Zawirusowany laptop, bardzo proszę o sprawdzenie logów i naprawę

#1

Cześć koledzy.

To jest post grzecznościowy. Znajoma dała mi laptopa, który zawieszał się na aktualizacji systemu.
Stał na 89% i dostawał totalnego zwisa.

Okazało się, że system nie jest czysty. Co nieco udało mi się usunąć, ale moje możliwości są ograniczone. To laptop dziecka, dlatego proszę bardzo o pomoc eksperta.

Znalazłem uwalony plik HOSTS; dodatek do przeglądarki Avast Browser, który udawał AdBlocka i wysyłał dane czort wie gdzie oraz Byte Fence.

Nie można włączyć Defendera. Pojawia się info, że zarządza nim obecnie Administrator.

raport FRST: http://www.wklejto.pl/880272
addition: http://www.wklejto.pl/880273
shortcut: http://www.wklejto.pl/880274

AdwCleaner: http://www.wklejto.pl/880276

Chciałem dodać raport z DrWeb, ale podczas tej czynności Chrome zaczyna wariować i strona przestaje odpowiadać.

Proszę o pomoc, koledzy. Z góry dziękuje.

witkacz

1lajk
#2

Witaj.

Dobrze przygotowany opis problemu :+1:

Zrobimy oczyszczanie

  1. Pobierz ten plik i zapisz w katalogu z FRST, tzn. C:\Users\z50\Desktop
    fixlist.txt (3,9 KB)
    “Plik naprawczy został utworzony tylko dla Ciebie, nie należy go stosować na innym komputerze”
  2. Uruchom FRST i kliknij Napraw, program wyłączy niepotrzebne procesy, zrobi Punkt Przywracania i zacznie pracę.
  3. Po restarcie wklej plik wynikowy.

Jeszcze należy zrobić skan MBAM, ale wstaw najpierw wynik naprawy

#3

Hej iJuliusz, dziękuję za szybką reakcję :slightly_smiling_face:

Zrobiłem tak, jak pisałeś. Odpaliłem FixList we FRST. Naprawiał jakiś czas a potem poprosił o restart.
W tym momencie Defender odżył i włączył się. To jest dobra wiadomość.

Zła jest taka, że po restarcie laptop zaczął się aktualizować i znowu stanęło na 85% i nastąpił zwis.

Ostatnio potraktowałem go troszkę z buta i wymusiłem restart, po czym przywróciłem go z punktu przywracania. Teraz nie mogę tego zrobić, ponieważ wyłączyłem przywracanie.

Co jeszcze mogę zrobić? Laptop w tej chwili wisi na 85% aktualizacji. Piszę z innego komputera.

#4

Ja włączyłem przywracanie, aby FRST wykonał Punkt przed naprawą.

Trzeba będzie wymusić restart i zrobić skan integralności
Wyszukaj cmd poprzez Win+S, gdy znajdzie wiersz polecenia kliknij Prawym i wybierz Uruchom jako Administrator
Wpisz komendę
sfc /scannow
Daj znać, czy znalazło jakieś błędy

  1. Wstaw plik wynikowy z fixlog.txt, będzie tam, gdzie FRST.exe

  2. Zrób skanowanie MBAM

  • Pobierz MalwareBytes MBAM
  • Zamknij wszystkie aktywne programy i przeglądarki.
  • Zainstaluj MBAM, zaznacz na końcu, aby uruchomił się po zakończeniu instalacji.
  • Wejdź w Ustawienia w Prawym górnym rogu
  • Zakładka Bezpieczeństwo
  • W Opcjach skanowania zaznacz trzy pierwsze z czterech dostępnych
  • Wróć do Głównego Menu
  • Rozpocznij skanowanie, po przeskanowaniu oczyść to co znajdzie, wklej plik wynikowy.
#5

Udało mi się cudem dostać z powrotem na pulpit. Zajęło mi to ok. godzinę.

Laptop wpada w niekończącą się spiralę śmierci z aktualizacjami. Nikomu, nawet najgorszemu wrogowi, nie życzę tylu “wrażeń” z systemem.

Po wykonaniu operacji scannow po ponownym uruchomieniu znowu się zapętlił z aktualizacją.
Niby coś tam naprawił, ale musiałem go znów przywrócić z punktu przywracania, gdyż inaczej się po prostu nie dało. To jest jakiś koszmar.

Kiedy jestem w systemie, wydaje się, że powróciły zagrożenia i znów Defender raportuje, że zarządza nim tylko Administrator.

Profilaktycznie wyłączyłem automatyczne aktualizacje, ale w opcjach uruchamiania ciągle widnieje tylko “zaktualizuj i uruchom ponownie”.

Na tą chwilę od ok. godziny skanuje dysk sfc/scannow z poziomu Administratora.

#6

Dobra. Skończył skanować dysk. Uffff… Znalazł błędy i niektórych nie mógł naprawić.
raport dysk scannow : http://www.wklejto.pl/880351

raport FRST FixLog : http://www.wklejto.pl/880352

MBAM skan: http://www.wklejto.pl/880354
MBAM czyszczenie: http://www.wklejto.pl/880356

#7

Jeśli chodzi o raport “scannow” to nic nie podałeś. Ważne jest to co ma w wierszu taki zapis [SR]. Ale to tylko info
Zrób rzecz następną.
Z wiersza poleceń (administrator) wpisz i uruchom
DISM /Online /Cleanup-Image /RestoreHealth
Potem znów
sfc /scannow
A następnie zrób ponownie skanowanie programem FRST.
Trzeba sprawdzić czy masz ponownie
Error: (… ) (Source: Microsoft-Windows-LoadPerf) (EventID: 3011) (User: ZARZĄDZANIE NT)
Description: Unloading the performance counter strings for service WmiApRpl (WmiApRpl) failed. The first DWORD in the Data section contains the error code.

Error: (…) (Source: Microsoft-Windows-LoadPerf) (EventID: 3012) (User: ZARZĄDZANIE NT)
Description: The performance strings in the Performance registry value is corrupted when process Performance extension counter provider. The BaseIndex value from the Performance registry is the first DWORD in the Data section, LastCounter value is the second DWORD in the Data section, and LastHelp value is the third DWORD in the Data section

#8

@Toono

DISM nie przyjmuje tego ciągu komend, który podałeś. Wywala Error: 87 option is unknown.

Po wejściu w DISM wyświetla listing i nie ma Cleanup-Image.

Z nazwą “Image” lub z “Cleanup” mam następujące:
/Get-MountedImageInfo
/Get-ImageInfo
/Unmount-Image
/Mount-Image
/Remount-Image
/Cleanup-Mountpoints
/Capture-CustomImage
/List-Image
/Delete-Image
/Split-Image
/Export-Image
/Append-Image
/Capture-Image
/Apply-Image
/Cleanup-Wim

Natomiast “RestoreHealth” nie ma w ogóle.

#9

Czy na pewno wpisałeś /Online?

#10

@lucasx_pl
Tak, wpisałem /Online

#11

Jest tyle tylko ze głęboko zakopane. Musiał byś wpisać w wierszu poleceń z uprawnieniami administratora polecenie dism.exe /online /cleanup-image /? by je zobaczyć.

Restore%202021-01-17%20181755
Restore 2021-01-17 181755.png784×884 23.2 KB

To wprawdzie jest z dziesiatki ale od Windows 8 to polecenie jest tuż zainstalowane. No chyba ze dopiero od jakiejś jej aktualizacji, no ale ty masz win 8.1
Gdy wpiszę tylko Dism /? to zobaczę tylko to.

Ca%C5%82y%202021-01-17%20182653
Cały 2021-01-17 182653.png1680×1050 34.7 KB

Kiedy wpisujesz to sprawdzaj literówki i spacje.

#12

Sprawdzam literówki, spacje, myślniki, slashe i wszystko inne.
Zmniejszyłem nawet rozdzielczość ekranu aby tekst był lepiej widoczny w oknie i nie popełnić błędu.

Wpisywałem to wielokrotnie i za każdym razem wyskakuje Error: 87 option is unknown.

#13

DISM.exe /Online /Cleanup-Image /ScanHealth

#14

To polecenie tylko sprawdzi magazyn ale go nie wymieni. RestoreHealth go wymieni. W Windows 8.1 istnieje to polecenie.

#15

Wpisz i zobacz czy widnieje.

#16

@Toono
dism.exe/online/cleanup-image/? Error : 87 option is unknown

#17

@iJuliusz

DISM.exe/Online/Cleanup-Image/ScanHealth

Deployment Image Servicing and Management tool
Version: 6.3.9600.19408
Error: 87 option is unknown

#18

Jeśli tak wpisywałeś polecenia jak je teraz przedstawiłeś to się nie dziwię. Nie robisz spacji
dism.exe(spacja)/online(spacja)/cleanup-image(spacja)/restorehealth
W windows 8.1 to polecenie istnieje.

2lajki
#19

Oż ja durny, ślęczę nad tym laptopem od 2 dni to chyba wzrok mi się pogorszył i nie zauważyłem tych spacji :wink: Mądrych to i warto posłuchać.
I nie bądźcie dla mnie zbyt surowi, jestem tylko człowiekiem :wink: Pardon.

W każdym razie ruszył z kopyta.

Deployment Image Servicing and Managment tool
Version: 6.3.9600.19408

Image Version: 6.3.9600.19397

[===========100%===========]

Error: 0x800f0906

The source files could not be downloaded.
Use the “source” option to specify the location of the files that are required
to restore the feature. For more information on specyfying a source location.
see http://go.microsoft.com/fwlink/?linkId=243077.

#20

No to jest problem ponieważ system nie wie gdzie jest folder magazynu plików obrazu. Nie wie skad pobrać dobre pliki na wymianę. Dodatkowo masz tam problem z usługa WMI a dokładnie z jej licznikem danych (id 311 i 312) co skutkuje ze usługi windows nie potrafią poprawnie zbierać danych.
To teoretycznie mozna naprawić poleceniem (wiersz poleceń administrator);
lodctr /R (wielkośc liter jest wazna).
Ale czy to pomoże. Nie sądzę.
Moja propozycja. Szybciej i prościej postawic system na nowo.

1lajk