Skocz do zawartości

Znaczne zwolnienie wszystkich działań, WindowsDefender wykrył Trojan WinBluetal!/rfn


Rekomendowane odpowiedzi

W ostatnich dniach zaobserwowałem rażące spowolnienie działania komputera. Wszystkiego - transfery plików, praca przeglądarki, uruchamianie aplikacji.

Windows Defender wykrył Trojana WinBluetal!/rfn i go usunął.

AdwareCleaner wykrył Trojana Bayrob i jakieś śmieci. 

Dopiero po usunięciu Blueta udało mi się odpalić FRST - przedtem wywalał błąd wewnętrzny. A teraz FRST nie zapisuje plików, co gorsza wygląda jakby była jakaś specjalna blokada; FRST na koniec otwiera swoje pliki w notatniku, notatnik na polecenie zapisz/zapisz jako udaje, że je zapisuje, ale tak je zapisuje że ich nie ma.

Logi w załączeniu, proszę rzucić okiem czy coś jeszcze trza wywalić.

 

 

 

Pop

Edytowane przez Mironeso
Poprawiam literówkę w tytule, ortografie i gramatykę. Kasuje niepoprawne raporty. //Miszel3
Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Raport kasuję, wszystkie dotyczą logu FRST.

Do wglądu temat dot. generacji raportów.

 

Te pliki w notatniku, które na koniec otwiera FRST są właśnie pożądane, jeśli istnieje problem z ich zapisaniem (choć FRST najpierw zapisuje je w lokalizacji, w której został uruchomiony, a potem otwiera) to proszę kolejno skopiować zawartość i dostarczyć trzy pliki, czyli FRST, Addition, Shortcut.

Odnośnik do komentarza

Wprawdzie nie widzę niepokojących objawów, ale wtedy - poza spowolnieniem i nietypowym zachowaniem FRST też nie widziałem. A czy chodzi trochę szybciej, czy trochę wolniej, trudno rozstrzygnąć.
 
No jednak coś jest nie tak - centrum akcji się nie chce otworzyć a wiszą jakieś powiadomienia.
 
EDIT:
 
Poza tym dosyć niepokojący objaw - zgłasza błąd instalatora .msi, rzućcie na to okiem, proszę. 

Odnośnik do komentarza

W raportach widoczne drobne adware (w przeglądarce Mozilla FireFox i w pliku Hosts, który czyszczę), wykonaj doczyszczenia, a następnie diagnostykę dot. niepokojących alertów. 

System jest oryginalny? Wszystkie usługi zgłaszają brak podpisu cyfrowego. 

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
GroupPolicy: Ograniczenia ? 
ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} =>  -> Brak pliku
Task: {C4CBA2C4-B103-46D1-B6CB-1B1AD0A9EFAB} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku 
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Dostarcz go.

 

2. Wyczyść przeglądarkę Mozilla FireFox:

  • Odłącz synchronizację (o ile włączona): KLIK.
  • Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
  • Menu Historia > Wyczyść historię przeglądania.
3. Widoczne są niepokojące alarmy:

 

mpsdrv => Usługa "Zapora systemu Windows" nie jest uruchomiona.

MpsSvc => Usługa "Zapora systemu Windows" nie jest uruchomiona.

bfe => Usługa "Zapora systemu Windows" nie jest uruchomiona.

 

Niepowodzenie przy listowaniu punktów przywracania

Sprawdź usługę "winmgmt" lub napraw WMI.

 

Poproszę o raport z Farbar Service Scanner (FSS).  

 

Niepowodzenie przy uruchamianiu usługi "eventlog", nie można odczytać zdarzeń.

 

Wyst?pi? b??d systemu 123.

 

Nazwa pliku, nazwa katalogu lub sk?adnia etykiety woluminu jest niepoprawna.

 

Start > w polu szukania wklep services.msc > powiedz czy widzisz na liście usługę Dziennik zdarzeń systemu Windows, a jeśli tak to z dwukliku pobierz Właściwości i podaj jaki jest stan: Automatyczny czy Wyłączony, a następnie Zatrzymano czy Uruchomiono? Jeśli to pierwsze, to jaki błąd zwraca próba uruchomienia usługi?

Odnośnik do komentarza

+++++Patrz na dole

  1.  
  2. Zrobione, aczkolwiek nie wszystko.   Odpaliłem FRST z tym plikiem, wszystko działo się jak powinno, poza jednym szczegółem - nie ma logu! Piszę to z pełną świadomością, sprawdzałem kilka razy, nie ma logu. W tej sytuacji wykonałem jeszcze raz podstawowy skan, na wszelki wypadek, dane skopiowałem z ekranu do jednego pliku.
  3. Na etapie uruchamiania FRST dał komunikat o błędzie:
    • Error saving file C:\FRST\HIVES\SYSTEM,
    • Continue with next file?
    • RegCreateKeyEX: 5- odmowa dostępu
  4. FSC poszedł, jest log w załączeniu
  5. Usługa o której piszesz ma status Działa, Automatyczny, Usługa lokalna
  6. System jest legalny w 100%
  7. Zrobione odnowienie FF, nie było synchronizacji.
  8. PS. Wpisy w Hosts były moje, blokowałem najbardziej upierdliwe przekierowania.
  • Czego nie zrobiłem: WMI - nie jestem pewien jak się do tego zabrać. Znalazłem znaczy taki wpis Picassy

 

 

Ze skanu SystemLook nic nie wynika. Proponuję przeinstalować WMI. Start > Uruchom > wklej komendę:

rundll32.exe setupapi,InstallHinfSection WBEM 132 %windir%\inf\wbemoc.inf

ale ponieważ ostrzegacie, żeby nie kopiować rozwiązań, wolałem się wstrzymać

 

Dziennik zdarzeń otworzyłem, błąd na błędzie, nie wiem od czego zacząć ich raportowanie

 

 

 

 

 

++++++++++

 

Aktualizacja z dzisiaj rano: nowe logi z dopiskiem last, starych dla jasności obrazu nie wycinam. wygląda to nieco lepiej... jednak proszę o sprawdzenie. Nadal powtarza się problem z instalatorem- co zauważyłem podczas próby aktualizacji open office. Natomiast FRST poprawnie zapisuje logi, nie ma kłopotów z jego uruchomieniem. MBAM też nic nie widzi

Odnośnik do komentarza

System na pewno jest oryginalny. Natomiast sprawa się rypła o tyle, że straciłem kontrolę - przechodzi do ostatniego ekranu a potem ekran pojawia się i znika tak co trzy sekundy na trzy sekundy. Nie mogę nic wpisać, nie odbiera żadnej komendy, nie wchodzi w obszar start. O ile wiem w Win10 nie ma awara uruchamianego na etapie rozruchu. Stąd pytanie - które z narzędzi do nagrania na płytkę pozwoli mi dojść do obszaru odzyskiwania systemu z zachowaniem plików? a przynajmniej da taką szansę

 

EDIT:

 

Jakoś ogarnąłem wejście do awara, tak więc podniosłem system acz nie bez problemów - chciałem zrobić naprawę podczas uruchamiania ale stawał na etapie wyboru konta. W awarze wyciąłem Nortona(daje słowo nie pamiętam abym go zakładał), ale pokazuje się dysk ratunkowy Nortona którego nigdy nie zakładałem, co za jazda. FRST uruchamia sie w wersji ograniczonej (nie chce zapisywać logów). Dzisiaj dalej kto inny zajmuje się kompem ( w sensie korzysta) więc sfc/ scannow zapuszczę jutro. NB. Zapuściłem je jak po raz pierwszy zobaczyłem komunikat o niepodpisanych plikach i nic nie wykazał. Zapuściłem też dism w wersji check - i też było czysto. Powtórzę to jutro. Coraz mniej z tego rozumiem.

Aha, w czasie kiedy było niby dobrze, zajrzałem do dziennika, powtarzalny błąd jest związany z nierejestracją usługi instalatora windows w serwerze (piszę to z głowy) 

Włąściwie to mam wrażenie, że ktoś gdzieś tam siedzi i sie ze mną bawi.

Edytowane przez Miszel03
Łącze posty. //Miszel03
Odnośnik do komentarza

Obyś miał rację, ale dzisiaj rano puściłem skan, w logu frst.txt jest coś takiego:

 

 

C:\WINDOWS\system32\drivers\aswbidsdriverx.sys -> MD5 = D41D8CD98F00B204E9800998ECF8427E (0-byte MD5) <======= UWAGA
C:\WINDOWS\system32\drivers\aswbidshx.sys -> MD5 = D41D8CD98F00B204E9800998ECF8427E (0-byte MD5) <======= UWAGA
C:\WINDOWS\system32\drivers\aswblogx.sys -> MD5 = D41D8CD98F00B204E9800998ECF8427E (0-byte MD5) <======= UWAGA
C:\WINDOWS\system32\drivers\aswbunivx.sys -> MD5 = D41D8CD98F00B204E9800998ECF8427E (0-byte MD5) <======= UWAGA
C:\WINDOWS\system32\drivers\aswHwid.sys -> MD5 = D41D8CD98F00B204E9800998ECF8427E (0-byte MD5) <======= UWAGA
C:\WINDOWS\system32\drivers\aswMonFlt.sys -> MD5 = D41D8CD98F00B204E9800998ECF8427E (0-byte MD5) <======= UWAGA
C:\WINDOWS\system32\drivers\aswRdr2.sys -> MD5 = D41D8CD98F00B204E9800998ECF8427E (0-byte MD5) <======= UWAGA
C:\WINDOWS\system32\drivers\aswRvrt.sys -> MD5 = D41D8CD98F00B204E9800998ECF8427E (0-byte MD5) <======= UWAGA
C:\WINDOWS\system32\drivers\aswSnx.sys -> MD5 = D41D8CD98F00B204E9800998ECF8427E (0-byte MD5) <======= UWAGA
C:\WINDOWS\system32\drivers\aswSP.sys -> MD5 = D41D8CD98F00B204E9800998ECF8427E (0-byte MD5) <======= UWAGA
C:\WINDOWS\system32\drivers\aswStm.sys -> MD5 = D41D8CD98F00B204E9800998ECF8427E (0-byte MD5) <======= UWAGA
C:\WINDOWS\system32\drivers\aswVmm.sys -> MD5 = D41D8CD98F00B204E9800998ECF8427E (0-byte MD5) <======= UWAGA
 

a pliki raportu frst nie zapisują sie.

 Ja nigdy nie miałem AVasta, a to wszystko wyguglałem jest sterami avasta. Stery i inne pliki nie podpisane.

PS. na własną rękę i ryzyko sporządziłem fixlist.txt z zawartością jak wyżej - frst twierdzi, że nie znaleziono pliku fixlist.txt chociaż próbowałem zapisać i jako tekst i jako wszystkie pliki.

Odnośnik do komentarza

Biorąc pod uwagę ogólnie dziwne objawy nadinstalowałem Win 10 na to co mam (płyta ratunkowa sporządzona według instrukcji z tego forum, zadziałała jednak inaczej - planowałem naprawę a wyszła instalacja z zachowaniem aplikacji i plików osobistych). System śmiga, zapuściłem skan FRST, logi w załączeniu, jeżeli są czyste to temat do zamknięcia

 

P.S. Nawet jeżeli to niekonieczne, chciałbym prosić o skrypt czyszczący zadania, zostały tam jeszcze jakieś ślady Nortona

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...