FRST, Wirusy, dysk i procesor cały czas pracują, komputer ur

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
xGrzegorZx

Użytkownik
Posty: 1
Rejestracja: 26 lut 2017, 02:45

FRST, Wirusy, dysk i procesor cały czas pracują, komputer ur

Post26 lut 2017, 02:50

Witam proszę o pomoc najlepsze osoby w analizowaniu logów i rozwiązywaniu problemów niemożliwych do rozwiązania!

Chodzi o komputer który zaczął zamulać już jakiś czas temu, jeszcze długo przed darmowym upgrade z Windows 7 do Windows 10. Komputer ten to była istna rakieta. Nawet był wykorzystywany do kopania bitcoinów! Sięgając pamięcią to chyba własnie niedługo po przygodzie z bitcoinami zaczął zamulać. Przez wiele lat użytkowania ten komp miał styczność z wieloma wirusami i wydawałoby się, że te wirusy zostały usunięte (na co wskazuje avast) ale podejrzewam, że tak nie jest.

Nigdy nie było czasu, żeby dokładnie sprawdzić przyczynę problemów takich jak ciągła praca dysków, szybkie wyżeranie Ramu, ciągle zaświecona czerwona dioda na komputerze wskazująca na pracę procesora czy też 15-20 minutowe uruchamianie się systemu...

Wczoraj czyli 24.02.2017r. postanowiłem w końcu coś z tym zrobić.
Gdzieś na jakimś forum odlazłem informacje o programie OTL, Szybko ściągnąłem ten program i niewiele myśląc przeprowadziłem skan po czym zaraz kliknąłem sprzątanie, w międzyczasie zacząłem czytać jak przeanalizować te logi i zdałem sobie sprawę z tego, że pośpieszyłem się z tym sprzątaniem... Sprzątanie szybko przerwałem może z 1 minutę trwało. Wyskoczył komunikat o ponownym uruchomieniu, a przeglądarki www przestały działać. Musiałem zrestartować kompa - komputer niestety już się nie uruchomił,,, podczas rozruchu był restart i od nowa komputer się uruchamiał.... dzieło się tak w trybie normalnym i awaryjnym...

Dzisiaj pół dnia męczyłem się, żeby kompa uruchomić, w zaawansowanym rozruchu w cmd używałem różnych funkcji typu sfc, czy chkdsk i innych podobnych ponieważ punktów przywracania systemu mi nie odnalazło... Po tym jak te czynności nie dały efektu pomyślałem, że gdzieś musi być kopia rejestru... przy pomocy notatnika z cmd odnalazłem kopie w C:\Windows\System32\config\RegBack i całe szczęście przekopiowanie plików z tego katalogu do C:\Windows\System32\config pomogło (zastąpiłem pliki przy pomocy kopiuj, wklej w notatniku kopia była z 18.02.2017r. więc super...). System się uruchomił ale oczywiście jak zamulał tak zamula...

Proszę najmądrzejsze osoby z tego forum o pomoc...
Poniżej wklejam log z frst, niestety avast blokuje gmera i jego funkcje ( w załączniku również print screen z komunikatu podczas uruchamiania gmera - na środku i na dole po prawej informacja avast o zablokowaniu ) Co dziwniejsze po uruchomieniu gmera z okrojonymi funkcjami po jakimś czasie pojawia się informacja/prośba o włożeniu dysku E:\ i gmer przestaje działać. Oczywiście dysku E:\ nigdy nie miałem i nie mam.... Myślę, że jest to związane z sfc lub chkdsk które uruchamiałem w zaawansowanych opcjach rozruchu w cmd tam wyjściowym dyskiem był dysk X:\ a dysk C:\ właśnie montował się pod nazwą E:\...

Addition.txt: Dostępne tylko dla zarejestrowanych użytkowników
Shortcut.txt: Dostępne tylko dla zarejestrowanych użytkowników
FRST.txt: Dostępne tylko dla zarejestrowanych użytkowników
GMER komunikat na środku i blokada avasta na dole po prawej: ftp://ftp.meblarz.pl/frst/gmer.png
GMER okrojone funkcje:ftp://ftp.meblarz.pl/frst/gmer1.png

Z niecierpliwością czekam na POMOC!
Ostatnio zmieniony 26 lut 2017, 13:19 przez xGrzegorZx, łącznie zmieniany 1 raz.

Awatar użytkownika
robiwielki

Ekspert
Posty: 2851
Rejestracja: 25 gru 2013, 18:11
Kontaktowanie:

FRST, Wirusy, dysk i procesor cały czas pracują, komputer ur

Post26 lut 2017, 08:28

Otwórz notatnik systemowy i wklej do niego poniższą zawartość.
Zapisz notatnik jako "fixlist',umieść obok "FRST",uruchom "FRST" a w nim opcje "Fix", "Napraw".

CloseProcesses:
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dl ... ar=msnhome
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dl ... r=iesearch
HKU\S-1-5-21-3074894532-1184933972-1971042109-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dl ... r=iesearch
HKU\S-1-5-21-3074894532-1184933972-1971042109-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dl ... ar=msnhome
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
FF Plugin HKU\S-1-5-21-3074894532-1184933972-1971042109-1000: @tools.google.com/Google Update;version=3 -> C:\Users\Meblarz_sl\AppData\Local\Google\Update\1.3.24.15\npGoogleUpdate3.dll [Brak pliku]
FF Plugin HKU\S-1-5-21-3074894532-1184933972-1971042109-1000: @tools.google.com/Google Update;version=9 -> C:\Users\Meblarz_sl\AppData\Local\Google\Update\1.3.24.15\npGoogleUpdate3.dll [Brak pliku]
FF ExtraCheck: C:\Program Files\mozilla firefox\firefox.cfg [2013-04-09] <==== UWAGA
CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\Alwil Software\Avast5\WebRep\Chrome\aswWebRepChromeSp.crx <nie znaleziono>
CHR HKLM\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\Alwil Software\Avast5\WebRep\Chrome\aswWebRepChrome.crx <nie znaleziono>
U3 idsvc; Brak ImagePath
Task: {0014F6DF-77AB-4EE4-9BF1-FD95159CEBD7} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA
Task: {0A14E2E7-7276-454E-AD51-B17F17608A3D} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
Task: {63E458BA-6F81-47ED-A844-41E56DD1B2F6} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
Task: {787B1BE9-8EB6-4DD1-8F76-3CD3A8A9E054} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
Task: {D6818912-DBF4-4927-8AA2-D27CAA370272} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA
Task: {D980DB3E-FED0-4CEF-9265-567540981834} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA
Task: {DFE78752-F22A-46CA-AAA2-6E3B842828CD} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA
Task: {E244F61A-1005-4A5B-9765-4EFFC24318AD} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
Task: {E93AB14A-58B0-48CA-82B9-AED3DCD453E0} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku <==== UWAGA
Task: {F39DAA4F-C666-40D1-BADC-84CAE9A9701F} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
Task: {FAC83639-F9F8-4BDE-AC48-EE51DE355151} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA
AlternateDataStreams: C:\ProgramData\TEMP:1AAB2E68 [175]
EmptyTemp:


UWAGA: Ten skrypt został napisany specjalnie dla tego użytkownika, do stosowania na danym urządzeniu. 
Zastosowanie na innym komputerze może spowodować uszkodzenie systemu operacyjnego
.


Zapisz notatnik jako "fixlist',umieść obok "FRST",uruchom "FRST" a w nim opcje "Fix", "Napraw".
Po czyszczeniu i restarcie kompa otrzymasz raport z czyszczenia "fixlog",pokaż go na forum.

Dostarcz logi z FRST (NOWE, nie zapomnij zahaczykować Addition.txt i Shourt.txt)
Ostatnio zmieniony 26 lut 2017, 08:51 przez robiwielki, łącznie zmieniany 1 raz.
Ktoś musi być „zły”, żeby ktoś był dobry. Równowaga w przyrodzie musi być.


Dostępne tylko dla zarejestrowanych użytkowników

electrolux

Ekspert
Posty: 319
Rejestracja: 06 lut 2017, 00:26

FRST, Wirusy, dysk i procesor cały czas pracują, komputer ur

Post26 lut 2017, 08:35

W logach nie ma żadnej aktywnej infekcji, są tylko ślady po infekcjach, ale one raczej już nie wpływają na działanie komputera.
Z logu Addition.txt wynika, że nie ma też większych problemów ze sprzętem.
Krótko mówiąc: nie widzę przyczyny mulenia.

1) Odinstaluj ten program:
Reimage Repair (HKLM\...\Reimage Repair) (Version: 1.8.4.9 - Reimage) <==== UWAGA


2) Otwórz Notatnik i wklej w nim:
MSCONFIG\startupreg: svchstx => C:\Users\MEBLAR~1\AppData\Local\Temp\svchstx.exe
MSCONFIG\startupreg: KOO9RV9K4Z => C:\Users\MEBLAR~1\AppData\Local\Temp\Vjh.exe
MSCONFIG\startupreg: Metropolis => rundll32.exe C:\Users\MEBLAR~1\AppData\Local\Temp\sshnas21.dll,GetHandle
MSCONFIG\startupreg: NPSStartup =>
MSCONFIG\startupreg: (default) =>
Task: {FAC83639-F9F8-4BDE-AC48-EE51DE355151} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA
Task: {F39DAA4F-C666-40D1-BADC-84CAE9A9701F} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
Task: {F429490F-85D7-4210-8D08-BEE0BB197F59} - System32\Tasks\Reimage Reminder => C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe [2016-11-13] (Reimage ltd.) <==== UWAGA
Task: {E93AB14A-58B0-48CA-82B9-AED3DCD453E0} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku <==== UWAGA
Task: {D6818912-DBF4-4927-8AA2-D27CAA370272} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA
Task: {D980DB3E-FED0-4CEF-9265-567540981834} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA
Task: {DFE78752-F22A-46CA-AAA2-6E3B842828CD} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA
Task: {E244F61A-1005-4A5B-9765-4EFFC24318AD} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
Task: {787B1BE9-8EB6-4DD1-8F76-3CD3A8A9E054} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
Task: {63E458BA-6F81-47ED-A844-41E56DD1B2F6} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
Task: {0014F6DF-77AB-4EE4-9BF1-FD95159CEBD7} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA
Task: {0A14E2E7-7276-454E-AD51-B17F17608A3D} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
C:\ProgramData\xml*.tmp
C:\Users\Meblarz_sl\AppData\Roaming\Opusbext.dat
C:\Users\Meblarz_sl\Downloads\ReimageRepair.exe
CHR Extension: (Fast search) - C:\Users\Meblarz_sl\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-21]
FF ExtraCheck: C:\Program Files\mozilla firefox\firefox.cfg [2013-04-09] <==== UWAGA
FF Plugin HKU\S-1-5-21-3074894532-1184933972-1971042109-1000: @tools.google.com/Google Update;version=3 -> C:\Users\Meblarz_sl\AppData\Local\Google\Update\1.3.24.15\npGoogleUpdate3.dll [Brak pliku]
FF Plugin HKU\S-1-5-21-3074894532-1184933972-1971042109-1000: @tools.google.com/Google Update;version=9 -> C:\Users\Meblarz_sl\AppData\Local\Google\Update\1.3.24.15\npGoogleUpdate3.dll [Brak pliku]
FF Extension: (Firebug) - C:\Users\Meblarz_sl\AppData\Roaming\Mozilla\Firefox\Profiles\ivu4uu4p.default-1470828992456\Extensions\firebug@software.joehewitt.com.xpi [2017-01-14]
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
C:\Users\Gość\Desktop\Games.lnk
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).
.

Awatar użytkownika
XMan

Globalny Moderator
Posty: 13385
Rejestracja: 30 lis 2008, 00:40

FRST, Wirusy, dysk i procesor cały czas pracują, komputer ur

Post01 mar 2017, 09:44

Uprawnioną osobą do odpowiedzi w dziale Bezpieczeństwo jest @ electrolux ;)

Regulamin Bezpieczeństwa

Główny dział Bezpieczeństwo został stworzony do działania przeciwko szkodnikom na które możemy trafić w sieci. Dział ten jest jeden z ważniejszych z powodu dodatkowych punktów regulaminowych.

Główni użytkownicy uprawnieni do pomagania:


...oraz oczywiście Moderatorzy i Administratorzy
Kto pyta - nie błądzi, kto szuka - znajduje.
Obrazek
Dostępne tylko dla zarejestrowanych użytkowników



  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 6 gości