lukis Opublikowano 31 Maja 2016 Zgłoś Udostępnij Opublikowano 31 Maja 2016 Siema! Jestem dopiero na etapie nauki odczytywania problemu z logów first a jako, że wyszło około 60 stron w wordzie trochę to potrwa Więc chętnie skorzystam z Waszej pomocy. Komputer znajomego. Wpierw uruchomiony został comboFIX lecz niewiele przyniósł efektu. Objawy: Uruchomienie komputera i po około 5-10 minut spowolnienie systemu w 90% Stan dysku jest dobry. (sprawdzane mhdd) czyli 2 czasy powyżej 500ms reszta ok. Spowodowane jest pewnie dużą ilością malware itp... Recovery do zera jako ostateczność Kaspersky doinstalowany dopiero teraz... Nie jest w stanie ukończyć skanowanie = zwiecha Logi w załączniku Addition.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Shortcut.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 31 Maja 2016 Zgłoś Udostępnij Opublikowano 31 Maja 2016 Temat przenoszę do działu Windows. Problem nie jest pochodną infekcji. I posługujesz się starą wersją FRST (25-01-2016). 1. "Uruchomienie komputera i po około 5-10 minut spowolnienie systemu w 90%" - 90% dotyczy obciążenia procesora? Jeśli tak, to czy aby nie jest to proces svchost hostujący Windows Update (prawy klik na obciążony svchost > Przejdź do usług > w podświetlonych wynikach Windows Update)? W tym przypadku do wglądu ten temat: KLIK. Aczkolwiek tu może być złożenie przyczyn, gdyż Dziennik zdarzeń notuje także wyraźne błędy silnika Windows Update: Application errors: ================== Error: (05/31/2016 12:02:12 PM) (Source: ESENT) (EventID: 104) (User: ) Description: wuaueng.dll (228) SUS20ClientDataStore: The database engine stopped the instance (0) with error (-1090). Error: (05/31/2016 12:02:12 PM) (Source: ESENT) (EventID: 492) (User: ) Description: wuaueng.dll (228) SUS20ClientDataStore: The logfile sequence in "C:\Windows\SoftwareDistribution\DataStore\Logs\" has been halted due to a fatal error. No further updates are possible for the databases that use this logfile sequence. Please correct the problem and restart or restore from backup. Error: (05/31/2016 12:02:12 PM) (Source: ESENT) (EventID: 471) (User: ) Description: wuaueng.dll (228) SUS20ClientDataStore: Unable to rollback operation #45636 on database C:\Windows\SoftwareDistribution\DataStore\DataStore.edb. Error: -614. All future database updates will be rejected. W tym kontekście rozpocznij od resetu bazy Windows Update: KLIK (narzędzie Fix It 50202 i zaznaczony "Tryb agresywny"). 2. W raporcie są też syndromy uszkodzenia plików systemowych: R2 ShellHWDetection; C:\Windows\System32\shsvcs.dll [302080 2009-07-10] (Microsoft Corporation) [File not signed] R2 ShellHWDetection; C:\Windows\SysWOW64\shsvcs.dll [247808 2009-07-10] (Microsoft Corporation) [File not signed] R2 Themes; C:\Windows\system32\shsvcs.dll [302080 2009-07-10] (Microsoft Corporation) [File not signed] R2 Themes; C:\Windows\SysWOW64\shsvcs.dll [247808 2009-07-10] (Microsoft Corporation) [File not signed] Wykonaj weryfikację sfc /scannow i dostarcz przefiltrowany raport: KLIK. PS. W spoilerze doczyszczenie mikro odpadków adware / wpisów pustych / zbędnych modyfikacji zrobionych przez ComboFix, co jest tylko pobocznym działaniem i nie ma żadnego związku z problemami. Pokaż ukrytą zawartość 1. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\michal!!\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer (x86)\iexplore.exe" dopisz dwie spacje i -extoff 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Restriction - Chrome CHR HKLM\SOFTWARE\Policies\Google: Restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction HKU\S-1-5-21-1919287987-587404221-3270057354-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-1919287987-587404221-3270057354-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre7\bin\jp2ssv.dll => No File HKLM-x32\...\Run: [OEM02Mon.exe] => C:\Windows\OEM02Mon.exe HKLM-x32\...\Run: [] => [X] Task: {7A86C676-1E25-4898-8C59-2ACCBF9BF8E9} - System32\Tasks\{B39901B5-90B5-49F6-8FF3-1A1BB6453202} => pcalua.exe -a C:\Users\michal!!\AppData\Local\Temp\ubi869F.tmp.exe -d "C:\Program Files (x86)\Ubisoft\Assassin's Creed" U5 AppMgmt; C:\Windows\system32\svchost.exe [27648 2008-01-21] (Microsoft Corporation) S3 BCM42RLY; system32\drivers\BCM42RLY.sys [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S2 SessionLauncher; C:\Users\ADMINI~1\AppData\Local\Temp\DX9\SessionLauncher.exe [X] DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main C:\Program Files (x86)\SSFK.exe C:\ProgramData\Media Center Programs\gu.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{089D546F-79ED-4816-81E3-501C06E6C817} C:\ProgramData\Microsoft\Windows\GameExplorer\{39EA769E-ED07-4329-B665-5A604EA6115B} C:\ProgramData\Microsoft\Windows\GameExplorer\{436A4D68-30B7-4CD2-8B55-2E2743AE0965} C:\ProgramData\Microsoft\Windows\GameExplorer\{92242BB7-2E04-4AA3-B7AA-DFE01DD1C9E6} C:\ProgramData\Microsoft\Windows\GameExplorer\{D142855A-39DF-4756-8721-D7F8BED34D99} C:\ProgramData\Microsoft\Windows\GameExplorer\{F9B36190-02AE-4943-937D-58AFC2134EBD} C:\Users\michal!!\AppData\Local\Microsoft\Windows\GameExplorer\{00D8862B-6453-4957-A821-3D98D74C76BE} C:\Users\michal!!\AppData\Local\Microsoft\Windows\GameExplorer\{1495CE7E-36C3-4A29-884A-51777853DF6B} C:\Users\michal!!\AppData\Local\Microsoft\Windows\GameExplorer\{22F03855-8FA2-44C3-A374-908E7021A3C6} C:\Users\michal!!\AppData\Local\Microsoft\Windows\GameExplorer\{5A4C5A9A-C744-4B1C-9271-D86C3A9BE87B} C:\Users\michal!!\AppData\Local\Microsoft\Windows\GameExplorer\{726C6A29-4122-4222-964C-B200587AD022} C:\Users\michal!!\AppData\Local\Microsoft\Windows\GameExplorer\{87E113DF-256A-423E-8A51-5AC9D6AF9533} C:\Users\michal!!\AppData\Local\Microsoft\Windows\GameExplorer\{CB53F0CC-AA11-445F-80A9-2C3C76E0D4B6} C:\Users\michal!!\AppData\Local\Microsoft\Windows\GameExplorer\{DB65709C-B508-41CD-8F3B-5442E75DAFD9} C:\Users\michal!!\AppData\Local\Microsoft\Windows\GameExplorer\{E177569B-B17A-4BF8-A780-AD878B516913} C:\Users\michal!!\AppData\Local\*.* C:\Users\michal!!\AppData\Roaming\*.* C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\system32\log CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Odnośnik do komentarza
lukis Opublikowano 1 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 1 Czerwca 2016 Dzięki za odpowiedź Dziś zrobiłem reset bazy windows update... Przeszedł ok Następnie raport już nie udało się zrobić... reset mulenie itp... Właśnie robię backup dysku i format... A chciałem tego uniknąć. Odnośnik do komentarza
Rekomendowane odpowiedzi