Skocz do zawartości

Komputer drastycznie zwolnił z dnia na dzień


Rekomendowane odpowiedzi

Witam,

 

Od paru tygodni mam problem z komputerem taty. Otóż jakiś czas temu, z dnia na dzień, drastycznie zwolnił. Każde uruchomienie programu trwa teraz min. 5-10 s, a kliknięcie prawie czegokolwiek skutkuje się zawieszeniem komputera na parę sekund. Szybkość kompa jest tak tragiczna, że korzystanie z niego w normalnym trybie jest praktycznie niemożliwe (w trybie awaryjnym działa OK). Próbowałem już defragmentować dysk, ale bez skutku. Skanowałem też dysk programem HD Tune, który pokazał 1 bad sector (dysk ma 320 GB). Potraktowałem także kompa MBAM'em, który usunął parę wirusów, w tym keyloggera (niestety nie mam loga ze skanu, pamiętam tylko, że logi keyloggera były zapisane w C:\Users\(nazwa usera)\AppData\Roaming). Mimo tego komputer dalej jest nie do użytku.

 

Przypuszczam, że coś w nim głębiej siedzi, ale tu jestem praktycznie bezradny. Dlatego zwracam się o pomoc w "odmuleniu" komputera, jeśli za tym stoją wirusy.

 

Wszystkie potrzebne logi są w załączniku. Będę wdzięczny za każdą pomoc :)

Addition.txt

Extras.Txt

FRST.txt

GMER.txt

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Skanowałem też dysk programem HD Tune, który pokazał 1 bad sector (dysk ma 320 GB).

Ten problem rozwiniesz w nowym temacie założonym w dziale Hardware. Materiały wymagane w dziale Hardware: KLIK.

 

Natomiast w tym temacie zajmę się infekcją, gdyż definitywnie siedzi tu trojan. Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

HKCU\...\Run: [rasautou] - C:\Users\Jarosław\AppData\Roaming\Microsoft\Windows\dllcache\rasautou.exe [582144 2013-11-29] ()
HKCU\...\RunOnce: [rasautou] - "C:\Users\Jarosław\AppData\Roaming\Microsoft\Windows\dllcache\rasautou.exe" [582144 2013-11-29] ()
HKCU\...\Command Processor: "C:\Users\Jarosław\AppData\Roaming\Microsoft\Windows\dllcache\rasautou.exe" 
Startup: C:\Users\Jarosław\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\rasautou.lnk
C:\Users\Jarosław\AppData\Roaming\Microsoft\Windows\dllcache
C:\Users\Jarosław\AppData\Roaming\ver1.dll
AlternateDataStreams: C:\Windows:EC396AC21E5372BE

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. W Google Chrome są martwe wtyczki. Zresetuj cache wtyczek. Otwórz Google Chrome, w pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz.

 

3. Uruchom TFC - Temp Cleaner.

 

4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt.

 

 

 

.

Odnośnik do komentarza

Wszystkie polecenia wykonane (poza czyszczeniem cache wtyczek Chrome'a - Chrome nie działa, tzn. nie wyświetla żadnej strony i w pasku zakładek wszystkie ikonki są puste).

 

Logi Fixlog.txt i FRST.txt są w załączniku. Niepokoi mnie to, że po zrobieniu skryptu przez FRST na pulpicie pojawił się dziwny folder (ukryty) o chińskiej nazwie i rozmiarze 0 bajtów...

Fixlog.txt

FRST.txt

Odnośnik do komentarza

Chrome nie działa, tzn. nie wyświetla żadnej strony i w pasku zakładek wszystkie ikonki są puste).

Zrobisz reinstalację Google Chrome.

 

Niepokoi mnie to, że po zrobieniu skryptu przez FRST na pulpicie pojawił się dziwny folder (ukryty) o chińskiej nazwie i rozmiarze 0 bajtów...

Rzeczywiście, w nowym logu to widać:

 

2013-11-29 13:44 - 2013-12-22 12:18 - 00000000 __SHD C:\Users\Jarosław\Desktop\㩃䙜卒屔畑牡湡楴敮

 

Załączę to na usuwanie, bo tu jeszcze nie koniec. Wpisy trojana nie usunęły się kompletnie.

 

1. Otwórz Notatnik i wklej w nim:

 

HKCU\...\Run: [rasautou] - "C:\Users\Jarosław\AppData\Roaming\Microsoft\Windows\dllcache\rasautou.exe"
HKCU\...\Command Processor: "C:\Users\Jarosław\AppData\Roaming\Microsoft\Windows\dllcache\rasautou.exe"
Startup: C:\Users\Jarosław\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\rasautou.lnk
2013-11-29 13:44 - 2013-12-22 12:18 - 00000000 __SHD C:\Users\Jarosław\Desktop\㩃䙜卒屔畑牡湡楴敮

 

Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8

 

Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Odinstaluj Google Chrome, przy pytaniu o usuwanie danych osobistych potwierdź.

 

3. Ponownie zastosuj TFC - Temp Cleaner.

 

4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt.

 

 

 

.

Odnośnik do komentarza

Akcja wykonana pomyślnie. Zanim podam końcowe kroki wypowiedz się czy jest jakaś zmiana w szybkości pracy systemu oraz potwierdź:

 

 

Czy mam teraz Chrome'a zainstalować jeszcze raz?

Zainstaluj ze świeżo pobranego instalatora i sprawdź czy jest sprawne i nie powtarzają się objawy uprzednio zgłoszone.

 

 

I jeszcze jedna rzecz: w C:\Windows\System32 jest jakiś pusty plik bez rozszerzenia też o chińskiej nazwie (niestety, nie ma go w żadnym z logów FRST, jest w logu OTL w pierwszym poście). Co mam z nim zrobić?

Plik jest pusty, więc raczej nic nie robi. Możesz go usunąć ręcznie. FRST go nie pokazuje, bo plik jest stary, sprzed roku, a skan jest ustawiony na ostatni miesiąc. OTL go widzi, bo wyszukuje pliki Unicode (stary skan pod kątem archaicznej infekcji innego typu).

 

 

 

 

.

Odnośnik do komentarza

Komputer wyraźnie przyspieszył, nie "muli" już tak, jak było przed dezynfekcją. Chiński plik usunąłem z dysku. Niestety, z Chrome nie jest już tak różowo. Zainstalowałem najnowszą wersję i też nie działa. Żadnych stron nie wyświetla (nawet tych z chrome:// na początku), karta się zawiesza na "Ładowanie..." :(

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...