Wolne działanie systemu po około 5 minutach + zwiecha

[lukis]

Siema!

Jestem dopiero na etapie nauki odczytywania problemu z logów first a jako, że wyszło około 60 stron w wordzie trochę to potrwa Więc chętnie skorzystam z Waszej pomocy.

 

Komputer znajomego. Wpierw uruchomiony został comboFIX lecz niewiele przyniósł efektu.

Objawy: Uruchomienie komputera i po około 5-10 minut spowolnienie systemu w 90%

Stan dysku jest dobry. (sprawdzane mhdd) czyli 2 czasy powyżej 500ms reszta ok.

Spowodowane jest pewnie dużą ilością malware itp...

Recovery do zera jako ostateczność

Kaspersky doinstalowany dopiero teraz... Nie jest w stanie ukończyć skanowanie = zwiecha

 

Logi w załączniku

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Temat przenoszę do działu Windows. Problem nie jest pochodną infekcji. I posługujesz się starą wersją FRST (25-01-2016).

 

1. "Uruchomienie komputera i po około 5-10 minut spowolnienie systemu w 90%" - 90% dotyczy obciążenia procesora? Jeśli tak, to czy aby nie jest to proces svchost hostujący Windows Update (prawy klik na obciążony svchost > Przejdź do usług > w podświetlonych wynikach Windows Update)? W tym przypadku do wglądu ten temat: KLIK. Aczkolwiek tu może być złożenie przyczyn, gdyż Dziennik zdarzeń notuje także wyraźne błędy silnika Windows Update:

 

Application errors:

==================

Error: (05/31/2016 12:02:12 PM) (Source: ESENT) (EventID: 104) (User: )

Description: wuaueng.dll (228) SUS20ClientDataStore: The database engine stopped the instance (0) with error (-1090).
 

Error: (05/31/2016 12:02:12 PM) (Source: ESENT) (EventID: 492) (User: )

Description: wuaueng.dll (228) SUS20ClientDataStore: The logfile sequence in "C:\Windows\SoftwareDistribution\DataStore\Logs\" has been halted due to a fatal error. No further updates are possible for the databases that use this logfile sequence. Please correct the problem and restart or restore from backup.
 

Error: (05/31/2016 12:02:12 PM) (Source: ESENT) (EventID: 471) (User: )

Description: wuaueng.dll (228) SUS20ClientDataStore: Unable to rollback operation #45636 on database C:\Windows\SoftwareDistribution\DataStore\DataStore.edb. Error: -614. All future database updates will be rejected.

 

W tym kontekście rozpocznij od resetu bazy Windows Update: KLIK (narzędzie Fix It 50202 i zaznaczony "Tryb agresywny").

 

 

2. W raporcie są też syndromy uszkodzenia plików systemowych:

 

R2 ShellHWDetection; C:\Windows\System32\shsvcs.dll [302080 2009-07-10] (Microsoft Corporation) [File not signed]

R2 ShellHWDetection; C:\Windows\SysWOW64\shsvcs.dll [247808 2009-07-10] (Microsoft Corporation) [File not signed]

R2 Themes; C:\Windows\system32\shsvcs.dll [302080 2009-07-10] (Microsoft Corporation) [File not signed]

R2 Themes; C:\Windows\SysWOW64\shsvcs.dll [247808 2009-07-10] (Microsoft Corporation) [File not signed]

 

Wykonaj weryfikację sfc /scannow i dostarcz przefiltrowany raport: KLIK.

 

 

PS. W spoilerze doczyszczenie mikro odpadków adware / wpisów pustych / zbędnych modyfikacji zrobionych przez ComboFix, co jest tylko pobocznym działaniem i nie ma żadnego związku z problemami.

 

 

 

1. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\michal!!\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer (x86)\iexplore.exe" dopisz dwie spacje i -extoff

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
GroupPolicy: Restriction - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Restriction 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction 
HKU\S-1-5-21-1919287987-587404221-3270057354-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction 
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKU\S-1-5-21-1919287987-587404221-3270057354-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre7\bin\jp2ssv.dll => No File
HKLM-x32\...\Run: [OEM02Mon.exe] => C:\Windows\OEM02Mon.exe
HKLM-x32\...\Run: [] => [X]
Task: {7A86C676-1E25-4898-8C59-2ACCBF9BF8E9} - System32\Tasks\{B39901B5-90B5-49F6-8FF3-1A1BB6453202} => pcalua.exe -a C:\Users\michal!!\AppData\Local\Temp\ubi869F.tmp.exe -d "C:\Program Files (x86)\Ubisoft\Assassin's Creed"
U5 AppMgmt; C:\Windows\system32\svchost.exe [27648 2008-01-21] (Microsoft Corporation)
S3 BCM42RLY; system32\drivers\BCM42RLY.sys [X]
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S2 SessionLauncher; C:\Users\ADMINI~1\AppData\Local\Temp\DX9\SessionLauncher.exe [X]
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
C:\Program Files (x86)\SSFK.exe
C:\ProgramData\Media Center Programs\gu.lnk
C:\ProgramData\Microsoft\Windows\GameExplorer\{089D546F-79ED-4816-81E3-501C06E6C817}
C:\ProgramData\Microsoft\Windows\GameExplorer\{39EA769E-ED07-4329-B665-5A604EA6115B}
C:\ProgramData\Microsoft\Windows\GameExplorer\{436A4D68-30B7-4CD2-8B55-2E2743AE0965}
C:\ProgramData\Microsoft\Windows\GameExplorer\{92242BB7-2E04-4AA3-B7AA-DFE01DD1C9E6}
C:\ProgramData\Microsoft\Windows\GameExplorer\{D142855A-39DF-4756-8721-D7F8BED34D99}
C:\ProgramData\Microsoft\Windows\GameExplorer\{F9B36190-02AE-4943-937D-58AFC2134EBD}
C:\Users\michal!!\AppData\Local\Microsoft\Windows\GameExplorer\{00D8862B-6453-4957-A821-3D98D74C76BE}
C:\Users\michal!!\AppData\Local\Microsoft\Windows\GameExplorer\{1495CE7E-36C3-4A29-884A-51777853DF6B}
C:\Users\michal!!\AppData\Local\Microsoft\Windows\GameExplorer\{22F03855-8FA2-44C3-A374-908E7021A3C6}
C:\Users\michal!!\AppData\Local\Microsoft\Windows\GameExplorer\{5A4C5A9A-C744-4B1C-9271-D86C3A9BE87B}
C:\Users\michal!!\AppData\Local\Microsoft\Windows\GameExplorer\{726C6A29-4122-4222-964C-B200587AD022}
C:\Users\michal!!\AppData\Local\Microsoft\Windows\GameExplorer\{87E113DF-256A-423E-8A51-5AC9D6AF9533}
C:\Users\michal!!\AppData\Local\Microsoft\Windows\GameExplorer\{CB53F0CC-AA11-445F-80A9-2C3C76E0D4B6}
C:\Users\michal!!\AppData\Local\Microsoft\Windows\GameExplorer\{DB65709C-B508-41CD-8F3B-5442E75DAFD9}
C:\Users\michal!!\AppData\Local\Microsoft\Windows\GameExplorer\{E177569B-B17A-4BF8-A780-AD878B516913}
C:\Users\michal!!\AppData\Local\*.*
C:\Users\michal!!\AppData\Roaming\*.*
C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\Windows\system32\log
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

 

 

[lukis]

Dzięki za odpowiedź
Dziś zrobiłem  reset bazy windows update... Przeszedł ok

 

Następnie raport już nie udało się zrobić... reset mulenie itp...

Właśnie robię backup dysku i format... A chciałem tego uniknąć.