Desktop.ini oraz niedziałające wyszukiwanie

[matikolud]

Witam wszystkich forumowiczów wczoraj był u mnie brat pościągał sobie nie wiadomo co to przeskanowałem kompa antywirus bitdefender znalazł jakieś zagrożenia nazwa ich 'CONFIDENT' ale teraz ciągle przy starcie systemu prubowałem wszystkiego co możliwe usuwałem ten plik z kilku folderów a on nadal jest bardzo proszę o pomoc i z góry dziękuję.

Pozdrawiam .

[picasso]

Po pierwsze: nie podałeś dokładnej ścieżki w czym skaner wykrywa zagrożenie. Po drugie: nie zrealizowałeś zasad działu (KLIK) i jak mam Ci pomóc. Należy dostarczyć logi.

 

 

 

.

[matikolud]

Dobra przepraszam już się z tamtym uporałem , teraz mam problem następujący pisałem na innym forum z prośbą o analizę

http://www.wklej.org/id/928367/txt/ logu z otl ktoś doradził że mam tam skpiować co w poście napisał i utworzyć skrypt klikając wykonaj skrypt i jak klikam to mogę czekać tak do usranej śmierci ;( po czym jak klikne to brak odpowiedzi .

[picasso]

Nadal brak odpowiedzi na zadane pytanie (ścieżka wykrytego zagrożenia). Logi proszę umieszczać w bardziej przejrzysty sposób nie na SendSpace, czyli albo wklej.org albo załączniki forum. Log z OTL niepełny, brakuje Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). Zestaw obowiązkowych logów szerszy, bo jeszcze GMER. I proszę podać co to ktoś "zalecał" = link do tematu. Ja nie będę pracować z takimi idiotycznymi danymi, a raczej ich brakiem, i zgadywać co Ty wyprawiasz i na podstawie jakich zaleceń.

 

 

 

.

[matikolud]

http://forum.pclab.p...9688-Log-z-OTL/ - proszę bardzo , to tutaj nic już wklejać nie będę bo tam wszystko jest co wklejałem . A chodzi mi o to że wydaje mi się że mam jakiegoś wirusa lub keylogger bo komputer nie pracuje jak zawsze ;/

Extras.Txt

OTL.Txt

[picasso]

Do uzupełniania posta, gdy nikt jeszcze nie odpisał, służy opcja Edytuj. Niepotrzebny post stąd usuwam. Nadal brak raportu z GMER, a przed jego uruchomieniem należy zdjąć emulatory napędów wirtualnych i sterownik SPTD. I prosiłam byś podał ścieżkę dostępu tego zagrożenia:

 

przeskanowałem kompa antywirus bitdefender znalazł jakieś zagrożenia nazwa ich 'CONFIDENT

 

To, że sobie "poradziłeś" jest inną sprawą, a sama nazwa zagrożenia to za mało do oceny co to właściwie było. W tytule tematu jest jakiś "Deskpot.ini", sugeruje to literówkę nazwy pliku Desktop.ini, no i nie wiadomo w jakiej ścieżce to było widziane.

 

 

ktoś doradził że mam tam skpiować co w poście napisał i utworzyć skrypt klikając wykonaj skrypt i jak klikam to mogę czekać tak do usranej śmierci

 

Już widzę, że tam przeszliście dalej. Problemem był błąd z przełamaniem wpisu do nowej linii przed dyrektywą [emptytemp]:

 

[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
]

 

Komentując inne rzeczy, które robiła tamta osoba, te wpisy to wcale nie były not found, to jest pozorny brak i nie należało tego usuwać:

 

FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nprphtml5videoshim;version=12.0.1.609: C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll File not found

 

Soft zainstalowany i powyższe stanowi komplet z:

 

FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Program Files (x86)\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=12.0.1.609: c:\program files (x86)\real\realplayer\Netscape6\nppl3260.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=12.0.1.609: c:\program files (x86)\real\realplayer\Netscape6\nprjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=12.0.1.609: c:\program files (x86)\real\realplayer\Netscape6\nprpjplug.dll (RealNetworks, Inc.)

 

Za to usuń sobie jeszcze szczątki adware Babylon w IE i po Kasperskym w Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=15627"
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\virtualKeyboard@kaspersky.ru: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2011\FFExt\virtualKeyboard@kaspersky.ru
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\KavAntiBanner@Kaspersky.ru: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2011\FFExt\KavAntiBanner@kaspersky.ru
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\linkfilter@kaspersky.ru: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2011\FFExt\linkfilter@kaspersky.ru
[2013-01-11 14:45:33 | 000,000,000 | ---D | M] (Blokowanie banerów) -- C:\Program Files (x86)\mozilla firefox\extensions\KavAntiBanner@kaspersky.ru_bak
[2013-01-11 14:45:34 | 000,000,000 | ---D | M] (Kaspersky URL Advisor) -- C:\Program Files (x86)\mozilla firefox\extensions\linkfilter@kaspersky.ru_bak

 

Klik w Wykonaj skrypt.

 

 

A chodzi mi o to że wydaje mi się że mam jakiegoś wirusa lub keylogger bo komputer nie pracuje jak zawsze ;/

 

Na razie tu nie ma żadnych oznak infekcji, a pierwsze zgłoszenie BitDefender o niej nadal niejasne (nie podałeś danych o które proszę). Objaśnij problem "nie pracuje jak zawsze" szczegółowo, na czym to polega. Jeśli zmierzasz, że wolno pracuje, to pierwszy podejrzany to zawsze program zabezpieczający, tu Bitdefender 2012 + COMODO Internet Security. I są błędy usług COMODO, w tym niekompatybilny sterownik:

 

[ System Events ]
Error - 2013-01-17 11:13:34 | Computer Name = PC | Source = Service Control Manager | ID = 7034
Description = Usługa COMODO LPS Launcher niespodziewanie zakończyła pracę. Wystąpiło
 to razy: 1.
 
Error - 2013-01-17 11:42:56 | Computer Name = PC | Source = Application Popup | ID = 1060
Description = Ładowanie sterownika \SystemRoot\system32\DRIVERS\CFRMD.sys zostało
 zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania
 w celu uzyskania zgodnej wersji sterownika.
 
Error - 2013-01-17 11:43:46 | Computer Name = PC | Source = Service Control Manager | ID = 7026
Description = Nie można załadować następujących sterowników startu rozruchowego 
lub systemowego:   CFRMD

 

 

 

.

[matikolud]

Wszystko się zaczeło jak rodzeństwo przyjechało tak o powiem , ponieważ coś naściągali i już jak poejchali odpalam kompa i poskanowałem paroma programami i 17 plików usunięto . Desktop.ini pojawił się jak odpaliłem kompa gdy rodzeństwo pojechało ale znalazłem rozwiązania na internecie i już okej . To bardzo dziękuję za analizę i ekspertową pomoc .

Pozdrawiam .

[picasso]

poskanowałem paroma programami i 17 plików usunięto

 

matikolud, ale wyników nie można ocenić, bo ich tu nie zaprezentowałeś, nie wiadomo czy to były rzeczy istotne.

 

 

Desktop.ini pojawił się jak odpaliłem kompa gdy rodzeństwo pojechało ale znalazłem rozwiązania na internecie i już okej

 

Co konkretnie zrobiłeś?

 

 

 

.

[matikolud]

1.Navigate to C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

2.Delete desktop.ini

3.Navigate to C:\Users\USERNAME\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

4.Delete desktop.ini if present.

 

usunełem tak jak w instrukcji , a dostanę tu pomoc czemu nie działa mi wyszukiwarka win 7 ? mam wszystko powłączane a nie działa jak wejdę na inne konto urzydkownika tam działa u mnie nie ;/

[picasso]

1.Navigate to C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

2.Delete desktop.ini

3.Navigate to C:\Users\USERNAME\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

4.Delete desktop.ini if present.

 

I to są błędne instrukcje. Ten plik ma tam być, nie powinien być usuwany, a otwierał się przy starcie, bo nie miał odpowiednich atrybutów (HS = ukryty systemowy). Naprawiaj szkody:

 

1. Otwórz Notatnik i wklej w nim:

 

[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako desktop.ini

 

Plik umieść w katalogu:

 

C:\Users\mati\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

 

2. Otwórz Notatnik i wklej w nim:

 

[.ShellClassInfo]

LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako desktop.ini

 

Plik umieść w katalogu:

 

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

 

3. Nałóż prawidłowe atrybuty na oba pliki. Uruchom linię komend cmd i wklej komendy (po każdej ENTER):

 

attrib +h +s "C:\Users\mati\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini"

attrib +h +s "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini"

 

 

 

czemu nie działa mi wyszukiwarka win 7 ? mam wszystko powłączane a nie działa jak wejdę na inne konto urzydkownika tam działa u mnie nie ;/

 

Opisz dokładnie jak to "nie działa", co się pokazuje lub nie, czy widzisz jakiś błąd.

 

 

 

PS. Temat przenoszę do działu Windows, bo infekcja żadna nie została zdiagnozowana. Koryguję też tytuł.

 

 

.

[matikolud]

Dobra za naprawę się już biorę wogóle nic mi nie wyszukuję a jak klikam wiecej wyników to pisze ż'System Windows nie może uzyskać dostępu do określonego urządzenia , ścieżki lub pliku .Możesz nie mieć odpowiednich uprawnień , aby zyskać dostęp do elementu a jestem jako admin ale rzecz w tym że nic nie wyszukuje ;/

[picasso]

nic mi nie wyszukuje a jak klikam wiecej wyników to pisze 'System Windows nie może uzyskać dostępu do określonego urządzenia' (...) jak wejdę na inne konto użytkownika tam działa u mnie nie

 

Wypróbuj czy coś da usunięcie tych plików:

 

C:\Users\mati\AppData\Local\Microsoft\Windows\1033\StructuredQuerySchema.bin

C:\Users\mati\AppData\Local\Microsoft\Windows\1045\StructuredQuerySchema.bin

 

Wskazuję dwa, bo zależy to od ilości języków, któregoś z nich możesz nie mieć. Zresetuj system, pliki powinny się zregenerować.

 

 

 

.

[matikolud]

Jezu tyle szukania w necie kombinowania i nic to nie dawało a tu chwila kurde dziękuję bardzo działa wyszukiwarka !!!!!!!!!!