Skocz do zawartości

system regularnie muli i zawiesza sie - analiza FRST


Rekomendowane odpowiedzi

komputer używany jest jedynie do prostych prac biurowych (outlook/excel/dokumenty)

od kilku dni system regularnie muli i zawiesza sie na kilkanaście/kilkadziesiąt sekund, nawet przy wykonywaniu najprostszych operacji (no otwarcie nowego arkusza excel)

bardzo intensywnie pracuje wtedy dysk

po tym czasie wraca do normy

dzieje sie to kilkanaście razy dziennie

obserwuje też spowolnienie w szybkości działania internetu - mobilny PLAY, sieć twierdzi ze w lokalizacji nie ma żadnych awarii/utrudnień

 

proszę o pomoc w analizie

wklejam logi FRST

FRST.txt Addition.txt Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

GroupPolicy: Ograniczenia - Chrome <==== UWAGA
Task: {31DADA1D-301E-4F99-9E96-DCAE061AB732} - System32\Tasks\DBConverter => C:\Windows\system32\rundll32.exe "C:\Program Files\DBConverter\DBConverter.dll",bnszfVPSsNys <==== UWAGA
Task: {AAEB1001-5BE9-4569-87CD-7771ED729202} - System32\Tasks\System\SecurityService => C:\Users\krzysztof\AppData\Roaming\winhost.exe <==== UWAGA
Task: {E8EBCE28-A3BF-48B9-AB3A-AD488D255407} - System32\Tasks\M4U Pro => C:\Windows\system32\rundll32.exe "C:\Program Files\M4U Pro\M4U Pro.dll",FfOjlrClXM <==== UWAGA
BHO-x32: Brak nazwy -> {83B80A9C-D91A-4F22-8DCF-EA7204039F79} -> Brak pliku
FF user.js: detected! => C:\Users\krzysztof\AppData\Roaming\Mozilla\Firefox\Profiles\9klbp651.default\user.js [2017-06-29]
FF user.js: detected! => C:\Users\krzysztof\AppData\Roaming\Mozilla\Firefox\Profiles\iigqej75.czysty\user.js [2016-09-28]
S2 Windows; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== UWAGA (Brak ServiceDLL)
S2 McAfee SiteAdvisor Service; "c:\PROGRA~2\mcafee\SITEAD~1\mcsacore.exe" [X]
S1 wfcre; system32\drivers\wfcre.sys [X]
S1 ZAM; \??\C:\Windows\System32\drivers\zam64.sys [X]
S1 ZAM_Guard; \??\C:\Windows\System32\drivers\zamguard64.sys [X]
Shortcut: C:\Users\krzysztof\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) <==== Cyrillic
Shortcut: C:\Users\krzysztof\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) <==== Cyrillic
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google LLC) <==== Cyrillic
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Моzillа Firеfох.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) <==== Cyrillic
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Рrzеglądаrkа Ореrа.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) <==== Cyrillic
Shortcut: C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google LLC) <==== Cyrillic
FirewallRules: [{D2187B2E-EFC9-4270-AB5C-0BA7D5DE3769}] => (Allow) C:\Program Files (x86)\Opera\opera.exe Brak pliku
FirewallRules: [{FE12B772-EB22-49F9-95B9-DA94A562277F}] => (Allow) C:\Program Files (x86)\Opera\opera.exe Brak pliku
FirewallRules: [{E940E892-2593-4C48-A0B3-5D8E10EF1EC3}] => (Allow) C:\Program Files\Xi\NetXfer\NetTransport.exe Brak pliku
FirewallRules: [{D847569D-D3BF-432D-BA22-01263E3E64B0}] => (Allow) C:\Program Files\Xi\NetXfer\NetTransport.exe Brak pliku
FirewallRules: [{B59A1297-2537-4DD8-8E95-F6CFF2189C67}] => (Allow) C:\Program Files\Xi\NetXfer\x86\NetTransport.exe Brak pliku
FirewallRules: [{6205AE92-7F92-443A-8456-2ECC215B42B7}] => (Allow) C:\Program Files\Xi\NetXfer\x86\NetTransport.exe Brak pliku
C:\Users\krzysztof\AppData\Roaming\winhost.exe
C:\Users\krzysztof\AppData\Roaming\ACD Systems\ACDSee\Favorites\scrapbook.lnk
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

---------------------------------------------------

Cytat

Error: (02/27/2020 10:07:58 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.

Ściągnij MicrosoftFixit50688.msi stąd > http://www.mediafire.com/download/6hwcm6b77098cbb/MicrosoftFixit50688.msi
i go uruchom jako Administator.

 

jessi

Odnośnik do komentarza
  • 5 tygodni później...

plik FRST.txt w załączniku

 

W dniu 16.04.2020 o 09:01, giyefiki napisał:

Drive c: (Dysk lokalny) (Fixed) (Total:119.14 GB) (Free:2.82 GB) NTFS

 

Zaleca się trzymanie minimum 10% wolnej przestrzeni na dysku, dla szybkości działania i zachowania żywotności dysku. U Ciebie jest obecnie niecałe 3%

w długiej perspektywie żywotności dysku pewnie tak

bieżąco nawet jak uwolnie do rzędu 10-20% to nic sie nie zmienia

FRST.txt

Odnośnik do komentarza

Z jednej strony, skoro jak piszesz zaczęło się to dziać nagle, kilka dni temu, to możliwe, że winowajcą jest np. aktualizacja windows i cofnięcie do poprzedzającego stanu jak radzi jessica będzie dobrym sprawdzianem. Tylko trzeba wybrać datę punktu przywracania sprzed pojawienia się problemu.

 

Z drugiej strony skoro "bardzo intensywnie pracuje dysk" to może to być przyczyna fizyczna dysku. Skoro dzieje się to kilkanaście razy dziennie to czy nie dzieje się to po przerwie od korzystania z komputera? Wtedy przejście dysku w stan uśpienia może być przyczyną. Spróbuj tymczasowo wyłączyć uśpienie dysku.

Dobrym sprawdzianem byłoby uruchomienie innego systemu, czyli z pominięciem obecnego dysku, aby sprawdzić czy to dysk nie jest przyczyną. Najlepiej uruchomić system typu windows PE, np. medicat z pendriva i zobaczyć czy wtedy będą występowały spowolnienia. Z jego poziomu zrobić też diagnostykę S.M.A.R.T. dysku programem HDtune lub Victoria.

 

Nie widzę natomiast korelacji ze spowolnionym internetem. Kiedy występuje? Czy na innych urządzeniach internet też jest spowolniony?

Odnośnik do komentarza
  • 1 miesiąc temu...

witajcie ponownie, odświeżam temat

z jednej strony kwestia mulenia systemu i czasowego wieszania sie aplikacji nieco ustąpiła (10-20% lepiej niż było), z drugiej nie miałem czasu wrócic na forum i pociagnąc dalej tematu. natomiast w międzyczasie zaobserwowałem inną rzecz:

ze względu na kooronawirusa kwiecień-maj pracowałem zdecydowanie wiecej w domu i oba miesiace przekroczyłem limit transferu (200GB, internet mobilny) co było jednak lekkim zaskoczeniem bo moje praca nie wymaga generowania dużego ruchu ale machnąłem na to reką mysląc że to może wynik dodatkowych przerw i chwil odpoczynku kiedy jednak wrzucałem na chwile youtube czy wiadomości. jakie było moje zdziwienie kiedy wczoraj siedzać w biurze (równiez internet mobilny z limitem) dostaje powiadomienie że właśnie przekroczyłem miesięczny transfer (liczony od 25tego każdego miesiąca, wiec raptem 2 tyg) co na łączu biurowym NIGDY sie jeszcze nie zdarzyło - w pracy nikt nie ogląda wideo, generuje dużego ruchu. dzisiaj mając chwilę zacząłem grzebac w statystykach transferu w domu i zauważyłem że już (niecałe 2 tyg po 25tym) wykorzystałem 2/3 limitu co jest zupełnie absurdalne bo ostatni tydzień po powrocie do domu nie miałem siły na nic wiecej niż prace na mailu. zainstalowałem program do monitoringu transferu i oto co widzę po ok 20-30 min od uruchomienia monitoringu

 

monitoring.jpg

 

w tak krótkim czasie outlook nabił 1,4GB transferu, i cały czas idzie w górę! w miedzyczasie wysłałem-otrzymałem 5-7 maili po kilkaset kB

co tu sie dzieje?

Odnośnik do komentarza

W pierwszej chwili pomyślałam, że Twój komputer przestępczym botem wysyłającym co minutę tysiące maili, ale po chwili zauważyłam, że jest odwrotnie: to Twój komputer co chwilę przyjmuje tysiące maili (lub mała ilość maili zawierających jakieś załączniki).

Przeskanuj komputer przy pomocy MBAM https://www.fixitpc.pl/topic/8-dezynfekcja-zbiór-narzędzi-usuwających/?tab=comments#comment-173217

 

 

jessi

Odnośnik do komentarza
Cytat

 

Trojan.Agent, C:\USERS\KRZYSZTOF\APPDATA\ROAMING\1337\Logger.exe, Brak akcji, 496, 536580, 1.0.25154, , ame,

Trojan.Agent, C:\USERS\KRZYSZTOF\APPDATA\ROAMING\1337\SETUPQW.EXE, Brak akcji, 496, 434714, 1.0.25154, , ame,

Adware.NeoBar, HKLM\SOFTWARE\WOW6432NODE\CLASSES\CLSID\{C0D38E5A-7CF8-4105-8FE8-31B81443A114}, Brak akcji, 1427, 420739, , , ,
Adware.NeoBar, HKU\S-1-5-21-3927854613-2608156586-4117075644-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{C0D38E5A-7CF8-4105-8FE8-31B81443A114}, Brak akcji, 1427, 420739, , , ,
Adware.NeoBar, HKLM\SOFTWARE\CLASSES\WOW6432NODE\CLSID\{C0D38E5A-7CF8-4105-8FE8-31B81443A114}, Brak akcji, 1427, 420739, 1.0.25154, , ame,

 

Tych nie znam - jeśli też ich nie znasz, to do usunięcia.

 

Pozostałe wykrycia nie są groźne.

 

jessi

Odnośnik do komentarza

Usuniemy je przy pomocy FRST:

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

C:\USERS\KRZYSZTOF\APPDATA\ROAMING\1337\Logger.exe
C:\USERS\KRZYSZTOF\APPDATA\ROAMING\1337\SETUPQW.EXE
DeleteKey:  HKLM\SOFTWARE\WOW6432NODE\CLASSES\CLSID\{C0D38E5A-7CF8-4105-8FE8-31B81443A114}
DeleteKey: HKU\S-1-5-21-3927854613-2608156586-4117075644-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{C0D38E5A-7CF8-4105-8FE8-31B81443A114}
DeleteKey: HKLM\SOFTWARE\CLASSES\WOW6432NODE\CLSID\{C0D38E5A-7CF8-4105-8FE8-31B81443A114}
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

jessi

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...