Rozwiązany: Otwieranie się dysków w nowych oknach.

[xirgan]

Od pewnego czasu, z niewiadomej przyczyny dyski otwierają mi się w nowych oknach, chociaż w opcjach folderów mam ustawione żeby wszystko otwierało się w tym samym oknie. Zmieniły się też opcje w pasku po kliknięcia prawym przyciskiem na dyski:

Dysk C

Dysk D

Opcje "Open(O)" powstały kiedy próbowałem coś z tym zrobić w Opcje Folderów>Typy Plików ale działają tak samo jak "Eksploruj". Ciekawe jest też to że oba dyski mają inne domyślne opcje.

Z tego co widzę trzeba ustawić "Otwórz" jako domyślna opcja, ale nie bardzo wiem jak to zrobić.

[Sevard]

Czyżby wirus?

1. Wykonaj pełne skanowanie systemu programem Malwarebytes' Anti-Malware.

2. Ściągnij i uruchom OTL. W OTL w sekcji Rejestr - skan dodatkowy zaznacz opcję Użyj filtrowania, poza tym pozaznaczaj również opcje Infekcja LOP - Sprawdzanie oraz Infekcja Purity - Sprawdzanie, Skanuj wszystkich użytkowników i kliknij skanuj.

Ponadto jeśli masz system 32-bitowy (i tylko wtedy) wykonaj jeszcze te dwie rzeczy:

3. Jeśli masz programy emulujące napędy, to ściągnij program Defogger, uruchom go i wyłącz nim emulację napędów.

4. Ściągnij program GMER. Nie zmieniaj żadnych opcji i kliknij przycisk Szukaj. Po zakończeniu pracy zostaniesz poinformowany, że log został zapisany w schowku. Otwórz notatnik, wklej go i zapisz na dysku.

W przypadku problemów z GMERem spróbuj uruchomić go w trybie awaryjnym, jeśli i to się nie uda, to będzie trzeba kombinować inaczej.

[xirgan]

OK, zacząłem skany Anti-Malware i znalazł już 4 infekcje, ale skanowanie jeszcze trochę potrwa.

OTL powinien podać jakiś komunikat w razie znalezienia czegoś dziwnego, czy po prostu dać log tutaj?

Emulatory napędów typu Daemon Tools i Alcohol? Mam Daemona, ale nie uruchamia się przy starcie, dopiero wtedy kiedy go potrzebuje, poza tym miałem go praktycznie od zawsze, wątpię czy to przez niego, więc jest sens używania Defoggera?

Ogólnie to nie wystarczyłoby dodać odpowiedniej akcji tutaj: LINK i ustawić ją jako domyślną? Próbowałem tworzyć nową akcję w której do otwierania dysku miał służyć explorer.exe ale działa to tak samo jakbym kliknął "Eksploruj" tak jak pisałem wyżej. Oczywiście też nie mam zamiaru zostawiać tych infekcji z Anti-Malware.

[Sevard]

Usunięcie infekcji prawdopodobnie rozwiąże problem. Defoggera użyj, jeśli masz system 32 bitowy, bo bez niego nie ma po co używać GMERa, bo logi będą zafałszowane. Gdy dasz wszystkie logi, to będzie można to naprawić. Żeby użyć explorer.exe do otwierania katalogów w odpowiedni sposób trzeba dodać pewne przełączniki.

[xirgan]

Anti-Malware znalazł 4 infekcje, z tego 3 dotyczyły wpisów w rejestrze wyłączających Windows'owego Firewall'a i aktualizacje, a czwarty ctfmon.exe, z którego usunięciem miałem wcześniej problem, ale jako że mi nie przeszkadzał to go zostawiłem.

Teraz zrobiło się ciekawiej, dysk C otwiera się tak jak wcześniej, z tym że zniknęła opcja "Open(O)", a domyślną nadal jest "Eksploruj". Przy otwieraniu D wyskakuje okienko: LINK, ale dysk da się otwierać - prawy przycisk>Otwórz.

[Sevard]

Poproszę o logi, bez nich nic nie jestem w stanie zrobić.

[xirgan]

Logi z OTL'a w załącznikach.

Za chwilę dodam z GMER'a

EDIT: Albo i nie dodam bo komputer resetuje się podczas skanowania...

OTL.Txt

Extras.Txt

[Sevard]

Infekcja z pamięci przenośnej, która nie została usunięta do końca. Oczyszczeniem tego zajmiemy się później, najpierw system.

Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files

RECYCLED /alldrives

autorun.inf /alldrives


:OTL 

O32 - AutoRun File - [2010-01-06 17:09:13 | 000,000,105 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]

O33 - MountPoints2\{04b41410-74b4-11df-851d-001966901a5e}\Shell\Open(&0)\command - "" = E:\Recycled\ctfmon.exe -- File not found

O33 - MountPoints2\{05b9a6d6-fad9-11de-83d1-bbae11c65979}\Shell\Open(&0)\command - "" = E:\Recycled\ctfmon.exe -- File not found

O33 - MountPoints2\{05b9a6d7-fad9-11de-83d1-bbae11c65979}\Shell\Open(&0)\command - "" = E:\Recycled\ctfmon.exe -- File not found

O33 - MountPoints2\{05b9a6d8-fad9-11de-83d1-bbae11c65979}\Shell\Open(&0)\command - "" = E:\Recycled\ctfmon.exe -- File not found

O33 - MountPoints2\{05b9a6d9-fad9-11de-83d1-bbae11c65979}\Shell\Open(&0)\command - "" = E:\Recycled\ctfmon.exe -- File not found

O33 - MountPoints2\{3612617e-7a1d-11df-8527-001966901a5e}\Shell\Open(&0)\command - "" = E:\Recycled\ctfmon.exe -- File not found

O33 - MountPoints2\{485d62f2-f9ff-11de-83d0-eee23ab681bf}\Shell\Open(&0)\command - "" = E:\Recycled\ctfmon.exe -- File not found

O33 - MountPoints2\{4ed85114-7af4-11df-8529-001966901a5e}\Shell\Open(&0)\command - "" = E:\Recycled\ctfmon.exe -- File not found

O33 - MountPoints2\{4ef7e26c-bbde-11df-85bc-001966901a5e}\Shell\Open(&0)\command - "" = E:\Recycled\ctfmon.exe -- File not found

O33 - MountPoints2\{66f96880-9af1-11dd-bfcc-001966817099}\Shell\Open(&0)\command - "" = E:\Recycled\ctfmon.exe -- File not found

O33 - MountPoints2\{bad3edcc-c874-11de-833f-e7f8de8dde41}\Shell\Open(&0)\command - "" = K:\Recycled\ctfmon.exe -- File not found

O33 - MountPoints2\{bf4b6a8f-2c63-11de-8197-001966817099}\Shell\Open(&0)\command - "" = Recycled\ctfmon.exe

O33 - MountPoints2\{d7fd5909-2b51-11de-8190-001966817099}\Shell\Auto\command - "" = E:\activexdebugger32.exe -- File not found

O33 - MountPoints2\{d7fd5909-2b51-11de-8190-001966817099}\Shell\explore\Command - "" = E:\activexdebugger32.exe -- File not found

O33 - MountPoints2\{d7fd5909-2b51-11de-8190-001966817099}\Shell\open\Command - "" = E:\activexdebugger32.exe -- File not found

@Alternate Data Stream - 131 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:05EE1EEF

@Alternate Data Stream - 125 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:2BE9FEFC

@Alternate Data Stream - 121 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:587EB586


:Commands

[emptyflash]

[emptytemp]

i kliknij Uruchom skrypt. Po restarcie otrzymasz log.

Skoro GMER nie działa, to użyjemy czegoś innego. Tego programu również należy używać przy wyłączonej emulacji napędów.

1. Ściągnij program RootRepeal.

2. Uruchom go. Przejdź do karty Report i kliknij opcję Scan.

3. W oknie, które się pojawi zaznacz wszystkie opcje.

4. W następnym oknie zaznacz tylko dysk systemowy.

5. Program będzie przechodził przez kolejne karty i będzie odnotowywał to co znajdzie.

6. Po zakończeniu skanowania pojawi się raport w oknie programu i równocześnie zostanie otwarty notatnik, w którym będziesz miał log.

Log z RootRepeal oraz log z działania OTL wrzuć na forum. Poza tym sporządź nowe logi w OTL w ten sam sposób co poprzednio i je również wrzuć na forum.

[xirgan]

Na razie sam log po uruchomieniu skryptu z OTL'a w załączniku, po restarcie przestało pojawiać się też okienko z odmową dostępu i wszystkie jest tak jak na początku, tyle że bez "Open(O)", resztę zrobię jutro, trochę już późno a mam jeszcze kilka rzeczy do zrobienia.

EDIT: Dodany log z RootRepeal'a.

EDIT2: I kolejne z OTL'a.

10162010_231335.txt

RootRepeal_report_10_17_10__10_25_16_.txt

OTL.Txt

Extras.Txt

[Sevard]

No dobra, to jeszcze jedna kosmetyczna rzecz do usunięcia i trochę innych rzeczy do zrobienia.

Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL 

SRV - File not found [Disabled | Stopped] -- C:\WINDOWS\svchost.exe -- (PowerManager)


:Commands

[emptyflash]

[emptytemp]

i kliknij Uruchom skrypt. Nie musisz zamieszczać loga z usuwania na forum.

Log z RootRepeal został sporządzony przy włączonej emulacji napędów, nie jest więc wiarygodny, a więc nie jestem w stanie powiedzieć, czy nie ma rootkitów.

To co musisz zrobić, to aktualizacja systemu. XP Service Pack 2 nie jest już wspierany, a więc nowe luki nie są w nim łatane. Z tego powodu należy zaktualizować system do SP3. Poza tym należy poaktualizować używane programy (Java).

Poza tym nie widzę żadnego antywirusa. Zainstaluj jakiegoś, bo wystawiasz się na kolejne problemy tego typu. Z darmowych rozwiązań polecam Comodo Internet Security, lub Avira + Comodo Firewall, ewentualnie Avira + Outpost Firewall Free.

Po wykonaniu wszystkich tych rzeczy napisz jak to wszystko teraz działa. Jeśli wszystko będzie ok, to usuniemy pozostałe śmieci.

[xirgan]

OK, zainstalowałem SP3 i aktualizacje praktycznie wszystkiego (Java, Net Framework itp.), antywirusa ściągnę później.

Co do poprzedniego logu z RootRepeal'a, możliwe że zapomniałem uruchomić ponownie komputera kiedy wyskoczył komunikat żeby to zrobić przy wyłączaniu emulacji, ten w załączniku powinien być dobry.

Wszystko działa tak jak poprzednio, czyli właściwie dobrze, ale dyski nadal otwierają się w oddzielnych oknach.

RootRepeal_report_10_17_10__18_56_27_.txt

[Sevard]

No to wygląda na to, że coś jeszcze pozostało w rejestrze.

Otwórz notatnik, wklej w nim co następuje

Windows Registry Editor Version 5.00


[HKEY_CLASSES_ROOT\Folder\shell]


[HKEY_CLASSES_ROOT\Folder\shell\explore]

"BrowserFlags"=dword:00000022

"ExplorerFlags"=dword:00000021


[HKEY_CLASSES_ROOT\Folder\shell\explore\command]

@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\

  00,5c,00,45,00,78,00,70,00,6c,00,6f,00,72,00,65,00,72,00,2e,00,65,00,78,00,\

  65,00,20,00,2f,00,65,00,2c,00,2f,00,69,00,64,00,6c,00,69,00,73,00,74,00,2c,\

  00,25,00,49,00,2c,00,25,00,4c,00,00,00


[HKEY_CLASSES_ROOT\Folder\shell\explore\ddeexec]

@="[ExploreFolder(\"%l\", %I, %S)]"

"NoActivateHandler"=""


[HKEY_CLASSES_ROOT\Folder\shell\explore\ddeexec\application]

@="Folders"


[HKEY_CLASSES_ROOT\Folder\shell\explore\ddeexec\ifexec]

@="[]"


[HKEY_CLASSES_ROOT\Folder\shell\explore\ddeexec\topic]

@="AppProperties"


[HKEY_CLASSES_ROOT\Folder\shell\open]

"BrowserFlags"=dword:00000010

"ExplorerFlags"=dword:00000012


[HKEY_CLASSES_ROOT\Folder\shell\open\command]

@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\

  00,5c,00,45,00,78,00,70,00,6c,00,6f,00,72,00,65,00,72,00,2e,00,65,00,78,00,\

  65,00,20,00,2f,00,69,00,64,00,6c,00,69,00,73,00,74,00,2c,00,25,00,49,00,2c,\

  00,25,00,4c,00,00,00


[HKEY_CLASSES_ROOT\Folder\shell\open\ddeexec]

@="[ViewFolder(\"%l\", %I, %S)]"

"NoActivateHandler"=""


[HKEY_CLASSES_ROOT\Folder\shell\open\ddeexec\application]

@="Folders"


[HKEY_CLASSES_ROOT\Folder\shell\open\ddeexec\ifexec]

@="[]"


[HKEY_CLASSES_ROOT\Folder\shell\open\ddeexec\topic]

@="AppProperties"


[-HKEY_CLASSES_ROOT\Directory\shell\explore]


[-HKEY_CLASSES_ROOT\Directory\shell\open]


[-HKEY_CLASSES_ROOT\Drive\shell\open]


[HKEY_CLASSES_ROOT\Drive\shell]

@="none"


[HKEY_CLASSES_ROOT\Directory\shell]

@="none"


[HKEY_CLASSES_ROOT\Folder\shell]

@=-

Zapisz to jako fix.reg (musisz ustawić rozszerzenie na Wszystkie pliki). Następnie uruchom plik dwuklikiem i zaimportuj klucz do rejestru. Zresetuj system i sprawdź, czy problem występuje nadal.

[xirgan]

Problem rozwiązany, dziękować.

[Sevard]

W takim razie uruchom OTL i kliknij opcję Sprzątanie. To usunie resztki po użytych programach. Następnie uruchom Defoggera i włącz ponownie emulację, jeśli jest Ci potrzebna.

Warto też poczyścić pamięci przenośne, które były podpięte do tego komputera w ostatnim czasie. Jeśli chcesz to zrobić, to:

1. Ściągnij i uruchom program UsbFix.

2. Kliknij opcję Research.

3. Gdy zostaniesz o to poproszony (nie wcześniej), to podłącz wszystkie przenośne pamięci.

4. Kliknij ok, rozpocznie się sprawdzanie dysków.

5. W notatniku otworzy się log.

W podobny sposób użyj opcji Listing. Tu również pojawi się log w notatniku.

Obydwa wygenerowane logi wrzuć na forum.

[xirgan]

Przed chwilą zauważyłem, że kiedy uruchamiam ponownie komputer po dodaniu tego klucza do rejestru, zamiast paska startu mam czarny pasek przez około 1min, później jest normalnie, ale nie pojawiają się ikonki obok zegara (Catalyst Control Center itp.) chociaż są ustawione żeby uruchamiały się przy starcie.

[Sevard]

To dziwne, bo to nie było nigdzie zmieniane. Daj nowe logi z OTL w takim razie.

[xirgan]

Logi

EDIT: Ciekawe jest też to że programy których nie ma na pasku, są w procesach (Ctrl+Alt+Del).

OTL.Txt

Extras.Txt

[Sevard]

W OTL widzę, że Windows zaraportował jakieś błędne bloki na D. Poproszę o screen z zakładką Health z HD Tune.

[xirgan]

Właśnie robiłem skany dysku C HDTune'm, zwykłym i Pro (Trial), wyszło coś takiego: HD Tune i HD Tune Pro

To normalne że wg. darmowej wersji jest "OK", a wg. Pro "Warning"?

I jeszcze wynik skanu, nie wiem czy coś pomoże ale wrzuce: Scan.

Dysk D: HD Tune, tutaj w Pro było tak samo.

[Sevard]

Skan z HD Tune można pominąć, bo nie zawiera on informacji, które pozwalają na dokładniejszą diagnozę.

Na dysku widać 7 realokowanych sektorów, te już nie powinny być problemem, ale fakt, że są nie jest dobrym znakiem.

Poza tym jest 1 błąd CRC, ale to się może zdarzyć, więc tu też bym nie widział problemu.

Problemem natomiast są wartości w polach C5, C6 oraz C8. Wartości w polach C5 i C6 oznaczają, że są 3 sektory czekające na realokację i to one mogą powodować problemy.

Na początek zgraj wszystkie istotne dane znajdujące się na dysku na jakieś inne nośniki. Następnie wykonaj skanowanie powierzchni programem MHDD i przedstaw wyniki (wystarczy, że podasz wartości, które będą widoczne po prawej stronie ekranu po zakończeniu skanu, lub też dasz zdjęcie z całym ekranem. Tu znajdziesz opis jak to zrobić. Sam program znajdziesz np. na Ultimate Boot CD.

Odczyty S.M.A.R.T. w HD Tune 2.55 i PRO się różnią. Różnica jest na etapie interpretacji wyników przez program, ale tą i tak przeważnie można zignorować, bo praktycznie nigdy nie jest w pełni poprawna.

[xirgan]

Ale o który dysk chodzi?

I czy te problemy z dyskiem są związane z tym czarnym paskiem startu, czy kolejny problem?

EDIT: Zauważyłem też, że na C pojawiło się kilka nowych, ukrytych plików, których wcześniej nie było:

NDETECT.COM

AUTOEXEC.BAT

boot.ini

Bootfont.bin

CONFIG.SYS

IO.SYS

MSDOS.SYS

ntldr (bez rozszerzenia)

hiberfil.sys

i

pagefile.sys na obu dyskach.

[Sevard]

A, dałeś też screeny z drugiego dysku. Nie zauważyłem tego. W każdym bądź razie ten drugi dysk (500GB) nie wygląda źle. Problem jest z dyskiem na którym masz system, czyli tym, który ma 80GB. Tak, niestabilne sektory mogą być przyczyną takich zachowań.

D: wygląda dobrze, jeśli chodzi o S.M.A.R.T., więc albo to co raportuje Windows to błędy programowe, albo są wynikiem błędów na dysku systemowym.

[xirgan]

Skanowanie MHDD zrobię jutro.

Mały EDIT w moim poprzednim poście.

[Sevard]

Wszystkie te pliki występują normalnie na komputerach z zainstalowanym Windowsem. Zazwyczaj nie są groźne, ale mogą być potrzebne do prawidłowej pracy systemu. Część z nich jest kluczowa do działania systemu i nie powinna być ruszana. Włącz ponownie ukrywanie plików systemowych, żeby kogoś nie podkusiło, żeby któryś z nich usunąć.

[xirgan]

http://img231.imageshack.us/img231/8493/zdjcie0224j.jpg

O to chodziło?