Komputer zamula po usunięciu Confickera

[Makos]

Witam. 2 Dni temu wykryłem u siebie Confickera. Wyłączył mi oczywiście firewalla, defendera, aktualizacje itp. Dzięki temu się spostrzegłem. W końcu usunąłem go za pomocą Defendera, ale niestety komp teraz strasznie zamula, gry się tną, uruchamianie systemu trwa o wiele dłużej. Dysk twardy podczas gry cały czas pracuje, co nigdy wcześniej nie miało miejsca i przez to mam ciągłe przycinki, "Host usługi:system lokalny(ograniczony do sieci)" zjada bardzo dużo pamięci i do tego on też powoduje tą ciągłą prace dysku. Może jednak całkowicie go nie usunąłem?

 

System Windows 8.1 x64

 

Logi:

OTL: http://wklej.org/id/1230862/

OTL extras: http://wklej.org/id/1230866/

FRST: http://wklej.org/id/1230868/

Additional: http://wklej.org/id/1230870/

GMER: http://wklej.org/id/1230871/

[picasso]

Widzę instalację HijackThis. Na systemie 64-bit i to jeszcze Windows 8 program niezdatny. Jest przestarzały, 32-bitowy, niezgodny z platformami x64 i pokazuje głupoty, których "naprawienie" może uszkodzić system.

 

Przedstaw dokładnie ścieżkę dostępu skąd infekcja była usuwana. W raportach nie ma żadnych oznak czynnej infekcji. Są jedyne drobne odpadki adware a2zLyrics-16 w Harmonogramie zadań i jakieś szczątki w Google Chrome. Na razie to zostawiam, bo to nie ma znaczenia dla tego co się dzieje i usuwanie nie ma sensu w stanie obecnym. Tu są inne zastanawiające punkty, które wskazują na poważniejsze usterki:

 

1. Wg raportu OTL zmienna środowiskowa wykazuje, iż system działa z katalogu C:\Windows:

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files (x86)

 

Ale w raportach są znaki, że się uruchamiają procesy z katalogu odpadkowego C:\Windows.old (czy robiłeś jakąś reinstalację?):

 

HKCU\...\Run: [spotify Web Helper] - C:\Windows.old\Users\makil_000\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe [1168896 2013-12-05] (Spotify Ltd)

HKCU\...\Run: [spotify] - C:\Windows.old\Users\makil_000\AppData\Roaming\Spotify\spotify.exe [5951488 2013-12-05] (Spotify Ltd)
 

==================== Loaded Modules (whitelisted) =============
 

2013-09-01 21:44 - 2013-12-05 20:25 - 36967424 _____ () C:\Windows.old\Users\makil_000\AppData\Roaming\Spotify\Data\libcef.dll

2013-09-26 10:13 - 2013-12-05 20:25 - 00887808 _____ () C:\Windows.old\Users\makil_000\AppData\Roaming\Spotify\Data\libglesv2.dll

2013-09-26 10:13 - 2013-12-05 20:25 - 00109568 _____ () C:\Windows.old\Users\makil_000\AppData\Roaming\Spotify\Data\libegl.dll

 

2. Były problemy ze strukturą systemu plików, gdyż są na dysku odpadki po pracy checkdisk:

 

2014-01-05 18:30 - 2014-01-05 18:30 - 00000000 __SHD C:\found.002

2014-01-05 11:12 - 2014-01-05 11:12 - 00000000 __SHD C:\found.001

2014-01-05 11:12 - 2014-01-05 11:12 - 00000000 __SHD C:\found.000

 

3. Nie mogę się doliczyć partycji:

 

==================== Drives ================================
 

Drive c: () (Fixed) (Total:48.83 GB) (Free:3.98 GB) NTFS

Drive d: () (Fixed) (Total:35.46 GB) (Free:7.99 GB) NTFS ==>[system with boot components (obtained from reading drive)]

Drive e: () (Fixed) (Total:195.31 GB) (Free:34.08 GB) NTFS

Drive f: () (Fixed) (Total:221.62 GB) (Free:28.58 GB) NTFS

Drive g: () (Fixed) (Total:39.06 GB) (Free:12.19 GB) NTFS
 

==================== MBR & Partition Table ==================
 

========================================================

Disk: 0 (MBR Code: Windows 7 or 8) (Size: 466 GB) (Disk ID: 3C8D3C8C)

Partition 1: (Active) - (Size=49 GB) - (Type=07 NTFS)

Partition 2: (Not Active) - (Size=417 GB) - (Type=OF Extended)
 

========================================================

Disk: 1 (MBR Code: Windows 7 or 8) (Size: 75 GB) (Disk ID: 34033402)

Partition 1: (Active) - (Size=35 GB) - (Type=07 NTFS)

Partition 2: (Not Active) - (Size=39 GB) - (Type=OF Extended)

 

Jakoby 5, ale wyciąg z MBR pokazuje 4. Ta jedna wielka partycja 417 GB ma rozmiar jak te dwie 195.31 GB + 221.62 GB.

 

4. W Dzienniku zdarzeń jest taki oto błąd oznajmiający wyłączoną usługę Windows:

 

System errors:

=============

Error: (01/09/2014 09:40:20 PM) (Source: Service Control Manager) (User: )

Description: Nie można uruchomić usługi Klient zasad grupy z powodu następującego błędu:

%%1053
 

Error: (01/09/2014 09:40:20 PM) (Source: Service Control Manager) (User: )

Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na odpowiedź transakcji z usługi gpsvc.

 

5. Kolejny błąd wskazujący z kolei na uprawnienia (KLIK):

 

Application errors:

==================

Error: (01/09/2014 07:52:24 PM) (Source: Microsoft-Windows-CAPI2) (User: )

Description: Przetwarzanie wywołania OnIdentity() w obiekcie System Writer przez Usługi kryptograficzne nie powiodło się.
 

Details:

AddLegacyDriverFiles: Unable to back up image of binary Protokół LLDP (Link-Layer Discovery Protocol) firmy Microsoft.
 

System Error:

Odmowa dostępu.

 

Są i inne błędy w Dzieniku, które sugerują uprawnienia. I jeszcze budzą mi się podejrzenia na temat odczytu w GMER (określone usługi Windows stoją jako zablokowane, tak jakby nie było uprawnień). Jeśli tu faktycznie był Conficker, a sam mówisz, że określone funkcje nagle zostały wyłączone, to mogą być potężne szkody w uprawnieniach, tzn. zresetowana cała gałąź SYSTEM i usunięte specjalne konta dostępowe. Korekta tej usterki to karkołomne zadanie, robiłam to kilka razy (odtwarzanie wszystkich uprawnień via SetACL), ale jak mówię to straszna pracochłonna sprawa i lepiej zacząć od metod odkręcania wbudowanych w system, o ile dostępne.

 

O ile tu nie ma problemu z dyskiem, na razie mi się nasuwa, by cofnąć system do tyłu, zaczynając od Przywracania systemu, ale tu jest tylko jeden punkt Przywracania zrobiony wczoraj:

 

==================== Restore Points =========================
 

09-01-2014 18:52:01 Removed Apple Mobile Device Support

 

Czy ta data to już gdy wystąpiły usterki czy przed? Jeśli niestety pochodzi z nieodpowiedniego czasu, są dostępne inne metody przywracania specyficzne dla platformy Windows 8: Odśwież komputer (zachowuje ustawienia, ale degraduje wszystkie aplikacje desktopowe) oraz Resetuj ustawienia (kompletna reinstalacja).

 

 

 

.

[Makos]

Niestety, ścieżki skąd Conficker został usunięty nie jestem w stanie podać. Po włączeniu defendera, po prostu znalazł robaka i kazałem go usunąć. Nie mogę nigdzie znaleźć historii usuniętych elementów.

 

1. System jest zainstalowany na dysku C, robiłem reinstalacje już jakiś czas temu, ale w czasie reinstalacji zawsze formatuje tą partycje.

2. Jakiś tydzień temu komp mi się kompletnie zawiesił. Oglądałem film i nagle freeze i monitor nie dostawał żadnego sygnału(dioda monitora migała). Po resecie włączył się checkdisk

3. Partycji łącznie jest 5, ale na dwóch dyskach. Jeden 500GB który jest podzielony na 3 partycje, w tym jedna systemowa i drugi dysk 75GB. Na tym małym są jeszcze jakieś pozostałości po Windows7

4. Tą usługę jak rozumiem wyłączył pewnie Conficker?

5. Zaraz robię to co w instrukcji 

 

Data tego punktu przywracania jest gdy usterki już były. Wczoraj po prostu wywalałem śmieci od Apple które też zabierały dużo zasobów.

 

O problemie z dyskiem też już myślałem bo ostatnio co jakiś czas słyszę dość głośno metaliczne kliknięcie z dysku...

[picasso]

3. Partycji łącznie jest 5, ale na dwóch dyskach. Jeden 500GB który jest podzielony na 3 partycje, w tym jedna systemowa i drugi dysk 75GB. Na tym małym są jeszcze jakieś pozostałości po Windows7

To wiem już z raportu, ale mówię, że się nie zgadzają obliczenia. Wg odczytu MBR te dwa dyski fizyczne mają po dwie partycje (czyli w sumie 4 a nie 5), nie wiadomo gdzie ta piąta, zwłaszcza że wg MBR jedna z partycji ma rozmiar jak suma dwóch. Nie wiem jak mam traktować tę niezgodność, czy jest jakiś błąd w poborze danych, czy problematyka "obsługi dużych dysków", czy błąd w partycjach, czy problemy z dyskiem. I ja sądzę, że tu trzeba zacząć od tej strony:

 

O problemie z dyskiem też już myślałem bo ostatnio co jakiś czas słyszę dość głośno metaliczne kliknięcie z dysku...

Załóż nowy temat w dziale Hardware realizując zasady tego działu: KLIK. Zlinkuj tam do tego tematu, by wiedziano jaka geneza tematu.

 

 

 

.