• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Комп работает медленно

Статус
В этой теме нельзя размещать новые ответы.

Алеся

Активный пользователь
Сообщения
20
Реакции
0
Баллы
381
Компьютер в последнее время стал очень медленно работать, при работе в интернет опера очень часто "не отвечает",еще какой-то БингБар появился,при загрузке компьютера, просто черный экран и мышка, если диспетчер запустить и остановить этот бар, то все появляется
 

Вложения

Ботан

Злостный спам-бот
Сообщения
1,030
Реакции
128
Баллы
453
Приветствую Алеся, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,499
Реакции
5,658
Баллы
753
Деинсталлируйте BingBar череу установку удаление программ.

"Пофиксите" в HijackThis:
Код:
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)


  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Алеся

Активный пользователь
Сообщения
20
Реакции
0
Баллы
381
Не нашла в установленных программах бинг бар
 

Вложения

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,499
Реакции
5,658
Баллы
753
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

+

  • Подготовьте лог OTL by OldTimer, как описано на этой странице.
  • Прикрепите полученные логи OTL.txt и Extra.txt к своему следующему сообщению.
  • Если логи не прикрепляются запакуйте их в архив.
 

Алеся

Активный пользователь
Сообщения
20
Реакции
0
Баллы
381
не знаю для какой ОС копировать текст х86 или х64. Удалила Бинг Бар
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,684
Реакции
2,062
Баллы
643
На значке Мой компьютер правой кнопкой мыши выберите Свойства. Если у вас написано 32-х битная, то выбирайте х86, если 64-х битная, то х64.
 

Алеся

Активный пользователь
Сообщения
20
Реакции
0
Баллы
381
Все поняла, 32-бит. это и есть х86
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,499
Реакции
5,658
Баллы
753
Слишком много запущенных средств защиты:

ESET
Spybot - Search & Destroy
Malwarebytes' Anti-Malware
Windows Defender

Оставьте например ESET и MBAM, как сканер. Спайбота деинсталлируйте.

  • Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  • В окно Custom Scans/Fixes скопируйте следующую информацию:

    Код:
    :processes
    :OTL
    O3 - HKLM\..\Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
    O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No CLSID value found.
    O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No CLSID value found.
    MsConfig - StartUpReg: [b]Adobe Reader Speed Launcher[/b] - hkey= - key= -  File not found
    [2009.07.14 10:42:31 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
    [2012.02.03 08:53:08 | 000,000,000 | ---D | M] -- C:\Users\Алеся\AppData\Roaming\5yN3d9k36GiZEdx
    [2012.02.06 11:50:28 | 000,000,000 | ---D | M] -- C:\Users\Алеся\AppData\Roaming\7a6vHav3hoO3ag9
    [2012.02.15 09:52:47 | 000,000,000 | ---D | M] -- C:\Users\Алеся\AppData\Roaming\TrWvzrydS7FhdKO
    [2012.02.20 09:19:59 | 000,000,000 | ---D | M] -- C:\Users\Алеся\AppData\Roaming\XeJKRZCjZHfF419
    @Alternate Data Stream - 143 bytes -> C:\ProgramData\TEMP:D8999815
    :Services
    
    :Files
    
    ipconfig /flushdns /c
    :Reg
    
    :Commands
    [EMPTYTEMP]
    [purity]
    [start explorer]
    [Reboot]
  • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"


  • Компьютер перезагрузится.
  • После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Далее уберите из автозагрузки ненужные Вам программы, для этого определитесь какие программы Вам не нужно запускать автоматически при включении компьютера и "Пофиксите" в HijackThis соответствующие строки из списка ниже:
Код:
O4 - HKLM\..\Run: [ASUS WebStorage] C:\Program Files\ASUS\ASUS WebStorage\SERVICE\AsusWSService.exe
O4 - HKLM\..\Run: [ATKOSD2] C:\Program Files\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Package\ATK Media\DMedia.exe
O4 - HKLM\..\Run: [HControlUser] C:\Program Files\ASUS\ATK Package\ATK Hotkey\HControlUser.exe
O4 - HKLM\..\Run: [ETDWare] C:\Program Files\Elantech\ETDCtrl.exe
O4 - HKLM\..\Run: [SwitchBoard] C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O4 - HKLM\..\Run: [AdobeCS5ServiceManager] "C:\Program Files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [2Gis Update Notifier] "C:\Program Files\2gis\3.0\2GISTrayNotifier.exe" -delayed_start
O4 - HKLM\..\Run: [HPUsageTrackingLEDM] "C:\Program Files\HP\HP UT LEDM\bin\hppusg.exe" "C:\Program Files\HP\HP UT LEDM\"
O4 - HKLM\..\Run: [BCSSync] "C:\Program Files\Microsoft Office\Office14\BCSSync.exe" /DelayServices
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 52\AxAutoMntSrv.exe" -automount
Далее проверимся на уязвимости для этого:

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом руководстве.
 

Алеся

Активный пользователь
Сообщения
20
Реакции
0
Баллы
381
Код:
All processes killed
========== PROCESSES ==========
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{91397D20-1446-11D4-8AF4-0040CA1127B6} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{91397D20-1446-11D4-8AF4-0040CA1127B6}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{91397D20-1446-11D4-8AF4-0040CA1127B6} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{91397D20-1446-11D4-8AF4-0040CA1127B6}\ not found.
Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{91397D20-1446-11D4-8AF4-0040CA1127B6} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{91397D20-1446-11D4-8AF4-0040CA1127B6}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartUpReg\Adobe Reader Speed Launcher\ deleted successfully.
C:\Windows\assembly\Desktop.ini moved successfully.
C:\Users\Алеся\AppData\Roaming\5yN3d9k36GiZEdx\UYv3vnyQhR8 folder moved successfully.
C:\Users\Алеся\AppData\Roaming\5yN3d9k36GiZEdx folder moved successfully.
C:\Users\Алеся\AppData\Roaming\7a6vHav3hoO3ag9\JEsfbzlGopQ folder moved successfully.
C:\Users\Алеся\AppData\Roaming\7a6vHav3hoO3ag9 folder moved successfully.
C:\Users\Алеся\AppData\Roaming\TrWvzrydS7FhdKO\PUfTuAnPP2s folder moved successfully.
C:\Users\Алеся\AppData\Roaming\TrWvzrydS7FhdKO folder moved successfully.
C:\Users\Алеся\AppData\Roaming\XeJKRZCjZHfF419\UfDHrr68IDA folder moved successfully.
C:\Users\Алеся\AppData\Roaming\XeJKRZCjZHfF419 folder moved successfully.
ADS C:\ProgramData\TEMP:D8999815 deleted successfully.
========== SERVICES/DRIVERS ==========
========== FILES ==========
[color=#A23BEC]< ipconfig /flushdns /c >[/color]
No captured output from command...
C:\Users\Алеся\Desktop\cmd.bat deleted successfully.
========== REGISTRY ==========
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41620 bytes
 
User: Default User
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Public
 
User: Алеся
->Temp folder emptied: 4161903 bytes
->Temporary Internet Files folder emptied: 1571284 bytes
->Java cache emptied: 546456 bytes
->Google Chrome cache emptied: 11817618 bytes
->Opera cache emptied: 1264608 bytes
->Flash cache emptied: 51290 bytes
 
User: Все пользователи
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 24655 bytes
RecycleBin emptied: 1800714659 bytes
 
Total Files Cleaned = 1*736,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 11232012_230522

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
Добавлено через 3 минуты 22 секунды
Код:
Security Check by glax24 version 0.1.3.35 beta
WebSite: [url]www.safezone.cc[/url]
DataLog 23.11.2012 23:16:46
Program directory: C:\Users\Алеся\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionLocal=0.8
__________________________________________________

WIN_7 (x86) Starter Lan:0419
Service Pack 1
Internet Explorer 9.0
-------------Windows------------------------------
Контроль учётных записей пользователя [b]включен[/b]
Уведомлять о загрузке и установке обновлений
Дата установки обновлений: 2012-11-17 12:16:24
Центр обновления Windows - Служба работает
Центр обеспечения безопасности - Служба работает
-------------Antivirus_WMI------------------------
ESET Smart Security 4.2
[color=red][b]Антивирус устарел[/b][/color]
-------------Firewall_WMI-------------------------
Персональный файервол ESET
-------------AntiSpyware_WMI----------------------
ESET Smart Security 4.2
Windows Defender
-------------AntiVirusFirewallInstall-------------
-------------OtherUtilities-----------------------
CCleaner v.3.09
Malwarebytes Anti-Malware, версия 1.65.1.1000 v.1.65.1.1000
-------------Java---------------------------------
Java(TM) 6 Update 37 v.6.0.370
-------------AppleProduction----------------------
-------------AdobeProduction----------------------
Adobe Flash Player 11 Plugin v.11.5.502.110
Adobe Flash Player 10 ActiveX v.10.1.52.14 [color=red][b]Внимание! [url=http://get.adobe.com/ru/flashplayer/]Скачать обновления[/url][/b][/color]
Adobe Reader XI v.11.0.00
Adobe Flash Professional CS5 v.11.0 [color=red][b]Внимание! [url=http://get.adobe.com/ru/flashplayer/]Скачать обновления[/url][/b][/color]
-------------Browser------------------------------
Google Chrome v.23.0.1271.64
Opera 12.10 v.12.10.1652 [color=red][b]Внимание! [url=http://www.opera.com/browser/]Скачать обновления[/url][/b][/color]
-------------RunningProcess-----------------------
C:\Program Files\Opera\Opera.exe v.12.10.1652.0
-------------EndLog-------------------------------
 
Последнее редактирование модератором:

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,499
Реакции
5,658
Баллы
753
Adobe Flash Player 10 ActiveX v.10.1.52.14 Внимание! Скачать обновления
Opera 12.10 v.12.10.1652 Внимание! Скачать обновления
Пройдите по ссылкам и скачайте и установите обновления.

В HiJackThis пофиксили?
 
Последнее редактирование:

Алеся

Активный пользователь
Сообщения
20
Реакции
0
Баллы
381
Код:
Security Check by glax24 version 0.1.3.35 beta
WebSite: [url]www.safezone.cc[/url]
DataLog 23.11.2012 23:35:12
Program directory: C:\Users\Алеся\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: False
XML File - VersionInet=0.8
__________________________________________________

WIN_7 (x86) Starter Lan:0419
Service Pack 1
Internet Explorer 9.0
-------------Windows------------------------------
Контроль учётных записей пользователя [b]включен[/b]
Уведомлять о загрузке и установке обновлений
Дата установки обновлений: 2012-11-17 12:16:24
Центр обновления Windows - Служба работает
Центр обеспечения безопасности - Служба работает
-------------Antivirus_WMI------------------------
ESET Smart Security 4.2
Антивирус обновлен
-------------Firewall_WMI-------------------------
Персональный файервол ESET
-------------AntiSpyware_WMI----------------------
ESET Smart Security 4.2
Windows Defender
-------------AntiVirusFirewallInstall-------------
-------------OtherUtilities-----------------------
CCleaner v.3.09
Malwarebytes Anti-Malware, версия 1.65.1.1000 v.1.65.1.1000
-------------Java---------------------------------
Java(TM) 6 Update 37 v.6.0.370
-------------AppleProduction----------------------
-------------AdobeProduction----------------------
Adobe Flash Player 11 Plugin v.11.5.502.110
Adobe Flash Player 10 ActiveX v.10.1.52.14 [color=red][b]Внимание! [url=http://get.adobe.com/ru/flashplayer/]Скачать обновления[/url][/b][/color]
Adobe Reader XI v.11.0.00
Adobe Flash Professional CS5 v.11.0 [color=red][b]Внимание! [url=http://get.adobe.com/ru/flashplayer/]Скачать обновления[/url][/b][/color]
-------------Browser------------------------------
Google Chrome v.23.0.1271.64
Opera 12.11 v.12.11.1661
-------------RunningProcess-----------------------
C:\Program Files\Opera\Opera.exe v.12.11.1661.0
-------------EndLog-------------------------------
Добавлено через 1 минуту 28 секунд
В HiJackThis да. А по оставшимся ссылкам выхожу на страницу Adobe Flash Player 11 Plugin v.11.5.502.110, не знаю как скачать нужное
 

Алеся

Активный пользователь
Сообщения
20
Реакции
0
Баллы
381
Не могу скачать Adobe Flash Player 10 ActiveX v.10.1.52.14 .... по ссылке скачивается Adobe Flash Player 11 Plugin v.11.5.502.110. Изменения есть, стал быстрее загружаться, опера правда "не отвечает" временами по-прежнему
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,684
Реакции
2,062
Баллы
643
Зайдите по указанной ссылке из Internet Explorer, тогда скачается.
 

Алеся

Активный пользователь
Сообщения
20
Реакции
0
Баллы
381
Спасибо. Скачалось. А последнюю ссылку тоже из Internet Explorer ?

Добавлено через 3 минуты 48 секунд
Код:
Security Check by glax24 version 0.1.3.35 beta
WebSite: [url]www.safezone.cc[/url]
DataLog 24.11.2012 00:01:39
Program directory: C:\Users\Алеся\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: False
XML File - VersionInet=0.8
__________________________________________________

WIN_7 (x86) Starter Lan:0419
Service Pack 1
Internet Explorer 9.0
-------------Windows------------------------------
Контроль учётных записей пользователя [b]включен[/b]
Уведомлять о загрузке и установке обновлений
Дата установки обновлений: 2012-11-17 12:16:24
Центр обновления Windows - Служба работает
Центр обеспечения безопасности - Служба работает
-------------Antivirus_WMI------------------------
ESET Smart Security 4.2
Антивирус обновлен
-------------Firewall_WMI-------------------------
Персональный файервол ESET
-------------AntiSpyware_WMI----------------------
ESET Smart Security 4.2
Windows Defender
-------------AntiVirusFirewallInstall-------------
-------------OtherUtilities-----------------------
CCleaner v.3.09
Malwarebytes Anti-Malware, версия 1.65.1.1000 v.1.65.1.1000
-------------Java---------------------------------
Java(TM) 6 Update 37 v.6.0.370
-------------AppleProduction----------------------
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.5.502.110
Adobe Flash Player 11 Plugin v.11.5.502.110
Adobe Reader XI v.11.0.00
Adobe Flash Professional CS5 v.11.0 [color=red][b]Внимание! [url=http://get.adobe.com/ru/flashplayer/]Скачать обновления[/url][/b][/color]
-------------Browser------------------------------
Google Chrome v.23.0.1271.64
Opera 12.11 v.12.11.1661
-------------RunningProcess-----------------------
-------------EndLog-------------------------------
 
Последнее редактирование модератором:

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,499
Реакции
5,658
Баллы
753
Нет это уже не надо, напишем автору утилиты исключит из проверки.

Далее делаем так по порядку:

  1. Правая кнопка по системному диску - Свойства - Очистка диска
  2. Правая кнопка по системному диску - Свойства - Сервис - Выполнить проверку - Поставить все галочки - Перезагрузится - Дождаться окнончания проверки
  3. Правая кнопка по системному диску - Свойства - Сервис - Выполнить дефрагментацию - Дождаться окончания

Затем отпишитесь о результатах
 

Алеся

Активный пользователь
Сообщения
20
Реакции
0
Баллы
381
Очистку и проверку сделала, а дефрагментацию нет, т.к. там в свойствах включена дефрагментация по расписанию, последний запуск был вчера.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,654
Баллы
753
Проблемы еще остались?
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу