CLSID_StartMenuFolder - skąd w ostatnio otwieranych?

[Flame]

Serdecznie Wszystkich witam,

gdyż jestem nowym

forumowiczem i to mój pierwszy

post w tym ciekawym miejscu.

Wpis umieściłem w tym dziale,

bo do końca nie wiem czy jego sedno ma coś wspólnego z

bezpieczeństwem, a właściwie

tego chcę się dowiedzieć.

Komputera używam na

wyłączność i nikt inny poza

mną z niego nie korzysta (OS - Windows 7 Ultimate). Wczoraj

zaobserwowałem, że na pasku

mocy sygnału WiFi zakręciło mi

się kółko ładowania i na chwilę

zerwało połączenie z punktem

dostępowym. Nie byłoby w tym nic dziwnego gdyby nie folder

CLSID_StartMenuProviderFolder,

który pojawił mi się w folderze

ostatnio otwieranych w

Exploratorze na pasku

szybkiego uruchamiania . Nigdy nie otwierałem takiego i stąd

moje obawy. Co to jest za

folder? Normalnie nie mogę go

odnaleźć w zasobach

systemowych, a gdy go

próbowałem otworzyć z poziomu paska nic się nie działo.

Proszę mi powiedzieć czy to

tylko jakiś mały błąd w

systemie, czy ktoś uzyskał

zdalny dostęp do komputera,

bądź próbuje się włamać lub uzyskać dostęp ? Za wszelkie

sugestie będę wdzięczny.

[picasso]

1. Poproszę o standardowe raporty z OTL.

 

2. Zrób także szukanie w rejestrze na tę frazę. Uruchom SystemLook (system 32-bit) lub SystemLook x64 (system 64-bit) i w oknie wklej:

 

:regfind
CLSID_StartMenuProviderFolder
 
:folderfind
CLSID_StartMenuProviderFolder

 

Klik w Look.

 

 

.

[Flame]

Serdecznie dziękuję za zainteresowanie. Wykonałem zalecane działania.

SystemLook.txt

OTL.Txt

Extras.Txt

[picasso]

Ów CLSID_StartMenuProviderFolder jest w porządku. Twój skan z SystemLook pokazuje składniki systemowe, tu nic nie zostało dodane wtórnie / podrobione. Proszę, tu z rejestru mojego systemu odczyt:

 

Nazwa klucza:      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{daf95313-e44d-46af-be1b-cbacea2c3065}
Nazwa klasy:       
Czas ost. zapisu:  2009-07-14 - 06:41
Wartość 0
  Nazwa:           
  Typ:             REG_SZ
  Dane:            CLSID_StartMenuProviderFolder
 
 
Nazwa klucza:      HKEY_CLASSES_ROOT\CLSID\{daf95313-e44d-46af-be1b-cbacea2c3065}
Nazwa klasy:       
Czas ost. zapisu:  2009-07-14 - 06:41
Wartość 0
  Nazwa:           
  Typ:             REG_SZ
  Dane:            CLSID_StartMenuProviderFolder
 
 
Nazwa klucza:      HKEY_CLASSES_ROOT\CLSID\{daf95313-e44d-46af-be1b-cbacea2c3065}\DefaultIcon
Nazwa klasy:       
Czas ost. zapisu:  2009-07-14 - 06:41
Wartość 0
  Nazwa:           
  Typ:             REG_EXPAND_SZ
  Dane:            @%SystemRoot%\system32\SearchFolder.dll,-323
 
 
Nazwa klucza:      HKEY_CLASSES_ROOT\CLSID\{daf95313-e44d-46af-be1b-cbacea2c3065}\InProcServer32
Nazwa klasy:       
Czas ost. zapisu:  2009-07-14 - 06:41
Wartość 0
  Nazwa:           
  Typ:             REG_EXPAND_SZ
  Dane:            %SystemRoot%\system32\SearchFolder.dll
 
Wartość 1
  Nazwa:           ThreadingModel
  Typ:             REG_SZ
  Dane:            Both
 
 
Nazwa klucza:      HKEY_CLASSES_ROOT\CLSID\{daf95313-e44d-46af-be1b-cbacea2c3065}\ShellFolder
Nazwa klasy:       
Czas ost. zapisu:  2009-07-14 - 06:41
Wartość 0
  Nazwa:           Attributes
  Typ:             REG_DWORD
  Dane:            0x20180000

 

Ta szczególna klasa jest związana z wyszukiwaniem wbudowanym w Windows 7. Kieruje na plik C:\Windows\system32\searchfolder.dll

 

 

.

 

 

 

[Flame]

Dziękuję bardzo za poświęcony czas i rozwianie moich wątpliwości. Jeszcze jedno małe pytanie, czy w OTL muszę użyć jeszcze funkcji "Sprzątanie" ? Nie korzystałem nigdy z tego typu skanera, więc nie wiem na ile jest on inwazyjny i czy pozostawia po sobie jakieś ślady w systemie ? Myślę, że nie, ale nie jestem ekspertem w tej dziedzinie.

[picasso]

Jeszcze jedno małe pytanie, czy w OTL muszę użyć jeszcze funkcji "Sprzątanie" ? Nie korzystałem nigdy z tego typu skanera, więc nie wiem na ile jest on inwazyjny i czy pozostawia po sobie jakieś ślady w systemie ?

 

Nie musisz tego używać, ponieważ OTL działał tu w trybie skanowania, nie został wykonany żaden skrypt (to działanie tworzy dodatkowy obiekt na dysku, katalog "kwarantanny" OTL z logami i usuwanymi obiektami). Jedyne co skan modyfikuje, to widoczność ukrytych - to taka pomoc dla analizujących podających instrukcje, by użytkownik nie musiał ręcznie przełączać opcji. Jeśli to Ci przeszkadza, przestaw sobie opcje w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok: Pokaż ukryte pliki i foldery + Ukryj chronione pliki systemu operacyjnego + Ukryj rozszerzenia znanych typów plików.

 

 

 

.

[Flame]

Gdyby zmieniła się opcja widoku folderów na pewno zauważyłbym to (chociażby po desktop.ini widocznym na pulpicie) - nic takiego nie miało miejsca, bo ustawienia mam domyślne. Mimo wszystko, dzięki za informację.

Jeszcze jedno, jeśli można - trochę off topic - czy wiadomo coś szanownej Administrator o aktualizacji Agent'a Windows Update do wersji 7.6.7600.256 ? Dziś system wystartował mi z konigurowaniem ustawień i w historii aktualizacji pojawił się stosowny wpis. Czy Microsoft aktualizuje agenta automatycznie, nawet gdy - co mam w zwyczaju i ustawieniach - mam ustawiony tryb zatwierdzania dostępnych do zainstalowania aktualizacji ?

W systemie odnalazłem taki log * :

 

2012-06-22 18:04:32:327 1940 9e8 Misc =========== Logging initialized (build: 7.5.7601.17514, tz: +0200) ===========

2012-06-22 18:04:32:327 1940 9e8 Misc = Process: C:\Windows\system32\wuauclt.exe

2012-06-22 18:04:32:311 1940 9e8 Setup Closing WU explorer windows

2012-06-22 18:04:32:374 1940 9e8 Setup Found 0 explorer windows

2012-06-22 18:04:41:170 1928 8cc Misc =========== Logging initialized (build: 7.5.7601.17514, tz: +0200) ===========

2012-06-22 18:04:41:170 1928 8cc Misc = Process: C:\Windows\system32\wuauclt.exe

2012-06-22 18:04:41:155 1928 8cc Setup Closing WU explorer windows

2012-06-22 18:04:41:202 1928 8cc Setup Found 0 explorer windows

2012-06-22 18:06:48:514 3592 7c8 Misc =========== Logging initialized (build: 7.6.7600.256, tz: +0200) ===========

2012-06-22 18:06:48:514 3592 7c8 Misc = Process: C:\Windows\system32\wuauclt.exe

2012-06-22 18:06:48:514 3592 7c8 AUClnt Launched Client UI process

2012-06-22 18:06:48:749 3592 7c8 Misc =========== Logging initialized (build: 7.6.7600.256, tz: +0200) ===========

2012-06-22 18:06:48:749 3592 7c8 Misc = Process: C:\Windows\system32\wuauclt.exe

2012-06-22 18:06:48:749 3592 7c8 Misc = Module: C:\Windows\system32\wucltux.dll

2012-06-22 18:06:48:749 3592 7c8 CltUI AU client got new directive = 'Download Approval', serviceId = {7971F918-A847-4430-9279-4A52D1EFE18D}, return = 0

2012-06-22 18:07:17:961 2384 3f0 Misc =========== Logging initialized (build: 7.6.7600.256, tz: +0200) ===========

2012-06-22 18:07:17:961 2384 3f0 Misc = Process: C:\Windows\Explorer.EXE

2012-06-22 18:07:17:961 2384 3f0 Misc = Module: C:\Windows\system32\wucltux.dll

2012-06-22 18:07:17:961 2384 3f0 WUApp No EULA acceptance needed

2012-06-22 18:07:17:961 3592 7c8 CltUI AU client got new directive = 'Interactive Progress', serviceId = {7971F918-A847-4430-9279-4A52D1EFE18D}, return = 0

2012-06-22 18:07:42:008 3592 7c8 CltUI AU client got new directive = 'Install Complete Ux', serviceId = {7971F918-A847-4430-9279-4A52D1EFE18D}, return = 0

2012-06-22 18:07:42:040 3592 7c8 CltUI AU client got new directive = 'Shutdown', serviceId = {7971F918-A847-4430-9279-4A52D1EFE18D}, return = 0

 

* Chciałem dodać plik .txt , ale cytuję : "Błąd Nie masz uprawnień do wysyłania tego typu plików".

 

 

Dziękuję za zainteresowanie.

[picasso]

czy wiadomo coś szanownej Administrator o aktualizacji Agent'a Windows Update do wersji 7.6.7600.256 ?

 

Tak, to świeża aktualizacja Agenta. Wg artykułu KB949104 zmiany:

 

Improvements made to version 7.6.7600.256 of the Windows Update Agent

 

Hardened Windows Update infrastructure so that the Windows Update client will only trust files signed by a new certificate that is used solely to protect updates to the Windows Update client.

Strengthened the communication channel used by Windows Update Client to protect it in a similar way.

 

 

Czy Microsoft aktualizuje agenta automatycznie, nawet gdy - co mam w zwyczaju i ustawieniach - mam ustawiony tryb zatwierdzania dostępnych do zainstalowania aktualizacji ?

 

A masz aktualnie tak ustawione tzn. nic się nie przestawiło? Możliwe, że Agent jest wyjątkiem i z automatu się aktualizuje.

 

 

* Chciałem dodać plik .txt , ale cytuję : "Błąd Nie masz uprawnień do wysyłania tego typu plików"

 

Próbujesz dodać plik o rozszerzeniu *.LOG. Załączniki akceptują tylko *.TXT. Na przyszłość: wystarczy zmiana nazwy pliku.

 

 

 

 

.

[Flame]

Ze wstawianiem pliku .log wyszło niezłe faux pas z mojej strony - wszystko przez ukrywanie znanych rozszerzeń plików przez system.

Z WUA to na 100% zainstalował się z automatu pomimo innych ustawień pobierania aktualizacji. W sumie Microsoft ma możliwość wymuszenia instalacji, tylko dziwi mnie to, bo nigdy się z tym nie spotkałem. Domyślam się, że nowy Agent ma związek ze zmianą certyfikatów dla usługi po niedawnym ich sfałszowaniu.

Nie będę już zawracał głowy błahostkami i jeszcze raz serdecznie dziękuję za profesjonalne podejście do sprawy, nawet w mniej ważnych tematach.

Gorąco pozdrawiam.