Skocz do zawartości

Problem z zapamiętywaniem układu ikon Pulpitu


Caspa

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

FRST:

http://wklej.org/id/1802710/

http://wklej.org/id/1802711/

http://wklej.org/id/1802712/

 

GMER:

http://wklej.org/id/1802694/

 

Myślę, że to zeroaccess bo ikony na pulpicie zmieniają miejsce (autorozmieszczanie wyłączone), eset wykrył 3 pliki z trojanami podczas skanowania, wszystkie usunąłem a problem został. Podczas pisania tego postu miałem BSOD'a więc to chyba kolejny powód. Z tego co wiem zeroaccess jest trudny do znalezienia i usunięcia więc eset chyba sobie nie poradził.

Nie znam się na  takich rzeczach więc jeśli coś jest źle zeskanowane albo czegoś nie ma to napisz.

Odnośnik do komentarza

Caspa

 

Myślę, że to zeroaccess bo ikony na pulpicie zmieniają miejsce (autorozmieszczanie wyłączone), eset wykrył 3 pliki z trojanami podczas skanowania, wszystkie usunąłem a problem został. Podczas pisania tego postu miałem BSOD'a więc to chyba kolejny powód. Z tego co wiem zeroaccess jest trudny do znalezienia i usunięcia więc eset chyba sobie nie poradził.

Temat zostaje przeniesiony do działu Windows 10. W raportach brak jakichkolwiek śladów infekcji, która mogłaby mieć z tym związek i szczerze powątpiewam, by problem był pochodną infekcji. Te objawy mogą być wynikiem różnych problemów, w tym zupełnie nie związanych z infekcją. Ważna sprawa, nie podałeś raportu z ESET co usuwał i skąd, a wytyczne działu wyraźnie wskazują by owe materiały dostarczyć. ZeroAccess to stara infekcja (nieaktywny botnet), która od jakiegoś czasu nie występuje, a określone warianty tej infekcji nawet nie mogą się zainstalować w Windows 10 ze względu na zmiany techniczne w tej platformie. W Twoim systemie nie występuje żadna z wersji ZeroAccess, wliczając wariant który powoduje opisywany problem - dowodem są logi z FRST (program specjalizowany w detekcji wszystkich znanych wariantów ZeroAccess). BSOD także nie może być z winy nieistniejącego ZeroAccess.

Natomiast tu jest podejrzenie, że przyczyną usterki z ikonami Pulpitu może być ... ESET - błędna detekcja i edycja określonego klucza w rejestrze. Nie jest też pewne co dodatkowo robiłeś (widać pobrany SystemLook), czy się dodatkowo nie pogrążyłeś próbując "naprawiać" coś ręcznie i stosując wpisy rejestru niepasujące do Windows 10. Krok pierwszy to będzie pobranie określonych danych z rejestru w trybie "tylko do odczytu" - załączam pobór tych danych w skrypcie FRST podanym niżej.

 

Druga sprawa: Twój system Windows 10 był instalowany techniką aktualizacji Windows 7, w konsekwencji w systemie pozostały śmieci po poprzednim systemie, głównie w Harmonogramie zadań. Jest to sprawa podrzędna, lecz dodatkowo będę sprzątać system z tych śmieci. Zwracam też uwagę, że aktualizacja Windows 10 wyłączyła Przywracanie systemu, miej tego świadomość.

 

 

 

Do przeprowadzenia następujące operacje:

 

1. Otwórz Notatnik i wklej w nim:

 

Task: {00CBB0B7-B00C-491C-AF49-52BA7CDD0174} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe
Task: {1636749C-5D41-4834-A113-2F904EEB7337} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe
Task: {1765BCFC-C7EB-4485-AF1E-6803AFD455C1} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe
Task: {1DF2729B-6D6D-4CDC-B021-060005C89BA8} - System32\Tasks\{EDB1BC50-C530-46F4-BCDE-766C7AC5361D} => pcalua.exe -a D:\utorrnet\Dishonored\setup.exe -d D:\utorrnet\Dishonored
Task: {2086D245-674E-4D61-8BA1-480EC16D7713} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {255B38F8-CDBA-4A24-96F8-A41A268964BE} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe
Task: {27C5F0C2-3C94-45C7-B3E8-A23A643EF653} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {2AA35FC8-CBDF-43BB-A9DA-FBABE3A6750F} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe
Task: {4A3FF6E4-EAC1-4E99-AB4B-8771DC30BDD2} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe
Task: {57B6C199-1BA7-4466-A392-483D0B3397D2} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {5B2E3D90-9843-4C23-BBE8-AEFFBD324D59} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe
Task: {604148F3-76BB-427B-AA8C-31E0A07704EA} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe
Task: {622BA747-0B24-42BA-A7DA-9D4DD2C04F59} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe
Task: {630803A1-E321-448B-94B7-A220C563D041} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe
Task: {63E61DCB-731F-4FA9-8331-EA99CC49B982} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {6D3C31D6-8199-4FA8-9EE9-281A0C859654} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe
Task: {6F56CCDC-70E7-497C-8A02-F1DA80F7ABF2} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe
Task: {7153B9E4-FB56-4CC3-AD08-1657B1E7A974} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe
Task: {7748C444-9625-45B9-A849-F03DE5030D54} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {7ADF769F-8706-4C99-9F34-A0C97696CABA} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
Task: {8DB910B8-204F-47E7-863F-15E6907A8710} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe
Task: {A8427BEA-1214-4C4F-9ACF-4CCB48BBB2A0} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {A8E2669D-1DBD-444C-857E-230A4FC0C3A8} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe
Task: {B1CB71DC-3F75-4A86-8DEF-81E8EE9DF5CD} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe
Task: {BA91FB0B-8031-42EF-B001-004AF0B87A20} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe
Task: {D0A4CCE7-5D56-4645-99C2-E6F80C67FE58} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe
Task: {D1695A40-1AA8-4471-8E42-9AEA8A0B2702} - System32\Tasks\{DC37BBA6-2B1B-4AB3-989B-ECCAA1B9B4AA} => pcalua.exe -a "D:\The Sims 2\EAUninstall.exe"
Task: {D52A02A2-4F51-4E88-8B99-EB1AD47C5CCF} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
Task: {DADC4D21-9F67-4BA9-8887-068A50F18246} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
Task: {DC23FDA8-ED61-476C-A755-5B039E328D63} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {E44EFBDE-75D0-45B3-89CB-BB71B566886B} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {EF5262B9-983E-4871-95B2-0FC235EFD683} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {F130609F-7B1E-4028-82CD-EACD2B96D906} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {F3705329-0CE2-41D4-AA52-ED5BD64887BD} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe
Task: {F6781F84-A3D6-4B1F-84D1-D586BAA5C43B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
U3 fxtoipow; C:\Users\konto\AppData\Local\Temp\fxtoipow.sys [56496 2015-09-23] (GMER) [brak podpisu cyfrowego]
U3 idsvc; Brak ImagePath
U3 wpcsvc; Brak ImagePath
HKU\S-1-5-21-835746795-2319851380-3316763563-1000\...\Run: [Clownfish] => [X]
FF Plugin: @esn/npbattlelog,version=2.6.2 -> C:\Program Files (x86)\Battlelog Web Plugins\2.6.2\npbattlelogx64.dll [brak pliku]
FF Plugin: @esn/npbattlelog,version=2.7.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.7.0\npbattlelogx64.dll [brak pliku]
FF Plugin-x32: @esn/npbattlelog,version=2.6.2 -> C:\Program Files (x86)\Battlelog Web Plugins\2.6.2\npbattlelog.dll [brak pliku]
FF Plugin-x32: @esn/npbattlelog,version=2.7.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.7.0\npbattlelog.dll [brak pliku]
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center
Reg: reg query HKCU\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
Reg: reg query HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Drobny odpadek adware w Google Chrome: Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres feed.helperbar.com

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt oraz przeklej raport ESET pokazujący co on usuwał.

Odnośnik do komentarza

raport ESET: http://wklej.org/id/1804006/przerwałem skanowanie bo musiałem robić je drugi raz i wiedziałem już, że więcej plików z do usunięcia nie będzie.

fixlog: http://wklej.org/id/1804008/

FRST: http://wklej.org/id/1804009/

addition: http://wklej.org/id/1804010/

System look'a używałem bo widziałem podobny temat na innym forum i próbowałem zrobić to co tam ale kiedy zobaczyłem, że skrypty są dla każdego inne to przestałem. Skończyło się tylko na skanie system look'iem.

Odnośnik do komentarza

Fix FRST pomyślnie przetworzony. Problem z ikonami Pulpitu jest też już jasny - tworzą go błędne ścieżki w kluczach InProcServer32:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32

(Default) REG_EXPAND_SZ %SystemRoot%\system32\shell32.dll

ThreadingModel REG_SZ Apartment

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32

(Default) REG_EXPAND_SZ %SystemRoot%\SysWow64\shell32.dll

ThreadingModel REG_SZ Apartment

 

W Windows 10 jest kierunek na plik windows.storage.dll. Kierunek na shell32.dll występuje w Windows 7 i starszych systemach. To nie jest infekcja, błąd musiał utworzyć program zewnętrzny. Mówiłeś, że ESET coś wykrywał - te wykryte rzeczy to błahe sprawy, które nie miały wpływu na system. Wbrew moim podejrzeniom w raporcie ESET nie było więc nic powiązanego, ale poszukałam informacji na oficjalnym forum ESET. To jest wina ESET, dowolna detekcja odpala tę usterkę: KLIK. To oznacza, że gdy naprawię problem, on się ponownie pojawi, gdyż skorzystasz z ESET.

 

 

Naprawa:

 

1. Pobierz SetACL (na spodzie strony klik w "Administrators: Download the EXE version of SetACL 3.0.6 for 32-bit and 64-bit Windows"). Rozpakuj pobraną paczkę i z folderu x64 przekopiuj plik SetACL.exe do katalogu C:\Windows.

 

2. Otwórz Notatnik i wklej w nim:

 

CMD: SetACL -on "HKLM\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32" -ot reg -actn setowner -ownr "n:Administratorzy"
CMD: SetACL -on "HKLM\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32" -ot reg -actn ace -ace "n:Administratorzy;p:full"
CMD: SetACL -on "HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32" -ot reg -actn setowner -ownr "n:Administratorzy"
CMD: SetACL -on "HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32" -ot reg -actn ace -ace "n:Administratorzy;p:full"
Reg: reg add HKLM\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32 /ve /t REG_EXPAND_SZ /d ^%SystemRoot^%\system32\windows.storage.dll /f
Reg: reg add HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32 /ve /t REG_EXPAND_SZ /d ^%SystemRoot^%\SysWow64\windows.storage.dll /f
CMD: SetACL -on "HKLM\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32" -ot reg -actn ace -ace "n:Administratorzy;p:read" -actn setowner -ownr "n:SYSTEM"
CMD: SetACL -on "HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32" -ot reg -actn ace -ace "n:Administratorzy;p:read" -actn setowner -ownr "n:SYSTEM"
Reboot:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nastąpi restart systemu. Powstanie kolejny plik fixlog.txt. Przedstaw go.

 

3. Jeśli punkt 2 poprawnie się wykona, po restarcie problem z ikonami powinien ustąpić. Ale Twój ESET znów to zepsuje, gdy nastąpi jakaś detekcja. Z tego co rozumiem z wątku na forum ESET, trzeba zaktualizować moduł "Cleaner" w ESET.

Odnośnik do komentarza
  • 4 tygodnie później...

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...