• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Медленная работа системы

Статус
В этой теме нельзя размещать новые ответы.

student2013

Активный пользователь
Сообщения
12
Реакции
0
Баллы
231
Добрый день!
Обращаюсь к Вам с такой проблемой.
ПК крайне медленно включается, в процессе работы может подвисать. Предыдущий пользователь использовал раньше память всего локального диска, сейчас диск достаточно свободен, но по-прежнему работает не очень быстро
Возникло подозрение, что вирусы, когда обнаружили, что не открывается сайт Касперский
Гугл хром также не долго загружается и виснет, поэтому используется мозилла и опера.

Заранее большое спасибо!
 

Вложения

  • CollectionLog-2014.03.22-15.06.zip
    135.2 KB · Просмотры: 4

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,874
Реакции
2,581
Баллы
593
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Documents and Settings\Пользователь\Главное меню\Программы\Photo.exe','');
QuarantineFile('C:\Documents and Settings\Пользователь\Local Settings\Temp\Pooler\pooler.exe','');
QuarantineFile('C:\Documents and Settings\Пользователь\Application Data\87.exe','');
QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\110.tmp.exe','');
DeleteFile('C:\Documents and Settings\Пользователь\Local Settings\Temp\Pooler\pooler.exe','32');
DeleteFile('C:\Documents and Settings\Пользователь\Главное меню\Программы\Photo.exe','32');
DeleteFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\110.tmp.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MicrosoftUpdate','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\csrss.exe','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Find','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Coin','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи этой формы

Сделайте новые логи
 

student2013

Активный пользователь
Сообщения
12
Реакции
0
Баллы
231
Добрый вечер!
Большое спасибо! По субъективным оценкам стал быстрее загружаться.
 

Вложения

  • CollectionLog-2014.03.22-21.18.zip
    135.7 KB · Просмотры: 2

akok

Команда форума
Администратор
Сообщения
19,824
Реакции
13,585
Баллы
2,203
Пофиксите в HijackThis следующие строчки
Код:
F3 - REG:win.ini: load=C:\WINDOWS\apppatch\jsfkssw.exe
F3 - REG:win.ini: run=C:\WINDOWS\apppatch\jsfkssw.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\apppatch\jsfkssw.exe,
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\WINDOWS\apppatch\jsfkssw.exe','');
DeleteFile('C:\WINDOWS\apppatch\jsfkssw.exe','32');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте при помощи этой формы

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
 
Последнее редактирование:

student2013

Активный пользователь
Сообщения
12
Реакции
0
Баллы
231
Огромное спасибо за помощь! Сайт Касперский открывает
 

Вложения

  • MBAM-log-2014-03-23 (19-26-00).txt
    11 KB · Просмотры: 2

akok

Команда форума
Администратор
Сообщения
19,824
Реакции
13,585
Баллы
2,203
Удалите все, что нашел MBAM кроме
C:\Documents and Settings\Пользователь\Мои документы\Диск\софт\2\Cdr_w\WinImage\keygen.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
C:\Documents and Settings\Пользователь\Мои документы\Игры\Keygen.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
C:\Downloads\8.0.1126\crack\keygen\Keygen.exe (Riskware.Took.CK) -> Действие не было предпринято.
C:\System Volume Information\_restore{5D7E46F1-37A2-41A2-87FC-E5EB9F93E18C}\RP1014\A0631277.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\System Volume Information\_restore{5D7E46F1-37A2-41A2-87FC-E5EB9F93E18C}\RP1016\A0631365.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
C:\System Volume Information\_restore{5D7E46F1-37A2-41A2-87FC-E5EB9F93E18C}\RP1016\A0631366.exe (Riskware.Tool.CK) -> Действие не было предпринято.
C:\System Volume Information\_restore{5D7E46F1-37A2-41A2-87FC-E5EB9F93E18C}\RP1016\A0631369.exe (Malware.Packer.Gen) -> Действие не было предпринято.
C:\System Volume Information\_restore{5D7E46F1-37A2-41A2-87FC-E5EB9F93E18C}\RP1016\A0631370.exe (PUP.Hacktool.Patcher) -> Действие не было предпринято.
C:\System Volume Information\_restore{5D7E46F1-37A2-41A2-87FC-E5EB9F93E18C}\RP1016\A0631379.exe (Trojan.FakeMS.ED) -> Действие не было предпринято.
 

student2013

Активный пользователь
Сообщения
12
Реакции
0
Баллы
231
Большое спасибо!
После этого ничего не нужно будет делать?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,958
Реакции
6,170
Баллы
1,008
  1. Загрузите GMER по одной из указанных ссылок:
    Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
  2. Временно отключите драйверы эмуляторов дисков.
  3. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
  4. Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
  5. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
    • Sections
    • IAT/EAT
    • Show all
  6. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
  7. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
  8. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  9. Подробную инструкцию читайте в руководстве

+сделайте новый лог сканирования MBAM.
 
Последнее редактирование:

student2013

Активный пользователь
Сообщения
12
Реакции
0
Баллы
231
Спасибо за помощь!
К сожалению, программа GMER не позволила при четырех попытках завершить сканирование. Ближе к концу, при переходе к папке C:\System Volume Information появлялся синий экран с текстом и компьютер начинал запускаться заново, при этом загружаясь дольше, чем было до этого.
К слову сказать, папка C:\System Volume Information скрыта, в свойствах показывает 0 байт. Но Malwarebytes ее сканирует и нашел зараженные объекты
Ниже в файле блокнота информация, сделанная при помощи кнопки Copy (при указанных галочках справа), а также лог сканирования без галочки на Files (программа смогла завершить сканирование)
Не знаю, может ли быть это как-то полезно, но немного дольше сканировал в этот раз Malwarebytes - почти 8 часов около 60 гб
 

Вложения

  • MBAM-log-2014-03-25 (01-12-36).txt
    4.4 KB · Просмотры: 2
  • gmer.txt
    594.2 KB · Просмотры: 4
  • gmer - без Files.log
    24.3 KB · Просмотры: 3

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,958
Реакции
6,170
Баллы
1,008
что с проблемой?
 

student2013

Активный пользователь
Сообщения
12
Реакции
0
Баллы
231
Стал работать быстрее, но сейчас также медленно, как и прежде, но на сайт Касперского заходит.
В принципе, к скорости и подвисанию уже привыкли. Наверное, дело в оборудовании.
Спасибо большое за помощь!
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,958
Реакции
6,170
Баллы
1,008
MBAM деинсталируйте
  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом разделе форума поддержки утилиты.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,699
Реакции
4,652
Баллы
753
К крайне медленно включается, в процессе работы может подвисать.
1. очиска дисков. Пуск - Программы – Стандартные – Служебные – Очистка диска. Очистите временные файлы и корзину. Для очистки ненужных записей в реестре можете использовать Ccleaner в автоматическом режиме, перед удалением чего либо из реестра необходимо создавать резервные копии.

2. проверка дисков. пуск - выплонить - впишите:
нажать enter. Проверка системного диска будет выполнена перед следующей загрузкой системы.

3. проверка целостности системных файлов.
пуск - выполнить - cmd (для Win vista и 7 - от имени администратора), команда:
нажать enter. Может потребоваться диск с дистрибутивом (чаще всего для windows XP - диск требуется).
Результат проверки на Win 7 сохраняется в файле %windir%\Logs\CBS\CBS.log

4. дефрагментация дисков. Пуск - программы- стандартные - служебные -дефрагментация.

5. очистка автозагрузки. пуск - выплонить - вписать команду: msconfig, перейти на вкладку "автозагрузка" отметить те программы, которыми не пользуетесь постоянно, но только те, которые знаете.

6. откройте папку C:\Windows\prefetch удалите файлы из этой папки, кроме Layout.ini - это немного ускорит загрузку.

Добавтье в реестр:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters]
"EnablePrefetcher"=dword:00000003
Скопируйте этот текст в болкнот, сохраните под любым именем с расширением .reg , дважды кликните по файлу и подтвердите добавление. При этом служба "планировщик заданий" должна быть запущена.
 

student2013

Активный пользователь
Сообщения
12
Реакции
0
Баллы
231
Спасибо!
В Автозагрузке стоит галочка на графе, где нет наименования (пусто), а только локация - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Оставлять?
 

Вложения

  • SecurityCheck.txt
    2.7 KB · Просмотры: 2

akok

Команда форума
Администратор
Сообщения
19,824
Реакции
13,585
Баллы
2,203
Обновитесь:
Java(TM) 6 Update 22 v.6.0.220 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8-windows-i586.exe)^
Java Auto Updater v.2.0.2.4
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.9.900.170 Внимание! Скачать обновления
Adobe Flash Player 11 Plugin v.11.9.900.170 Внимание! Скачать обновления
Adobe Reader 9.5.3 - Russian v.9.5.3 Внимание! Скачать обновления
-------------Browser------------------------------
Mozilla Firefox 27.0.1 (x86 ru) v.27.0.1 Внимание! Скачать обновления
 

student2013

Активный пользователь
Сообщения
12
Реакции
0
Баллы
231
Большое спасибо за помощь!
 

Вложения

  • hijackthis.log
    10.7 KB · Просмотры: 4

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,958
Реакции
6,170
Баллы
1,008
В Автозагрузке стоит галочка на графе, где нет наименования (пусто), а только локация - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Оставлять?
в логе подобного не увидел. Скрин можно?
+ Мусор немного почистим
Профиксите в HijackThis
Код:
O2 - BHO: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
O2 - BHO: AlterGeo Magic Scanner - {9BFBA68E-E21B-458E-AE12-FE85E903D2C1} - (no file)
O2 - BHO: QIPBHO - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O3 - Toolbar: (no name) - !{91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/86C2~1/LOCALS~1/Temp/msohtmlclip1/01/clip_image002.jpg
 

student2013

Активный пользователь
Сообщения
12
Реакции
0
Баллы
231
Спасибо!
На строчку выше выделенного
 

Вложения

  • Автозагрузка.JPG
    Автозагрузка.JPG
    68.1 KB · Просмотры: 31

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,958
Реакции
6,170
Баллы
1,008
Странно... в логе все два файла из HKCU стартует, а на вашем скрине три.
Скачайте отсюда утилиту Autoruns.
Запустите её и сохраните лог - кнопка в виде дискеты в левом верхнем углу. После этого заархивируйте его и прикрепите к своему сообщению.
 
Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу