Skocz do zawartości
Ten temat
WAŻNE - Zakładanie tematu: obowiązkowe logi

Spowolnienie komputera, zawieszanie się, niemożność skasowania plików w Temporary Internet Files

JeT

Przez JeT
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

JeT

JeT

Opublikowano
Opublikowano

Spowolnienie komputera, zawieszanie się, niemożność skasowania plików w folderze "Temporary Internet Files"

 

Dzień dobry,

mam uciążliwy problem z komputerem, nie wiem dlaczego nie można skasować plików w "Temporary Internet Files":

 

1. Komputer mimo regularnego usuwania tempów i defragmentacji działa bardzo wolno. Bywa że nawet prosta czynność kopiowana niewielkiego pliku tekstowego zajmuje minuty. Zaczął "szarpać" kursor.

 

2 Nierzadko się zawiesza, i wymaga restartu przez wyłączenie z prądu.

 

3. W folderze "Temporary Internet Files" są dziwne pliki, których nie daje się skasować, mimo wywłączania opcji tylko do odczytu.

Mają adres zaczynający:np.: res:// C: \ Program Files\Outlook Express \msoeres.dll/frntpage.htm

 

W załączeniu pliki OTL

 

Gemer po pewnym czasie skanowania zawiesza komputer, i nie daje loga.

Extras przed.TxtPobieranie informacji ...

OTL przed.TxtPobieranie informacji ...

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Brak oznak infekcji. Nie został jednak wdrożony skan pod kątem rootkitów, to na wszelki wypadek sprawdź co widzi Kaspersky TDSSKiller.

 

 

  Cytat
1. Komputer mimo regularnego usuwania tempów i defragmentacji działa bardzo wolno. Bywa że nawet prosta czynność kopiowana niewielkiego pliku tekstowego zajmuje minuty. Zaczął "szarpać" kursor.

 

2 Nierzadko się zawiesza, i wymaga restartu przez wyłączenie z prądu.

 

1. Jest tu bardzo mało miejsca na dysku, a na takim skraweczku defragmentacja może być nieefektywna (i jeszcze pytanie czym defragmentujesz):

 

Drive C: | 34,21 Gb Total Space | 1,84 Gb Free Space | 5,37% Space Free | Partition Type: NTFS

 

2. Sprawdź tryb transferu dysku, DMA czy PIO: KLIK (ustęp Optymalizacja wydajności HDD i CD/DVD-ROMów - Włączenie DMA). Oceniasz linię "bieżący tryb transferu".

 

3. Można rozważać czy Avast nie dokłada tu cegły.

 

4. W Dzienniku zdarzeń niezbyt dużo konkretów, choć zanotowane błędy Adobe Reader (ale to może być skutek a nie przyczyna):

 

Error - 2012-09-25 09:30:52 | Computer Name = DB0SCE82 | Source = Application Hang | ID = 1002
Description = Hanging application AcroRd32.exe, version 9.1.0.163, hang module hungapp,
 version 0.0.0.0, hang address 0x00000000.

 

Pojawił się też jakiś BSOD (to było jednorazowe?):

 

Error - 2012-09-29 11:06:31 | Computer Name = DB0SCE82 | Source = System Error | ID = 1003
Description = Error code 00000024, parameter1 001902fe, parameter2 a9481678, parameter3
 a9481374, parameter4 f8290d62.

 

 

  Cytat
3. W folderze "Temporary Internet Files" są dziwne pliki, których nie daje się skasować, mimo wywłączania opcji tylko do odczytu.

Mają adres zaczynający:np.: res:// C: \ Program Files\Outlook Express \msoeres.dll/frntpage.htm

 

W podanym przykładzie nie widzę nic dziwnego. Przykład ten mówi, że był uruchamiany Outlook Express i jego strona startowa. Dopóki będzie startowany, pliki będą regenerowane. Do czyszczenia Tempów możesz zastosować TFC - Temp Cleaner.

 

 

 

.

Odnośnik do komentarza
JeT

JeT

Opublikowano
  • Autor
Opublikowano
  W dniu 1.10.2012 o 05:59, picasso napisał(a):
Nie został jednak wdrożony skan pod kątem rootkitów, to na wszelki wypadek sprawdź co widzi Kaspersky TDSSKiller.

 

Ten program wykazał że jest malware: Rootkit.Boot.Sinowal.b na \Device\Harddisk\DR0

 

Zgodnie z zaleceniami podanym w tamtym poście nie podjąłem żadnych działań choć Kaspersky nakazał "cure".

 

 

  W dniu 1.10.2012 o 05:59, picasso napisał(a):
1. Jest tu bardzo mało miejsca na dysku, a na takim skraweczku defragmentacja może być nieefektywna (i jeszcze pytanie czym defragmentujesz):

 

Defragmentacja robiona jest Puran Defrag (z opcją Boot...)

Miewałem nawet o połowę mniej wolnego miejsca i defragmentacja udawała się, i chodziło znacznie szybciej/inaczej

 

 

  W dniu 1.10.2012 o 05:59, picasso napisał(a):
2. Sprawdź tryb transferu dysku, DMA czy PIO: KLIK (ustęp Optymalizacja wydajności HDD i CD/DVD-ROMów - Włączenie DMA). Oceniasz linię "bieżący tryb transferu".

 

W bieżącym trybie transferu jest PIO - ale nie ma możliwości przestawienia w tym kanale (możność zmiany jest tylko w kanale trybu transferu0

 

 

  W dniu 1.10.2012 o 05:59, picasso napisał(a):
W podanym przykładzie nie widzę nic dziwnego. Przykład ten mówi, że był uruchamiany Outlook Express i jego strona startowa. Dopóki będzie startowany, pliki będą regenerowane. Do czyszczenia Tempów możesz zastosować TFC - Temp Cleaner.

 

Tu nie chodzi o regenerowanie się serii takich plików, ale o to że choć są w tempach to ok. 30 takich plików sprzed kilku tygodni jest niekasowalnych. Jak się podobne pliki pojawiają teraz, to bez problemu się je da skasować.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Przenosimy się z powrotem do malware, bo jednak to ta sprawa.

 

 

  Cytat
Ten program wykazał że jest malware: Rootkit.Boot.Sinowal.b na \Device\Harddisk\DRO

 

Zgodnie z zaleceniami podanym w tamtym poście nie podjąłem żadnych działań choć Kaspersky nakazał "cure".

 

Zgodnie z sugestią programu wybierz Cure i zresetuj system. Na dysku C powstanie log z leczenia, dołącz. I spróbuj jeszcze raz podjąć się próby zrobienia GMER.

 

 

  Cytat
Tu nie chodzi o regenerowanie się serii takich plików, ale o to że choć są w tempach to ok. 30 takich plików sprzed kilku tygodni jest niekasowalnych.

 

Zastosuj TFC - Temp Cleaner.

 

.

Odnośnik do komentarza
JeT

JeT

Opublikowano
  • Autor
Opublikowano
  W dniu 1.10.2012 o 18:58, picasso napisał(a):
Zgodnie z sugestią programu wybierz Cure i zresetuj system. Na dysku C powstanie log z leczenia, dołącz. I spróbuj jeszcze raz podjąć się próby zrobienia GMER.

 

1. Zrobiłem jak nakazał Kaspersky. Log w załączeniu.

 

1a) Kiedy zajrzałem do tego loga, komputer się zawiesił - pokazał się niebieski ekran. Musiałem restartować przez wyłączenie z prądu.

 

2. Gmer chodził długo, ale potem się zawiesił i też pojawił się niebieski ekran. I znów musiałem restartować przez wyłączenie z prądu.

 

Zmieniony plik.

TDSSKiller_log.txtPobieranie informacji ...

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
  Cytat
Jeszcze nie zastosowałem TFC

Ale na piechotę te stare pliki (z czasu kiedy chyba pojawiły się problemy) nadal nie dają się usunąć.

 

Dlatego mówię o użyciu tego szczególnego narzędzia (zabija procesy + stosuje technikę usuwania przy restarcie). Zastosuj od razu i podaj nie budzące wątpliwości wyniki.

 

 

  Cytat
w załączeniu FSS

 

Podejrzenia się sprawdziły. W systemie brakuje usług Centrum zabezpieczeń + Zapora systemu Windows. Zrób i zaimportuj pliki REG na podstawie instrukcji: KLIK. Zresetuj system.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Z tego nie ma raportu, niemniej nie muszę sprawdzać, wiem co narzędzie robi i wystarczy mi Twoje potwierdzenie skuteczności usunięcia plików. Czy wykonałeś również rekonstrukcję brakujących usług?

 

 

  Cytat
W bieżącym trybie transferu jest PIO - ale nie ma możliwości przestawienia w tym kanale

 

To jest przyczyna mulenia. Z prawokliku na ten kanał odinstaluj go i zresetuj system. Windows przebuduje urządzenie i przypisze DMA.

 

 

 

.

Odnośnik do komentarza
JeT

JeT

Opublikowano
  • Autor
Opublikowano
  W dniu 1.10.2012 o 21:44, picasso napisał(a):
Czy wykonałeś również rekonstrukcję brakujących usług?

 

Mam nadzieję że rekonstrukcję zrobiłem poprawnie. tzn. jedno przez fix.reg, drugie przez narzędzie.wscfix.

 

 

  W dniu 1.10.2012 o 21:44, picasso napisał(a):
To jest przyczyna mulenia. Z prawokliku na ten kanał odinstaluj go i zresetuj system. Windows przebuduje urządzenie i przypisze DMA.

 

Nie bardzo wiem jak to zrobić i gdzie?

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
  Cytat
Mam nadzieję że rekonstrukcję zrobiłem poprawnie. tzn. jedno przez fix.reg, drugie przez narzędzie.wscfix.

 

Mówiłam o plikach REG, czyli Centrum też poprzez import klucza, to automatyczne narzędzie naprawcze nie gwarantuje pełnej rekonstrukcji. Gdzieś tu nawet był na forum temat, w którym po jego użyciu nadal były braki w kluczu usługi.

 

 

  Cytat
Nie bardzo wiem jak to zrobić i gdzie?

 

Jak to? Przecież wytypowałeś wyraźnie kanał na którym jest PIO. Czyli: w menu Widok ustaw Urządzenia wg połączeń, rozwiń gałęzie aż do kanałów IDE, klikasz prawym na dany kanał, na którym jest dysk twardy z bieżącym trybem PIO, z menu kontekstowego wybierasz opcję Odinstaluj. Restart systemu.

 

 

 

.

Odnośnik do komentarza
JeT

JeT

Opublikowano
  • Autor
Opublikowano
  W dniu 1.10.2012 o 22:25, picasso napisał(a):
Mówiłam o plikach REG, czyli Centrum też poprzez import klucza, to automatyczne narzędzie naprawcze nie gwarantuje pełnej rekonstrukcji. Gdzieś tu nawet był na forum temat, w którym po jego użyciu nadal były braki w kluczu usługi.

 

Ok. to drugie zrobiłem też przez fix.reg.

 

  W dniu 1.10.2012 o 22:25, picasso napisał(a):
Przecież wytypowałeś wyraźnie kanał na którym jest PIO. Czyli: w menu Widok ustaw Urządzenia wg połączeń, rozwiń gałęzie aż do kanałów IDE, klikasz prawym na dany kanał, na którym jest dysk twardy z bieżącym trybem PIO, z menu kontekstowego wybierasz opcję Odinstaluj. Restart systemu.

 

Zrobiłem już.

 

Ale teraz nadal nie ma tam opcji zmiany.

Z tym że w polu (0) bieżący transfer (gdzie było PIO) jest "Ultra DMA Mode 5"

A przy drugim (1) jest jak było "Ultra DMA Mode 2".

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
  Cytat
Z tym że w polu (0) bieżący transfer (gdzie byłoPIO) jest "Ultra DMA Mode 5"

 

Sprawa jest rozwiązana, PIO skorygowane do DMA. Po tej operacji powinna się poprawić operatywność Windows, potwierdź to.

 

Z całości tematu wynika, że przechodzimy już do wykończeń:

 

1. Popraw sobie usługę Centrum zabezpieczeń tym plikiem REG.

 

2. Skasuj z dysku GMER, OTL i TDSSKiller oraz jego folder C:\TDSSKiller_Quarantine.

 

3. Zaktualizuj wyliczone poniżej aplikacje: KLIK. Wersje widziane aktualnie w systemie:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 20
"{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1.1 - Polish
"{D9226EB1-C528-48AC-B423-BD9240E1F60B}" = Opera 9.62
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Gadu-Gadu" = Gadu-Gadu 7.6
"Mozilla Firefox 9.0.1 (x86 pl)" = Mozilla Firefox 9.0.1 (x86 pl)
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_4_402_265.dll ()

 

Gadu-Gadu 7.6 jest tu zakreślone z następujących powodów: brak pełnej obsługi własnej sieci + niski poziom zabezpieczeń (brak szyfrowania). Jeśli szukasz lekkiej nowoczesnej alternatywy z obsługą sieci Gadu, to polecam WTW. Pełny opis komunikatora: KLIK.

 

4. Prewencyjnie zmień hasła logowania w serwisach.

 

 

.

Odnośnik do komentarza
JeT

JeT

Opublikowano
  • Autor
Opublikowano
  W dniu 1.10.2012 o 23:08, picasso napisał(a):
Sprawa jest rozwiązana, PIO skorygowane do DMA. Po tej operacji powinna się poprawić operatywność Windows, potwierdź to.

 

Z całości tematu wynika, że przechodzimy już do wykończeń:

 

1. Popraw sobie usługę Centrum zabezpieczeń tym plikiem REG.

 

2. Skasuj z dysku GMER, OTL i TDSSKiller oraz jego folder C:\TDSSKiller_Quarantine

 

Już zrobiłem

 

 

  W dniu 1.10.2012 o 23:08, picasso napisał(a):
4. Prewencyjnie zmień hasła logowania w serwisach.

 

Ważne dla mnie pytanie. Czy to tylko prewencyjnie, czy ten rootkit i te niekasowalne pliki dostępu do outlooka oznaczały że ktoś mógł w ten sposób mieć dostęp do zawartości kompa?

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Prewencyjnie, ponieważ nie jestem w stanie przewidzieć co malował rootkit w MBR, lepiej działać nawet na wyrost niż potem płakać. Ten typ infekcji może przechwytywać takie dane jak hasła ...

 

I wypowiedz się wyraźnie czy po usunięciu rootkita w MBR + korekcji transferu dysku PIO > DMA nastąpiła wyraźna poprawa w działaniu Windows.

 

 

.

Odnośnik do komentarza
JeT

JeT

Opublikowano
  • Autor
Opublikowano
  W dniu 1.10.2012 o 23:20, picasso napisał(a):
Prewencyjnie, ponieważ nie jestem w stanie przewidzieć co malował rootkit w MBR, lepiej działać nawet na wyrost niż potem płakać. Ten typ infekcji może przechwytywać takie dane jak hasła ...

 

Pytałem o to, bo mogła to być świadoma działalność kogoś, i ciekawiło mnie czy taki rootkit dawał dostęp np. do poczty na dysku itp.

 

 

  W dniu 1.10.2012 o 23:20, picasso napisał(a):
I wypowiedz się wyraźnie czy po usunięciu rootkita w MBR + korekcji transferu dysku PIO > DMA nastąpiła wyraźna poprawa w działaniu Windows.

 

Wyraźnie widać, że przestała "skakać" /szarpać mysz - znów porusza się płynnie. Otwiera się też szybciej. Nie zwróciłem tylko uwagi w wyniku którego działania doszło do tego.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
  Cytat
Nie zwróciłem tylko uwagi w wyniku którego działania doszło do tego.

 

Zapewne kombinacja. Rootkit mógł wpływać na zawieszanie systemu i powolne działanie. PIO tylko pogrążyło sprawę (baaardzo wolne operacje i "szarpanie kursorem").

 

Temat ukończony, jeśli nie masz więcej obserwacji / pytań, daj sygnał do zamknięcia.

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...