Błąd logowania do systemu oraz samoczynny restart

mkmichix · 16 Września 2016

Witam,

Po przeskanowaniu komputera programami typu: Malwarebytes, Comodo, HitmanPro wykryło mi kilka zagrożeń.Usunąłem je i po prośbie o ponowne uruchomienie komputera dałem "tak". Po załadowaniu systemu muszę się zalogować na moje konto (wpisać hasło) i tutaj zaczynają się schodki. Po wpisaniu hasła nie da się kliknąć dalej, nie wyskakuje błąd o złym haśle lub czasami piszę mi "Błąd logowania do RPC", "Niewłaściwy dostęp". W prawnym dolnym rogu znikło mi menu z np. Wyłącz komputer lub uruchom ponownie. Dodam również, że komputer restartuje się po ok, minucie. W trybie awaryjnym system śmiga normalnie (ten same konto użytkownika). Dołączam skany, które zrobiłem w trybie awaryjnym.

Addition.txt

FRST.txt

GMER.txt

Shortcut.txt

picasso · 16 Września 2016

Plik Addition.txt nie wygląda na oryginalny plik utworzony przez FRST, tylko wtórnie przez Ciebie zapisany do nowego pliku z błędnym kodowaniem (ANSI zamiast UTF-8). Znaki specjalne uszkodzone. Czy tak?

Czy posiadasz logi z narzędzi pokazujące co było usuwane? W raportach FRST mało co widać, w zasadzie tylko uszkodzony Winsock, z tym że to raczej nie powinno produkować takich objawów. Skoro problem nie występuje w trybie awaryjnym, prędzej nasuwa się jakiś proces uruchamiany w trybie normalnym i tu najbardziej podejrzany wydaje mi się Comodo Internet Security, który wg raportów został co dopiero zainstalowany. Ale są też oznaki uszkodzenia struktury systemu plików, uruchamiał się checkdisk i "ścinał" jakieś dane:

2016-09-16 04:43 - 2016-09-16 04:43 - 00000000 __SHD C:\found.000

Na razie doczyść to co widać w raportach, choć wątpię, by to wniosło coś do sprawy:

1. Otwórz Notatnik i wklej w nim:

CloseProcesses:
GroupPolicyScripts: Ograniczenia 
GroupPolicyScripts\User: Ograniczenia 
S2 WsAppService; C:\Program Files (x86)\Wondershare\WAF\2.3.0.5\WsAppService.exe [X]
S3 WsDrvInst; "C:\Program Files (x86)\Wondershare\MobileGo\DriverInstall.exe" [X]
HKLM\...\Run: [Zoolz Tray] => "C:\Program Files\Genie9\Zoolz2\ZoolzLauncher.exe" "C:\Program Files\Genie9\Zoolz2\Zoolz.exe" "-Delay"
HKLM-x32\...\Run: [V0770Mon.exe] => C:\WINDOWS\V0770Mon.exe
HKLM-x32\...\Run: [sunJavaUpdateSched] => "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCTray.exe" /regrun
HKU\S-1-5-21-3638238946-2676091398-2447339669-1001\...\Run: [iVONA Reader] => "C:\Program Files (x86)\IVONA\IVONA Reader\IVONA Reader.exe.exe" -t -nosplash
HKU\S-1-5-21-3638238946-2676091398-2447339669-1001\...\Run: [Wondershare Helper Compact.exe] => "C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelperSetup.exe"
HKU\S-1-5-21-3638238946-2676091398-2447339669-1001\...\Policies\Explorer: []
HKU\S-1-5-21-3638238946-2676091398-2447339669-1001\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\WINDOWS\SysWOW64\lol.scr [3721216 2016-03-30] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\MobileGo Service.lnk [2016-09-13]
ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => Brak pliku
BHO: 电脑管家网页防火墙 -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> Brak pliku
CustomCLSID: HKU\S-1-5-21-3638238946-2676091398-2447339669-1001_Classes\CLSID\{0B628DE4-07AD-4284-81CA-5B439F67C5E6}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2016\acad.exe /Automation => Brak pliku
CustomCLSID: HKU\S-1-5-21-3638238946-2676091398-2447339669-1001_Classes\CLSID\{149DD748-EA85-45A6-93C5-AC50D0260C98}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2016\acad.exe => Brak pliku
CustomCLSID: HKU\S-1-5-21-3638238946-2676091398-2447339669-1001_Classes\CLSID\{5370C727-1451-4700-A960-77630950AF6D}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2016\acad.exe /Automation => Brak pliku
CustomCLSID: HKU\S-1-5-21-3638238946-2676091398-2447339669-1001_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> C:\Program Files\Autodesk\AutoCAD 2016\pl-PL\acadficn.dll => Brak pliku
FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [brak pliku]
C:\Program Files (x86)\mozilla firefox\plugins
Task: {2AB12A6D-3B88-4F3C-8CC2-2C18972BED98} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {348EA700-9E29-4A55-BBDC-4733D4A49959} - System32\Tasks\{87DDD544-5C8C-4F66-81A2-CD74E8EAFC5A} => Chrome.exe hxxp://ui.skype.com/ui/0/7.16.85.102/pl/abandoninstall?page=tsMain
Task: {4260A90F-F859-4492-8E30-F8A83816CEEB} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
Task: {582908C5-E4A9-4535-A65E-CD736D805801} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {71C6D247-689D-44CD-8D33-B87B44470D43} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
Task: {89D9196C-E171-4718-8965-3DC49E17431A} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {A0C7ABF4-4CB7-4A77-A8F6-8C79737BA2AD} - System32\Tasks\{41D908F6-F45D-457F-B97E-F4E5727B7B7B} => Chrome.exe hxxp://ui.skype.com/ui/0/7.8.85.102/pl/abandoninstall?page=tsBing
Task: {A59C80FB-7922-49EA-8457-20AF5D475126} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {C7AF8D28-7E5B-4E14-85A2-A1C757DF9028} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku 
Task: {CA6A5025-404E-4EC6-8DF0-B5E0CA171629} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
Task: {CE4AA747-1628-4F76-A9D4-17D88DE72247} - \CCleanerSkipUAC -> Brak pliku 
Task: {D0F82F61-F0E5-4B47-B6DB-A7C098B44E7E} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {D57DC54B-DDE8-4CA8-A5DA-9BEE70E2A155} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {EE03EDB2-80D4-4E48-A76E-7F2CC4FF46ED} - System32\Tasks\{40DBD3A8-A1A2-4C32-B629-A9D859EAD836} => pcalua.exe -a C:\Dev-Cpp\devcpp.exe -d C:\Dev-Cpp
Task: {F6133A36-BB43-443D-86A6-50846C7686A3} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
HKU\S-1-5-21-3638238946-2676091398-2447339669-1001\Software\Classes\exefile: 
HKU\S-1-5-21-3638238946-2676091398-2447339669-1001\Software\Classes\.exe: => 
HKU\S-1-5-21-3638238946-2676091398-2447339669-1001\Software\Classes\scrfile: 
HKU\S-1-5-21-3638238946-2676091398-2447339669-1001\Software\Classes\.scr: AutoCADScriptFile =>
HKU\S-1-5-21-3638238946-2676091398-2447339669-1001\Software\Classes\comfile: 
HKU\S-1-5-21-3638238946-2676091398-2447339669-1001\Software\Classes\.com: => 
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "7 Taskbar Tweaker" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Akamai NetSession Interface" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Discord /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v EvolveClient /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v GG /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v iTunesHelper /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Zoolz Tray" /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v ADSKAppManager /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v GrooveMonitor /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v tvncontrol /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v V0770Mon.exe /f
C:\ProgramData\TEMP
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ElfBot NG
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wondershare
C:\Users\Michi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Wondershare MobileGo.lnk
C:\Users\Michi\AppData\Roaming\Microsoft\PowerPoint\Bezpieczeństwo%20w%20terenie%20leśnym304883932433099032\Bezpieczeństwo%20w%20terenie%20leśnym.pptx.lnk
C:\Users\Michi\AppData\Roaming\Microsoft\Windows\SendTo\Wondershare MobileGo.lnk
C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Minecraft
C:\Users\Michi\Desktop\League of Legends.lnk
C:\Users\Michi\Desktop\Pulpit\loader.exe — skrót .lnk
C:\Users\Michi\Desktop\Pulpit\Overwatch.lnk
C:\Users\Michi\Desktop\Pulpit\Zoolz.lnk
C:\Users\Michi\Links\Strefa bez ochrony.lnk
CMD: netsh winsock reset
Hosts:
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8

Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Spróbuj wejść w tryb normalny. Jeśli nie uda się, spróbuj z poziomu awaryjnego odinstalować Comodo. Nie pamiętam na czym jest operarty instalator Comodo - jeśli na Instalorze Windows, nie da się go odinstalować z poziomu awaryjnego (w tym stadium nie działa wymagana usługa).

3. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym polem Addition (bez Shortcut). Dołącz też plik fixlog.txt.

Edytowane 24 Października 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso

Zaloguj się

Błąd logowania do systemu oraz samoczynny restart

Rekomendowane odpowiedzi

mkmichix

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność