Zapamiętywanie widoków folderów

[picasso]

Pod kątem układu Pulpitu, w logu widzę te oto polisy:

 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1

 

Spróbujmy to usunąć i zobaczymy czy ma to jakieś skutki dla Pulpitu. Poza tym, widzę że coś kombinowałeś, na dysku folder wyglądający na należny do "Desktop Item Position Saver 64-bit edition":

 

[2012-05-27 11:19:42 | 000,000,000 | ---D | C] -- C:\Program Files\DIPS64

 

 

1. Pozbądź się wszystkich aplikacji "zapisujących" układy ikon Pulpitu, by wyniki były wiarygodne.

 

2. Usunięcie w/w polis, przy okazji też wpisów odpadkowych + czyszczenie lokalizacji tymczasowych. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
IE - HKU\S-1-5-21-3733040514-206776697-3504925482-1000\..\URLSearchHook: {F08555B0-9CC3-11D2-AA8E-000000000567} - No CLSID value found
IE - HKU\S-1-5-21-3733040514-206776697-3504925482-1000\..\SearchScopes\{0FEF2D2C-CDA6-45E4-B2ED-9DF7C50C95FF}: "URL" = "http://gbt.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp"
IE - HKU\S-1-5-21-3733040514-206776697-3504925482-1000\..\SearchScopes\{6975F45A-1109-46b5-83D7-DACC80863180}: "URL" = "http://search.speedbit.com/searchresults.asp?src=default&q={searchTerms}"
O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (Reg Error: Key error.)
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

3. Ułóż ikony na Pulpicie, zresetuj ponownie system, przedstaw wyniki akcji.

 

 

 

.

[Max17b]

Po tym wszystkim ikony wciąż jakby automatycznie ostawiają się po lewej stronie alfabetycznie, również widok ikon nie uległ poprawie.

 

Wyniki

Wynik.txt

[picasso]

Do uzupełniania informacji, gdy nikt nie odpisał, służy opcja Edytuj. Skleiłam sekwencję dwóch postów. Dołączony log zaś wskazuje, że uruchamiałeś skrypt dwa razy (to skrypty jednorazowego użytku), bo wszystko jest "not found".

 

W kwestii problemu: sprawdź czy problem jest zależny od konta użytkownika. Stwórz przez Panel sterowania nowe konto o uprawnieniach administracyjnych, zaloguj się na nie i zweryfikuj co się dzieje z układaniem Pulpitowych ikon i widokami innych folderów.

 

 

 

 

.

[Max17b]

Problem nie występuje na nowym koncie. Ustawiłem konto jako administrator i problemu nie ma żadnego. Co w takiej sytuacji zrobić ? Usunąć poprzednie konto ?

[picasso]

To proponuję przekopiować sobie niektóre dane do nowego konta, a stare usunąć. Ale przed akcją możemy jeszcze pomęczyć temat starego konta. Zaloguj się na to stare trefne konto i zrób kopię rejestru za pomocą RegBack. Wynikowy folder zapakuj do ZIP, shostuj gdzieś i prześlij na PW. Przejrzenie tego zajmie mi trochę czasu.

 

 

 

.

[Max17b]

Plik został przesłany na PW.

[picasso]

Już wiem o co tu chodzi. Jesteś zainfekowany trojanem ZeroAccess, na ile pełna infekcja nie wiem (widzę tylko rejestr a nie składniki na dysku), możliwe że to resztki. Jego obecność w rejestrze wykazana następującym wpisem:

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]
@="C:\\Users\\USHER\\AppData\\Local\\{5195b7c7-c031-1397-372b-fcbeee02d2f6}\\n."
"ThreadingModel"="Both"

 

Wpis jest zlokalizowany po stronie bieżącego użytkownika, dlatego na nowym koncie nie ma problemu (inny rejestr = inne wpisy w HKEY_CURRENT_USER). Dla porównania temat z dziś (pomyślnie rozwiązany) z identycznymi objawami: KLIK. To obecność dostawionej klasy {42aedc87-2188-41fd-b9a3-0c966feabec1} trojana powoduje niemożność utrzymania prawidłowych widoków. Zanim przejdę do usunięcia tego wpisu z konta poproszę o wyszukiwanie na dysku pod kątem obecności folderu trojana. W SystemLook x64 do skanu wklej:

 

:folderfind
{5195b7c7-c031-1397-372b-fcbeee02d2f6}

 

Klik w Look i wklej raport do posta.

 

 

 

.

[Max17b]

SystemLook 30.07.11 by jpshortstuff

Log created at 21:57 on 31/05/2012 by Gabriel

Administrator - Elevation successful

 

========== folderfind ==========

 

Searching for "{5195b7c7-c031-1397-372b-fcbeee02d2f6}"

No folders found.

 

-= EOF =-

 

EDIT

Wynik wyszukiwania z nowego konta użytkownika. Poprzednie usunąłem.

[picasso]

Skan nic nie wykazał na dysku, wyglądało to na resztkę w rejestrze.

 

 

Poprzednie usunąłem.

 

No cóż, pośpieszyłeś się zbytnio (wyraźnie zaznaczyłam, że przed akcją usuwania konta mogę jeszcze ciągnąć analizę, i na dodatek usterka okazała się jawna). Naprawa to była kwestia kasacji jednego klucza w rejestrze. Rozumiem, że sprawa jest zamknięta, temat też zostanie zamknięty.

 

 

.

[Max17b]

Mam jeszcze jedno pytanie. Co to za dziwny folder i plik ?

 

Edit

Jestem pod ogromnym wrażaniem twojej wiedzy. Dziękuję za pomoc po stokroć. Twoje uwagi i opinie są bezcenne. Jeszcze raz dziękuję. :)

[picasso]

Mam jeszcze jedno pytanie. Co to za dziwny folder i plik ?

 

1. $WINDOWS.~Q - Wynik aktualizacji systemu Vista do Windows 7. Folder jest odpadkiem pokonwersyjnym i spokojnie do kasacji, a można to wykonać poprzez Narzędzie oczyszczania dysku (Pliki wszystkich użytkowników na tym komputerze > Pliki odrzucone przez uaktualnienie systemu) lub ręcznie.

 

2. PDOXUSRS.NET - Plik pochodzi od któregoś programu bazodanowego, a jego rola nakreślona tu: KLIK. U Ciebie wygląda na to, że przypuszczalnym twórcą pliku jest aplikacja C-GEO 8.0, widoczna na liście zainstalowanych.

 

 

 

.