JeT Opublikowano 30 Września 2012 Zgłoś Udostępnij Opublikowano 30 Września 2012 Spowolnienie komputera, zawieszanie się, niemożność skasowania plików w folderze "Temporary Internet Files" Dzień dobry, mam uciążliwy problem z komputerem, nie wiem dlaczego nie można skasować plików w "Temporary Internet Files": 1. Komputer mimo regularnego usuwania tempów i defragmentacji działa bardzo wolno. Bywa że nawet prosta czynność kopiowana niewielkiego pliku tekstowego zajmuje minuty. Zaczął "szarpać" kursor. 2 Nierzadko się zawiesza, i wymaga restartu przez wyłączenie z prądu. 3. W folderze "Temporary Internet Files" są dziwne pliki, których nie daje się skasować, mimo wywłączania opcji tylko do odczytu. Mają adres zaczynający:np.: res:// C: \ Program Files\Outlook Express \msoeres.dll/frntpage.htm W załączeniu pliki OTL Gemer po pewnym czasie skanowania zawiesza komputer, i nie daje loga. Extras przed.Txt OTL przed.Txt Odnośnik do komentarza
picasso Opublikowano 1 Października 2012 Zgłoś Udostępnij Opublikowano 1 Października 2012 Brak oznak infekcji. Nie został jednak wdrożony skan pod kątem rootkitów, to na wszelki wypadek sprawdź co widzi Kaspersky TDSSKiller. 1. Komputer mimo regularnego usuwania tempów i defragmentacji działa bardzo wolno. Bywa że nawet prosta czynność kopiowana niewielkiego pliku tekstowego zajmuje minuty. Zaczął "szarpać" kursor. 2 Nierzadko się zawiesza, i wymaga restartu przez wyłączenie z prądu. 1. Jest tu bardzo mało miejsca na dysku, a na takim skraweczku defragmentacja może być nieefektywna (i jeszcze pytanie czym defragmentujesz): Drive C: | 34,21 Gb Total Space | 1,84 Gb Free Space | 5,37% Space Free | Partition Type: NTFS 2. Sprawdź tryb transferu dysku, DMA czy PIO: KLIK (ustęp Optymalizacja wydajności HDD i CD/DVD-ROMów - Włączenie DMA). Oceniasz linię "bieżący tryb transferu". 3. Można rozważać czy Avast nie dokłada tu cegły. 4. W Dzienniku zdarzeń niezbyt dużo konkretów, choć zanotowane błędy Adobe Reader (ale to może być skutek a nie przyczyna): Error - 2012-09-25 09:30:52 | Computer Name = DB0SCE82 | Source = Application Hang | ID = 1002Description = Hanging application AcroRd32.exe, version 9.1.0.163, hang module hungapp, version 0.0.0.0, hang address 0x00000000. Pojawił się też jakiś BSOD (to było jednorazowe?): Error - 2012-09-29 11:06:31 | Computer Name = DB0SCE82 | Source = System Error | ID = 1003Description = Error code 00000024, parameter1 001902fe, parameter2 a9481678, parameter3 a9481374, parameter4 f8290d62. 3. W folderze "Temporary Internet Files" są dziwne pliki, których nie daje się skasować, mimo wywłączania opcji tylko do odczytu.Mają adres zaczynający:np.: res:// C: \ Program Files\Outlook Express \msoeres.dll/frntpage.htm W podanym przykładzie nie widzę nic dziwnego. Przykład ten mówi, że był uruchamiany Outlook Express i jego strona startowa. Dopóki będzie startowany, pliki będą regenerowane. Do czyszczenia Tempów możesz zastosować TFC - Temp Cleaner. . Odnośnik do komentarza
JeT Opublikowano 1 Października 2012 Autor Zgłoś Udostępnij Opublikowano 1 Października 2012 Nie został jednak wdrożony skan pod kątem rootkitów, to na wszelki wypadek sprawdź co widzi Kaspersky TDSSKiller. Ten program wykazał że jest malware: Rootkit.Boot.Sinowal.b na \Device\Harddisk\DR0 Zgodnie z zaleceniami podanym w tamtym poście nie podjąłem żadnych działań choć Kaspersky nakazał "cure". 1. Jest tu bardzo mało miejsca na dysku, a na takim skraweczku defragmentacja może być nieefektywna (i jeszcze pytanie czym defragmentujesz): Defragmentacja robiona jest Puran Defrag (z opcją Boot...) Miewałem nawet o połowę mniej wolnego miejsca i defragmentacja udawała się, i chodziło znacznie szybciej/inaczej 2. Sprawdź tryb transferu dysku, DMA czy PIO: KLIK (ustęp Optymalizacja wydajności HDD i CD/DVD-ROMów - Włączenie DMA). Oceniasz linię "bieżący tryb transferu". W bieżącym trybie transferu jest PIO - ale nie ma możliwości przestawienia w tym kanale (możność zmiany jest tylko w kanale trybu transferu0 W podanym przykładzie nie widzę nic dziwnego. Przykład ten mówi, że był uruchamiany Outlook Express i jego strona startowa. Dopóki będzie startowany, pliki będą regenerowane. Do czyszczenia Tempów możesz zastosować TFC - Temp Cleaner. Tu nie chodzi o regenerowanie się serii takich plików, ale o to że choć są w tempach to ok. 30 takich plików sprzed kilku tygodni jest niekasowalnych. Jak się podobne pliki pojawiają teraz, to bez problemu się je da skasować. Odnośnik do komentarza
picasso Opublikowano 1 Października 2012 Zgłoś Udostępnij Opublikowano 1 Października 2012 Przenosimy się z powrotem do malware, bo jednak to ta sprawa. Ten program wykazał że jest malware: Rootkit.Boot.Sinowal.b na \Device\Harddisk\DRO Zgodnie z zaleceniami podanym w tamtym poście nie podjąłem żadnych działań choć Kaspersky nakazał "cure". Zgodnie z sugestią programu wybierz Cure i zresetuj system. Na dysku C powstanie log z leczenia, dołącz. I spróbuj jeszcze raz podjąć się próby zrobienia GMER. Tu nie chodzi o regenerowanie się serii takich plików, ale o to że choć są w tempach to ok. 30 takich plików sprzed kilku tygodni jest niekasowalnych. Zastosuj TFC - Temp Cleaner. . Odnośnik do komentarza
JeT Opublikowano 1 Października 2012 Autor Zgłoś Udostępnij Opublikowano 1 Października 2012 Zgodnie z sugestią programu wybierz Cure i zresetuj system. Na dysku C powstanie log z leczenia, dołącz. I spróbuj jeszcze raz podjąć się próby zrobienia GMER. 1. Zrobiłem jak nakazał Kaspersky. Log w załączeniu. 1a) Kiedy zajrzałem do tego loga, komputer się zawiesił - pokazał się niebieski ekran. Musiałem restartować przez wyłączenie z prądu. 2. Gmer chodził długo, ale potem się zawiesił i też pojawił się niebieski ekran. I znów musiałem restartować przez wyłączenie z prądu. Zmieniony plik. TDSSKiller_log.txt Odnośnik do komentarza
picasso Opublikowano 1 Października 2012 Zgłoś Udostępnij Opublikowano 1 Października 2012 Czy zastosowałeś TFC - Temp Cleaner? I jeszcze tak patrzę w Twój log OTL Extras, tam podejrzanie goło w kluczach Zapory systemu Windows, dodaj log z Farbar Service Scanner. . Odnośnik do komentarza
JeT Opublikowano 1 Października 2012 Autor Zgłoś Udostępnij Opublikowano 1 Października 2012 Jeszcze nie zastosowałem TFC Ale na piechotę te stare pliki (z czasu kiedy chyba pojawiły się problemy) nadal nie dają się usunąć. Okazało się że jako jedyne nie znikały przy regularnym stosowaniu ATF-Cleanera. w załączeniu FSS FSS .txt Odnośnik do komentarza
picasso Opublikowano 1 Października 2012 Zgłoś Udostępnij Opublikowano 1 Października 2012 Jeszcze nie zastosowałem TFCAle na piechotę te stare pliki (z czasu kiedy chyba pojawiły się problemy) nadal nie dają się usunąć. Dlatego mówię o użyciu tego szczególnego narzędzia (zabija procesy + stosuje technikę usuwania przy restarcie). Zastosuj od razu i podaj nie budzące wątpliwości wyniki. w załączeniu FSS Podejrzenia się sprawdziły. W systemie brakuje usług Centrum zabezpieczeń + Zapora systemu Windows. Zrób i zaimportuj pliki REG na podstawie instrukcji: KLIK. Zresetuj system. . Odnośnik do komentarza
JeT Opublikowano 1 Października 2012 Autor Zgłoś Udostępnij Opublikowano 1 Października 2012 Dlatego mówię o użyciu tego szczególnego narzędzia (zabija procesy + stosuje technikę usuwania przy restarcie). Zastosuj od razu i podaj nie budzące wątpliwości wyniki. Zastosowałem. Usunęło te pliki. Jakie podać wyniki? Loga nie widzę. Odnośnik do komentarza
picasso Opublikowano 1 Października 2012 Zgłoś Udostępnij Opublikowano 1 Października 2012 Z tego nie ma raportu, niemniej nie muszę sprawdzać, wiem co narzędzie robi i wystarczy mi Twoje potwierdzenie skuteczności usunięcia plików. Czy wykonałeś również rekonstrukcję brakujących usług? W bieżącym trybie transferu jest PIO - ale nie ma możliwości przestawienia w tym kanale To jest przyczyna mulenia. Z prawokliku na ten kanał odinstaluj go i zresetuj system. Windows przebuduje urządzenie i przypisze DMA. . Odnośnik do komentarza
JeT Opublikowano 1 Października 2012 Autor Zgłoś Udostępnij Opublikowano 1 Października 2012 Czy wykonałeś również rekonstrukcję brakujących usług? Mam nadzieję że rekonstrukcję zrobiłem poprawnie. tzn. jedno przez fix.reg, drugie przez narzędzie.wscfix. To jest przyczyna mulenia. Z prawokliku na ten kanał odinstaluj go i zresetuj system. Windows przebuduje urządzenie i przypisze DMA. Nie bardzo wiem jak to zrobić i gdzie? Odnośnik do komentarza
picasso Opublikowano 1 Października 2012 Zgłoś Udostępnij Opublikowano 1 Października 2012 Mam nadzieję że rekonstrukcję zrobiłem poprawnie. tzn. jedno przez fix.reg, drugie przez narzędzie.wscfix. Mówiłam o plikach REG, czyli Centrum też poprzez import klucza, to automatyczne narzędzie naprawcze nie gwarantuje pełnej rekonstrukcji. Gdzieś tu nawet był na forum temat, w którym po jego użyciu nadal były braki w kluczu usługi. Nie bardzo wiem jak to zrobić i gdzie? Jak to? Przecież wytypowałeś wyraźnie kanał na którym jest PIO. Czyli: w menu Widok ustaw Urządzenia wg połączeń, rozwiń gałęzie aż do kanałów IDE, klikasz prawym na dany kanał, na którym jest dysk twardy z bieżącym trybem PIO, z menu kontekstowego wybierasz opcję Odinstaluj. Restart systemu. . Odnośnik do komentarza
JeT Opublikowano 1 Października 2012 Autor Zgłoś Udostępnij Opublikowano 1 Października 2012 Mówiłam o plikach REG, czyli Centrum też poprzez import klucza, to automatyczne narzędzie naprawcze nie gwarantuje pełnej rekonstrukcji. Gdzieś tu nawet był na forum temat, w którym po jego użyciu nadal były braki w kluczu usługi. Ok. to drugie zrobiłem też przez fix.reg. Przecież wytypowałeś wyraźnie kanał na którym jest PIO. Czyli: w menu Widok ustaw Urządzenia wg połączeń, rozwiń gałęzie aż do kanałów IDE, klikasz prawym na dany kanał, na którym jest dysk twardy z bieżącym trybem PIO, z menu kontekstowego wybierasz opcję Odinstaluj. Restart systemu. Zrobiłem już. Ale teraz nadal nie ma tam opcji zmiany. Z tym że w polu (0) bieżący transfer (gdzie było PIO) jest "Ultra DMA Mode 5" A przy drugim (1) jest jak było "Ultra DMA Mode 2". Odnośnik do komentarza
picasso Opublikowano 1 Października 2012 Zgłoś Udostępnij Opublikowano 1 Października 2012 Z tym że w polu (0) bieżący transfer (gdzie byłoPIO) jest "Ultra DMA Mode 5" Sprawa jest rozwiązana, PIO skorygowane do DMA. Po tej operacji powinna się poprawić operatywność Windows, potwierdź to. Z całości tematu wynika, że przechodzimy już do wykończeń: 1. Popraw sobie usługę Centrum zabezpieczeń tym plikiem REG. 2. Skasuj z dysku GMER, OTL i TDSSKiller oraz jego folder C:\TDSSKiller_Quarantine. 3. Zaktualizuj wyliczone poniżej aplikacje: KLIK. Wersje widziane aktualnie w systemie: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 20"{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1.1 - Polish"{D9226EB1-C528-48AC-B423-BD9240E1F60B}" = Opera 9.62"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)"Gadu-Gadu" = Gadu-Gadu 7.6"Mozilla Firefox 9.0.1 (x86 pl)" = Mozilla Firefox 9.0.1 (x86 pl) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_4_402_265.dll () Gadu-Gadu 7.6 jest tu zakreślone z następujących powodów: brak pełnej obsługi własnej sieci + niski poziom zabezpieczeń (brak szyfrowania). Jeśli szukasz lekkiej nowoczesnej alternatywy z obsługą sieci Gadu, to polecam WTW. Pełny opis komunikatora: KLIK. 4. Prewencyjnie zmień hasła logowania w serwisach. . Odnośnik do komentarza
JeT Opublikowano 1 Października 2012 Autor Zgłoś Udostępnij Opublikowano 1 Października 2012 Sprawa jest rozwiązana, PIO skorygowane do DMA. Po tej operacji powinna się poprawić operatywność Windows, potwierdź to. Z całości tematu wynika, że przechodzimy już do wykończeń: 1. Popraw sobie usługę Centrum zabezpieczeń tym plikiem REG. 2. Skasuj z dysku GMER, OTL i TDSSKiller oraz jego folder C:\TDSSKiller_Quarantine Już zrobiłem 4. Prewencyjnie zmień hasła logowania w serwisach. Ważne dla mnie pytanie. Czy to tylko prewencyjnie, czy ten rootkit i te niekasowalne pliki dostępu do outlooka oznaczały że ktoś mógł w ten sposób mieć dostęp do zawartości kompa? Odnośnik do komentarza
picasso Opublikowano 1 Października 2012 Zgłoś Udostępnij Opublikowano 1 Października 2012 Prewencyjnie, ponieważ nie jestem w stanie przewidzieć co malował rootkit w MBR, lepiej działać nawet na wyrost niż potem płakać. Ten typ infekcji może przechwytywać takie dane jak hasła ... I wypowiedz się wyraźnie czy po usunięciu rootkita w MBR + korekcji transferu dysku PIO > DMA nastąpiła wyraźna poprawa w działaniu Windows. . Odnośnik do komentarza
JeT Opublikowano 1 Października 2012 Autor Zgłoś Udostępnij Opublikowano 1 Października 2012 Prewencyjnie, ponieważ nie jestem w stanie przewidzieć co malował rootkit w MBR, lepiej działać nawet na wyrost niż potem płakać. Ten typ infekcji może przechwytywać takie dane jak hasła ... Pytałem o to, bo mogła to być świadoma działalność kogoś, i ciekawiło mnie czy taki rootkit dawał dostęp np. do poczty na dysku itp. I wypowiedz się wyraźnie czy po usunięciu rootkita w MBR + korekcji transferu dysku PIO > DMA nastąpiła wyraźna poprawa w działaniu Windows. Wyraźnie widać, że przestała "skakać" /szarpać mysz - znów porusza się płynnie. Otwiera się też szybciej. Nie zwróciłem tylko uwagi w wyniku którego działania doszło do tego. Odnośnik do komentarza
picasso Opublikowano 1 Października 2012 Zgłoś Udostępnij Opublikowano 1 Października 2012 Nie zwróciłem tylko uwagi w wyniku którego działania doszło do tego. Zapewne kombinacja. Rootkit mógł wpływać na zawieszanie systemu i powolne działanie. PIO tylko pogrążyło sprawę (baaardzo wolne operacje i "szarpanie kursorem"). Temat ukończony, jeśli nie masz więcej obserwacji / pytań, daj sygnał do zamknięcia. . Odnośnik do komentarza
JeT Opublikowano 1 Października 2012 Autor Zgłoś Udostępnij Opublikowano 1 Października 2012 (edytowane) Jeśli pozwolisz sprawdzę jeszcze wszystko na spokojnie jutro i wtedy się odezwę. Dziękuję i życzę Dobrej nocy. Edytowane 30 Października 2012 przez picasso 30.10.2012 - Prawie miesiąc upłynął, nie zgłaszasz problemów, temat zamykam. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi