marcinkowski Opublikowano 22 Stycznia 2012 Zgłoś Udostępnij Opublikowano 22 Stycznia 2012 Witam. Siostrzenica mnie dzisiaj odwiedziła wraz ze swoim kiepsko działającym komputerem więc chciałbym prosić o pomoc w jego oczyszczeniu, objawy takie już chyba standardowe, po za tym obciążeniem na pierwszy rzut oka, ukryta tapeta, brak dostępu do dysków (otwórz za pomocą) + nie można się dostać do ukrytych plików. Extras.Txt Gmer.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 22 Stycznia 2012 Zgłoś Udostępnij Opublikowano 22 Stycznia 2012 ukryta tapeta W logu nie widzę żadnej polisy na tapetę, wartość owszem pusta: O24 - Desktop WallPaper: Opisz to dokładniej jak to "ukrycie" wygląda. brak dostępu do dysków (otwórz za pomocą) + nie można się dostać do ukrytych plików Z zakresu infekcji są pliki autorun.inf i mapowanie dysków: O32 - AutoRun File - [2011-09-11 14:18:11 | 000,000,059 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]O32 - AutoRun File - [2011-09-11 14:18:11 | 000,000,059 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]O33 - MountPoints2\{0040f24f-a16c-11e0-bc22-001a920f0757}\Shell\AutoRun\command - "" = G:\qhbfqx.exeO33 - MountPoints2\{0040f24f-a16c-11e0-bc22-001a920f0757}\Shell\open\Command - "" = G:\qhbfqx.exeO33 - MountPoints2\{0ceb6a74-9f2a-11e0-bc19-001a920f0757}\Shell\AutoRun\command - "" = H:\qhbfqx.exeO33 - MountPoints2\{0ceb6a74-9f2a-11e0-bc19-001a920f0757}\Shell\open\Command - "" = H:\qhbfqx.exeO33 - MountPoints2\{498b124f-9b4f-11e0-bc11-001a920f0757}\Shell\AutoRun\command - "" = H:\qhbfqx.exeO33 - MountPoints2\{498b124f-9b4f-11e0-bc11-001a920f0757}\Shell\open\Command - "" = H:\qhbfqx.exeO33 - MountPoints2\{a9adefd3-6ff7-11e0-801b-806d6172696f}\Shell\AutoRun\command - "" = qhbfqx.exeO33 - MountPoints2\{a9adefd3-6ff7-11e0-801b-806d6172696f}\Shell\open\Command - "" = qhbfqx.exeO33 - MountPoints2\{a9adefd4-6ff7-11e0-801b-806d6172696f}\Shell\AutoRun\command - "" = qhbfqx.exeO33 - MountPoints2\{a9adefd4-6ff7-11e0-801b-806d6172696f}\Shell\open\Command - "" = qhbfqx.exeO33 - MountPoints2\{aae5b06a-9cb2-11e0-bc14-001a920f0757}\Shell\AutoRun\command - "" = H:\qhbfqx.exeO33 - MountPoints2\{aae5b06a-9cb2-11e0-bc14-001a920f0757}\Shell\open\Command - "" = H:\qhbfqx.exeO33 - MountPoints2\{aae5b06b-9cb2-11e0-bc14-001a920f0757}\Shell\AutoRun\command - "" = I:\qhbfqx.exeO33 - MountPoints2\{aae5b06b-9cb2-11e0-bc14-001a920f0757}\Shell\open\Command - "" = I:\qhbfqx.exe Ale poza tym nie ma nic więcej widzialnego. Te wpisy nie powinny mieć związku np. z męczeniem CPU. 1. Usuwanie wyżej wyliczonych, wpisów pustych oraz czyszczenie lokalizacji tymczasowych. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files autorun.inf /alldrives :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :OTL SRV - File not found [Auto | Stopped] -- -- (clr_optimization_v2.0.50727_32) SRV - File not found [On_Demand | Stopped] -- -- (aspnet_state) O3 - HKU\S-1-5-21-1645522239-813497703-725345543-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-1645522239-813497703-725345543-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. [2011-12-18 20:30:29 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Babylon [2011-12-18 20:30:28 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Właściciel\Dane aplikacji\Babylon :Commands [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System będzie restartowany. 2. Do oceny: log z wynikami usuwania oraz nowy log z OTL zrobiony na dostosowanym warunku, tzn. w sekcji Własne opcje skanowania / skrypt wklej: C:\*.* D:\*.* Klik w Skanuj (nie Wykonaj skrypt!). . Odnośnik do komentarza
marcinkowski Opublikowano 22 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 22 Stycznia 2012 (edytowane) Z tapetą jest tak że po uruchomieniu na moment pokazuje się prawidłowa a za chwilę pokrywa się pustą szarą tapetą, nie wiem o co w tym chodzi. Menadżer zadań wskazywał właśnie na eksplorator że obciąża procesor na 99 procent, po uruchomieniu skryptu eksplorator się wyłączył i pokazała się właściwa tapeta ale po restarcie jest z powrotem ta szara. Extras.Txt OTL.Txt 01222012_224842.log.txt Edytowane 22 Stycznia 2012 przez marcinkowski Odnośnik do komentarza
picasso Opublikowano 23 Stycznia 2012 Zgłoś Udostępnij Opublikowano 23 Stycznia 2012 Pliki autorun.inf i mapowanie MountPoints2 pomyślnie usunięte, rejestr pod kątem opcji widoczności obiektów przekonfigurowany = problem z otwieraniem dysków zażegnany. Został problem obciążenia explorer.exe oraz znikającej tapety. W pierwszej kolejności zajmij się tym: Windows XP Home Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstationInternet Explorer (Version = 6.0.2900.2180) Fatalny stan aktualizacji. Do instalacji SP3+IE8 oraz wszystkie łatki wydane po publikacji tychże: KLIK. . Odnośnik do komentarza
marcinkowski Opublikowano 23 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 23 Stycznia 2012 (edytowane) No tak zapomniałem napisać, obciążenie procesora spadło do zera po zastosowaniu tego skryptu z OTL, pozostał tylko ten problem z tapetą. Edycja: Biorę się za te aktualizację, coś mi się ten link źle otwierał nie tu gdzie trzeba ale doszedłem. Edytowane 23 Stycznia 2012 przez marcinkowski Odnośnik do komentarza
picasso Opublikowano 23 Stycznia 2012 Zgłoś Udostępnij Opublikowano 23 Stycznia 2012 Przepraszam, mój błąd. Już poprawiłam link. To ciekawe z tym spadkiem mocy przerobowych, bo skrypt nie zajmował się niczym szczególnym ... Co do tapety: zabierz się za aktualizację systemu (zostaną przepisane / przerejestrowane pliki) i zobaczymy co się wydarzy. . Odnośnik do komentarza
marcinkowski Opublikowano 23 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 23 Stycznia 2012 Coś chyba zablokowali stronę MS bo nie można pobrać tego SP3, ale może znajdę gdzieś u siebie bo chyba kiedyś pobierałem. Odnośnik do komentarza
picasso Opublikowano 23 Stycznia 2012 Zgłoś Udostępnij Opublikowano 23 Stycznia 2012 Nie mam żadnych problemów z pobraniem instalatora SP3 z podanego linka. Czy link bezpośredni też nie wchodzi (?): KLIK. . Odnośnik do komentarza
marcinkowski Opublikowano 23 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 23 Stycznia 2012 Z linku bezpośredniego pokazuje się biała strona i zero reakcji, jak biorę ze strony MS w oknie pobierania pokazuje się że zatrzymano, nie wiem o co chodzi to samo jest i na moim komputerze i na tamtym. Odnośnik do komentarza
picasso Opublikowano 23 Stycznia 2012 Zgłoś Udostępnij Opublikowano 23 Stycznia 2012 U mnie brak problemów. Z poziomu której przeglądarki jest próba pobierania? Nie blokują aby pobierania antywirusy? Odnośnik do komentarza
marcinkowski Opublikowano 23 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 23 Stycznia 2012 (edytowane) Zresetowałem modem i chyba poszło. Edit: Zainstalowałem SP 3, IE 8, Jave, instalują się co jakiś czas nowe aktualizacje. Pulpit się nie zmieniał więc zrobiłem pewien trick, znalazłem na dysku zdjęcie którego nazwa była w okienku właściwości systemu, ale w tym okienku jest to szara tapeta a w plikach jest to normalne zdjęcie, więc to zdjęcie załadowałem jeszcze raz jako tapetę i teraz mam w tym okienku dwa identyczne wpisy ta sama nazwa z tym że tak jak wyżej jedno to jest zdjęcie, drugie szare pole, tylko teraz nie wiem jak by tu wywalić ten jeden dubel z tego okienka żeby nie przeszkadzało, a tak w ogóle to ciekawe jak to się zrobiło szare. Czy teraz jeszcze trzeba robić jakieś logi, ewentualnie inne sugestie. Edytowane 23 Stycznia 2012 przez marcinkowski Odnośnik do komentarza
picasso Opublikowano 25 Stycznia 2012 Zgłoś Udostępnij Opublikowano 25 Stycznia 2012 Pulpit się nie zmieniał więc zrobiłem pewien trick, znalazłem na dysku zdjęcie którego nazwa była w okienku właściwości systemu, ale w tym okienku jest to szara tapeta a w plikach jest to normalne zdjęcie, więc to zdjęcie załadowałem jeszcze raz jako tapetę i teraz mam w tym okienku dwa identyczne wpisy ta sama nazwa z tym że tak jak wyżej jedno to jest zdjęcie, drugie szare pole, tylko teraz nie wiem jak by tu wywalić ten jeden dubel z tego okienka żeby nie przeszkadzało, a tak w ogóle to ciekawe jak to się zrobiło szare. Czy na pewno ten plik jest pojedynczo? Wejdź do folderu "Moje obrazy" (tendencje do autodetekcji tapet z tego miejsca) i sprawdź co tam jest, wyizoluj podejrzanych poza ten folder. A taki prosty trik nie wejdzie (?): ustaw tapetę na Brak, następnie w pierwszej karcie zmień kompozycję na cokolwiek innego, przestaw z powrotem na poprzednią kompozycję i sprawdź czy lista z wyborem tapet się skróciła. Czy teraz jeszcze trzeba robić jakieś logi, ewentualnie inne sugestie. Z logami skończyliśmy. Aktualizacje wykonane. Na koniec standardowo Sprzątanie w OTL oraz czyszczenie folderów Przywracania systemu. . Odnośnik do komentarza
marcinkowski Opublikowano 26 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 26 Stycznia 2012 Aktualizacje wykonane. Na koniec standardowo Sprzątanie w OTL oraz czyszczenie folderów Przywracania systemu. Toto już porobiłem. Z tymi tapetami było tak że te dwa takie same wpisy były tylko w okienku właściwości nie w folderze, tapeta nie jest z tych systemowych, po nazwie która była w tym okienku znalazłem na dysku skąd była wstawiona i jeszcze raz ją wstawiłem, ale nie z ppm i ustaw jako tło pulpitu, a z tego okienka kliknąłem przeglądaj i wskazałem to zdjęcie i zrobiły się tam dwa takie same wpisy, jak się kliknęło na jedno to jest szare pole a jak na drugie to jest zdjęcie. Dla tego napisałem że ten trick zadziałał, ale teraz tam zajrzałem i się okazało że ten zły wpis zniknął. Pięknie podziękował za pomoc, temat można zamknąć. Odnośnik do komentarza
Rekomendowane odpowiedzi