Active Desktop??

Viestiketju Virukset ja haittaohjelmat -osiossa. Ketjun avasi Taube 06.12.2005.

  1. Taube

    Taube Member

    Liittynyt:
    06.12.2005
    Viestejä:
    4
    Kiitokset:
    0
    Pisteet:
    11
    Moi! Ongelmana olisi taustakuva, joka vilkkuu vuorotellen valkoista ja vaalean harmaata. F-Securen ajon yhteydessä löytyi muutama Torjan-horse virus, jotka poistin. Tämä ei kuitenkaan auttanut ja taustakuvaa ei pystynyt muuttamaan normaaliksi. Lisäksi koitin ajaa seuraavat ohjelmat: Fixwareout, Ewido security, smitRem ja Silent Runners, sekä Spyware Doctor. Tämän jälkeen onnistuin saamaan "vilkunnan" pois, mutta nyt työpöydällä lukee: Active Desktopin palauttaminen ja vieläkään taustakuvaa ei pysty muuttamaan.
    Mitänkähän kyseisestä asiasta pääsisi eroon? Tällä hetkellä HijackThis antaa tällaiset logit:

    Logfile of HijackThis v1.99.1
    Scan saved at 17:16:49, on 6.12.2005
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\Ati2evxx.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
    C:\WINNT\System32\svchost.exe
    D:\MATLAB6p5\webserver\bin\win32\matlabserver.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\MSTask.exe
    C:\Program Files\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    C:\Program Files\F-Secure\Common\FSMA32.EXE
    C:\Program Files\F-Secure\Common\FSMB32.EXE
    C:\WINNT\System32\svchost.exe
    C:\Program Files\F-Secure\Common\FCH32.EXE
    C:\Program Files\F-Secure\Common\FAMEH32.EXE
    C:\Program Files\F-Secure\DFW\Program\fsdfwd.exe
    C:\WINNT\system32\Ati2evxx.exe
    C:\WINNT\Explorer.EXE
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Documents and Settings\Jepu Jee\Työpöytä\HijackThis.exe

    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
    O23 - Service: F-Secure BackWeb (BackWeb Client - 7681197) - Unknown owner - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
    O23 - Service: Loogisen levyn hallinnan valvontapalvelu (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - C:\Program Files\F-Secure\Common\FSAA.EXE
    O23 - Service: F-Secure Distributed Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure\DFW\Program\fsdfwd.exe
    O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
    O23 - Service: MATLAB Server (matlabserver) - Unknown owner - D:\MATLAB6p5\\webserver\bin\win32\matlabserver.exe
     
  2.  
  3. -kemisti-

    -kemisti- Active member

    Liittynyt:
    06.06.2005
    Viestejä:
    6,305
    Kiitokset:
    0
    Pisteet:
    96
    Jaahas, olet jo aika paljon ajanut ;)

    Hae täältä -> http://www.billsway.com/vbspage/ registry search tool ja etsi hakusanalla "desktop.html". Jos antivirus valittaa, anna ajaa. Lähetä tulokset tänne.
     
  4. Taube

    Taube Member

    Liittynyt:
    06.12.2005
    Viestejä:
    4
    Kiitokset:
    0
    Pisteet:
    11
    Joo. Kyllä tässä on rattoisasti mennyt jo tovi. Tässä nämä:

    REGEDIT4
    ; RegSrch.vbs © Bill James

    ; Registry search results for string "desktop.html" 6.12.2005 17:29:37

    ; NOTE: This file will be deleted when you close WordPad.
    ; You must manually save this file to a new location if you want to refer to it again later.
    ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


    [HKEY_USERS\S-1-5-21-1614895754-842925246-1957994488-1000\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="C:\\WINNT\\desktop.html"

    [HKEY_USERS\S-1-5-21-1614895754-842925246-1957994488-1000\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "SubscribedURL"="C:\\WINNT\\desktop.html"

    [HKEY_USERS\S-1-5-21-1614895754-842925246-1957994488-1000\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU]
    "004"="desktop.html"
     
  5. -kemisti-

    -kemisti- Active member

    Liittynyt:
    06.06.2005
    Viestejä:
    6,305
    Kiitokset:
    0
    Pisteet:
    96
    Tee ensin varmuuskopio rekisteristä seuraavasti:

    Suorita -> regedit -> ok. Sitten Tiedosto -> Vie. Kirjoita sille joku nimi ja sitten Tallenna(ja laita muistiin, mihin tallensit sen).

    Sitten tallenna tämä alla oleva tekstinpätkä nimellä fix.reg vaikka muistiossa ja vaikka työpöydälle (tallennusmuoto kaikki tiedostot)

    Windows Registry Editor Version 5.00

    [-HKEY_USERS\S-1-5-21-1614895754-842925246-1957994488-1000\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="C:\\WINNT\\desktop.html"

    [-HKEY_USERS\S-1-5-21-1614895754-842925246-1957994488-1000\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "SubscribedURL"="C:\\WINNT\\desktop.html"

    [-HKEY_USERS\S-1-5-21-1614895754-842925246-1957994488-1000\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU]
    "004"="desktop.html"

    Tuplaklikkaa ja paina kyllä ja ok. Käynnistä kone uudelleen. Auttoiko?
     
  6. Taube

    Taube Member

    Liittynyt:
    06.12.2005
    Viestejä:
    4
    Kiitokset:
    0
    Pisteet:
    11
    Nyt onnistuu taustakuvan muuttaminen, mutta uudelleen käynnistettäessä työpöydälle tulee sama valkoinen pohja, jossa lukee ilmoitus Active Desktopin palauttaminen
     
  7. -kemisti-

    -kemisti- Active member

    Liittynyt:
    06.06.2005
    Viestejä:
    6,305
    Kiitokset:
    0
    Pisteet:
    96
    Hmmm, toi on kyllä tähän asti toiminut :/

    Klikkaa työpöydällä oikealla hiiren nappulalla -> ominaisuudet -> työpöytä -> mukauta työpöytää -> web-välilehti.
    Katso jos siellä on jotain security-juttua, niin poista se.
     
  8. Taube

    Taube Member

    Liittynyt:
    06.12.2005
    Viestejä:
    4
    Kiitokset:
    0
    Pisteet:
    11
    Joo. Nyt auttoi. Kiitoksia todella paljon vaivannäöstä kemistille. Olisin itse kyllä ollut sormi suussa.
     
  9. -kemisti-

    -kemisti- Active member

    Liittynyt:
    06.06.2005
    Viestejä:
    6,305
    Kiitokset:
    0
    Pisteet:
    96
    Ole hyvä ja hyvä, että toimii :)
     

Jaa tämä sivu