Gadżety pod Windows 7 - ciąg dalszy

[peepe]

Temat zatytułowałem ciąg dalszy, ponieważ trochę rozwiązań się już tu pojawiło, ale ja nadal nie potrafię sobie poradzić z błędnym wyświetlaniem gadżetów.

Do rzeczy.

Notebook Asus B53E.

System: Windows 7 Pro 64-bit

Objawy: Gadżety widoczne jak w TYM poście. Stało się to po odinstalowaniu MacAfee Antivirus.

 

Przejrzałem tematy dotyczące podobnych zjawisk na forum oraz fixy Microsoftu.

Zastosowałem to co poniżej, ponieważ rzeczywiście w n/w kluczach były wpisy po antywirusie:

2. Start > w polu szukania wklep regedit > wejdź po kolei do tych zespołów kluczy:

 

 

HKEY_CLASSES_ROOT\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32

HKEY_CLASSES_ROOT\CLSID\{B54F3742-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32

HKEY_CLASSES_ROOT\CLSID\{B54F3743-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32

 

W każdym z nich ma być wartość (Domyślna) równa C:\Windows\system32\vbscript.dll

 

HKEY_CLASSES_ROOT\CLSID\{cc5bbec3-db4a-4bed-828d-08d78ee3e1ed}\InprocServer32

HKEY_CLASSES_ROOT\CLSID\{f414c260-6ac0-11cf-b6d1-00aa00bbbb58}\InprocServer32

HKEY_CLASSES_ROOT\CLSID\{f414c261-6ac0-11cf-b6d1-00aa00bbbb58}\InprocServer32

HKEY_CLASSES_ROOT\CLSID\{f414c262-6ac0-11cf-b6d1-00aa00bbbb58}\InprocServer32

 

W każdym z nich ma być wartość (Domyślna) równa C:\Windows\system32\jscript.dll

 

HKEY_CLASSES_ROOT\CLSID\{989D1DC0-B162-11D1-B6EC-D27DDCF9A923}\InProcServer32

 

W tym zaś ma być wartość (Domyślna) równa %SystemRoot%\System32\msxml3.dll

 

 

Te wpisy wyglądają tak samo na Vista i Windows 7 32-bit. Na edycjach 64-bit jest dodatkowe powielenie całej struktury w kluczu HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{numerki}\InProcServer32 punktujące w wartościach (Domyślnych) 32-bitowe odpowiedniki tych bibliotek z katalogu C:\Windows\SysWOW64.

Obecnie wszystkie wpisy wydają się być prawidłowe.

 

Zastosowałem rejestrację bibliotek polecaną w TYM poście. Przeszły bez problemu.

 

 

Przeskanowałem Malwarebytes Anti-Malware, oto co wyrzucił:

Malwarebytes Anti-Malware (Okres testowy) 1.65.1.1000
www.malwarebytes.org

Wersja bazy: v2012.11.19.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Admin :: ADMIN-KOMPUTER [administrator]

Ochrona: Włączona

2012-11-19 10:59:20
mbam-log-2012-11-19 (10-59-20).txt

Typ skanowania: Szybkie skanowanie
Zaznaczone opcje skanowania: Pamięć | Rozruch | Rejestr | System plików | Heurystyka/Dodatkowe | Heuristyka/Shuriken | PUP | PUM
Odznaczone opcje skanowania: P2P
Przeskanowano obiektów: 202221
Upłynęło: 3 minut(y), 19 sekund(y)

Wykrytych procesów w pamięci: 0
(Nie znaleziono zagrożeń)

Wykrytych modułów w pamięci: 0
(Nie znaleziono zagrożeń)

Wykrytych kluczy rejestru: 0
(Nie znaleziono zagrożeń)

Wykrytych wartości rejestru: 0
(Nie znaleziono zagrożeń)

Wykryte wpisy rejestru systemowego: 0
(Nie znaleziono zagrożeń)

wykrytych folderów: 0
(Nie znaleziono zagrożeń)

Wykrytych plików: 1
C:\Users\Admin\Downloads\installer_microsoft_windows_mobile_device_center_64-bit.exe (PUP.BundleInstaller.DT) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

(zakończone)

Co wykrył usunąłem.

 

Sprawdzałem też HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ i nie mam tam podejrzanego klucza "L". Pierwszym jest klucz "0".

 

Przywracałem gadżety - system zwrócił info, że nie ma co przywracać.

 

Czyściłem w TEN sposób Cache.

 

Zresetowałem sidebar w ten sposób:

AWARYJNE RESETOWANIE PASKA I GADŻETÓW

 

(Dotyczy Windows Vista i Windows 7)

 

 

Scenariusz: Powyższe opcje są niedostępne lub istnieją inne okoliczności uniemożliwiające przywrócenie domyślnych gadżetów a nastąpił ich zanik. Albo też patowa sytuacja: nadmiar gadżetów trzeciej ręki, a w konsekwencji zaburzenie stabilności paska i gadżetów (zawieszenia / błędy / niemożność startu). Dla rozwiązania tych problemów można wykorzystać sposób wymuszonego usunięcia całej konfiguracji paska, co finałowo przywróci jego domyślny fabryczny wygląd. Metoda działa zarówno dla paska Vista, jak i gadżetów Windows 7.

 

 

1. Zamknij Pasek boczny / gadżety Pulpitu. Upewnij się w Menedżerze procesów, że proces sidebar.exe zakończył działanie.

 

2. Otwórz eksplorator Windows i w pasku adresów wklej ścieżkę %userprofile%\AppData\Local\Microsoft\Windows Sidebar i ENTER.

 

3. Zmień nazwę obecnego tam pliku settings.ini. Przejdź do podfolderu gadżetów, zaznacz wszystkie i skasuj.

 

4. Uruchom Pasek boczny / gadżety Pulpitu. Powinien zostać wygenerowany nowy plik settings.ini, a sam pas / gadżety pokazać się w domyślnej postaci, jak zaraz po instalacji systemu.

 

Niestety nic się nie poprawiło.

Co ciekawe gadżety instalowane dodatkowo (poza domyslnymi Windows 7) startowały bez problemów.

 

Wobec wyczerpania moich mozliwości zacząłem podejrzewać jakąś infekcję, chociaż objawy pojawiły się po usunięciu MacAfee, wcześniej wszystko smigało jak trzeba. Obecnie używam tylko Microsoft Security Essentials.

 

 

Skany OTL:

OTL.Txt

Extras.Txt

[picasso]

Wobec wyczerpania moich mozliwości zacząłem podejrzewać jakąś infekcję, chociaż objawy pojawiły się po usunięciu MacAfee, wcześniej wszystko smigało jak trzeba.

 

Nie, problemem jest ingerencja McAfee (przejęcie osłony skryptowej) a nie infekcja. Nawet w OTL widać, że nie zostało to poprawnie odinstalowane:

 

O2:64bit: - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\Common Files\McAfee\SystemCore\ScriptSn.20121012125134.dll File not found

O2 - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20121019072838.dll File not found

 

 

Zastosowałem to co poniżej, ponieważ rzeczywiście w n/w kluczach były wpisy po antywirusie

 

Pokazujesz klucze 64-bit i tu się nasuwa:

 

 

Zastosowałem rejestrację bibliotek polecaną w TYM poście. Przeszły bez problemu.

 

No tak, a które: 32-bitowe czy 64-bitowe? Masz system 64-bit, czyli muszą być rejestrowane dwa zestawy. Proszę mi pokazać skan na określone miejsca. Uruchom SystemLook x64 i w oknie wklej:

 

:reg
HKEY_CLASSES_ROOT\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32
HKEY_CLASSES_ROOT\CLSID\{B54F3742-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32
HKEY_CLASSES_ROOT\CLSID\{B54F3743-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32
HKEY_CLASSES_ROOT\CLSID\{cc5bbec3-db4a-4bed-828d-08d78ee3e1ed}\InprocServer32
HKEY_CLASSES_ROOT\CLSID\{f414c260-6ac0-11cf-b6d1-00aa00bbbb58}\InprocServer32
HKEY_CLASSES_ROOT\CLSID\{f414c261-6ac0-11cf-b6d1-00aa00bbbb58}\InprocServer32
HKEY_CLASSES_ROOT\CLSID\{f414c262-6ac0-11cf-b6d1-00aa00bbbb58}\InprocServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{B54F3742-5B07-11cf-A4B0-00AA004A55E8}\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{B54F3743-5B07-11cf-A4B0-00AA004A55E8}\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{cc5bbec3-db4a-4bed-828d-08d78ee3e1ed}\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{f414c260-6ac0-11cf-b6d1-00aa00bbbb58}\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{f414c261-6ac0-11cf-b6d1-00aa00bbbb58}\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{f414c262-6ac0-11cf-b6d1-00aa00bbbb58}\InProcServer32

 

Klik w Look.

 

 

 

 

.

[peepe]

No tak' date=' a które: 32-bitowe czy 64-bitowe?[/quote']

 

Jedne i drugie. Skorzystałem z gotowego fixa, który był w jednym z tematów. No ale patrząc na to co poniżej, to juz widzę że nie jest ok:

 

SystemLook 30.07.11 by jpshortstuff

Log created at 15:56 on 19/11/2012 by Admin

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CLASSES_ROOT\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32]

@="C:\Windows\system32\vbscript.dll"

"ThreadingModel"="Both"

 

 

[HKEY_CLASSES_ROOT\CLSID\{B54F3742-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32]

@="C:\Windows\system32\vbscript.dll"

"ThreadingModel"="Both"

 

 

[HKEY_CLASSES_ROOT\CLSID\{B54F3743-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32]

@="C:\Windows\system32\vbscript.dll"

"ThreadingModel"="Both"

 

 

[HKEY_CLASSES_ROOT\CLSID\{cc5bbec3-db4a-4bed-828d-08d78ee3e1ed}\InprocServer32]

@="C:\windows\system32\jscript.dll"

"ThreadingModel"="Both"

 

 

[HKEY_CLASSES_ROOT\CLSID\{f414c260-6ac0-11cf-b6d1-00aa00bbbb58}\InprocServer32]

@="C:\windows\system32\jscript.dll"

"ThreadingModel"="Both"

 

 

[HKEY_CLASSES_ROOT\CLSID\{f414c261-6ac0-11cf-b6d1-00aa00bbbb58}\InprocServer32]

@="C:\windows\system32\jscript.dll"

"ThreadingModel"="Both"

 

 

[HKEY_CLASSES_ROOT\CLSID\{f414c262-6ac0-11cf-b6d1-00aa00bbbb58}\InprocServer32]

@="C:\windows\system32\jscript.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InProcServer32]

@="C:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20121019072838.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{B54F3742-5B07-11cf-A4B0-00AA004A55E8}\InProcServer32]

@="C:\Windows\SysWOW64\vbscript.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{B54F3743-5B07-11cf-A4B0-00AA004A55E8}\InProcServer32]

@="C:\Windows\SysWOW64\vbscript.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{cc5bbec3-db4a-4bed-828d-08d78ee3e1ed}\InProcServer32]

@="C:\Windows\SysWOW64\jscript.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{f414c260-6ac0-11cf-b6d1-00aa00bbbb58}\InProcServer32]

@="C:\Windows\SysWOW64\jscript.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{f414c261-6ac0-11cf-b6d1-00aa00bbbb58}\InProcServer32]

@="C:\Windows\SysWOW64\jscript.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{f414c262-6ac0-11cf-b6d1-00aa00bbbb58}\InProcServer32]

@="C:\Windows\SysWOW64\jscript.dll"

"ThreadingModel"="Both"

 

 

-= EOF =-

[picasso]

No i właśnie, w 32-bitowym obszarze silnika skryptów nadal siedzi referencja do nieistniejącej już biblioteki McAfee:

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InProcServer32]
@="C:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20121019072838.dll"
"ThreadingModel"="Both"

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{7DB2D5A0-7241-4E79-B68D-6309F01C5231}]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{7DB2D5A0-7241-4E79-B68D-6309F01C5231}]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions]
"{D19CA586-DD6C-4a0a-96F8-14644F340D60"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla\Thunderbird\Extensions]
"msktbird@mcafee.com"=-

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

C:\Windows\SysWOW64\regsvr32.exe C:\Windows\SysWOW64\vbscript.dll

 

3. Zresetuj system i zrób nowy skan SystemLook na warunek:

 

:reg

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InProcServer32

 

Jeśli rejestracja 32-bitowego vbscript.dll nie nadpisze tego klucza, to ręcznie to zedytujemy.

 

 

.

[peepe]

SystemLook 30.07.11 by jpshortstuff

Log created at 16:26 on 19/11/2012 by Admin

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InProcServer32]

@="C:\Windows\SysWOW64\vbscript.dll"

"ThreadingModel"="Both"

 

 

-= EOF =-

 

---------------------------------------

 

Nadpisany, ale co dalej, bo nie rozwiązuje to problemu gadżetów.

[picasso]

Klucz został prawidłowo nadpisany. Czyli pytaniem jest: czy po restarcie systemu gadżety zaczęły się wyświetlać?

[peepe]

Niestety nie.

Np. zegar to nadal czarny kwadrat, kalendarz w ogóle nie startuje.

[picasso]

Jeśli na pewno robiłeś reset systemu, to wykonaj przeładowanie gadżetów tą metodą: Panel sterowania > Programy > Programy i funkcje > Włącz lub wyłącz funkcje systemu Windows > odptaszkuj komponent Platforma gadżetów systemu Windows > restart systemu > ponownie wejdź do komponentów i zaznacz gadżety.

 

 

 

.

[peepe]

Bez zmian. Nadal nie mam gadżetów.

[picasso]

1. Sprawdź poprawność plików systemowych za pomocą komendy sfc /scannow. Jeśli komenda zwróci komunikat o uszkodzeniach, za pomocą kolejnej komendy przefiltruj wyniki do znaczników [sR] i przedstaw log wynikowy. Instrukcje: KLIK.

 

2. Podaj jeszcze szukanie w SystemLook na warunek:

 

:regfind
ScriptSn.20121012125134.dll
ScriptSn.20121019072838.dll

 

 

.

[peepe]

SystemLook:

 

SystemLook 30.07.11 by jpshortstuff

Log created at 07:14 on 20/11/2012 by Admin

Administrator - Elevation successful

 

========== regfind ==========

 

Searching for "ScriptSn.20121012125134.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{16d51579-a30b-4c8b-a276-0ff4dc41e755}\InprocServer32]

@="C:\Program Files\Common Files\McAfee\SystemCore\ScriptSn.20121012125134.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7DB2D5A0-7241-4E79-B68D-6309F01C5231}\InProcServer32]

@="C:\Program Files\Common Files\McAfee\SystemCore\ScriptSn.20121012125134.dll"

 

Searching for "ScriptSn.20121019072838.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{7DB2D5A0-7241-4E79-B68D-6309F01C5231}\InProcServer32]

@="C:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20121019072838.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{7DB2D5A0-7241-4E79-B68D-6309F01C5231}\InProcServer32]

@="C:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20121019072838.dll"

 

-= EOF =-

 

 

sfc /scannow:

 

"Funkcja Ochrona zasobów systemu Windows nie znalazła naruszeń integralności"

[picasso]

Ten 64-bitowy klucz jest wadliwy:

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{16d51579-a30b-4c8b-a276-0ff4dc41e755}\InprocServer32]
@="C:\Program Files\Common Files\McAfee\SystemCore\ScriptSn.20121012125134.dll"

 

InprocServer32 ma być skierowany na C:\Windows\System32\jscript9.dll. Pozostałe klucze {7DB2D5A0-7241-4E79-B68D-6309F01C5231} to nadwyżka dodana przez McAfee.

 

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklep:

 

regsvr32 jscript9.dll

 

2. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > skasuj te klucze:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7DB2D5A0-7241-4E79-B68D-6309F01C5231}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{7DB2D5A0-7241-4E79-B68D-6309F01C5231}

 

Jeśli przy usuwaniu pojawi się błąd, należy przekonfigurować rekursywnie uprawnienia tych kluczy.

 

3. Zresetuj system, zrób nowe szukanie SystemLook na te same warunki i podaj czy jest jakaś zmiana.

 

 

.

[peepe]

Sukces!

 

SystemLook:

 

SystemLook 30.07.11 by jpshortstuff

Log created at 12:55 on 20/11/2012 by Admin

Administrator - Elevation successful

 

========== regfind ==========

 

Searching for "ScriptSn.20121012125134.dll"

No data found.

 

Searching for "ScriptSn.20121019072838.dll"

No data found.

 

-= EOF =-

 

Po restarcie na pulpicie pojawiły mi się gadżety, które miałem ustawione Wszystkie inne działają.

 

Bardzo, bardzo dziękuję za pomoc.