Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Foldery i ikony same zmieniają miejsce na pulpicie

miku92

Przez miku92
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

miku92

miku92

Opublikowano
Opublikowano

Problem polega na tym, ze po kazdym włączeniu kompa ikony na pulpicie i foldery zmieniają swoje miejsce, a dokładnie wędrują na lewą stronę pulpitu...

 

Myśle, że może to być spowodowane resztkami jakiegoś wirusa w rejestrze. Antywirus nic nie wykrywa ale coś jest nie tak. Ponadto OTL podczas skanu wykrywa jakiś błąd (Win32 Error. Code: 1722). Dlatego nie mogę dołączyć extras.txt.

 

Bardzo prosze o pomoc w naprawieniu tego czegoś krok po kroku bo nigdy tego nie robiłem...

 

Z góry dziękuję i pozdrawiam...

 

W załączniku miniatura z błędem z OTL

post-6757-0-29700200-1343725853_thumb.png

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Landuss

Landuss

Opublikowano
Opublikowano

Błąd OTL niestety trzeba zignorować bo to na razie jest zagadka także dla nas. U niektórych użytkowników też się to pojawiło.

 

Masz infekcję ZeroAccess i wykonaj log dodatkowy. Uruchom SystemLook x64 i do okna wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look i przedstaw wynikowy raport.

Odnośnik do komentarza
miku92

miku92

Opublikowano
  • Autor
Opublikowano

Mam pytanko czy jest to coś groźnego czy raczej nie? Raport z systemlook;

 

SystemLook 30.07.11 by jpshortstuff

Log created at 11:15 on 31/07/2012 by User

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(No values found)

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]

"ThreadingModel"="Both"

@="%SystemRoot%\system32\shell32.dll"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="%systemroot%\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shell32.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

 

-= EOF =-

 

 

Odnośnik do komentarza
Landuss

Landuss

Opublikowano
Opublikowano
Mam pytanko czy jest to coś groźnego czy raczej nie?

 

Nie bez powodu prosiłem cię o raport z SystemLok ;) . Masz infekcję ZeroAccess a więc trojana z wysokiej półki.

 

1. Start > w polu szukania wpisz cmd > z prawokliku uruchom jako Administrator i wklep:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f

 

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKU\S-1-5-21-2008076325-3272428530-3625816930-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=5d8e059f-7dbd-11e1-ab45-1c7508fb0e3d&q={searchTerms}"
IE - HKU\S-1-5-21-2008076325-3272428530-3625816930-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}"
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..browser.search.selectedEngine: "Web Search"
FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&q="
FF - prefs.js..sweetim.toolbar.previous.keyword.URL: ""
[2011-11-23 23:15:33 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\User\AppData\Roaming\mozilla\Firefox\Profiles\byhgpkxl.default\extensions\DTToolbar@toolbarnet.com
[2011-11-23 23:15:30 | 000,002,055 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\byhgpkxl.default\searchplugins\daemon-search.xml
[2012-04-03 20:46:55 | 000,000,792 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\byhgpkxl.default\searchplugins\startsear.xml
[2012-03-24 21:11:05 | 000,003,915 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\byhgpkxl.default\searchplugins\sweetim.xml
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
 
:Files
C:\Users\User\AppData\Local\{7bf0a86c-e4ab-5270-54cd-7de0e71311f7}
C:\Windows\Installer\{7bf0a86c-e4ab-5270-54cd-7de0e71311f7}
C:\ProgramData\7531CC920009EDE7D8D45F0BF875F002
C:\ProgramData\eajiwlxettusrfn
C:\ProgramData\hsfzpqvjlkztqcv
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL, z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

Odnośnik do komentarza
miku92

miku92

Opublikowano
  • Autor
Opublikowano

Oto wyniki. Myślę, że wszystko zrobiłem poprawnie..

 

 

SystemLook 30.07.11 by jpshortstuff

Log created at 13:07 on 31/07/2012 by User

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(Unable to open key - key not found)

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="%systemroot%\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shell32.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

 

-= EOF =-

FSS.txt

OTL (2).Txt

Odnośnik do komentarza
Landuss

Landuss

Opublikowano
Opublikowano

Teraz musisz naprawić szkody po infekcji i przywrócić usunięte usługi.

 

1. Odbuduj skasowane usługi (w instrukcjach omiń sfc /scannow):

  • Rekonstrukcja usług Zapory systemu Windows (MpSvc + Bfe + SharedAccess): KLIK.
  • Rekonstrukcja usługi Centrum zabezpieczeń: KLIK.
  • Rekonstrukcja usługi Windows Defender: KLIK.
  • Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS + EventSystem): Pobierz fixa i zaimportuj: KLIK

2. Po wykonaniu wszystkiego pokaż nowy log z FSS.

Odnośnik do komentarza
miku92

miku92

Opublikowano
  • Autor
Opublikowano

Jest komunikat ze nie uzywa ustawień zalecanych. Po kliknieciu w to zeby uzywała mysli pare sekund i nic sie nie zmienia...

 

cos nie tak...

 

co moze byc nie tak z tą zapora bo na nic nie reaguje?

 

Robie wszystko krok po kroku z tą zaporą ale nadal nie reaguje...bardzo proszę o jakąś pomoc...

Odnośnik do komentarza
Landuss

Landuss

Opublikowano
Opublikowano

No przecież masz napisane niżej. Nie wiem co tu niezrozumiałe.

 

W Notatniku wklej poniższą treść i zapisz plik pod nazwą fix.txt. Plik dla wygody umieść bezpośrednio na C:\.

 

(tu treść na szarym polu)

 

Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę:

 

SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\BFE" -ot reg -actn restore -bckp C:\fix.txt

 

Tak to dla bfe wygląda. Dla pozostalych podobnie.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...