Skocz do zawartości

Dziwny folder 'documents and!settings'


Rekomendowane odpowiedzi

Witam.

Zauważyłem, że na dysku C: pojawił się nie zakładany przeze mnie ani nikogo z użytkowników folder'documents and!settings'

(tak, z wykrzyknikiem).

 

Mogę jedynie podzielić się dwoma _przypuszczeniami_ skąd mógł się tam wziąść.Niedawno instalowałem "legalną inaczej" wersje Photoshopa CS4, do której musiałem niestety użyć keygena mniej zaufanego niż wielokrotnie używany i - nawet jeśli - niewidocznie i nieszkodliwie ingerujący w system, poprzedni

 

tego typu "wytrych" do CS2-ki. Co prawda antywirus nic nie wykazał, ale nie musiał, prawda?

 

Drugie przypuszczenie dotyczy równie legalnego full-rip'a gry, który - jeśli ktoś nie zna bliżej tego typu "nabywania" gier - jest mocno spakowany przez ekipę crackującą tego typu produkcje i tworzącą do tego własny program rozpakowujący oraz instalujący grę sobie znanym sposobem, jedyne co trzeba zrobić, to włączyć plik 'setup.bat', a w celu deinstalacji usunąć odpowiedni wpis z rejestru i odpalić inny programik, majacy usunąć grę z komputera. Nie wiem, czy ta gra nie została wyposażona w jakiegoś rodzaju zabezpiecznie związane z "oryginalnym" folderem 'documents and settings', np. w celu zapobieżenia piratom tworzenia ustawień gier, części instalacji czy save'ów w 'Moich Dokumentach', i czy takie zabezpieczenie nie zostało w taki sposób chwilowo ominięte, zostawiając "śmieciowy folder" mający oszukać zabezpieczenie.

 

Z obu powodów wolałem na razie nie tykać folderu i nie usuwać go - wolę się upewnić, czy w systemie czai się jakiś "bandzior", czy logi wykazują jakieś niebezpieczeństwo itp. zanim wywalę coś, co jest niegroźne, a umożliwia działanie temu, czy innemu programowi.Co prawda nie chciałbym tracić dostępu do obu w/w programów, zwłaszcza graficznego, ale jeśli będzie to w jakiś sposób zagrażenie dla systemu, to oczywiście nie będę miał wyjścia.

 

Co do zabezpieczeń systemu (choć pewnie wyczytacie magicznie z logów)

W rolach głównych:

 

Antywirus - Avira

Firewall - Comodo

 

Oba aktualizuję często i dawno nie krzyczały o infekcjach.

 

Załączam logi:

 

OTL:

OTL.Txt

Extras.Txt

 

GMER:

gmer.log.txt

 

Defogger:

defogger_disable by jpshortstuff (23.02.10.1)

Log created at 22:32 on 13/05/2012 (lord_destroyer)

 

Checking for autostart values...

HKCU\~\Run values retrieved.

HKLM\~\Run values retrieved.

HKCU:DAEMON Tools Pro Agent -> Removed

 

Checking for services/drivers...

Unable to read sptd.sys

SPTD -> Disabled (Service running ->

 

 

ed)

 

 

-=E.O.F=-

 

SecurityCheck:

 

Results of screen317's Security Check version 0.99.32

Windows XP Service Pack 3 x86

Internet Explorer 8

``````````````````````````````

Antivirus/Firewall Check:

Avira AntiVir Personal - Free Antivirus

COMODO Internet Security

Antivirus up to date! (On Access scanning disabled!)

```````````````````````````````

Anti-malware/Other Utilities Check:

CCleaner

Java™ 6 Update 22

Java™ 6 Update 31

Java version out of date!

Adobe Flash Player 11.2.202.235

Adobe Reader X (10.1.3)

Mozilla Thunderbird (x86 pl..)

````````````````````````````````

Process Check:

objlist.exe by Laurent

Avira Antivir avgnt.exe

Avira Antivir avguard.exe

``````````End of Log````````````

 

Z góry dziękuję za wszelką pomoc i ewentualne wyjaśnienie skąd taki dziwny folder (jeśli mylnie przypuszczałem na początku posta)

 

Pozdrawiam serdecznie

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Temat przenoszę do działu Windows XP. Nie wygląda to w ogóle na problematykę infekcji.

 

 

Zauważyłem, że na dysku C: pojawił się nie zakładany przeze mnie ani nikogo z użytkowników folder'documents and!settings'

(tak, z wykrzyknikiem).

 

To sugeruje odpadek wyodrębniony z powodu uszkodzonej struktury plików. Przeprowadź skanowanie dysku za pomocą narzędzia checkdisk.

 

 

wolę się upewnić, czy w systemie czai się jakiś "bandzior", czy logi wykazują jakieś niebezpieczeństwo itp.

 

Nie notuję tu żadnych oznak infekcji. Tylko wyczyść sobie szczątki po paskach narzędziowych (ma to nikłe znaczenie). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-823518204-842925246-1417001333-1003\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found
IE - HKU\S-1-5-21-823518204-842925246-1417001333-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253"
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O3 - HKU\S-1-5-21-823518204-842925246-1417001333-1003\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found.
[2012-03-09 20:43:18 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Documents and Settings\lord_destroyer\Dane aplikacji\Mozilla\Firefox\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03}

 

Klik w Wykonaj skrypt.

 

 

 

 

.

Odnośnik do komentarza

Dziękuję za pomoc, skrypt odpaliłem - na wszelki wypadek wrzucam log z OTL'a, po wykonaniu skryptu.

 

 

========== OTL ==========

Registry value HKEY_USERS\S-1-5-21-823518204-842925246-1417001333-1003\Software\Microsoft\Internet Explorer\URLSearchHooks\\{687578b9-7132-4a7a-80e4-30ee31099e03} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{687578b9-7132-4a7a-80e4-30ee31099e03}\ not found.

Registry key HKEY_USERS\S-1-5-21-823518204-842925246-1417001333-1003\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found.

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.

Registry value HKEY_USERS\S-1-5-21-823518204-842925246-1417001333-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{687578B9-7132-4A7A-80E4-30EE31099E03} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{687578B9-7132-4A7A-80E4-30EE31099E03}\ not found.

C:\Documents and Settings\lord_destroyer\Dane aplikacji\Mozilla\Firefox\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03}\searchplugin folder moved successfully.

C:\Documents and Settings\lord_destroyer\Dane aplikacji\Mozilla\Firefox\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03}\modules folder moved successfully.

C:\Documents and Settings\lord_destroyer\Dane aplikacji\Mozilla\Firefox\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03}\META-INF folder moved successfully.

C:\Documents and Settings\lord_destroyer\Dane aplikacji\Mozilla\Firefox\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03}\defaults folder moved successfully.

C:\Documents and Settings\lord_destroyer\Dane aplikacji\Mozilla\Firefox\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03}\components folder moved successfully.

C:\Documents and Settings\lord_destroyer\Dane aplikacji\Mozilla\Firefox\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03}\chrome folder moved successfully.

C:\Documents and Settings\lord_destroyer\Dane aplikacji\Mozilla\Firefox\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} folder moved successfully.

 

OTL by OldTimer - Version 3.2.42.1 log created on 05142012_194208

Odnośnik do komentarza
  • 2 tygodnie później...

Rozumiem, że chodzi o raport checkdiska w narzędziach administracyjnych?

Mam taki wynik i proszę o pomoc w interpretacji...

 

 

Sprawdzanie systemu plików na C:

Typ systemu plików to NTFS.

 

Zaplanowano sprawdzenie dysku.

System Windows sprawdzi teraz dysk.

Porzadkowanie niewielkich niespójnosci na dysku.

Oczyszczanie 220 nieuzywanych wpisów w indeksie $SII pliku 0x9.

Oczyszczanie 220 nieuzywanych wpisów w indeksie $SDH pliku 0x9.

Porzadkowanie 220 nieuzywanych deskryptorów zabezpieczen.

CHKDSK sprawdza dane pliku (poziom 4 z 5)

Zakonczono sprawdzanie danych pliku.

CHKDSK sprawdza wolne miejsce (etap 5 z 5)

Zakonczono sprawdzanie wolnego miejsca na dysku.

CHKDSK wykryl wolne miejsce oznaczone jako przydzielone w

mapie bitowej glównej tabeli plików (MFT).

System Windows wprowadzil poprawki do systemu plików.

 

52251380 KB calkowitego miejsca na dysku.

28395908 KB w 66132 plikach.

22656 KB w 8025 indeksach.

0 KB w uszkodzonych sektorach.

147212 KB uzywanych przez system.

65536 KB zajetych przez plik dziennika.

23685604 KB dostepnych na dysku.

 

4096 bajtów w kazdej jednostce alokacji.

13062845 ogólem jednostek alokacji na dysku.

5921401 jednostek alokacji dostepnych na dysku.

 

Informacje wewnetrzne:

70 34 01 00 b8 21 01 00 db 9d 01 00 00 00 00 00 p4...!..........

52 01 00 00 01 00 00 00 85 03 00 00 00 00 00 00 R...............

52 94 c8 05 00 00 00 00 f2 6d b3 0a 00 00 00 00 R........m......

ee 78 6f 06 00 00 00 00 b0 4d 4d 6d 01 00 00 00 .xo......MMm....

16 3d 3b 76 00 00 00 00 e8 b5 3b 01 02 00 00 00 .=;v......;.....

50 21 d1 b2 00 00 00 00 b8 3b 07 00 54 02 01 00 P!.......;..T...

00 00 00 00 00 10 26 c5 06 00 00 00 59 1f 00 00 ......&.....Y...

 

System Windows zakonczyl sprawdzanie dysku.

Zaczekaj na ponowne uruchomienie systemu.

Odnośnik do komentarza

W raporcie z pracy checkdisk nie ma zbyt wiele, choć są adnotacje o "porządkowaniu niewielkich niespójności". Czy skasowałeś już ręcznie ten felerny odpadek documents and!settings?

 

'documents and!settings' usunąłem ręcznie i nie stawiał oporów. Po resecie nic widocznego się nie dzieje, folder nie powraca. Wygląda ok.

Dla pewności czy faktycznie dalej wszystko jest ok, zamieszczam logi ze wszystkich wymaganych programów.

 

Defogger:

defogger_disable.txt

 

GMER:

gmer.txt

 

OTL:

OTL.Txt

 

OTL Extras:

Extras.Txt

 

SecurityCheck:

 

Results of screen317's Security Check version 0.99.32

Windows XP Service Pack 3 x86

Internet Explorer 8

``````````````````````````````

Antivirus/Firewall Check:

Avira Free Antivirus

COMODO Internet Security

WMI entry may not exist for antivirus; attempting automatic update.

Avira successfully updated!

```````````````````````````````

Anti-malware/Other Utilities Check:

CCleaner

Java™ 6 Update 22

Java™ 6 Update 31

Java version out of date!

Adobe Flash Player 11.2.202.235

Adobe Reader X (10.1.3)

Mozilla Thunderbird (x86 pl..)

````````````````````````````````

Process Check:

objlist.exe by Laurent

Avira Antivir avgnt.exe

``````````End of Log````````````

Odnośnik do komentarza

LordDestroyer, nie wiem dlaczego Ty się kręcisz ciągle wokół logów (które są materiałem analizy określonej części i to dalekiej od problemu tu nakreślonego). Logi były sprawdzone już raz, ich sprawdzanie po raz drugi nie wnosi nic do sprawy. A braki aktualizacyjne to wiadomo (KLIK).

 

Tak naprawdę nie mam pojęcia co za problemy w logach tych programów można złowić - wrzuciłem intuicyjnie, bo przypuszczam, że w ten sposób wiesz o moim komputerze więcej niż ja sam :) i myślałem, że na ich podstawie da się wywnioskować czy system jest czysty czy coś tam się zmieniło po usunięciu tego folderu. Spójrz na to w taki sposób - dla mnie rejestr czy tego typu głębsze sprawy systemowe to magia, logi to skrypty przechowujące tajemną wiedzę, Ty jesteś magiem potrafiącym te woluminy odczytać, a ja, bidny chłop z pola we wsi Cichociemnogród Ci je przynoszę, bo mi się wydaje, że jak na nie spojrzysz, będziesz w stanie mi przepowiedzieć obfitość plonów na przyszłe trzy pokolenia wprzód.

Po tej uwadze czuję się, jakbym zapomniał przynieść kury lub gęsi, ew. krowy lub osła i strasznie mi głupio, ale jak głos z wierzy mówi że zwojów nie trza, to wydaje mi się, że pewnie plony będą obfite, ale może być że za 100 lat piorun wnuka pie***lnie i nie będzie komu tych plonów zbierać.

 

Jednym słowem - jest fajnie i poza standardowym updatowaniem programów i łataniem windowsa nie muszę się przejmować ani tym "polem", ani "piorunem"?

Wybacz wyrafinowaną metaforę ;) Uprzedzając złośliwe uwagi - w powyższej historyjce sytuacyjnej w żadnym wypadku nie występujesz w roli wiedźmy - mimo, wiedza twoja jest przepastna.

 

Pozdrawiam i dziękuję za pomoc. Jakąś kurę Ci wyślę na wiadome konto dziękczynne, a w razie pożaru pola przybiegnę z dwoma kozami ;)

Odnośnik do komentarza

LordDestroyer, wydawało mi się oczywiste, iż moja wypowiedź początkowa, która umniejsza role raportów OTL w tym konkretnym przypadku i gdy to nawet nie pada zwyczajowa prośba o "podanie nowych logów", zostanie odpowiednio zrozumiana. Raporty z OTL / GMER nie są wszechmocne, mają mimo wszystko określony smak tematyczny i przy pewnych tematach są, no cóż, bezużyteczne.

 

 

 

.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...