Skocz do zawartości

Zmiany wyglądu ikon


Rekomendowane odpowiedzi

Dobry wieczór!

 

Posiadam Windows XP Home 32 bitowy. 13 listopada przy przeglądaniu stron internetowych litery zamieniły się w krzaki/paski, IE się zmulił, do tego ikony plików spakowanych rarem zrobiły się czarne, a ikona napędu DVD zmieniła się na domyślną Windowsa, a ikony plików htm na "telewizorki" (jak exe).

Walczę z tym dziadostwem od 13 listopada i wreszcie udało mi się zrobić log Gmera.

Początkowo miałem z nim problemy, pierwsze użycie = reset komputera (sam się wyłączył tuż po dwukliku), potem pochodził kilka godzin i też się zresetował (czego niestety nie widziałem, tak zeznaje żona), kolejny test przeszedł, ale przestał reagować przy próbie zapisania logu, potem ze dwa, gdzie się po drodze zawieszał i wreszcie dzisiaj się udało.

Avira 13.11 wykryła i przeniosła do kwarantanny takich oto delikwentów: TR/Expl.Nuker.NSNuke.D Trojan, TR/Dldr.Java.Agent.BI Trojan, TR/Dldr.Java.Agent.BH Trojan, a także pliki zawierające recognition pattern of the JAVA/Agent.a Java virus, JAVA/Agent.CK Java virus.

W międzyczasie Kaspersky Virus Removal Tool znalazł kolejnego trojana (niestety nie pamiętam co to było, możliwe że TR/Proxy.Horst.1710408 Trojan).

W końcu dzisiaj ruszył Gmer, dodatkowo zrobiłem logi OTL, już wydawało się, że jest nieźle, ikony wróciły do starej postaci, ale po restarcie znowu są nie takie jak trzeba.

Wrzucam logi:

gmer.txt

OTL.Txt

Extras.Txt

Proszę o pomoc.

Jacek

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Log z OTL robiony na nieprawidłowych ustawieniach, zaznaczyłeś Wszystko a nie Użyj filtrowania, analiza takich raportów trwa dwa razy dłużej. Zaś w raportach nie widzę żadnych znaków czynnej infekcji ani przekojarzenia asocjacji rozszerzeń. A ten "podejrzany" sterownik to przypuszczalnie po użyciu któregoś z mini skanerów Kasperskiego (np. AVZ Antiviral Toolkit):

 

DRV - [2010-11-16 23:00:38 | 000,007,168 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\utm0ndi2.sys -- (utm0ndi2)

[2010-11-16 23:00:37 | 000,007,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\utm0ndi2.sys

 

Co najwyżej można zrobić kosmetykę usunia wpisów "not found" i "error", ale to nie jest aż takie istotne dopóki nie jest rozwiązany problem główny. To potem. Komentarze do Dziennika zdarzeń:

 

Error - 2010-11-16 13:13:37 | Computer Name = BERNACCY | Source = Service Control Manager | ID = 7022

Description = Usługa Usługa HP CUE DeviceDiscovery zawiesiła się podczas uruchamiania.

 

Kilka wystąpień tego błędu. To znany problem zawieszeń tej usługi Hewlett-Packard, powodujący także potworne wydłużanie startu. Usługę wyłącz: Start > Uruchom > services.msc, wyszukaj tę usługę, wywołaj jej Właściwości, tam Typ startu ustaw na Wyłączona, a usługę Zatrzymaj.

 

Error - 2010-11-17 07:54:09 | Computer Name = BERNACCY | Source = Userenv | ID = 1512

Description = System Windows nie może zwolnić pliku rejestru. Pamięć używana przez

ten rejestr nie została zwolniona. Najczęstszą tego przyczyną są usługi uruchamiane

z konta użytkownika. Próbuj skonfigurować te usługi, aby były uruchamiane z konta

LocalService lub NetworkService. Jeśli ten problem będzie się powtarzać, skontaktuj

się z administratorem sieci. SZCZEGÓŁY - Zasoby systemowe nie wystarczają do ukończenia

żądanej usługi.

 

Ten błąd mogą powodować także antywirusy i inne zaborcze programy. Do rozwiązywania tego typu problemów służy User Hive Profile CleanUp Service.

 

Avira 13.11 wykryła i przeniosła do kwarantanny takich oto delikwentów: TR/Expl.Nuker.NSNuke.D Trojan, TR/Dldr.Java.Agent.BI Trojan, TR/Dldr.Java.Agent.BH Trojan, a także pliki zawierające recognition pattern of the JAVA/Agent.a Java virus, JAVA/Agent.CK Java virus.

W międzyczasie Kaspersky Virus Removal Tool znalazł kolejnego trojana (niestety nie pamiętam co to było, możliwe że TR/Proxy.Horst.1710408 Trojan).

 

Lokalizacje! Nazwy nic nie mówią, musi być podana ścieżka dostępu / precyzyjna nazwa pliku gdzie to zostało namierzone.

 

13 listopada przy przeglądaniu stron internetowych litery zamieniły się w krzaki/paski, IE się zmulił, do tego ikony plików spakowanych rarem zrobiły się czarne, a ikona napędu DVD zmieniła się na domyślną Windowsa, a ikony plików htm na "telewizorki" (jak exe).

(...)

już wydawało się, że jest nieźle, ikony wróciły do starej postaci, ale po restarcie znowu są nie takie jak trzeba

 

Czy te zmiany ikon to na pewno sprawa infekcji? Może poszło cache ikon. Spróbuj zresetować cache: prawoklik na Pulpit > Właściwości > Ustawienia > przestaw głębię kolorów z 32-bit na 16-bit, odczekaj chwilę i przestaw z powrotem na 32-bit.

 

 

 

.

Odnośnik do komentarza
Log z OTL robiony na nieprawidłowych ustawieniach, zaznaczyłeś Wszystko a nie Użyj filtrowania, analiza takich raportów trwa dwa razy dłużej.

Przepraszam, miało być dobrze, a wyszło jak zwykle...

 

 

Komentarze do Dziennika zdarzeń:

Error - 2010-11-16 13:13:37 | Computer Name = BERNACCY | Source = Service Control Manager | ID = 7022

Description = Usługa Usługa HP CUE DeviceDiscovery zawiesiła się podczas uruchamiania.

 

Kilka wystąpień tego błędu. To znany problem zawieszeń tej usługi Hewlett-Packard, powodujący także potworne wydłużanie startu. Usługę wyłącz: Start > Uruchom > services.msc, wyszukaj tę usługę, wywołaj jej Właściwości, tam Typ startu ustaw na Wyłączona, a usługę Zatrzymaj.

Zrobione

 

Error - 2010-11-17 07:54:09 | Computer Name = BERNACCY | Source = Userenv | ID = 1512

Description = System Windows nie może zwolnić pliku rejestru. Pamięć używana przez

ten rejestr nie została zwolniona. Najczęstszą tego przyczyną są usługi uruchamiane

z konta użytkownika. Próbuj skonfigurować te usługi, aby były uruchamiane z konta

LocalService lub NetworkService. Jeśli ten problem będzie się powtarzać, skontaktuj

się z administratorem sieci. SZCZEGÓŁY - Zasoby systemowe nie wystarczają do ukończenia

żądanej usługi.

 

Ten błąd mogą powodować także antywirusy i inne zaborcze programy. Do rozwiązywania tego typu problemów służy User Hive Profile CleanUp Service.

Zrobione

 

 

Lokalizacje! Nazwy nic nie mówią, musi być podana ścieżka dostępu / precyzyjna nazwa pliku gdzie to zostało namierzone.

Już się poprawiam:

 

Avira z 13.11:

Beginning disinfection:

N:\rmvb\Portable - NFS Underground 2\SetupReg.exe

[DETECTION] Is the TR/Expl.Nuker.NSNuke.D Trojan

[NOTE] The file was moved to the quarantine directory under the name '4e6aa1f8.qua'.

C:\Documents and Settings\Jacek\Dane aplikacji\Sun\Java\Deployment\cache\6.0\44\66987e2c-6b490301

[DETECTION] Is the TR/Dldr.Java.Agent.BI Trojan

[NOTE] The file was moved to the quarantine directory under the name '56b68e70.qua'.

C:\Documents and Settings\Jacek\Dane aplikacji\Sun\Java\Deployment\cache\6.0\43\44fc60eb-747e7b83

[DETECTION] Is the TR/Dldr.Java.Agent.BH Trojan

[NOTE] The file was moved to the quarantine directory under the name '04b4d4e6.qua'.

C:\Documents and Settings\Jacek\Dane aplikacji\Sun\Java\Deployment\cache\6.0\35\61bec763-2308d6c4

[DETECTION] Contains recognition pattern of the JAVA/Agent.a Java virus

[NOTE] The file was moved to the quarantine directory under the name '62879b21.qua'.

C:\Documents and Settings\Jacek\Dane aplikacji\Sun\Java\Deployment\cache\6.0\1\444294c1-1be58589

[DETECTION] Contains recognition pattern of the JAVA/Agent.CK Java virus

[NOTE] The file was moved to the quarantine directory under the name '2751b61a.qua'.

 

Avira z 15.11:

Begin scan in 'C:\Documents and Settings\Jacek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\BQ3N7J3T\rmvirut[1].exe'

C:\Documents and Settings\Jacek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\BQ3N7J3T\rmvirut[1].exe

[DETECTION] Is the TR/Proxy.Horst.1710408 Trojan

[WARNING] An error has occurred and the file was not deleted. ErrorID: 26004

[WARNING] The source file could not be found.

[NOTE] Attempting to perform action using the ARK library.

[WARNING] The file could not be copied to quarantine!

[WARNING] The file does not exist!

 

Czy te zmiany ikon to na pewno sprawa infekcji? Może poszło cache ikon. Spróbuj zresetować cache: prawoklik na Pulpit > Właściwości > Ustawienia > przestaw głębię kolorów z 32-bit na 16-bit, odczekaj chwilę i przestaw z powrotem na 32-bit.

Pomogło.

 

Niestety Gmer pochodził 4 godziny, skończył zadanie i komputer znowu się zawiesił. W końcu się udało zapisać wynik, ale potem znowu brak odpowiedzi.

Kiepsko to wszystko wygląda.

 

Logi:

OTL.Txt

Extras.Txt

gmer.txt

Odnośnik do komentarza
Niestety Gmer pochodził 4 godziny, skończył zadanie i komputer znowu się zawiesił. W końcu się udało zapisać wynik, ale potem znowu brak odpowiedzi.

Kiepsko to wszystko wygląda.

 

Ale co wygląda "kiepsko"? Nie sugeruj się faktem zawieszenia systemu podczas działania GMER. Bardzo wiele osób nie może przejść tego skanu, na całkowicie czystych komputerach.

 

Oceniając wyniki z Avira: nie wydaje mi się, że tu jest problem infekcji czynnej w systemie, a wyniki wyglądają na mało istotne. Pierwsza grupa to w 99% cache Java. W drugiej grupie wynik z rmvirut[1].exe w Tymczasowych plikach internetowych = to wygląda na pobraną ze strony AVG szczepionkę do usuwania Viruta (czy tak?), a jeśli, to narzędzie tego rodzaju może być błędnie oceniane przez inny skaner.

 

Sumarycznie: nadal nie widzę tu problemu infekcji, a defekt pomieszanych ikon został naprawiony (zaś wykorzystana metoda naprawy udowadnia, że problem leżał w błędnym keszu). Mogę więc wykonać drobną kosmetykę, polegającą na usunięciu wpisów "not found" / "error" plus sprzątnięciu lokalizacji tymczasowych (co obejmuje m.in. i cache Java).

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\splitcam.sys -- (SPLITCAM)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\MSI\Core Center\RushTop.sys -- (RushTopDevice)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\PCASp50.sys -- (PCASp50)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\PCAMPR5.SYS -- (PCAMPR5)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\MTiCtwl.sys -- (MagicTune)
DRV - File not found [Kernel | On_Demand | Stopped] -- I:\INSTALL\GMSIPCI.SYS -- (GMSIPCI)
DRV - [2010-11-16 23:00:38 | 000,007,168 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\utm0ndi2.sys -- (utm0ndi2)
O2 - BHO: (PDFCreator Toolbar Helper) - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll File not found
O3 - HKLM\..\Toolbar: (PDFCreator Toolbar) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll File not found
O3 - HKU\S-1-5-21-861567501-1482476501-839522115-1004\..\Toolbar\ShellBrowser: (PDFCreator Toolbar) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll File not found
O3 - HKU\S-1-5-21-861567501-1482476501-839522115-1004\..\Toolbar\WebBrowser: (PDFCreator Toolbar) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll File not found
O4 - HKLM..\Run: []  File not found
O4 - HKU\S-1-5-21-861567501-1482476501-839522115-1004..\Run: []  File not found
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0005-ABCDEFFEDCBA} "http://java.sun.com/update/1.5.0/jinstall-1_5_0_05-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0007-ABCDEFFEDCBA} "http://java.sun.com/update/1.5.0/jinstall-1_5_0_07-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C}  (Reg Error: Value error.)
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\emu\SEGA M2\SegaM2\emulator.exe"=-
"C:\rmvb\AoE2P\Age of Empires II Conquerors Expansion.exe"=-
 
:Commands
[emptyflash]
[emptytemp]

 

Klik w Wykonaj skrypt. Komputer będzie restartował, a po tym otrzymasz log.

 

2. W Dodaj / Usuń możesz nieco posprzątać. Czyli odinstalować te różne paski narzędziowe dodane do przeglądarek (Yahoo! Companion, Skype Toolbars, Google Toolbar, Megaupload Toolbar), chyba że któryś jest wykorzystywany. Zaktualizuj do wersji Adobe Reader X. Jest tu i bogaty zestaw przestarzałych Java:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java™ 6 Update 22

"{3248F0A8-6813-11D6-A77B-00B0D0150050}" = J2SE Runtime Environment 5.0 Update 5

"{3248F0A8-6813-11D6-A77B-00B0D0150070}" = J2SE Runtime Environment 5.0 Update 7

"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java™ 6 Update 3

"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java™ 6 Update 5

"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java™ 6 Update 7

Cały majdan uprzątniesz za pomocą JavaRa. W systemie ma pozostać jedynie najnowsza Java 6 Update 22 (JRE).

 

DRV - [2002-07-27 17:01:06 | 000,005,306 | ---- | M] (Windows ® 2000 DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\TBPanel.sys -- (TBPanel)

DRV - [2002-07-27 17:01:06 | 000,005,306 | ---- | M] (Windows ® 2000 DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\TBPanel.sys -- (Cardex)

DRV - [1999-09-10 12:06:00 | 000,025,244 | ---- | M] (Adaptec) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\ASPI32.SYS -- (ASPI32)

Te strasznie stare sterowniki TBPanel znikną po deinstalacji narzędzia VDOTool. Kolejna staroć, czyli sterowniki ASPI Adapteca, można zastąpić przez nowsze Frog Aspi.

 

 

 

.

Odnośnik do komentarza

No cóż najwyraźniej przy następnej okazji będę musiał wziąć coś na nerwy i działać mniej chaotycznie (ew. to znak upływających lat :))

Faktycznie mogła to być szczepionka na Viruta.

Ikony są w porządku.

 

1. OTL zrobił swoje:

11192010_082854.txt

 

2. Powywalałem dodatki, Acrobat uaktualniony, sprzątanie Javy i aktualizacja ASPI przeprowadzone.

Logi z OTL:

OTL.Txt

Extras.Txt

 

Czyżby szczęśliwy koniec nie-zawirusowania?

Odnośnik do komentarza

OTL wykonał swoje, jesteś także do przodu o 870MB miejsca na dysku (tyle "kosztowały" Twoje śmieci w lokalizacjach tymczasowych).

 

1. Drobnica na koniec, bo deinstalacje nie były perfekcyjne i zostały szczątki. Czyli do OTL sobie wklej:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\TBPANEL.SYS -- (Cardex)
O3 - HKU\S-1-5-21-861567501-1482476501-839522115-1004\..\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - No CLSID value found.
O3 - HKU\S-1-5-21-861567501-1482476501-839522115-1004\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
[2010-11-14 21:20:42 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Iza\Dane aplikacji\MEGAUPLOADTOOLBAR

 

Uruchom jak uprzednio, ale tym razem nie będzie restartował. Po ukończeniu pracy wywołaj opcję Sprzątanie.

 

2. Ostatni komentarz, jakoś tego nie wychwyciłam wcześniej. HDD Regenerator to nie jest dobry pomysł, więcej szkód niż pożytku. Oprogramowanie z prawdziwego zdarzenia: MHDD + Victoria.

 

Acrobat uaktualniony

 

? Ciągle widzę na liście programów przestarzałą wersję (i to tę, która ma lukę zabezpieczeń powodującą autowykonanie infekcji z wklejek iframe):

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{AC76BA86-7AD7-1045-7B44-A70000000000}" = Adobe Reader 7.0 - Polish

 

Czyżby szczęśliwy koniec nie-zawirusowania?

 

Na to wygląda.

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...