Długie wczytanie się "pulpitu"

[mikimatrix]

Od paru dni długo włącza mi się pulpit. Tapeta włącza się normalnie ale pare minut muszę poczekać az wyświetlą się ikony. Muszę też chwilę poczekać przy pokazaniu się ekranu "Zapraszamy" okolo 1 min.

 

Na pulpicie pokazał mi się plik thumbs.db. Jest zaznaczony jako ukryty, a na pulpicie ikona jest jakby bardziej przezroczysta od innych.

OTL.Txt

[picasso]

W skład obowiązkowych raportów wchodzi także GMER. To nie jest pełny log z OTL, brakuje pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). Uzupełnij brakujące raporty. Używałeś jakiś skrypt do OTL = jaki / po co? Póki co, nie widać infekcji i temat idzie do działu Windows XP.

 

 

Od paru dni długo włącza mi się pulpit. Tapeta włącza się normalnie ale pare minut muszę poczekać az wyświetlą się ikony.

 

Co widzę w raporcie (brak OTL Extras mnie nieco ogranicza, nie mam spisu z Dziennika zdarzeń):

 

1. Jest tu oprogramowanie Hewlett-Packard. Znanym problemem jest wieszanie się przy starcie usługi HP CUE Discovery Service. Sprawdź czy ten komponent w ogóle posiadasz. Start > Uruchom > services.msc i sprawdź czy taką usługę masz na liście. Jeśli tak, dwuklik w nią i Typ uruchomienia przestaw na wyłączone.

 

2. Nawalone skanerami. Działają tu wspólnie Avast + Spyware Terminator. Avast nienajnowszy, a Spyware Terminator zbędny i przeciętny słaby skaner. W związku z tym, że Avast nie jest nowy, odinstaluj wszystko, Avast + Terminatora. Dodatkowo pozbądź się McAfee Security Scan Plus (sponsor paczek Adobe, nieuważnie instalowałeś).

 

3. Wyłącz zbędne wpisy ze startu. Uruchom Autoruns i w karcie Logon odfajkuj:

 

O4 - HKLM..\Run: [Alcmtr] H:\WINDOWS\ALCMTR.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [HPUsageTracking] H:\Program Files\HP\HP UT\bin\hppusg.exe (Hewlett-Packard Company)
O4 - HKLM..\Run: [NBKeyScan] H:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe (Nero AG)
O4 - HKLM..\Run: [NeroFilterCheck] H:\Program Files\Common Files\Nero\Lib\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [start WingMan Profiler] H:\Program Files\Logitech\Gaming Software\LWEMon.exe (Logitech Inc.)
O4 - HKCU..\Run: [ALLUpdate] H:\Program Files\ALLPlayer\ALLUpdate.exe (ALLCinema)
O4 - HKCU..\Run: [Fraps] H:\Fraps\fraps.exe (Beepa P/L)
O4 - HKCU..\Run: [indxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] H:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe (Nero AG)

 

W karcie Services odznacz:

 

SRV - [2012-11-24 20:06:11 | 000,161,768 | ---- | M] (Oracle Corporation) [Auto | Running] -- H:\Program Files\Java\jre7\bin\jqs.exe -- (JavaQuickStarterService)

 

4. Następnie, masz ogromny plik HOSTS (pewnie pozostałość po Spybocie), przetwarzający ponad 14 tysięcy wpisów:

 

O1 HOSTS File: ([2010-11-27 12:30:44 | 000,425,933 | R--- | M]) - H:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1	www.007guard.com
O1 - Hosts: 127.0.0.1	007guard.com
O1 - Hosts: 127.0.0.1	008i.com
O1 - Hosts: 127.0.0.1	www.008k.com
O1 - Hosts: 127.0.0.1	008k.com
O1 - Hosts: 127.0.0.1	www.00hq.com
O1 - Hosts: 127.0.0.1	00hq.com
O1 - Hosts: 127.0.0.1	010402.com
O1 - Hosts: 127.0.0.1	www.032439.com
O1 - Hosts: 127.0.0.1	032439.com
O1 - Hosts: 127.0.0.1	www.0scan.com
O1 - Hosts: 127.0.0.1	0scan.com
O1 - Hosts: 127.0.0.1	1000gratisproben.com
O1 - Hosts: 127.0.0.1	www.1000gratisproben.com
O1 - Hosts: 127.0.0.1	1001namen.com
O1 - Hosts: 127.0.0.1	www.1001namen.com
O1 - Hosts: 127.0.0.1	100888290cs.com
O1 - Hosts: 127.0.0.1	www.100888290cs.com
O1 - Hosts: 127.0.0.1	www.100sexlinks.com
O1 - Hosts: 127.0.0.1	100sexlinks.com
O1 - Hosts: 127.0.0.1	10sek.com
O1 - Hosts: 127.0.0.1	www.10sek.com
O1 - Hosts: 127.0.0.1	www.1-2005-search.com
O1 - Hosts: 127.0.0.1	1-2005-search.com
O1 - Hosts: 14674 more lines...

 

Taki plik ma niekorzystny wpływ na usługę keszowania Klient DNS, która jest obciążona. Zresetuj plik HOSTS do postaci domyślnej za pomocą narzędzia Fix-it z artykułu: KB972034.

 

5. Wykonaj małe porządki wpisów adware + pustych. Usuwam też elementy Google Chrome, bo strasznie stara wersja na dysku sugeruje odpadki po rzekomo pełnej deinstalacji. Ponownie: nie mam tu OTL Extras, by potwierdzić to w pewniejszy sposób. Czyszczenie w spoilerze.

 

 

 

Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
[-HKEY_CURRENT_USER\Software\Google]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Google]
 
:Files
H:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Google
 
:OTL
IE - HKLM\..\SearchScopes\{D6C5D5C1-A8BF-4336-8F96-BD03B5D33CF7}: "URL" = "http://search.bearshare.com/web?src=ieb&q={searchTerms}"
IE - HKCU\..\SearchScopes\{0633EE93-1111-472f-A0FF-E1416B8B2E3B}: "URL" = "http://www.gooofullsearch.com/google?q={searchTerms}&cx=partner-pub-6446514721158383%3Al82qfgcdkgt&cof=FORID%3A10&ie=UTF-8&hl=es#740"
IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}"
IE - HKCU\..\SearchScopes\{AED5E215-A3B6-4F32-B76B-5C8F0E0C1B2F}: "URL" = "http://search.yahoo.com/search?fr=mcafee&p={SearchTerms}"
IE - HKCU\..\SearchScopes\{D6C5D5C1-A8BF-4336-8F96-BD03B5D33CF7}: "URL" = "http://search.bearshare.com/web?src=ieb&q={searchTerms}"
[2010-03-28 10:04:34 | 000,002,476 | ---- | M] () -- H:\Program Files\mozilla firefox\searchplugins\BearShareWebSearch.xml
[2010-12-13 13:36:54 | 000,002,035 | ---- | M] () -- H:\Program Files\mozilla firefox\searchplugins\fcmdSrchddr.xml
[2010-08-26 19:17:05 | 000,001,836 | ---- | M] () -- H:\Program Files\mozilla firefox\searchplugins\Goofullsearch.xml
[2012-12-15 15:55:00 | 000,000,486 | ---- | M] () -- H:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[2005-04-08 03:16:43 | 000,026,016 | -H-- | C] () -- H:\Documents and Settings\user\Dane aplikacji\userlog.dat 
@Alternate Data Stream - 68 bytes -> H:\Documents and Settings\user\Moje dokumenty\ZANA.xls:KAVICHS
@Alternate Data Stream - 24 bytes -> H:\WINDOWS:D01ADEF75351C6F1
O8 - Extra context menu item: Search the Web - Reg Error: Value error. File not found
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (MksSkanerOnline Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab" (Reg Error: Value error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\Monfilt.sys -- (Monfilt)
DRV - File not found [Kernel | On_Demand | Stopped] -- H:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy)
DRV - File not found [Kernel | On_Demand | Stopped] -- H:\Program Files\Lavasoft\Ad-Aware\KernExplorer.sys -- (Lavasoft Kernexplorer)
DRV - File not found [Kernel | System | Stopped] -- H:\WINDOWS\system32\drivers\avgtpx86.sys -- (avgtp)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\Ambfilt.sys -- (Ambfilt)
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. Zatwierdź restart.

 

 

 

 

6. Na Pulpicie jest plik o wadliwej nazwie. Próba jego skasowania zwróci, że plik nie istnieje:

 

========== Files - Modified Within 30 Days ==========
 
File not found -- H:\Documents and Settings\user\Pulpit\plan pracy o stoczni...

 

Usuń go posługując się programem Delete FXP Files.

 

7. Po wykonaniu wszystkich powyższych czynności zrób nowy log OTL z opcji Skanuj. Przypominam o pliku Extras.

 

 

Na pulpicie pokazał mi się plik thumbs.db. Jest zaznaczony jako ukryty, a na pulpicie ikona jest jakby bardziej przezroczysta od innych.

 

On nie powstał, on tam wcześniej był, tylko go nie widziałeś. Skan OTL przełącza widzialność plików (jako pomoc dla prowadzących pomoc), co jest równoważne z konfiguracją w Mój komputer > Narzędzia > Opcje folderów > Widok: zaznaczone Pokaż ukryte pliki i foldery + odznaczone Ukryj chronione pliki systemu operacyjnego. To ta druga opcja domyślnie nie jest włączona w Windows i użytkownik nawet nie ma pojęcia co ma w XP. A plik thumbs.db jest OK, cytuję siebie z innego tematu:

 

Pliki Thumbs.db to prawidłowe zachowanie. To bufory miniaturek, ukryte pliki generowane przez Windows wszędzie tam gdzie są pliki graficzne podglądnięte opcją widoku "Miniatury". Plik jest na Pulpicie, gdyż zapewne był tam jakiś obrazek i otwierałeś w eksploratorze folder Pulpitu w trybie widoku miniatury. Proszę, tu z mojego systemu symulacja tego zachowania, natychmiast po otworzeniu folderu Pulpitu (zawierającego obrazek) w eksploratorze na Pulpicie pojawia się ten ukryty plik:

 

 

Pliki domyślnie są ukryte i ich nie widać, ich widocznością steruje Mój komputer > Narzędzia > Opcje folderów > Widok > Ukryj chronione pliki systemu operacyjnego. Natomiast opcja, która powoduje, że pliki thumbs.db są tworzone to Mój komputer > Narzędzia > Opcje folderów > Widok > Nie buforuj miniatur. Po zaznaczeniu tej opcji można pliki ręcznie skasować z dysku i już nie będą ponownie generowane. Informacyjnie: zawartość plików można podejrzeć za pomocą darmowego programiku Thumbnail Database Viewer.

 

 

 

.