Skocz do zawartości

Komputer znacznie zwolnił i się zacina


Rekomendowane odpowiedzi

Witam

Kilka dni temu mój komputer znacznie zwolnił. Uruchamia się 5 razy wolniej, przez pierwsze 10 minut po uruchomieniu nie da się nic robić, a potem działa trochę lepiej, lecz nadal jest 2 razy wolniejszy niż przedtem. Zużycie procesora jest cały czas większe niż 50%. Dosyć dużo programów mam w autostarcie, ale to nie ich wina, bo kiedy komputer działał dobrze, też tyle było. Logi w załączniku.

FRST.txt

Addition.txt

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Zabrakło raportu z GMER. Widzę: czynny KGB Keylogger, ślady po niedobrze doczyszczonej infekcji ZeroAccess oraz adware. Dodatkowo, uruchamia się tu podwójnie MSSE, poprawnym wpisem jest tylko ten w HKLM, wszystko w Startup to jakieś dziwactwo dodane ręcznie i będę likwidować ten skrót uruchomieniowy:

 

R2 MsMpSvc; C:\Program Files\Microsoft Security Client\MsMpEng.exe [22208 2013-10-23] (Microsoft Corporation)

HKLM\...\Run: [MSC] - C:\Program Files\Microsoft Security Client\msseces.exe [948440 2013-10-23] (Microsoft Corporation)

 

Startup: C:\Documents and Settings\hp\Menu Start\Programy\Autostart\MsMpEng.exe.lnk

ShortcutTarget: MsMpEng.exe.lnk -> C:\Program Files\Microsoft Security Client\MsMpEng.exe (Microsoft Corporation)

 

I co to za plik "TXT" w starcie, to celowe?

 

Startup: C:\Documents and Settings\hp\Menu Start\Programy\Autostart\fd.txt ()

 

Zaadresuję też ten błąd z Dziennika zdarzeń relatywny do aktualizatora:

 

Error: (02/17/2014 01:25:47 PM) (Source: Service Control Manager) (User: )

Description: Nie można uruchomić usługi PLAY ONLINE. OUC z powodu następującego błędu:

%%1053

 

Dodatkowa uwaga: używasz Rizone Memory Booster. "Zwalniacze" pamięci mogą mieć skutki odwrotne od zamierzonych, czyli spowolnienie. Radzę się pozbyć sztucznych technik.

 

 


Czyszczenie systemu:

 

1. Otwórz Notatnik i wklej w nim:

 

HKLM\...\Winlogon: [userinit] C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\MPK\MPK.exe
HKU\S-1-5-21-448539723-1647877149-1801674531-1003\...\Run: [updateMyDrivers] - D:\Program Files\SmartTweak\UpdateMyDrivers\UpdateMyDrivers.exe /ot /as /ss
HKU\S-1-5-21-448539723-1647877149-1801674531-1003\...\Run: [] - [X]
Startup: C:\Documents and Settings\hp\Menu Start\Programy\Autostart\MsMpEng.exe.lnk
Winsock: Catalog5 01 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
Winsock: Catalog5 03 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
S3 cpuz134; \??\C:\DOCUME~1\hp\USTAWI~1\Temp\cpuz134\cpuz134_x32.sys [X]
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gazeta.pl/0,0.html?sc=1
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKCU - {08F57C7A-6672-4E4F-B7D3-58047A0CC13B} URL = http://szukaj.gazeta.pl/portalSearch.do?s.si(navigation).navigationEnabled=true&s.sm.query={searchTerms}
BHO: SoundFrost - {081524f7-7ed8-43ff-b01e-915c410a9cbe} - No File
FF Plugin HKCU: @tightropeinteractive.com/Plugin - C:\Documents and Settings\hp\Ustawienia lokalne\Dane aplikacji\TNT2\2.0.0.1534\npTNT2.dll (Search.Us.com)
FF Plugin HKCU: @tnt2ghost.com/Plugin - C:\Documents and Settings\hp\Ustawienia lokalne\Dane aplikacji\TNT2\2.0.0.1534\npTNT2ghost.dll (Search.Us.com)
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
CHR HKLM\...\Chrome\Extension: [bigckpimifekfkbpijigmcgemdekebmk] - C:\Documents and Settings\hp\Ustawienia lokalne\Dane aplikacji\CRE\bigckpimifekfkbpijigmcgemdekebmk.crx [2014-01-31]
CHR HKLM\...\Chrome\Extension: [elnbcbomnodienneclopfnlkdnjgmjal] - C:\Documents and Settings\hp\Ustawienia lokalne\Dane aplikacji\CRE\elnbcbomnodienneclopfnlkdnjgmjal.crx [2014-01-31]
CHR HKLM\...\Chrome\Extension: [ngidmilgcgaicohnplplaoddnjikphdk] - C:\Documents and Settings\hp\Ustawienia lokalne\Dane aplikacji\CRE\ngidmilgcgaicohnplplaoddnjikphdk.crx [2014-01-31]
CHR HKCU\...\Chrome\Extension: [bigckpimifekfkbpijigmcgemdekebmk] - C:\Documents and Settings\hp\Ustawienia lokalne\Dane aplikacji\CRE\bigckpimifekfkbpijigmcgemdekebmk.crx [2014-01-31]
CHR HKCU\...\Chrome\Extension: [elnbcbomnodienneclopfnlkdnjgmjal] - C:\Documents and Settings\hp\Ustawienia lokalne\Dane aplikacji\CRE\elnbcbomnodienneclopfnlkdnjgmjal.crx [2014-01-31]
CHR HKCU\...\Chrome\Extension: [ngidmilgcgaicohnplplaoddnjikphdk] - C:\Documents and Settings\hp\Ustawienia lokalne\Dane aplikacji\CRE\ngidmilgcgaicohnplplaoddnjikphdk.crx [2014-01-31]
C:\Documents and Settings\All Users\Dane aplikacji\a5f56543769d7929
C:\Documents and Settings\All Users\Dane aplikacji\MPK
C:\Documents and Settings\All Users\Dane aplikacji\suruff! and okeeep
C:\Documents and Settings\All Users\Dane aplikacji\TEMP
C:\Documents and Settings\hp\Dane aplikacji\IObit
C:\Documents and Settings\hp\Ustawienia lokalne\Dane aplikacji\CertifiedToolbar
C:\Documents and Settings\hp\Ustawienia lokalne\Dane aplikacji\Conduit
C:\Documents and Settings\hp\Ustawienia lokalne\Dane aplikacji\CRE
C:\Documents and Settings\hp\Ustawienia lokalne\Dane aplikacji\Google\Desktop
C:\Documents and Settings\hp\Ustawienia lokalne\Dane aplikacji\TNT2
C:\Documents and Settings\hp\Ustawienia lokalne\Dane aplikacji\WMTools Downloaded Files
C:\Program Files\Google\Desktop
C:\Program Files\IObit
C:\Users
C:\WINDOWS\system32\MPK
C:\WINDOWS\system32\runkgb.lnk
C:\WINDOWS\Tasks\ImCleanDisabled
CMD: sc config "PLAY ONLINE. RunOuc" start= demand
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{5FBFB3CC-C953-48CD-8E5A-EEEF387D0A81}" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{E2283213-CF7B-44B7-B309-CBA35BA12ACA}" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. W przeglądarkach:

- Firefox: wyczyść preferencje via menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować.

- Google Chrome: Zresetuj cache wtyczek, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

3. Uruchom TFC - Temp Cleaner.

 

4. Zrób nowe skany: FRST (bez Addition) + Farbar Service Scanner. Dołącz plik fixlog.txt oraz zaległe logi używanego niedawno AdwCleaner (są w folderze C:\AdwCleaner).

 

 

 

.

Odnośnik do komentarza

Wszystko wykonane, log z GMERa wstawię później, bo się długo skanuje (tak, ten plik txt celowo jest w autostarcie).

EDIT: I jak pozbyć się tego C:\Program Files\s\Microsoft Security Client, bo miałem kiedyś problem z MSSE i zainstalowałem ponownie, ale tego folderu nie mogę za nic usunąć (Unlockera już próbowałem)?

EDIT2: Log z GMER: http://wklej.org/id/1279396/

FRST.txt

FSS.txt

Shortcut.txt

Fixlog.txt

AdwCleanerR2.txt

AdwCleanerS2.txt

Odnośnik do komentarza

I jak pozbyć się tego C:\Program Files\s\Microsoft Security Client, bo miałem kiedyś problem z MSSE i zainstalowałem ponownie, ale tego folderu nie mogę za nic usunąć (Unlockera już próbowałem)?

Folder stoi w GMER jako zablokowany. To jest zapewne skutek niepoprawnie usuniętej w przeszłości infekcji ZeroAccess, której ślady tu były. Prawdopodobnie tam zostały zrobione przez infekcję linki symboliczne podwiązujące komponenty tego folderu do rejestru Windows. To całkowicie uniemożliwia usunięcie (i żaden Unlocker etc. nie da temu rady), bo folder zwodniczo kieruje na rejestr Windows (zawsze załadowany). To co należy zrobić to rozlinkować folder.

 

 

Poprzednie zadania w przeważającej części wykonane, tylko ten folder keloggera jednak się nie usunął. Ponadto widzę, że Rizone już usunąłeś, bo skrót w Autostarcie kieruje obecnie do nikąd. Te rzeczy adresuję w skrypcie poniżej. Otwórz Notatnik i wklej w nim:

 

DeleteJunctionsInDirectory: C:\Program Files\s\Microsoft Security Client
C:\Documents and Settings\All Users\Dane aplikacji\MPK
C:\Documents and Settings\hp\Menu Start\Programy\Autostart\Rizone Memory Booster.lnk

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

 

 

.

Odnośnik do komentarza

Deinstalacja MSSE i tak by się nie udała w tych warunkach (folder zlinkowany do rejestru). I skoro ten "s" to sztuczny twór, to go sobie dokasuj.

 

Uruchamiałeś GMER, więc na wszelki wypadek zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

 

Sprecyzuj jaką teraz mamy sytuację: czy są widoczne jakieś usterki w systemie, czy komputer nadal jest spowolniony?

 

 

 

.

Odnośnik do komentarza

Wszystko rozwiązane, finalizujemy sprawy:

 

1. Porządki po narzędziach. Przez SHIFT+DEL skasuj:

 

C:\sc-cleaner.txt

C:\AdwCleaner

C:\Documents and Settings\hp\Pulpit\jhkhjkh\FRST.exe

C:\Documents and Settings\hp\Pulpit\Stare dane programu Firefox

 

W OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zaktualizuj sobie Firefoxa.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...