Skocz do zawartości

Desktop.ini na pulpicie


pap

Rekomendowane odpowiedzi

Witam
Wczoraj bit defender wykrył wirusa u mnie w systemie. Wirusa natychmiast usunąłem po czym na pulpice pojawił się plik desktop.ini.
Ponadto podczas uruchamianai systemu pojawia się desktop -notatnik [.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
 
Czy nadal mam wirusa w systemie?
 
Na wszwlki wypadek załączam logi.
 
 
GMER 2.0.18454 - http://www.gmer.net
Rootkit scan 2013-04-28 13:13:07
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 WDC_WD50 rev.03.0 465,76GB
Running: 7ohtgt8p.exe; Driver: C:\Users\Admin\AppData\Local\Temp\uwddakob.sys
 
Z góry dziękuję z a pomoc.

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Temat przenoszę do działu Windows. Oznak infekcji brak, tylko drobne adware do wyczyszczenia (instrukcje w spoilerze). Log z GMER urwany, to tylko nagłówek.

 

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.searchya.com/?q={searchTerms}&f=4&a=SearchooD&cd=2XzuyEtN2Y1L1Qzu0BzzyBtD0FyEyEzz0E0DtA0F0CyD0AyBtN0D0Tzu0CyEyCyCtN1L2XzutBtFtBtFtCtFyEtAtBtN1L1Czu0D1F2W1G1I1F1T1QtF1Q1J1V0O1E1P1G0O1O1O1L1R1P&cr=1244464001&ir=
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.searchya.com/?q={searchTerms}&f=4&a=SearchooD&cd=2XzuyEtN2Y1L1Qzu0BzzyBtD0FyEyEzz0E0DtA0F0CyD0AyBtN0D0Tzu0CyEyCyCtN1L2XzutBtFtBtFtCtFyEtAtBtN1L1Czu0D1F2W1G1I1F1T1QtF1Q1J1V0O1E1P1G0O1O1O1L1R1P&cr=1244464001&ir=
IE - HKU\S-1-5-21-4107898334-502945322-3785461398-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.searchya.com/?q={searchTerms}&f=4&a=SearchooD&cd=2XzuyEtN2Y1L1Qzu0BzzyBtD0FyEyEzz0E0DtA0F0CyD0AyBtN0D0Tzu0CyEyCyCtN1L2XzutBtFtBtFtCtFyEtAtBtN1L1Czu0D1F2W1G1I1F1T1QtF1Q1J1V0O1E1P1G0O1O1O1L1R1P&cr=1244464001&ir=
IE - HKU\S-1-5-21-4107898334-502945322-3785461398-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www2.delta-search.com/?q={searchTerms}&affID=119776&tl=gbn321492&babsrc=SP_ss&mntrId=E299B870F448ED3F
IE - HKU\S-1-5-21-4107898334-502945322-3785461398-1001\..\SearchScopes\{C61F7AB5-9A6D-4E23-8DD5-D17BC6F13900}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3289075&CUI=UN41892540691908223&UM=1
O2 - BHO: (Ironsource LTD Helper Object) - {25927741-5E5B-4D27-8D8B-9188FE64373F} - C:\Program Files (x86)\SearchYa!\1.5.25.0\bh\searchya.dll (Montera Technologeis LTD)
O3 - HKLM\..\Toolbar: (SearchYa Toolbar) - {33AA308B-B565-4376-AC66-59EE9B6AD13E} - C:\Program Files (x86)\SearchYa!\1.5.25.0\searchyaTlbr.dll (Montera Technologeis LTD)
O3 - HKU\S-1-5-21-4107898334-502945322-3785461398-1001\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
[2013-04-27 15:46:53 | 000,000,000 | ---D | C] -- C:\ProgramData\SoftSafe
[2013-04-27 15:46:37 | 000,000,000 | ---D | C] -- C:\ProgramData\InstallMate
[2013-04-27 11:24:19 | 000,000,000 | ---D | C] -- C:\ProgramData\Babylon
[2013-04-27 11:24:18 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Roaming\Babylon
[2013-04-27 11:24:12 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\PutLockerDownloader
[2013-04-27 11:24:01 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FTDownloader.com
[2013-04-10 13:14:30 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Roaming\0D1F2W1G1I1F1T1QtF1Q1J
[2013-04-10 13:12:11 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\SearchYa!
[2013-04-07 10:10:38 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Conduit
[2013-04-07 10:10:37 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\Conduit
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Wyczyść przeglądarki. W Firefox menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. W Google Chrome wejdź do ustawień i w Rozszerzeniach odmontuj Babylon + FTDownloader, w zarządzaniu wyszukiwarkami ustaw Google jako domyślną.

 

3. Uruchom AdwCleaner i zastosuj Usuń.

 

 

 

 

 

Wczoraj bit defender wykrył wirusa u mnie w systemie.

 

W czym, jaka ścieżka dostępu?

 

 

Wirusa natychmiast usunąłem po czym na pulpice pojawił się plik desktop.ini.

 

To prawidłowy plik systemowy, który odpowiada za polonizowaną nazwę folderu (dlatego wyświetla się "Pulpit" a nie "Desktop") oraz ikonę folderu Pulpitu. Plik się nie pojawił, plik tam zawsze był, co więcej powinien być podwójny. Cytuję:

 

 

desktopini.png

 

Na Pulpicie Vista i 7 są zawsze dwa pliki desktop.ini, gdyż Pulpit widziany oczami to wirtualna przestrzeń składająca wspólnie w istocie widok dwóch rzeczywistych folderów Pulpitu zlokalizowanych na dysku twardym:

 

C:\Users\Konto użytkownika\Desktop

C:\Users\Public\Desktop

 

Domyślnie wszystkie pliki desktop.ini mają atrybuty HS (ukryty systemowy) i są usunięte z widoku. Tym zachowaniem steruje się przy udziale opcji w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > Ukryj chronione pliki systemu operacyjnego. Ujrzałeś nagle te pliki, bo uruchomiłeś OTL, który wpływa na rekonfigurację ustawień Widoku. Opcje wracają na miejsce, gdy w OTL użyje się funkcji Sprzątanie (stosowana tylko wtedy, gdy w OTL przepuszczano skrypt usuwający i jest po prostu co "sprzątać" = kwarantanna OTL). Lub, jak mówię, samemu sobie zmienić w opcjach.

 

Pytaniem zasadniczym jest: czy po zaznaczeniu opcji Ukryj chronione pliki systemu operacyjnego ten plik nadal widać na Pulpicie? Jeśli tak, plik utracił specjalne atrybuty HS (ukryty systemowy) i trzeba to poprawić. Podobnie jak dla tych plików desktop.ini:

 

 

Ponadto podczas uruchamianai systemu pojawia się desktop -notatnik [.ShellClassInfo]

LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

 

Problemem są pliki desktop.ini w folderach Autostart, które utraciły atrybuty ukrywania (HS). Pliki należy ukryć, by przestały się otwierać:

 

Start > w polu szukania wpisz cmd > z prawokliku jako Administrator i po kolei wklej te komendy, każdą zatwierdzając ENTER:

 

attrib +h +s "C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini"

attrib +h +s "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini"

 

Zresetuj system. Pliki desktop.ini powinny przestać się otwierać.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...