Problem z otwarciem katalogu "historia"

[andzela7]

Witam. Chciałam poprosić o poradę. Mój syn ściągnął jakiś czas temu jakiegoś robaka próbując instalować lewą wersję gry Minecraft. Na szczęście miał swoje oddzielne konto z ograniczeniami na moim lapku (system Windows XP Home Edition). Na jego koncie nie uruchamiały się aplikacje exe. Przy starcie systemu także wszystkie startujace aplikacje domyślnie otwierały IE z oknem do ściągnięcia pliku aplikacji, po czym i tak nic się nie chciało uruchomić po zamknięciu okien. Przeskanowałam na różne sposoby kompa i usunęłam robale. Jednak problem pozostał i nie można było go rozwiązać. Cofanie ustawień systemowych do stanu z przed infekcji też nie pomogło. Był też problem z otwarciem katalogu "Historia" w katalogu syna: C/Documents and Settings/syn/ ustawienia lokalne/Historia. Tak więc zmuszona byłam usunąć konto syna i założyć nowe. Na nowym koncie nie ma już problemu z uruchamianiem aplikacji, ale jakieś zmiany w rejestrze chyba pozostały, bo katalog "Historia" nie otwiera się. Na moim koncie, jak wejdę w c/Documents and Settings/mój/ustawienia lokalne/Historia, to normalnie otwiera się katalog, pojawia się katalog "Dziś" i linki odwiedzanych stron itp. U syna przy klikaniu na katalog historia komputer w ogóle nie reaguje (nie otwiera się-jakby był zablokowany przed otwarciem). Jak kliknę na "właściwości", to widac, że zawiera katalogi, pliki, które są też widoczne z poziomu IE odpalonej na koncie syna-i wtedy widać co zawiera. Ale z poziomu katalogów nie ma dostepu do "Historii" syna. Gdy natomiast kliknę na katalog "Historia" prawym klawiszem myszy i wybiorę "Eksploruj", to otwiera się eksplorator windows z katalogiem "Pulpit". Jest jakby przekierowanie do pulpitu. Nie wiem co to za problem. Podejrzewam, ze w rejestrze zostały jakieś smieci po infekcji i nie mogę tego naprawić. I jeszcze jedno: Po usunięciu konta syna, w katalogu "Documents and Settings" pozostał m.in. mój katalog z ustawieniami i katalog uyżtkownika "Default". Chciałam go usunać, ale wtedy nie można w ogóle korzystać z nowozałożonego konta (to znaczy można założyć konto po usunięciu "Default", ale nie można na niego wejść. Wyskakuje jakis błąd. Więc pozostawiłam ten katalog z użytkownikiem "Default". Co ciekawe w tym katalogu także nie można było otworzyć podkatalogu "Historia" i przy próbie eksploracji również następuje przekierowanie do pulpitu. Proszę o poradę, jak naprawić problem. Nie chcę reinstalować systemu na powrót, bo mam za dużo aplikacji, by ponownie wszystko wgrywać. Byłoby to zbyt czasochłonne i angażujące. Pozdrawiam.

[picasso]

1. Poproszę o standardowe logi z tego systemu: OTL + GMER.

 

2. Również wyciągnięcie z rejestru ustawień folderów powłoki. Uruchom SystemLook, do okna wklej:

 

:reg
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

 

Klik w Look.

 

 

I jeszcze jedno: Po usunięciu konta syna, w katalogu "Documents and Settings" pozostał m.in. mój katalog z ustawieniami i katalog uyżtkownika "Default". Chciałam go usunać, ale wtedy nie można w ogóle korzystać z nowozałożonego konta (to znaczy można założyć konto po usunięciu "Default", ale nie można na niego wejść. Wyskakuje jakis błąd. Więc pozostawiłam ten katalog z użytkownikiem "Default".

 

Default User to nie jest klasyczny "użytkownik" lecz matryca konta używana do zakładania nowych kont. Bez Default nie można założyć nowych sprawnych kont. Zostaw to w świętym spokoju.

 

 

 

.

[andzela7]

Dziękuję za błyskawiczną odpowiedź. Z mojej strony trochę to trwało, żeby się zapoznać z ww. narzędziami diagnostycznymi i o tym poczytać. Poniżej linki:

 

extras.txt

http://wklej.org/id/778976/

 

otl.txt

http://wklej.org/id/778979/

 

Następne logi zaraz podam jak tylko zrobię skan. Co do natomiast "Default User" - tak też myślałam, że tego nie należy ruszać.

 

Przed skanem GMER, zgodnie z zaleceniami zostały wyłączone czasowo antywirusy (Microsoft Security Essentials oraz Avast), by nie chodziły w tle. Ale nie były odinstalowywane. Podobnie DAEMON został odinstalowany z systemu oraz zgodnie z zaleceniem usunięto sterownik SPTD. Ale odpowiadający jemu klucz rejestru nie był usuwany.

 

Link do logu GMER:

http://wklej.org/id/779160/

 

Ustawienia folderów powłoki (po uruchomieniu SystemLook - zgodnie z zaleceniem):

http://wklej.org/id/779172/

 

To wszystko. Czekam na rady i z góry dziękuję.

[picasso]

andzela7, gdy nikt jeszcze nie odpisał a chcesz coś uzupełnić, używaj opcję Edytuj. 3 posty w serii skleiłam w jeden.

 

Komentując ogólnie logi z OTL:

 

1. W pierwszej kolejności naprostuj zestaw oprogramowania zabezpieczającego, bo źle się tu dzieje. Pracują w tle dwa antywirusy: Avast + MSSE. Jeden z nich do deinstalacji. Przy okazji także usuń Spybot Search & Destroy. Program przestarzały, słaba przydatność w bieżących warunkach.

 

2. Kosmetyka, czyli doczyszczenie odpadkowych wpisów ("portable" na papierze = zostały ślady w rejestrze) plus lokalizacji tymczasowych. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
DRV - File not found [Kernel | System | Stopped] -- E:\antywirusy\SuperAntiSpyware_Portable\SASKUTIL.SYS -- (SASKUTIL)
DRV - File not found [Kernel | System | Stopped] -- E:\antywirusy\SuperAntiSpyware_Portable\SASDIFSV.SYS -- (SASDIFSV)
O3 - HKU\S-1-5-21-1692675448-1831509574-3617794980-1006\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
O4 - HKLM..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre7\bin\jusched.exe File not found
O9 - Extra 'Tools' menuitem : Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - Reg Error: Key error. File not found
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} "http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38159.0890393518" (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
O20 - Winlogon\Notify\!SASWinLogon: DllName - (G:\antywirusy\SuperAntiSpyware_Portable\SASWINLO.DLL) -  File not found
O28 - HKLM ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - G:\antywirusy\SuperAntiSpyware_Portable\SASSEH.DLL File not found
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami. Pokaż go.

 

 

Na nowym koncie nie ma już problemu z uruchamianiem aplikacji, ale jakieś zmiany w rejestrze chyba pozostały, bo katalog "Historia" nie otwiera się.

 

Nowe konto i jest problem = katalog Historii w ścieżce konta nie powinien mieć związku, przy założeniu jednak że matryca Default User nie jest wadliwa. Skan w SystemLook na klucze relatywne do specjalnych folderów nie wykazuje by tu były jakieś braki na tym poziomie, choć są pewne nieścisłości i te skoryguję.

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
"Personal"=-
 
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\New]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

Zresetuj system.

 

2. Wykonaj reset przeglądarki Internet Explorer do postaci domyślnej. Opcje internetowe > Zaawansowane > Resetuj.

 

Przedstaw czy działania miały pożądany skutek.

 

 

 

 

.

[andzela7]

1. Avast był zainstalowany na próbę jako druga linia obrony. Został teraz odinstalowany. Pozostał Microsoft Security Essentials. Spybot S&D też został odinstalowany. Pytanie: jakie oprogramowanie antyszpiegowskie stosować w zamian?
   
2. Podany skrypt został wykonany w OTL. Log wynikowy:
   

http://wklej.org/id/779611/

 

fix.reg wykonałam zgodnie z zaleceniem i został dodany do rejestru. Został zrobiony reset przeglądarki. Komputer zrestartowany. Jednak katalog historia na koncie syna nadal się nie otwiera (dwuklik nie wywołuje żadnej reakcji komputera). We właściwościach jednak jest informacja, że zawiera kilka plików i dwa katalogi.

 

Wydaje mi się (choć może błędnie), że matryca Default User została jednak uszkodzona, a przynajmniej zmieniona po tej infekcji. Po tym jak usunęłam niedziałające konto syna i utworzyłam nowe, to nowe konto miało inne ustawienia domyślne niż kiedyś: inna tapeta, ikony, pasek, podobnie lapek wydaje dziwne dźwięki przy pojedynczych kliknięciach na ikony, czy START itp. Na moim koncie to nie występuje i nie występowało wcześniej u syna. To się wszystko pozmieniało, a pierwszym objawem, jaki zaobserwowałam i który dał mi do myślenia, to właśnie niemożność otworzenia katalogu z "historią" u syna. Zainfekowane konto syna przed jego usunięciem też miało właśnie ten problem. Sądziłam, że to syn jakieś ustawienia zrobił, żebym nie mogła zajrzeć na jakie strony wchodził. Ale on twierdził, że nie. Teraz nowoutworzone konto też wykazuje ten sam problem.

Zastanawiałam się, czy jest możliwość podmiany plików Default user na właściwe. Dysponuję płytką z oryginalnym Windowsem do mojego lapka. Ale czytając o tym nasuwa się szereg problemów. Płytka ma stare pliki Windows, tj. bez SP3, a system na kompie ma już SP3 i kolejne aktualizacje. Nie wiem, czy można by było podmienić w jkaiś sposób same ustawienia Default user, by go naprawić..

[picasso]

Pokaż mi spis co w ogóle jest w tym katalogu Historia, skan na trzy miejsca porównawczo (katalog matrycy + dwa foldery kont) plus pełny dir matrycy. Do SystemLook wklej:

 

:dir
C:\Documents and Settings\Default User /s
C:\Documents and Settings\Leszek\Ustawienia lokalne\Historia /s
C:\Documents and Settings\Twoje konto\Ustawienia lokalne\Historia /s

 

Oczywiście pod "Twoje konto" wpisz nazwę swojego konta.

 

 

 

.

[andzela7]

http://wklej.org/id/780719/

 

Wyjaśniam, że moje konto administratora komputera to "Leszek" (rodzicielskie)

Konto syna (z ograniczeniami) to "Dan".

Dodatkowo w odniesieniu do katalogu Default User wyjaśniam, że tak jak wspomniałam na samym początku, po usunięciu niedziałającego konta syna "Daniel" usunęłam potem też katalog Default User. Ale po zauważeniu, że nie można utworzyć nowego konta, domyśliłam się, że to pewnie wina usunięcia tego katalogu jako matrycy i dlatego też przywróciłam go z kosza. Wówczas zostało otworzone nowe konto dla syna "Dan".

Po wywołaniu prawym klawiszem myszy właściwości katalogu Historia syna, pojawia się informacja, że katalog zawiera 6 plików i 4 foldery. Jednak dwuklik nie wywołuje żadnej reakcji - na chwilę tylko pojawia się klepsydra.

Z góry dziękuję.

[picasso]

Przejrzeniem tego nowego loga się zajmę, ale wyskoczyła nowa sprawa:

 

Wyjaśniam, że moje konto administratora komputera to "Leszek" (rodzicielskie)

Konto syna (z ograniczeniami) to "Dan".

 

W związku z tym musisz powtórzyć pierwszy skan z SystemLook, gdyż został zrobiony ze złego konta = Leszek a nie Dan. To ma znaczenie z poziomu którego kota jest skan, wszystkie klucze HKEY_CURRENT_USER są inne na każdym koncie z osobna. Zaloguj się na Dan i powtórz skan na:

 

:reg
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

 

 

 

.

 

 

[andzela7]

Rozumiem.

Podaje log:

http://wklej.org/id/780931/

[picasso]

Przejrzałam katalogi. Ten C:\Documents and Settings\Default User jest definitywnie uszkodzony i ma dziwną zawartość. Brak w nim rejestru (podstawa matrycy), czyli pliku NTUSER.DAT, oraz nosi w sobie jakieś śmieci w Temp i przyrosty aplikacji których być nie powinno w matrycy. Proponuję:

 

1. W pierwszej kolejności włącz widzialność wszystkich ukrytych w Mój komputer > Narzędzia > Opcje folderów > Widok: zaznacz Pokaż ukryte pliki i foldery + odptaszkuj Ukryj chronione pliki systemu operacyjnego. Druga opcja niezbędna, by widzieć komplet danych w tym katalogu.

 

2. Wykonaj radykalny lifting katalogu. Bieżący katalog Default User skasuj, bo nie mam do niego żadnego zaufania. W zamian wstaw fabryczny katalog ode mnie: KLIK.

 

3. Następnie usuń konto Dan i stwórz nowe konto, które będzie wygenerowane na świeżej matrycy.

 

I zobaczymy co się stanie.

 

 

.

[andzela7]

Zrobiłam wszystko zgodnie ze wskazówkami (z tym że ustawienia widoku folderów były już wcześniej tak wykonane, żeby były widoczne foldery i pliki systemowe i ukryte).

Wydaje się, że konto utworzone na nowej matrycy działa prawidłowo. Katalog "historia" już się otwiera tak jak powinien. Ale jego zawartość jest nieco inna niż na koncie administratora i nie widać linków do stron internetowych. Nie wiem - może tak ma być. Na koncie administratora "Leszek" w katalogu historia są katalogi: poniedziałek, wtorek, środa, dzisiaj i zawierają linki do odwiedzanych stron. Na koncie syna "Daniel", specjalnie weszłam na kilka stron internetowych, żeby utworzyła się zawartosć w "Historii". Jak ze swojego konta wejdę w c:\Documents and Settings\Daniel\Ustawienia lokalne\Historia, to są dwa katalogi: desktop.ini 1KB oraz History.IE5 zawierający z kolei: desktop.ini 1KB, indeks.dat 32KB i dziwny katalog: "MSHist012012062820120629". W nim jest index.dat 32KB. Nie ma natomiast typowego dla mojego konta katalogu "dziś" z linkami do odwiedzanych stron. Nie wiem, czy to prawidłowe.

Nie mniej jednak bardzo dziękuję za właściwą matrycę Default User. To chyba było najistotniejsze. Zauważyłam, że pierwotny katalog zawiera dziwne pliki i śmieci. To stwarzało ryzyko, że być może pozostały jakies infekcje, lub luki w systemie. Bardzo dziękuję za pomoc

[picasso]

Wydaje się, że konto utworzone na nowej matrycy działa prawidłowo. Katalog "historia" już się otwiera tak jak powinien. Ale jego zawartość jest nieco inna niż na koncie administratora i nie widać linków do stron internetowych.

 

(...)

 

Jak ze swojego konta wejdę w c:\Documents and Settings\Daniel\Ustawienia lokalne\Historia, to są dwa katalogi: desktop.ini 1KB oraz History.IE5 zawierający z kolei: desktop.ini 1KB, indeks.dat 32KB i dziwny katalog: "MSHist012012062820120629". W nim jest index.dat 32KB. Nie ma natomiast typowego dla mojego konta katalogu "dziś" z linkami do odwiedzanych stron. Nie wiem, czy to prawidłowe.

 

Wszystko się zgadza. To właściwa zawartość katalogu Historia. Na Twoim koncie katalog ten też jest tak zbudowany (podfolder History.IE5 z podfolderami MShist* oraz pliki index.dat i desktop.ini) tylko eksplorator Windows Cię "oszukuje" ze względu na specjalne atrybuty tegoż katalogu. Widok kalendarzowy to wirtualizacja.

 

I widzisz w taki sposób folder konta Daniel, ponieważ oglądasz go z poziomu innego konta Leszek. Widok wirtualizowany jest ładowany "per user", należy być zalogowanym na tym koncie, by Historia konta została zwizualizowana jako kalendarz. Historie cudzych kont będą pokazywane w strukturze klasycznej.

 

 

 

.

[andzela7]

Teraz wszystko jasne Uprzejmie dziękuję za szczegółowe wyjaśnienia i jeszcze raz dziękuję za poświęcony czas i fachową pomoc w rozwiązaniu problemu, nad którym się głowiłem kilka tygodni. Pozdrawiam

[picasso]

Na zakończenie: w OTL uruchom Sprzątanie (był używany skrypt) i wyczyść foldery Przywracania systemu (KLIK).

 

Temat rozwiązany. Zamykam.