Skocz do zawartości

Zapamiętywanie widoków folderów


Max17b

Rekomendowane odpowiedzi

Pod kątem układu Pulpitu, w logu widzę te oto polisy:

 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1

 

Spróbujmy to usunąć i zobaczymy czy ma to jakieś skutki dla Pulpitu. Poza tym, widzę że coś kombinowałeś, na dysku folder wyglądający na należny do "Desktop Item Position Saver 64-bit edition":

 

[2012-05-27 11:19:42 | 000,000,000 | ---D | C] -- C:\Program Files\DIPS64

 

 

1. Pozbądź się wszystkich aplikacji "zapisujących" układy ikon Pulpitu, by wyniki były wiarygodne.

 

2. Usunięcie w/w polis, przy okazji też wpisów odpadkowych + czyszczenie lokalizacji tymczasowych. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
IE - HKU\S-1-5-21-3733040514-206776697-3504925482-1000\..\URLSearchHook: {F08555B0-9CC3-11D2-AA8E-000000000567} - No CLSID value found
IE - HKU\S-1-5-21-3733040514-206776697-3504925482-1000\..\SearchScopes\{0FEF2D2C-CDA6-45E4-B2ED-9DF7C50C95FF}: "URL" = "http://gbt.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp"
IE - HKU\S-1-5-21-3733040514-206776697-3504925482-1000\..\SearchScopes\{6975F45A-1109-46b5-83D7-DACC80863180}: "URL" = "http://search.speedbit.com/searchresults.asp?src=default&q={searchTerms}"
O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (Reg Error: Key error.)
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

3. Ułóż ikony na Pulpicie, zresetuj ponownie system, przedstaw wyniki akcji.

 

 

 

.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Do uzupełniania informacji, gdy nikt nie odpisał, służy opcja Edytuj. Skleiłam sekwencję dwóch postów. Dołączony log zaś wskazuje, że uruchamiałeś skrypt dwa razy (to skrypty jednorazowego użytku), bo wszystko jest "not found".

 

W kwestii problemu: sprawdź czy problem jest zależny od konta użytkownika. Stwórz przez Panel sterowania nowe konto o uprawnieniach administracyjnych, zaloguj się na nie i zweryfikuj co się dzieje z układaniem Pulpitowych ikon i widokami innych folderów.

 

 

 

 

.

Odnośnik do komentarza

Już wiem o co tu chodzi. Jesteś zainfekowany trojanem ZeroAccess, na ile pełna infekcja nie wiem (widzę tylko rejestr a nie składniki na dysku), możliwe że to resztki. Jego obecność w rejestrze wykazana następującym wpisem:

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]

@="C:\\Users\\USHER\\AppData\\Local\\{5195b7c7-c031-1397-372b-fcbeee02d2f6}\\n."

"ThreadingModel"="Both"

 

Wpis jest zlokalizowany po stronie bieżącego użytkownika, dlatego na nowym koncie nie ma problemu (inny rejestr = inne wpisy w HKEY_CURRENT_USER). Dla porównania temat z dziś (pomyślnie rozwiązany) z identycznymi objawami: KLIK. To obecność dostawionej klasy {42aedc87-2188-41fd-b9a3-0c966feabec1} trojana powoduje niemożność utrzymania prawidłowych widoków. Zanim przejdę do usunięcia tego wpisu z konta poproszę o wyszukiwanie na dysku pod kątem obecności folderu trojana. W SystemLook x64 do skanu wklej:

 

:folderfind
{5195b7c7-c031-1397-372b-fcbeee02d2f6}

 

Klik w Look i wklej raport do posta.

 

 

 

.

Odnośnik do komentarza

SystemLook 30.07.11 by jpshortstuff

Log created at 21:57 on 31/05/2012 by Gabriel

Administrator - Elevation successful

 

========== folderfind ==========

 

Searching for "{5195b7c7-c031-1397-372b-fcbeee02d2f6}"

No folders found.

 

-= EOF =-

 

EDIT

Wynik wyszukiwania z nowego konta użytkownika. Poprzednie usunąłem.

Odnośnik do komentarza

Skan nic nie wykazał na dysku, wyglądało to na resztkę w rejestrze.

 

 

Poprzednie usunąłem.

 

No cóż, pośpieszyłeś się zbytnio (wyraźnie zaznaczyłam, że przed akcją usuwania konta mogę jeszcze ciągnąć analizę, i na dodatek usterka okazała się jawna). Naprawa to była kwestia kasacji jednego klucza w rejestrze. Rozumiem, że sprawa jest zamknięta, temat też zostanie zamknięty.

 

 

.

Odnośnik do komentarza
Mam jeszcze jedno pytanie. Co to za dziwny folder i plik ?

 

1. $WINDOWS.~Q - Wynik aktualizacji systemu Vista do Windows 7. Folder jest odpadkiem pokonwersyjnym i spokojnie do kasacji, a można to wykonać poprzez Narzędzie oczyszczania dysku (Pliki wszystkich użytkowników na tym komputerze > Pliki odrzucone przez uaktualnienie systemu) lub ręcznie.

 

2. PDOXUSRS.NET - Plik pochodzi od któregoś programu bazodanowego, a jego rola nakreślona tu: KLIK. U Ciebie wygląda na to, że przypuszczalnym twórcą pliku jest aplikacja C-GEO 8.0, widoczna na liście zainstalowanych.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...