DisconnecT

Rozumiem, wychodzi na to że że większość pozostałego syfu adware pozbyłem się ręcznie.

Bardzo dziękuje za pomoc, temat można zamknąć.

Dziękuje za pomoc, skrypt został wykonany, w załączniku dorzucam fixlog.

Czy to jednak wszystko co się znalazło w tym systemie? Jestem szczerze mówiąc lekko zdziwiony spodziewałem się znacznie większego bałaganu.

Pozdrawiam.

Fixlog.txt

Hej, nie dawno mój sprzęt został zainfekowany przez nierozważnego użytkownika który miał do niego dostęp.

Wstępnie sprzęt już został przeze mnie wyczyszczony na tyle ile byłem w stanie działać ręcznie wraz z dostępnymi narzędziami, mam jednak wątpliwości które wywołane są dość sporą ilością interwencji ze strony zapory sieciowej Comodo, która średnio przez dobę blokuje kilkaset adresów IP.

Wstępna analiza adresów nie wykazuje niczego konkretnego, wiem jednak że nie powinny one występować.

Zapewne znajdzie się dość sporo kosmetyki, system już dość sporo przeżył, włącznie z dużymi aktualizacjami, jak i nakładkami instalacji. Zastanawiam się nawet czy nie postawić całej konfiguracji od nowa, poczekam jednak na werdykt osób które przeanalizują logi z FRST, gdyż reinstalacja całego środowiska będzie mnie kosztować bardzo dużo czasu.

Dodaję jeszcze podstawową specyfikację komputera gdyby była potrzebna:

CPU: Core i7-8086k @ 5.0 GHz

MB: MSI MEG Z390 ACE LGA1151 BIOS v1.40

RAM: 32GB (4x8GB) DDR4 G.Skill 4000 MHz CL17

GPU: Nvidia GeForce GTX 1080 Ti 11GB

SSD1: Samsung 970 Evo 500GB NVMe

SSD2: Crucial MX200 250GB SATA

SSD3: ADATA XPG SX8200 1TB NVMe

HDD1: Toshiba X300 4TB SATA

HDD2: Toshiba P300 2TB SATA

HDD3: Seagate BC 2TB SATA

Display 2560x1440 155Hz + 2560x1440 60Hz

OS: Windows 10 x64 PL v1903 (Build: 18362.418)

- Wszystkie nośniki danych są monitorowane w czasie rzeczywistym, żaden nie zawiera żadnych błędów SMART.

Niżej zamieszczam logi z FRST: (konfiguracja programu standardowa).

Z góry dziękuje za pomoc.

Pozdrawiam.

FRST.txt Addition.txt

Wszystko wykonane, włącznie z delfix i wyzerowaniem kontenera przywracania systemu, dzięki wielkie za pomoc, przejrzę co trzeba i jak się trafi to usunę szkodnika.

Temat można zamknąć

Witaj, dzięki za pomoc, aktualnie już nie zaznaczałem MD5 Sterowników, i plików z 90 dni, fixlist wykonany poprawnie, wrzucam nowe logi FRST, Addition i Fixlog.

Program Youtube Downloader sobie zostawię bo z niego korzystam, wiem że installer ma tonę syfu ale potrafię przejść przez niego tak aby nic się gratis nie dorzuciło, dodatkowo comodo blokuje części tego installera.

Wiesz może w jaki sposób można złapać ten skrypt to musiało się wydarzyć 2 dni temu, natomiast zawsze dbam o bezpieczeństwo i jestem mocno zdziwiony którędy udało mu się podejść.

Pozdrawiam.

 

FRST.txt

Addition.txt

Fixlog.txt

Witam, od paru dni co każde uruchomienie komputera, MalwareBytes - Anti Malware blokuje nieznany adres z którym połączenie próbuje nawiązać wscript.exe znajdujący się w C:/Windows/System32 na pierwszy rzut oka plik nie budzi żadnych zastrzeżeń, wygląda na podpisany cyfrowo przez Microsoft, jednak sam adres budzi zastrzeżenia dokładnie jest to: "m.9846f2d7e24272f38e6f66bf0ff8d7cf.com".

Po wrzuceniu frazy w google w zasadzie niczego ciekawego nie można się dowiedzieć po za tym że inne pakiety bezpieczeństwa również go wykryły, żadnych więcej konkretów.

Jako że szykuję system do zrobienia obrazu w razie awarii wrzucam kompletne logi z FRST, nawet jeżeli to nie jest żadna infekcja będę bardzo wdzięczny wszelką za kosmetykę która na pewno się znajdzie, logi na pewno nie należą do najkrótszych ze względu na to iż zleciłem FRST przeskanowanie większej ilości komponentów systemu abym miał pewność że nic się nie ukryje, dodatkowo na sprzęcie jest dość duża liczba oprogramowania i gier

Logi wstępnie samemu sprawdziłem, nie nic bardzo szczególnego nie zauważyłem, jednak mam pewnie wątpliwości co do paru linijek.

Proszę się też nie dziwić że w logach jest przestrzał dat między marcem z czerwcem, wynika to z tego że system był odtwarzany z kopi z powodu wadliwej aktualizacji która uszkadzała usługę regsvr32, przez co 99 % klas nie było rejestrowanych i system nie nadawał się do niczego.

Dodam jeszcze podstawową specyfikację komputera gdyby była potrzebna

CPU: Core i7 7700k @ 4.8 GHz

RAM: 16GB DDR4 Corsair 3200 MHz CL14

GPU: Nvidia GeForce GTX 980Ti

Display 2560x1440 144Hz + 1920x1080 60Hz

SSD Crucial MX200 250GB - smart w normie.

HDD 2x 2TB Toshiba, Seagate - smart w normie.

OS: Windows 10 AU x64 PL (Build: 14393.1358)

W załączniku wszystkie logi z FRST

Z góry dziękuje za pomoc.

Pozdrawiam

FRST.txt

Addition.txt

Shortcut.txt

Raczej nic ze sobą wspólnego nie mają, dodam tylko że zdarza się iż pewne programy się usuwają, innym razem to same programy się już nie usuwają, starego cleanup nie mogłem wywalić bo msiexec się sypało, musiałem to zrobić nowym narzędziem M$.

Nie mam pojęcia jak to ze sobą pogodzić i gdzie może leżeć problem, u mnie on pierwszy raz wystąpił już rok temu, tylko zwyczajnie go olewałem z myślą że któraś aktualizacja może to naprawi, przeliczyłem się, co najgorsze zauważyłem że tematów z problemami odnośnie msiexec jest mało, a jak już są to głównie do Windows XP.

Jeszcze taka mała kosmetyka, systemowy regulator głośności strasznie długo zostaje na ekranie prawie 20 sekund, nie pamiętam gdzie się to regulowało, wiesz może który klucz w rejestrze za to odpowiada?

Logów z SFC myślę że nie ma co szukać, skoro ten kawałek problemu już jest rozwiązany,.

Podbijam bo temat chyba zaginął w gąszczu nowych.

Musisz znaleźć program którym zintegrujesz sterowniki USB 3.0 z instalką systemu, mimo iż płyta może posiadać porty 2.0, a te system obsługuje to problem polega na tym że w platformie Skylake została usunięta obsługa EHCI i porty USB 2.0/3.0 mogą działać tylko za pomocą protokołu XHCI który wymaga sterowników od USB 3.0

Poszukaj na stronie Asrocka pamiętam że oni takie narzędzie wydawali, oczywiście sam sterownik musisz podstawić od swojej płyty głównej zgodny z instalowaną wersję systemu.

Witam, na wstępnie podziękuje za zainteresowanie się moim problemem, wykonałem to co trzeba no i mam nie do końca dobre wieści.

Na początek

Tak, za każdym razem instaluje dokładnie te same programy, co ciekawe na ostatnim formacie, czyli systemie który istnieje w obecnej chwili wszystko chodziło idealnie przez kilka dni, problemy zaczęły się od momentu kiedy zawiesił mi się komputer przez źle dobrane OC do karty graficznej, choć bardziej stawiam to jako zbieg okoliczności, ponieważ na noc komputer został włączony w celu uzupełnienia danych biblioteki steam, dlatego też rano nie moglem sprawdzić czy winlogon działa tak jak potrzeba.

Dodam jeszcze że przed komputerem kilka dni wcześniej robiłem format laptopa także Windows 8.1, posiada dokładnie tą samą baterię oprogramowania i jego trapi tylko i wyłącznie brak dostępu do usługi Windows Installer, żadnych problemów z Winlogon nie ma.

Comodo jest tutaj faktycznie podejrzanym odnośnie problemów z msiexec, pytanie jak działać aby to ze sobą pogodzić, ponieważ bardzo bym chciał korzystać dalej z tego programu, dodam też że nie korzystam z HIPS'a ponieważ jest zbyt .natrętny w przypadku domowego centrum multimedialnego.

Modyfikacje wyłączyłem z poziomu Autoruns, niestety po restarcie sprawy się skomplikowały, uruchamianie systemu skończyło się identycznie jak uruchamianie awaryjne, czyli dźwięk logowania, czarny migający ekran, migające podświetlenie LED klawiatury, i pojawiający się kursor z klepsydrą w czasie poruszania myszką, na szczęście przed całą zabawą zaopatrzyłem się w punkt przywracania, dzięki czemu mogłem wrócić do gry.

Myślę czy w takim razie nie pójść ostrzej i po prostu nie usunąć całego oprogramowania które tutaj jest podejrzane tzn. Aero Glass. UXStyle, Sidebar, PCMeter, Acronis True Image i OldNewExplorer, dodam tylko że tego całego oprogramowania po za Acronisem używam od roku i nigdy nie powodowało problemów z winlogon, dokładnie po zmianie SSD a więc i użyciu Acronisa problemy się zaczęły, dlatego tego wykluczanie zacznę od niego.

Dodatkowo podrzucam wyodrębniony log SR z pliku CBS, natomiast nic w nim ciekawe nie ma ponieważ ostatnie SFC niczego nie wykryło, natomiast po padnięciu systemu, odpaliłem z poziomu WinRE i coś wykryło, niestety nie byłem wstanie wygenerować logu ponieważ konsola odrzucała żądanie twierdząc że trzeba uruchomić komputer ponownie i tak ciągle.

Pozdrawiam.

EDIT: doszedłem co powoduje całkowity zwis Winlogon, winnym okazał się UXStyle, natomiast wywaliłem go inną metodą, co spowodowało że Winlogon nagle zaczął pracował poprawnie! Także tryb awaryjny uruchamia się bez problemu.

Będę jeszcze sprawdzał ponowną instalację tego dodatku, ponieważ jest mi on potrzebny do uruchomienia stylu msstyles który sobie napisałem aby 8.1 posiadało full natywne aero jak w Windows 7, próbę chcę podjąć ponieważ na innych komputerach ta modyfikacja pracuje.

Pytanie teraz jak dojść do porozumienia z Windows Installer.

EDIT2: Wykonałem ponową instalacją UxStyle z wymuszeniem praw admina, dodatkowo wyczyściłem styl do stanu default, oraz spersonalizowałem go od nowa, efekt taki że Winlogon nadal pracuje, tryb awaryjny także, explorer na razie nie wywalił, zostaje kwestia co zrobić z tym nieszczęsnym Windows Installer..

sfc.txt

Witam, mam problem ze swoim systemem, co ciekawe ten jest po formacie i występują dokładnie te same objawy co przed.

1. Losowy problem z Windows Installer, natomiast tylko z usuwaniem, instalacja aplikacji przebiega bez problemów, sprawa zupełnie odwrotnie ma się przy usuwaniu programów, losowo niektóre programy się usuwają, a nie które nie i wyrzuca standardowo:

"Nie można uzyskać dostępu do usługi Instalator Windows.Może mieć to miejsce jeśli Instalator Windows jest niepoprawnie zainstalowany. Skontaktuj się z działem Pomocy technicznej, aby uzyskać pomoc."

Wszelkie próby wyrejestrowania i rejestrowania usługi na nie wiele się zdają, sama usługa w momencie błędu jest zatrzymywana, ale nie ma problemu aby ją ponownie uruchomić, usługa jest domyślnie ustawiona na start ręczny, podgląd zdarzeń rejestruje problem.

2. Zawieszający się Winlogon, problem polega na tym że w momencie włączenia systemu, jest dźwięk autostart następnie na czarnym tle ikony od internetu i dźwięku, po chwili pojawia się standardowe tło ekranu blokady mimo że mam ustawione inne, komputer także nie zapamiętuje ostatnio używanego konta i wyświetla pełną listę, po zalogowaniu się do systemu zdarza się że menedżer zadań gubi ustawienia i przywraca się do widoku bez poziomu szczegółów, natomiast jeżeli już na zalogowanym koncie wykonam zablokuj komputer, system widzi na pierwszym miejscu zalogowane konto i także pojawia się obraz blokady który ustawiłem.

3. Problem z Winlogon ma drugie dno, który się zwie niemożliwością uruchomienia trybu awaryjnego, tzn, tryb się uruchamia jest ładowanie, natomiast po w momencie kiedy powinien się pojawić ekran logowania jest czarny ekran, podświetlenie w klawiaturze zaczyna migać, dodatkowo jak poruszam myszką to widzę pusty ekran z opisem tryb awaryjny i kursor w którym co jakąś chwilę przeskakuje klepsydra, jak puszczę mysz to z powrotem widzę tylko czarny ekran.

4. Czasami zdarza się resetujący explorer.exe

Dodam jeszcze że problemy które wymieniłem nie występują od razu po instalacji, najczęściej kilka godzin później bądź jeden dzień.

sfc /scannow raz wykrywa problem integralności a raz nie, natomiast naprawy z reguły nie przynoszą efektów bądź wymagają startu z trybu awaryjnego co jest niewykonalne w chwili obecnej.

Specyfikacja sprzętu

CPU: i7 2600K @ 4.7 GHz 1.4v

RAM: 16GB DDR3 2133 MHz CL9

MOBO: Asus P8P67 Deluxe rev 3.0

SSD/HDD  Crucial MX200 250GB, 2x HDD 2TB

PSU: BeQuiet! Straight-Power 10 CM 600W 80+ Gold

GPU: EVGA GTX 980Ti 6GB @ 1450 / 7600 MHz

Monitor: Asus ROG Swift 2560x1440 144Hz G-Sync

SPU: Asus Xonar D2X PCIEx1 + Creative XFi HD USB

Sprzęt się nie przegrzewa, jest stabilny, problemy występują nawet po przywróceniu ustawień stock, dyski nie posiadają błędów Smart, oraz posiadają najnowsze Firmware, Bios/UEFI także jest najnowsze, wszystkie sterowniki najnowsze to co się dało.

Co mogę więcej napisać, system nie jest zawirusowany, został postawiony nie dawno z nadzieją że problemy znikną, co najlepsze z początku tak się wydawało, ale po czasie wszystko wraca, wykonywałem 2 formaty, zastanawiam się gdzie może leżeć problem, czy jakieś oprogramowanie wpada w konflikt, a może system został podziurawiony w rytm aplikacji "Uzyskaj Windows 10"

Szczerze powieszawszy nie wiem co z tym fantem robić, od bardzo dawna radziłem sobie ze wszystkim, ale to przebiło moje wszelkie pomysły, co powoduje że coraz bardziej myślę o powrocie na Windows 7, jednak nie jest to takie proste, bo po dograniu menu start i aero 8.1 jest bardzo przyjemny

Dodam jeszcze że problem z MSI istnieje już od jesieni 2015 natomiast problem z winlogon wystąpić w okolicy połowy maja 2016.

Aktualizacje wszystkie są zainstalowane z wyjątkiem migracji Win 10, wyskakujących reklam o Windows 10 oraz aktualizacji klienta telemetrycznego.

Lista blokowanych:

Zainstalowane oprogramowanie antywirusowe:

Comodo Internet Security

Malwarebyte - Anti Malware

Dodatkowo dorzucam logi z programu FRST

Liczę na pomoc, również jeżeli będzie potrzeba dostarczę więcej informacji logów z oprogramowania jakie będzie potrzebne.

Pozdrawiam!

Addition.txt

FRST.txt