mallach

Witam.
Proszę o pomoc, bo niestety sam nie dam rady. Podejrzewam infekcję laptopa acer aspire e14. Laptop jest kolegi i mówił, że stało się to po aktualizacji. Gdy go przyniósł, to po zalogowaniu i dłuższym "mieleniu" (5 min) ładowała się tapeta, ale kurs był w ciągle "zajęty" - kręcące kółko. Myślałem, że w trybie awaryjnym coś zdziałam, niestety, to samo. Następnie odnalazłem punkt przywracania z dnia pojawienia się problemu i go wykorzystałem. Też nic nie pomogło. Co jeszcze zrobiłem.
1. Dodałem konto "marek", aby mieć dostęp do trybu awaryjnego, który wymaga hasła, a kolega logował się na PIN i hasła nie pamiętał.
2. Odblokowałem konto Administrator.
3. Podmieniłem plik explorer.exe w katalogu windows, biorąc go z katalogu windows\winsxs. Zmieniłem też wpis w kluczu rejestru
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell na "explorer.exe" , gdzie było "cmd.exe /k start cmd.exe"
co spowodowało błąd przy logowaniu "explorer.exe klasa niezarejestrowana".
Jeżeli swoimi działaniami pogorszyłem sprawę, to bardzo przepraszam.
W załączniku log z FRST64, który uruchomiłem z pendrive za pomocą wiersza poleceń.

EDIT:

 

Nie ma załącznika - dodaj ponownie proszę.

FRST.txt

Trochę zeszło mi na uporządkowaniu i doprowadzeniu do porządku. Starałem się skrupulatnie wykonać wszystkie procedury.

Laptop działa w porządku, przyspieszył, choć pewne problemy z oprogramowaniem będą wychodzić w "praniu". Będę wdzięczny za analizę załączonych logów i całą pomoc w rozwiązaniu problemu. Wielkie dzięki picasso.

Addition.txt

Fixlog.txt

FRST.txt

Shortcut.txt

1. Niestety skrypt wyrzucił błędy, szczegóły w logu.

2. Oczywiście uruchomić system się nie udało, ale te dwa pliki - system i software podmieniłem ręcznie i system wstał. Logi z FRST w załącznikach.

Addition.txt

Fixlog.txt

FRST.txt

Odnośnie pliku systemold to został on przeze mnie utworzony już po uszkodzeniu systemu jako kopia. Dysk podłączyłem pod inny komputer i podpiąłem gałęzie rejestru znajdujące się w tym pliku do edytora rejestru komputera do którego podłączyłem dysk, aby usunąć wpis uruchamiający SpyHunter z klucza HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, mając niewielką nadzieje, że to coś pomoże, tonący brzytwy się chwyta. Nic więcej nie zmieniałem w rejestrze od momentu uszkodzenia systemu.

Z fixloga wynika, że w katlogu C:\Windows\Repair jest kopia rejestru ze stycznia 2016, utworzona przez system, bo ja nie przypominam sobie bym tworzył.

Punktów przywracania nie ma bo sam je wyłączyłem, bo bardzo dużo wirusów w tym katalogu umiejscawiało się.

Pozwoliłem sobie na dołączenie loga z rejestrowanego trybu uruchamiania. Może w nim jest wskazówka dlaczego system padł.

Fixlog.txt

ntbtlog.txt

Witam.

Po zainstalowaniu i przeskanowaniu programem z tematu, niestety muszę się przyznać do wielkiej głupoty z mojej strony, że  usunąłem ręcznie kilka wpisów z rejestru i efekt taki, że komputer nie chce się uruchomić. Dochodzi do ekranu z napisem Microsoft Windows i koniec. W trybie awaryjnym jest to samo. Uruchomiłem środowisko WinRE a następnie Farbar Recovery Scan Tool. W załączniku jest wygenerowany log. Bardzo proszę o sprawdzenie, czy jest szansa na powstanie systemu, za co z góry dziękuję. W załączniku dodałem także log ze skanowania z SpyHuntera.

FRST.txt

scanlog.txt