC;;;WD)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\Users\Default\Menu Start" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\Users\Default\Moje dokumenty",1,"O:SYD:AI(D;;CC;;;WD)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\Users\Default\Moje dokumenty" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\Users\Default\My Documents",1,"O:SYD:AI(D;;CC;;;WD)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\Users\Default\My Documents" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\Users\Default\Start Menu",1,"O:SYD:AI(D;;CC;;;WD)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\Users\Default\Start Menu" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\Users\Default\Ustawienia lokalne",1,"O:SYD:AI(D;;CC;;;WD)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\Users\Default\Ustawienia lokalne" -ot file -actn restore -bckp C:\fix.txt

 

 

2. Robisz nowy log komendą:

 

DIR /AL /S C:\ >C:\log.txt

 

 

 

PS. A temat przenoszę do działu Windows. Tu jest przewodnim tematem zepsuta struktura komponentów systemowych a nie infekcje.

 

 

.

Odnośnik do komentarza

Zdecydowanie lepiej, ale tu jeszcze ostry zakręt na widoku. Robiłam najgrubsze linki, kilka pozycji drobnych zginęło w tłoku, oraz ujawniły się jeszcze rozwalone uprawnienia linków folderu C:\Users\Ania.

 

 

1. Wdrażasz sekwencje:

 

Plik fix.txt o zawartości:

 

"\\?\C:\Users\All Users",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\Users\All Users" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\Users\Ania\AppData\Local\Dane aplikacji",1,"O:SYD:AI(D;;CC;;;WD)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\Users\Ania\AppData\Local\Dane aplikacji" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\Users\Ania\AppData\Roaming\Microsoft\Windows\Start Menu\Programy",1,"O:SYD:AI(D;;CC;;;WD)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\Users\Ania\AppData\Roaming\Microsoft\Windows\Start Menu\Programy" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\Users\Ania\Cookies",1,"O:SYD:AI(D;;CC;;;WD)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\Users\Ania\Cookies" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\Users\Ania\Dane aplikacji",1,"O:SYD:AI(D;;CC;;;WD)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\Users\Ania\Dane aplikacji" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\Users\Ania\Menu Start",1,"O:SYD:AI(D;;CC;;;WD)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\Users\Ania\Menu Start" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\Users\Ania\Moje dokumenty",1,"O:SYD:AI(D;;CC;;;WD)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\Users\Ania\Moje dokumenty" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\Users\Ania\NetHood",1,"O:SYD:AI(D;;CC;;;WD)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\Users\Ania\NetHood" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\Users\Ania\PrintHood",1,"O:SYD:AI(D;;CC;;;WD)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\Users\Ania\PrintHood" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\Users\Ania\Recent",1,"O:SYD:AI(D;;CC;;;WD)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\Users\Ania\Recent" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\Users\Ania\SendTo",1,"O:SYD:AI(D;;CC;;;WD)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\Users\Ania\SendTo" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\Users\Ania\Szablony",1,"O:SYD:AI(D;;CC;;;WD)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\Users\Ania\Szablony" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\Users\Ania\Ustawienia lokalne",1,"O:SYD:AI(D;;CC;;;WD)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\Users\Ania\Ustawienia lokalne" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\Users\Default\Cookies",1,"O:SYD:AI(D;;CC;;;WD)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\Users\Default\Cookies" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\Users\Default\NetHood",1,"O:SYD:AI(D;;CC;;;WD)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\Users\Default\NetHood" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\Users\Default\PrintHood",1,"O:SYD:AI(D;;CC;;;WD)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\Users\Default\PrintHood" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\Users\Default\Recent",1,"O:SYD:AI(D;;CC;;;WD)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\Users\Default\Recent" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\Users\Default\SendTo",1,"O:SYD:AI(D;;CC;;;WD)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\Users\Default\SendTo" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\Users\Default\Szablony",1,"O:SYD:AI(D;;CC;;;WD)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\Users\Default\Szablony" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\Users\Default\Templates",1,"O:SYD:AI(D;;CC;;;WD)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\Users\Default\Templates" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\Users\Default\AppData\Local\History",1,"O:SYD:AI(D;;CC;;;WD)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\Users\Default\AppData\Local\History" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\Users\Default\AppData\Local\Historia",1,"O:SYD:AI(D;;CC;;;WD)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\Users\Default\AppData\Local\Historia" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\Users\Default\AppData\Local\Temporary Internet Files",1,"O:SYD:AI(D;;CC;;;WD)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\Users\Default\AppData\Local\Temporary Internet Files" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\ProgramData\Desktop",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\ProgramData\Desktop" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\ProgramData\Documents",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\ProgramData\Documents" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\ProgramData\Dokumenty",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\ProgramData\Dokumenty" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\ProgramData\Favorites",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\ProgramData\Favorites" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\ProgramData\Menu Start",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\ProgramData\Menu Start" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\ProgramData\Microsoft\Windows\Start Menu\Programy",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\ProgramData\Microsoft\Windows\Start Menu\Programy" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\ProgramData\Pulpit",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\ProgramData\Pulpit" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\ProgramData\Start Menu",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\ProgramData\Start Menu" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\ProgramData\Szablony",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\ProgramData\Szablony" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\ProgramData\Templates",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\ProgramData\Templates" -ot file -actn restore -bckp C:\fix.txt

 

Plik fix.txt o zawartości:

 

"\\?\C:\ProgramData\Ulubione",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\ProgramData\Ulubione" -ot file -actn restore -bckp C:\fix.txt

 

 

2. Robisz nowy log komendą:

 

DIR /AL /S C:\ >C:\log.txt

 

Log powinien skrócić się jeszcze bardziej.

 

 

 

.

Odnośnik do komentarza

Zadanie pomyślnie wykonane i dostęp do wszystkich linków zamknięty. W Windows Explorer linki typu Documents and settings mają teraz ikonę kłódki, a próba wejścia zwróci "Odmowę dostępu". Ale tu jeszcze nie koniec. Przejrzałam listę i brakuje u Ciebie takich linków w katalogach Dokumentów Twojego konta oraz Public:

 

 Katalog: C:\Users\Aretuza\Documents

 

2011-07-23 16:32 My Music [C:\Users\Aretuza\Music]

2011-07-23 16:32 My Pictures [C:\Users\Aretuza\Pictures]

2011-07-23 16:32 My Videos [C:\Users\Aretuza\Videos]

0 plik(˘w) 0 bajt˘w

 

Katalog: C:\Users\Public\Documents

 

2009-07-14 05:53 My Music [C:\Users\Public\Music]

2009-07-14 05:53 My Pictures [C:\Users\Public\Pictures]

2009-07-14 05:53 My Videos [C:\Users\Public\Videos]

 

Masz polski Windows, więc należy stworzyć aż 12 linków, bo te linki są w dwóch językach na polskim systemie. Tak jak to widać w temacie Griszy: KLIK.

 

 

1. Otwórz Notatnik i wklej w nim:

 

mklink /j "C:\Users\Ania\Documents\My Music" C:\Users\Ania\Music
mklink /j "C:\Users\Ania\Documents\My Pictures" C:\Users\Ania\Pictures
mklink /j "C:\Users\Ania\Documents\My Videos" C:\Users\Ania\Videos
mklink /j "C:\Users\Ania\Documents\Moja muzyka" C:\Users\Ania\Music
mklink /j "C:\Users\Ania\Documents\Moje obrazy" C:\Users\Ania\Pictures
mklink /j "C:\Users\Ania\Documents\Moje wideo" C:\Users\Ania\Videos
mklink /j "C:\Users\Public\Documents\My Music" C:\Users\Public\Music
mklink /j "C:\Users\Public\Documents\My Pictures" C:\Users\Public\Pictures
mklink /j "C:\Users\Public\Documents\My Videos" C:\Users\Public\Videos
mklink /j "C:\Users\Public\Documents\Moja muzyka" C:\Users\Public\Music
mklink /j "C:\Users\Public\Documents\Moje obrazy" C:\Users\Public\Pictures
mklink /j "C:\Users\Public\Documents\Moje wideo" C:\Users\Public\Videos
 
attrib +H +S /L "C:\Users\Ania\Documents\My Music"
attrib +H +S /L "C:\Users\Ania\Documents\My Pictures"
attrib +H +S /L "C:\Users\Ania\Documents\My Videos"
attrib +H +S /L "C:\Users\Ania\Documents\Moja muzyka"
attrib +H +S /L "C:\Users\Ania\Documents\Moje obrazy"
attrib +H +S /L "C:\Users\Ania\Documents\Moje wideo"
attrib +H +S /L "C:\Users\Public\Documents\My Music"
attrib +H +S /L "C:\Users\Public\Documents\My Pictures"
attrib +H +S /L "C:\Users\Public\Documents\My Videos"
attrib +H +S /L "C:\Users\Public\Documents\Moja muzyka"
attrib +H +S /L "C:\Users\Public\Documents\Moje obrazy"
attrib +H +S /L "C:\Users\Public\Documents\Moje wideo"
 
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Kliknij prawym na plik i z menu wybierz opcję Uruchom jako Administrator. Patrz uważnie czy w oknie nie ma żadnych błędów. Jeśli nie, przejdź do punktu 2:

 

2. Te linki również należy zablokować przed dostępem. Zestawy do załadowania:

 

---- Plik fix.txt o zawartości:

 

"\\?\C:\Users\Ania\Documents\My Music",1,"O:SYD:AI(D;;CC;;;WD)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\Users\Ania\Documents\My Music" -ot file -actn restore -bckp C:\fix.txt

 

Tu już nie rozpisuję, bo masz rozeznanie po wcześniejszych akcjach. Ten zestaw trzeba wykonać 6 razy, w pliku fix.txt i w komendzie zamieniając ścieżki po kolei na:

 

C:\Users\Ania\Documents\My Music

C:\Users\Ania\Documents\My Pictures

C:\Users\Ania\Documents\My Videos

C:\Users\Ania\Documents\Moja muzyka

C:\Users\Ania\Documents\Moje obrazy

C:\Users\Ania\Documents\Moje wideo

 

---- Plik fix.txt o zawartości:

 

"\\?\C:\Users\Public\Documents\My Music",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)"

 

Ładujesz w cmd komendę:

 

SetACL -on "C:\Users\Public\Documents\My Music" -ot file -actn restore -bckp C:\fix.txt

 

Tu z kolei wymieniasz ścieżkę 6 razy tymi:

 

C:\Users\Public\Documents\My Music

C:\Users\Public\Documents\My Pictures

C:\Users\Public\Documents\My Videos

C:\Users\Public\Documents\Moja muzyka

C:\Users\Public\Documents\Moje obrazy

C:\Users\Public\Documents\Moje wideo

 

3. Gdy wszystko się wykona, zrób nowy skan OTL, ten który miałam sprawdzać po czyszczeniu śmieci adware. Teraz po naprawie defektu skan będzie o wiele krótszy.

 

 

.

Odnośnik do komentarza

Mam nadzieję, że udało mi się zrobić wszystko bez błędów. Wklejam dzisiejsze logi z OTL, skan się zrobił ekspresowo.

 

Prosiłabym jeszcze, jeśli to możliwe o krótką analizę tego co się u mnie stało na kompie. Chciałabym wykluczyć celowe działanie osób trzecich. Czy to mogło służyć jakiemuś szpiegowaniu, podglądaniu moich plików? Nie mówię o wirusach czy trojanach, tylko o czyimś wścibstwie. Nie przypominam sobie, żebym ja coś takiego zrobiła sama (zmiana uprawnień moich plików usera). I czy taka usterka mogła się zrobić samoistnie?

Extras.Txt

OTL.Txt

Odnośnik do komentarza

Co do raportu OTL, to potwierdzam wykonanie czyszczenia śmieci zadane w poście #4. Tylko kosmetyczne działania czyszczące na koniec:

 

1. Zresetuj plik HOSTS do postaci domyślnej za narzędzia Fix-it: KB972034

 

2. Porządki po narzędziach: przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Do aktualizacji wymienione poniżej programy:

 

Internet Explorer (Version = 8.0.7601.17514)

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 24

"{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java™ 7 Update 4

"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight

"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.4)

"Adobe Shockwave Player" = Adobe Shockwave Player 11.5

 

========== HKEY_USERS Uninstall List ==========

 

[HKEY_USERS\S-1-5-21-3733330999-942996888-703669214-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"Google Chrome" = Google Chrome 23.0.1271.95

 

FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)

 

Zaktualizuj Google Chrome i Internet Explorer, odinstaluj wszystkie wyliczone tu stare Adobe Reader X + Adobe Shockwave Player + Java + Silverlight i jeśli potrzebne zastąp najnowszymi: KLIK.

 

 

Prosiłabym jeszcze, jeśli to możliwe o krótką analizę tego co się u mnie stało na kompie. Chciałabym wykluczyć celowe działanie osób trzecich. Czy to mogło służyć jakiemuś szpiegowaniu, podglądaniu moich plików? Nie mówię o wirusach czy trojanach, tylko o czyimś wścibstwie. Nie przypominam sobie, żebym ja coś takiego zrobiła sama (zmiana uprawnień moich plików usera). I czy taka usterka mogła się zrobić samoistnie?

 

Nie jestem w stanie stwierdzić jak do tego doszło, może jakiś program uzyskiwał w nieprawidłowy sposób dostęp do linków symbolicznych i zdjął im niechcący uprawnienia, a może błąd systemu czy na dysku. W wersję nieautoryzowanego dostępu wątpię. Po co się bowiem trudzić z usuwaniem uprawnień z tych linków, skoro to są tylko linki do innych niezablokowanych lokalizacji, które można otworzyć od razu. Te linki służą do symulacji starej struktury folderów znanej z XP, tak by programy niekompatybilne zostały przekierowane na nowe ścieżki. Np. C:\Documents and settings to link do C:\Users. Linki muszą być zablokowane, bo skutki ich niezablokowania namacalnie tu doświadczone.

 

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...