Proszę o sprawdzenie logów
#1
Proszę o sprawdzenie logów z laptopa. Przyczyna wolny start systemu, przeglądarki i wczytywanie stron internetowych. Zanim zainwestuję w dysk SSD chciałbym wykluczyć wątek infekcji.

Addition.txt     

[Aby zobaczyć linki, zarejestruj się tutaj]

 
FRST.txt           

[Aby zobaczyć linki, zarejestruj się tutaj]

Shortcut.txt   

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#2
Infekcji brak.

Drobna korekta:

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

Kod:
CloseProcesses:
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
GroupPolicy: Ograniczenia ? <==== UWAGA
HKU\S-1-5-21-2581294527-1915201973-2407961593-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://dell13.msn.com/?pc=DCJB
HKU\S-1-5-21-2581294527-1915201973-2407961593-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://dell13.msn.com/?pc=DCJB
SearchScopes: HKU\S-1-5-21-2581294527-1915201973-2407961593-1001 -> DefaultScope {65D7BCD0-7C98-4A95-9F3E-804F35210B20} URL =
SearchScopes: HKU\S-1-5-21-2581294527-1915201973-2407961593-1001 -> {65D7BCD0-7C98-4A95-9F3E-804F35210B20} URL =
ContextMenuHandlers1: [0HVContext] -> {9B6D38F3-8EF4-48A5-AD30-FFFFFFFFFFFF} =>  -> Brak pliku
ContextMenuHandlers1-x32: [UAContextMenu] -> {A9B8E64D-3F7E-4D32-8FC9-E391DEE67D75} =>  -> Brak pliku
ContextMenuHandlers4: [0HVContext] -> {9B6D38F3-8EF4-48A5-AD30-FFFFFFFFFFFF} =>  -> Brak pliku
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Brak pliku
ContextMenuHandlers5: [UAContextMenu] -> {A9B8E64D-3F7E-4D32-8FC9-E391DEE67D75} =>  -> Brak pliku
ContextMenuHandlers6: [UAContextMenu] -> {A9B8E64D-3F7E-4D32-8FC9-E391DEE67D75} =>  -> Brak pliku
ContextMenuHandlers1_S-1-5-21-2581294527-1915201973-2407961593-1001: [0HVContext] -> {9B6D38F3-8EF4-48A5-AD30-FFFFFFFFFFFF} =>  -> Brak pliku
ContextMenuHandlers4_S-1-5-21-2581294527-1915201973-2407961593-1001: [0HVContext] -> {9B6D38F3-8EF4-48A5-AD30-FFFFFFFFFFFF} =>  -> Brak pliku
Task: {1F9DFFB5-472A-47C1-AD31-1953FA4621D8} - System32\Tasks\Dell SupportAssistAgent AutoUpdate => C:\Program Files\Dell\SupportAssistAgent\bin\SupportAssistInstaller.exe [2018-06-05] (Dell Inc.)
Task: {274271F1-A263-4178-9210-BB793F9D6DA8} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
Task: {444E3A0B-2DDC-481C-A756-B205F83C0BCD} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku <==== UWAGA
Task: {49288767-49CE-4402-B29C-B715056ABA9A} - System32\Tasks\UninstallDDS-C960901F-CE14-4DE1-9729-1305F719A337 => C:\Windows\TEMP\DeleteFolderTask.exe <==== UWAGA
Task: {49C77A7B-0B10-4AA5-9AC9-F475CA4F4E50} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA
Task: {4AB6BB87-C592-459A-86BC-D5D75AEF34D2} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA
Task: {5738F394-EE17-458D-A0AD-EC2BC1D19DF7} - System32\Tasks\GarminUpdaterTask => C:\Programy\Garmin\Garmin\Express SelfUpdater\ExpressSelfUpdater.exe [2018-06-06] ()
Task: {5D3C0BC4-78FF-4B73-B5E0-36DDA2886868} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku <==== UWAGA
Task: {653D3C11-A7DA-4B8A-AC23-8FB6741157B3} - System32\Tasks\S-1-5-21-2581294527-1915201973-2407961593-1001\DataSenseLiveTileTask => C:\WINDOWS\System32\DataUsageLiveTileTask.exe [2018-04-12] (Microsoft Corporation)
Task: {7654CCF8-DC1E-46A9-AB1C-A809F66839D9} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA
Task: {7690419D-5756-400A-8B7F-418539C61ED1} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
Task: {792C77B4-7273-4E1C-B0EC-01B71692C8FD} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA
Task: {81DFD15B-5913-4C39-B187-611CB954ABAC} - System32\Tasks\IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473 => C:\Program Files (x86)\Intel\Intel(R) Update Manager\bin\iumsvc.exe
Task: {893075E6-4C1C-4239-916E-A7F5AA851D67} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku <==== UWAGA
Task: {9215E07D-11B7-4AE3-9F67-D3E44719F764} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> Brak pliku <==== UWAGA
Task: {AD92BE34-16C7-497E-AA41-F468D021A2EA} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA
Task: {B0DCE48C-2BA1-440A-9B63-174A31E99E05} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA
Task: {E980D2C6-BDA6-458C-AF84-90E8864084E4} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku <==== UWAGA
Task: {F23D9B2B-B924-426A-AE3D-541904CC665F} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
Task: {FAF167F2-BDA8-46CC-BF07-A1C29346775A} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
Task: {FD4B8196-0C62-44A1-8602-8C9C70D51D59} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt przedstaw go.

funkcja Lock Workstation (Window + L) jest wyłączona, czy jest to celowe ?
Odpowiedz
#3
fixlog

[Aby zobaczyć linki, zarejestruj się tutaj]



Nic mi nie wiadomo o wyłączeniu funkcji Lock Workstation.
Odpowiedz
#4
Tak jak poprzednio do notatnika wklej i wykonaj:

HKU\S-1-5-21-2581294527-1915201973-2407961593-1001\...\Policies\system: [DisableLockWorkstation] 0

pokaż raport z działania
Odpowiedz
#5

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#6
Zrób nowe logi i przedstaw z pominięciem Addition.txt i Shortcut.txt
Odpowiedz
#7

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#8
Do notatnika wklej i wykonaj tak jak poprzednio.

ExportKey: HKEY_USERS\S-1-5-21-2581294527-1915201973-2407961593-1001\Software\Microsoft\Windows\CurrentVersion\Policies

Pokaż wynik.
Odpowiedz
#9

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#10
Dane wartości wpisu są w porządku, ale nie powinien się znajdować w tej części rejestru.

Tak samo jak poprzednio wykonaj działania rozwiązujące problem.

DeleteKey: HKU\S-1-5-21-2581294527-1915201973-2407961593-1001\Software\Microsoft\Windows\CurrentVersion\Policies\System

Dodatkowo pokaż lokalizację HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Odpowiedz
#11

[Aby zobaczyć linki, zarejestruj się tutaj]


Rejestr

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#12
Ok to by było wszystko.
Odpowiedz
#13
(17.06.2018, 21:46)tachion napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Ok to by było wszystko.

W takim razie bardzo dziękuje.
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości