Witam , zamieszczam tutaj logi FRST na polecenie z tego tematu : http://forum.dobreprogramy.pl/usuni%C4%99te-moje-dokumenty-i-profile-t501105/
Problem nie ma związku z infekcją.
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
HKLM\...\Policies\Explorer: [NoSetActiveDesktop] 0
HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0
HKLM\...\Policies\Explorer: [HideSCAHealth] 0
HKU\S-1-5-21-2772395241-2877490462-718060330-1000\...\Policies\Explorer: [TaskbarNoNotification] 0
HKU\S-1-5-21-2772395241-2877490462-718060330-1000\...\Policies\Explorer: [HideSCAHealth] 0
HKU\S-1-5-18\...\Run: [Bitdefender Wallet Agent] => "C:\Program Files\Bitdefender\Bitdefender\pmbxag.exe"
HKU\S-1-5-18\...\Run: [Bitdefender Wallet] => "C:\Program Files\Bitdefender\Bitdefender\pwdmanui.exe" --hidden --nowizard
HKU\S-1-5-18\...\Run: [Bitdefender Wallet Application Agent] => "C:\Program Files\Bitdefender\Bitdefender\antispam32\bdapppassmgr.exe"
HKU\S-1-5-18\...\Policies\Explorer: [TaskbarNoNotification] 0
HKU\S-1-5-18\...\Policies\Explorer: [HideSCAHealth] 0
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
BHO-x32: No Name -> {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} -> No File
CHR Extension: (No Name) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\dibojbbgaolalipdbneihedbahhbcdmm [2015-01-14]
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
2015-03-21 15:45 - 2015-03-21 15:45 - 00000000 _____ () C:\Windows\system32\Drivers\etc\hosts.bol
2015-02-19 12:47 - 2015-03-08 15:25 - 00000000 ____ D () C:\Temp
Task: {0F36175D-D3C4-46F9-9A7D-FBB3C29781C4} - System32\Tasks\e-pity2015_kwiecien => C:\Program Files (x86)\e-file\e-pity2014\Assets\signxml.exe
Task: {1A2C1657-480D-4E7C-9385-C6974D66F411} - System32\Tasks\{DB1A4057-9BF5-47D6-BC27-F9FF2681FB12} => pcalua.exe -a E:\DRIVERS\Installation\setup.exe -d E:\DRIVERS\Installation
Task: {2E0469DD-50AE-4C34-B487-55722D08A429} - System32\Tasks\Norton Internet Security\Norton Error Analyzer => C:\Program Files (x86)\Norton Internet Security\Engine\21.3.0.12\SymErr.exe
Task: {5DE560FF-9694-47C3-AEBD-FF11095838E1} - System32\Tasks\e-pity2015_styczen => C:\Program Files (x86)\e-file\e-pity2014\Assets\signxml.exe
Task: {A00148D0-9DFD-469D-B774-903F11ED653F} - System32\Tasks\{89497319-9F70-4964-9C59-DC8A80F375D1} => pcalua.exe -a C:\Users\1\Downloads\vcredist_x86.exe -d C:\Users\1\Downloads
Task: {A249B986-AA8F-4DBB-A52C-15649F999BE3} - System32\Tasks\Norton WSC Integration => C:\Program Files (x86)\Norton Internet Security\Engine\21.3.0.12\WSCStub.exe
Task: {B37BE901-730B-4FC1-934D-2078C13BB091} - System32\Tasks\{3D0BDBAE-F0EC-4D12-B529-32A9C2FFF776} => pcalua.exe -a C:\Users\1\Downloads\Setup.exe -d C:\Users\1\Downloads
Task: {B758BDF7-FF56-47AA-95B9-EACD0F311B15} - System32\Tasks\{4A40F9B6-4267-4800-ABE3-A682FF0E0E1F} => C:\Users\1\Downloads\Desktop\LoLUpdater.exe
Task: {D158DF0C-2AB4-4E17-A9D4-3AA850CAFBF6} - System32\Tasks\{FAB8B095-41EB-4759-ABB1-A87E30B4ECEF} => pcalua.exe -a "D:\Arma II Combined Operations\#PATCH#\ARMA2_OA_Build_93965.exe" -d "D:\Arma II Combined Operations\#PATCH#"
Task: {E79631BE-2C63-42E8-AFB2-A5D993509080} - System32\Tasks\{03C5E06D-BB58-4A83-99C8-0EB1A765EABF} => pcalua.exe -a "C:\Program Files (x86)\SupTab\uninstall.exe" -d "C:\Program Files (x86)\SupTab"
Task: {EE79C3C8-D787-4F3D-BF5D-987ADDF6DEB1} - System32\Tasks\{C19E9344-C1EB-4E8E-A323-0355E12D8470} => pcalua.exe -a C:\Users\1\Downloads\Desktop\Virtual_Audio_Cable_4.6.0.1359\setup.exe -d C:\Users\1\Downloads\Desktop\Virtual_Audio_Cable_4.6.0.1359
Task: {FE046A44-546B-4418-9E52-A11F98AAF582} - System32\Tasks\{9F6C227F-630E-4989-A6D1-59C0D089EF00} => pcalua.exe -a C:\Users\1\Downloads\dotnetfx35.exe -d C:\Users\1\Downloads
EmptyTemp:
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Rzeczywista nazwa “Moje dokumenty” (to jest nazwa widzialna wyświetlana przez Eksplorator Windows z pliku DESKTOP.ini) jest Documents i jakby tego było jeszcze “mało” to jest to folder systemowy .
WIN+R
CMD.exe
ATTRIB +S %USERPROFILE%\Documents
Właściwości folderu musi być zakładka Lokalizacja (C:\Users\ NAZWA UŻYTKOWNIKA \Documents) !
Taki folder (Dokumenty Publiczne) powinien również znajdować w Publiczny (Public) %Public% .
Zawartość systemowego i ukrytego (ATTRIB +S +H) pliku DESKTOP.ini w folderze Documents , aby wyświetlała się nazwa “Moje dokumenty” :
[.ShellClassInfo]
LocalizedResourceName=Moje dokumenty
IconResource=%SystemRoot%\system32\imageres.dll,107
InfoTip=Zawiera dokumenty i inne pliki
IconFile=%SystemRoot%\system32\shell32.dll
IconIndex=-235
Nie jestem absolutnie pewien czy problem nie dotyczy biblioteki : Documents.library-ms (nazwa widzialna : Moje dokumenty) w :
C:\USERS\NAZWA UŻYTKOWNIKA\APPDATA\ROAMING\MICROSOFT\WINDOWS\LIBRARIES
USERS=UŻYTKOWNICY (nazwa widzialna)
LIBRARIES=BIBLIOTEKI (nazwa widzialna)
W takim przypadku należy : Komputer - Otwórz , Biblioteki - PPM - Przywróć domyślne biblioteki .
To co wyświetla się po prawej stronie Menu Start powyżej “Mój Komputer” (oprócz folderu użytkownika) to biblioteki (.library-ms) a nie foldery bo te umieszczone są w bibliotekach !
Ważne są rzeczywiste nazwy folderów i bibliotek , ponieważ nazwy te mają odniesienie w Rejestrze systemu Windows !
Dzięki usunąłeś mi historie wpisanych url -__- A wiesz czemu nie działa mi wyszukiwanie plików ? Np. chce wyszukać plik z dysku D:\ i nic nie znajduje ?
http://wklej.org/hash/0290dc2952f/
Skasuj folder C:\FRST
Koder122 Ty się tak nie “denerwuj” . Atis i ja chcemy Ci pomóc . Ty po prostu nie zdajesz sobie sprawy z “powagi sytuacji” i wcale nie jest powiedziane , że nie czeka Cię reinstalacja systemu , bo będzie on źródłem niekończących się problemów o których obawiam się , że nie masz “bladego pojęcia” (wyszukiwanie jest tylko jednym z nich i zapewne nie jedynym) . Bazuję na szczątkowych informacjach o usuniętym folderze systemowym i zadaję sobie pytanie co tego dokonało i jakie tak naprawdę są “spustoszenia” w Twoim systemie . Jak skończyło się tylko na “Moje dokumenty” to będziesz miał farta (ja w takim przypadku udałbym się do kolektury LOTTO) , ale śmiem , że wątpię . Radzę trochę pokory i refleksji , bowiem nic nie dzieje się bez przyczyny .
Masz taki folder systemowy :
C:\USERS\NAZWA UŻYTKOWNIKA\ SEARCHES
SEARCHES=WYSZUKIWANIA (nazwa widzialna)
a w nim pliki :
INDEXED LOCATIONS.search-ms=INDEKSOWANE LOKALIZACJE
EVERYWHERE.search-ms=WSZĘDZIE
?
“Dzięki usunąłeś mi historie wpisanych url-__-”
Naprawdę “niepowetowana strata” !
“Nie szkoda róż , gdy płonie las .”
Mam folder Searches , ale w nim jest folder “Wyszukiwania” i ukryty plik to Indeksowane lokalizacje a tego pliku nie ma
"Mam folder Searches , ale w nim jest folder “Wyszukiwania” i ukryty plik to Indeksowane lokalizacje a tego pliku nie ma" ** =PROBLEM**(jest systemowy - Lokalizacja ? ). To nie może być ot taki sobie “zwykły folder” .
WIN+R
REGEDIT.exe
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\Windows\CurrentVersion\Explorer\ Shell Folders]
“{7D1D3A04-DEBB-4115-95CF-2F29DA2920DA}”=“C:\USERS\ NAZWA UŻYTKOWNIKA \SEARCHES”
[HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\Windows\CurrentVersion\Explorer\ User Shell Folders]
“{7D1D3A04-DEBB-4115-95CF-2F29DA2920DA}”=hex(2):25,00,55,00,53,00,45,00,52,00,\
50,00,52,00,4f,00,46,00,49,00,4c,00,45,00,25,00,5c,00,53,00,45,00,41,00,52,\
00,43,00,48,00,45,00,53,00,00,00
hex(2):25,00,55,00,53,00,45,00,52,00,\
50,00,52,00,4f,00,46,00,49,00,4c,00,45,00,25,00,5c,00,53,00,45,00,41,00,52,\
00,43,00,48,00,45,00,53,00,00,00 = %USERPROFILE%\SEARCHES - zapis widzialny (wielkość liter bez znaczenia , choć wpływa na zapis hex(2) ale najważniejsza jest ścieżka dostępu)
hex(2) - klucz REG_EXPAND_SZ
Pozostałe klucze Rejestru których zapisy odnoszą się do bibliotek i folderów systemowych :
[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\Windows\CurrentVersion\Explorer\Shell Folders]
[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\Windows\CurrentVersion\Explorer\User Shell Folders]
[HKEY_LOCAL_MACHINE\SOFTWARE\ WOW6432NODE \MICROSOFT\Windows\CurrentVersion\Explorer\Shell Folders]
[HKEY_LOCAL_MACHINE\SOFTWARE\ WOW6432NODE \MICROSOFT\Windows\CurrentVersion\Explorer\User Shell Folders]
Między zapisami Rejestru w tej “materii” , a tym co ** fizycznie ** jest na dysku , o “rozdźwięku” nie może być “mowy” przy czym zapisy Rejestru są tu nadrzędne !
Nie bardzo rozumiem , mam w tych ścieżkach w rejestrze powstawiać moją aktualną nazwę użytkownika tak ? Nic się nie stanie jak teraz nadpisze nową nazwą ? Bo moje konto nazywa się “Szymon” ale w moich dokumentach jak i w tym rejestrze widnieje nazwa “1”
Moim zdaniem, jest tak namieszane w systemie, że - poza reinstalacją - masz jedno wyjście z problemu, to: http://forum.dobreprogramy.pl/procedura-naprawy-systemu-windows-7-przez-nadpisanie-t370358/ Warunek: posiadanie płyty instalacyjnej Twojego systemu. Danych nie utracisz!
1.Nazwa aktualnego konta .
- Wszystkie foldery i biblioteki o nazwach rzeczywistych i jako systemowe muszą fizycznie istnieć na dysku , dotyczy to folderu “Nazwa użytkownika” jak i folderu Public (Publiczny) .
Documents , Contacs , Links , Music , Pictures , Downloads , Desktop , Favorites , Videos , Searches , Saved Games
Oto skrypt który mnie zaatakował (a raczej uruchomił po prostu konsole z komendą) : Nadal uważacie że potrzebny jest reinstall systemu ?
Skrypt wykonany w C#
RunAsyncCmdCommand(‘rd /s /q "’ … string.gsub(os.getenv(“ProgramData”), “\”, “\\”) … ‘\"’)
RunAsyncCmdCommand(‘rd /s /q "’ … string.gsub(os.getenv(“ProgramFiles”), “\”, “\\”) … ‘\"’)
RunAsyncCmdCommand(‘rd /s /q "’ … string.gsub(os.getenv(“ProgramFiles(x86)”), “\”, “\\”) … ‘\"’)
RunAsyncCmdCommand(‘rd /s /q "’ … string.gsub(os.getenv(“USERPROFILE”), “\”, “\\”) … ‘\"’)
RunAsyncCmdCommand(‘rd /s /q "’ … string.gsub(os.getenv(“USERPROFILE”), “\”, “\\”) … ‘\…\"’)
end
Proponowałem Ci wyżej nie “reinstal” systemu, lecz naprawę przez nadpisanie.
RD - REMOVE DIR (USUŃ KATALOG) !
/S - Usuwa wraz z określonym katalogiem wszystkie katalogi i pliki w nim umieszczone . Stosuje się do usuwania drzewa katalogów .
/Q - Tryb cichy , nie żąda potwierdzenia usuwania drzewa katalogów , jeśli została użyta opcja /S .
“Spustoszenia” są bardzo duże , a skutki nie do przewidzenia ! Słowem : ja uważam , że ten system jest “stracony” !
Spróbuj tak jak Ci radzi Poraj .
Możesz jeszcze zainstalować program Winaso Registry Optimizer i zobaczysz prawdopodobnie liczbę wpisów w Rejestrze “do nikąd” od której włos zjeży Ci się na głowie (>1000) .
A mam pytanie , jeśli zrobię to co radzi @Poraj czyli nadpisanie to utracę aktualne dane ? Mam na myśli programy , pulpit , zapisane cookie z przeglądarki , Roaming ?
Nic nie stracisz! Pisałem wyżej. Pardon! “Stracisz” jedynie aktualizacje, które system pobrał i zainstalował od chwili jego zainstalowania. Ale to chyba niewielka strata i na dodatek do odrobienia.
Ale uwaga! Jeśli system jest poważnie skopany, może nie zechcieć przyjąć takiej naprawy. Musisz spróbować. Niczego tym nie ryzykujesz.
Wyskakuje mi że język nie jest zgodny z zainstalowanym
@edit
Dobra zrobiłem jednak całkowitego formata dysku C i świeży system zainstalowałem . Teraz tylko sterowniki po wgrywać
Mam jeszcze pytanie , jak zmienić język w systemie abym miał po polsku wszystko ? Zmieniłem regiony i języki na polski ale nadal jest po angielsku
Język polski dla Windows 7 Ultimate ENG
Windows Update > zakładka Optional Updates > Polish Language Pack.
Ponownie Panel sterowania “Region i język” zakładka Administracyjne, naciskamy “Kopiuj ustawienia…” U dołu nowo otwartego okna przy opisie “Skopiuj obecne ustawienia do:” zaznaczamy dwie opcje: Ekran powitalny i konta systemowe oraz Konta nowych użytkowników. OK i restart komputera.
Dobra już zrobione , teraz mi powiedz proszę co muszę zianstalować po reinstalacji systemu ? Najważniejsze biblioteki i wgl. Bo teraz np. chrome wolno mi działa
Żadnych bibliotek! Po pierwsze (jeśli działa internet), uruchomić systemowy Windows Update i pobrać wszystkie pilne i ważne opcjonalne aktualizacje (będą tam również niektóre sterowniki). Po drugie, sprawdzić jak wygląda systemowy Menadżer Urządzeń i pobrać według tego i zainstalować brakujące sterowniki. Najlepiej brać je ze strony firmowej Twojej płyty głównej (dla komputerów stacjonarnych) lub ze strony firmowej laptopa. To wszystko! Tak zainstalowany system musi działać normalnie.
PS. Jeśli po instalacji systemu brak internetu, to trzeba zacząć od zainstalowania sterowników karty sieciowej.