bpm Opublikowano 26 Stycznia 2013 Zgłoś Udostępnij Opublikowano 26 Stycznia 2013 Dzień dobry, sprawa tym razem jest nieco skomplikowana ponieważ na dysku są dwa systemy - Windows XP oraz Windows 7. Jako pierwszy uruchamia się Windows 7 i tu jest właśnie "blokada policyjna". Przeskanowałem system za pomocą Kaspersky Rescue Disk, który znalazł dość sporo trojanów na partycji z Win XP - D:\ oraz na partycji z Win 7 - H:\, jednak wirusa "policyjnego" nie usunął. Następnie wykonałem skan z OTL PE, ale z tego co zauważyłem, ten skanuje tylko partycję z XP-kiem. Dlatego też przeskanowałem oba systemy za pomocą FRST, zarówno wersją x32 (XP) jak i x64 (7). Wklejam skany z wykonanych operacji oraz proszę o analizę: OTL PE FRST - XP FRST - 7 Odnośnik do komentarza
picasso Opublikowano 29 Stycznia 2013 Zgłoś Udostępnij Opublikowano 29 Stycznia 2013 Windows 7 1. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Run: [] [x] HKU\User\...\Run: [MSConfig] "C:\Users\User\goqi.exe" [x] HKU\User\...\Winlogon: [shell] explorer.exe,C:\Users\User\AppData\Roaming\skype.dat [110592 2011-11-17] () C:\Users\User\AppData\Roaming\skype.dat C:\Users\User\AppData\Roaming\skype.ini Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt. Umieść obok narzędzia FRST. 2. Uruchom FRST, wskaż mu Windows 7 jako system do naprawy, wybierz opcję Fix. Powstanie plik fixlog.txt. 3. Zaloguj się normalnie do Windows 7. Przez Panel sterowania odinstaluj zbędniki Ask Toolbar, Ask Toolbar Updater, McAfee Security Scan Plus. 4. Zrób tradycyjne logi OTL z opcji Skanuj. Dołącz pro forma zawartość fixlog.txt. Windows XP 1. Przez Panel sterowania odinstaluj adware My Global Search. 2. Uruchom AdwCleaner i zastosuj Usuń. 3. Zrób nowy log z klasycznego OTL z opcji Skanuj (z Extras), a nie OTLPE. Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
bpm Opublikowano 29 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 29 Stycznia 2013 Windows 7 4. Zrób tradycyjne logi OTL z opcji Skanuj. Dołącz pro forma zawartość fixlog.txt. Logi zrobione: OTL Extras fixlog Windows XP 1. Przez Panel sterowania odinstaluj adware My Global Search. 2. Uruchom AdwCleaner i zastosuj Usuń. 3. Zrób nowy log z klasycznego OTL z opcji Skanuj (z Extras), a nie OTLPE. Dołącz log utworzony przez AdwCleaner. Nie ma możliwości uruchomienia Windows XP. Podczas startu nie ma opcji wyboru systemu. Nie wiem jak było, ale myślę, że ktoś miał zasyfiony Windows XP i wpadł na pomysł aby zainstalować Windows 7, jednak nie usunął starego, tylko zainstalował go obok XP. Windows 7 natomiast zainstalowany jest nie jak pisałem wyżej na partycji H:\ tylko na C:\. Z tego co się zorientowałem, najprawdopodobniej używany jest tylko Windows 7. Czy cokolwiek jeszcze będzie robione z tym XP? Odnośnik do komentarza
picasso Opublikowano 29 Stycznia 2013 Zgłoś Udostępnij Opublikowano 29 Stycznia 2013 Windows 7 1. Przez Panel sterowania odinstaluj śmieci 50 FREE MP3s +1 Free Audiobook!, Babylon toolbar on IE, Download Updater (AOL LLC), FoxTab FLV Player, Przyspiesz Komputer, Winamp Toolbar. 2. Firefox jest zabrudzony adware, ale to archaiczny Firefox 3.6.13 i nie opłaca się go czyścić. Jeśli chcesz z niego zachować zakładki + hasła (i nic więcej, by nie zanieczyścić kopii), to skorzystaj z MozBackup. Następnie odinstaluj Firefox, przy pytaniu o usuwanie danych użytkownika odpowiedz twierdząco. Resztę doczyści punkt 3. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=201106201210230001&tb_oid=20-06-2011&tb_mrud=20-06-2011" IE - HKU\S-1-5-21-4054757101-2348502365-1819933018-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=110004&babsrc=SP_ss&mntrId=8042c984000000000000002522329979" IE - HKU\S-1-5-21-4054757101-2348502365-1819933018-1000\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=201106201210230001&tb_oid=20-06-2011&tb_mrud=20-06-2011" IE - HKU\S-1-5-21-4054757101-2348502365-1819933018-1000\..\SearchScopes\{F6E4E82D-E771-4ADB-BFB1-4A531EB05896}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=913C2AD6-0450-4CE0-BDD8-7945B2BB8480&apn_sauid=9F7D84E6-7D10-4814-8D9A-9B1837DD22FB" O4:64bit: - HKLM..\Run: [VIAAUD] C:\Program Files (x86)\VIA\VIAudioi\VDeck\VIAAUD.exe File not found :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Mozilla] [-HKEY_CURRENT_USER\Software\MozillaPlugins] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\mozilla.org] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins] :Files C:\Users\User\AppData\Roaming\OpenCandy C:\Users\User\AppData\Roaming\Mozilla C:\Program Files (x86)\Mozilla Firefox :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart. 4. Uruchom AdwCleaner i zastosuj Usuń. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z AdwCleaner. Windows XP Nie ma możliwości uruchomienia Windows XP. Podczas startu nie ma opcji wyboru systemu. (...) Z tego co się zorientowałem, najprawdopodobniej używany jest tylko Windows 7. Czy cokolwiek jeszcze będzie robione z tym XP? Nie wiem czy dobrze rozumiem: Windows XP ma być ożywiany czy ma iść na ubój? Jeśli to pierwsze, to uruchom EasyBCD i za jego pomocą dodaj wejście startowe XP do menu Windows 7. Dla porównania temat: KLIK. Windows 7 natomiast zainstalowany jest nie jak pisałem wyżej na partycji H:\ tylko na C:\. Windowsy z poziomu środowiska zewnętrznego mogą mieć inaczej mapowane liternictwo. . Odnośnik do komentarza
bpm Opublikowano 30 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 30 Stycznia 2013 Windows 7 Zadania wykonane, oto nowe logi: OTL AdwCleaner Windows XP Nie wiem czy dobrze rozumiem: Windows XP ma być ożywiany czy ma iść na ubój? Jeśli to pierwsze, to uruchom EasyBCD i za jego pomocą dodaj wejście startowe XP do menu Windows 7. Dla porównania temat: KLIK. Najprawdopodobniej ma iść na ubój, bo na 90% nie jest używany, ale z czystej ciekawości użyję EasyBCD Odnośnik do komentarza
picasso Opublikowano 30 Stycznia 2013 Zgłoś Udostępnij Opublikowano 30 Stycznia 2013 Windows 7 Małe poprawki i kończymy: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_USERS\S-1-5-21-4054757101-2348502365-1819933018-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [HKEY_USERS\S-1-5-21-4054757101-2348502365-1819933018-1004\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. W Google Chrome widać nadal stronę startową adware vShare: ========== Chrome ========== CHR - homepage: "http://vshare.toolbarhome.com/?hp=df" Wejdź do ustawień i usuń tego śmiecia. Ogólnie też wypadałoby przeinstalować to Google Chrome na czysto, bo wg skanu OTL to prehistoryczna wersja 17.0.963.78. 3. Przez SHIFT + DEL skasuj foldery: C:\FRST C:\Users\User\AppData\Roaming\Babylon W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 4. Wyczyść foldery Przywracania systemu. 5. Aktualizacje. Firefoxa mamy za sobą, o Google Chrome mówiłam, widzę ślady instalacji najnowszego Adobe Flash i chyba ze starą Javą też się rozprawiłeś. Z listy zostały jeszcze Silverlight i Skype. Windows XP Skoro na ubój, to mi na wszelki wypadek pokaż jak widać z poziomu Windows 7 układ partycji i gdzie leżą pliki startowe obu systemów, by przy "ubijaniu" XP nie padł przypadkiem rozruch Windows 7. Pokaż zrzut ekranu z przystawki diskmgmt.msc. . Odnośnik do komentarza
bpm Opublikowano 30 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 30 Stycznia 2013 Windows 7 Wszystko wykonane według zaleceń. Windows XP Skoro na ubój, to mi na wszelki wypadek pokaż jak widać z poziomu Windows 7 układ partycji i gdzie leżą pliki startowe obu systemów, by przy "ubijaniu" XP nie padł przypadkiem rozruch Windows 7. Pokaż zrzut ekranu z przystawki diskmgmt.msc. I wszystko stało się jasne po użyciu diskmgmt.msc. W komputerze zamontowane są 2 oddzielne dyski, jeden na IDE z Windows XP - partycje E:\ (z systemem) F:\ i G:\ i drugi na SATA z Windows 7 - partycje C:\ (systemowa) i D:\ Otworzyłem obudowę i na zmianę odpinałem taśmy. Windows 7 wystartował normalnie, natomiast przy starcie Windows XP pojawił się BSOD - 0x0000007E. Nie ma sensu dociekać co powoduje BSOD, bo jeżeli XP nie jest używany zasugeruję sformatowanie tej partycji. To by chyba było na tyle. Jeśli nie ma więcej uwag temat wydaje się do zamknięcia. Dziękuję bardzo serdecznie za pomoc. Odnośnik do komentarza
Rekomendowane odpowiedzi