Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows 7 (http://forum.oszone.net/forumdisplay.php?f=95)
-   -   Резкое замедление работы Windows 7 и загрузки программ (http://forum.oszone.net/showthread.php?t=237327)

Vadimius 26-06-2012 10:50 1940645
Резкое замедление работы Windows 7 и загрузки программ
 
Приветствую.
Возникла проблема следующего характера. При включении компьютера загрузка происходит с обычной скоростью до появления окна выбора пользователя и входа в систему. После выбора пользователя и ввода пароля до загрузки рабочего стола уже проходит минут 7-10. Дальше запуск любой программы занимает очень много времени - минут 10-15. Аналогично производит и при попытке закрытия программы - ее окно висит еще минут 10-15. Копирование файлов, в том числе с системного диска, происходит с обычной скоростью. Никаких синих экранов смерти или сообщений об ошибках нет.
За день перед возникновением этой проблемы была запущена дефрагментация, закончилась нормально - без ошибок и прерываний.
Подозреваемые: системный жесткий диск и ОС Windows 7.
Пробовал сделать откат ОС на более раннюю дату, не удалось. После окончания процедуры (очень длительной) появилось сообщение о неудаче. Запускал встроенные средства Windows 7 для проверки накопителей. На системном проблем не обнаружено.
Как быть?

Morpheus 26-06-2012 10:53 1940649
Как определить, является проблема системной или вызвана сторонним приложением/службой?

Vadimius 26-06-2012 13:03 1940716
Итак. Сделал согласно инструкции. После отключения всех служб (кроме МС) и программ автозагрузки проблема не исчезла. Все равно загрузка происходит крайне медленно. Но в безопасном режиме все работате отлично. Загрузка быстрая, программы грузятся нормально. Если я правильно понял, то это проблема именно с ОС, а не со сторонними службами и программами. Правильно? ЧТо делать дальше?

okshef 26-06-2012 13:19 1940729
Как раз наоборот - с программами и службами.

Vadimius 26-06-2012 13:25 1940735
Так ведь когда я их все отключил, проблема не исчезла.

Vadikan 26-06-2012 13:32 1940743
Vadimius, давайте убедимся в отсутствии вирусов. См. Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему.

2mods: верните в 7, если чисто.

Vadimius 15-07-2012 17:04 1952185
И снова здравствуйте. Был в отъезде 2 недели, только вчера смог добраться к компьютеру.

Итак. Сделал LiveCD с доктором Вебом и проверил систему. Козявок не обнаружено. Устроил проверки в соответствии с указаниями в теме "Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему.". Логи прилагаю.

Однако, возможно это важно. Запустить систему в нормальном режиме не удается. Потому эти проверки осуществлялись из безопасного режима, который работоспособен. Не повлияло ли это на достоверность данных в логах?

И еще, возможно важно. При запуске безопасного режима происходит замедление или полная остановка загрузки при загрузке файла classpnp.sys. Нашел информацию, что это может лечиться изменением параметров SATA в BIOS. Мне это не помогло, обновление драйверов к материнской плате и SATA тоже не помогло.

iskander-k 15-07-2012 18:53 1952229
• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

iskander-k 15-07-2012 19:11 1952235
Временно отключите:
Антивирус/Файерволл



Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
 QuarantineFile('C:\Users\Вадим\AppData\Local\Temp\2A767B70-67A9A81D-8AC0A62D-48AE6FD8\mgrx9daa.exe','');
 QuarantineFile('C:\Users\Вадим\AppData\Local\Temp\2A767B70-67A9A81D-8AC0A62D-48AE6FD8\qukndndo.exe','');
 QuarantineFile('C:\Windows\Scr2C3E.tmp','');
 QuarantineFile('C:\Windows\tmp2AB7.tmp','');
 QuarantineFile('C:\Windows\ScrD1B.tmp','');
 QuarantineFile('C:\Windows\tmpCEB.tmp','');
 QuarantineFile('C:\Windows\ScrEC0.tmp','');
 QuarantineFile('C:\Windows\tmpDD5.tmp','');
 QuarantineFile('C:\Windows\Scr32E3.tmp','');
 QuarantineFile('C:\Windows\tmp3072.tmp','');
 QuarantineFile('C:\Windows\ScrEF20.tmp','');
 QuarantineFile('C:\Windows\tmpEDB8.tmp','');
 QuarantineFile('C:\Windows\Scr8852.tmp','');
 QuarantineFile('C:\Windows\tmp8767.tmp','');
 QuarantineFile('C:\Windows\ScrCBE7.tmp','');
 QuarantineFile('C:\Windows\tmpCB4A.tmp','');
 QuarantineFile('C:\Windows\Scr8508.tmp','');
 QuarantineFile('C:\Windows\tmp83FE.tmp','');
 DeleteFile('C:\Windows\tmp83FE.tmp');
 DeleteFile('C:\Windows\Scr8508.tmp');
 DeleteFile('C:\Windows\tmpCB4A.tmp');
 DeleteFile('C:\Windows\ScrCBE7.tmp');
 DeleteFile('C:\Windows\tmp8767.tmp');
 DeleteFile('C:\Windows\Scr8852.tmp');
 DeleteFile('C:\Windows\tmpEDB8.tmp');
 DeleteFile('C:\Windows\ScrEF20.tmp');
 DeleteFile('C:\Windows\tmp3072.tmp');
 DeleteFile('C:\Windows\Scr32E3.tmp');
 DeleteFile('C:\Windows\tmpDD5.tmp');
 DeleteFile('C:\Windows\tmpCEB.tmp');
 DeleteFile('C:\Windows\ScrEC0.tmp');
 DeleteFile('C:\Windows\ScrD1B.tmp');
 DeleteFile('C:\Windows\tmp2AB7.tmp');
 DeleteFile('C:\Windows\Scr2C3E.tmp');
 DeleteFile('C:\Users\Вадим\AppData\Local\Temp\2A767B70-67A9A81D-8AC0A62D-48AE6FD8\mgrx9daa.exe');
 DeleteFile('C:\Users\Вадим\AppData\Local\Temp\2A767B70-67A9A81D-8AC0A62D-48AE6FD8\qukndndo.exe');
  RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Doctor Web\Dr.Web Engine','EventMessageFile');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Doctor Web\DrWebARKDaemon','EventMessageFile');
 RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
 AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'Software\Microsoft\Windows\CurrentVersion\Run'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему и её название.

Vadimius 16-07-2012 10:04 1952607
Цитата:
Цитата iskander-k
Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в сообщение. »
Готово

Цитата:
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Версия базы данных: v2012.07.15.08

Windows 7 Service Pack 1 x64 NTFS (Безопасный режим с поддержкой сети)
Internet Explorer 9.0.8112.16421
Вадим :: POSEYDON7 [администратор]

16.07.2012 07:23:54
mbam-log-2012-07-16 (07-23-54).txt

Тип сканирования: Полное сканирование (C:\|)
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты: 681063
Времени прошло: 1 часов , 36 минут , 30 секунд

Обнаруженные процессы в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные модули в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре: 0
(Вредоносных программ не обнаружено)

Обнаруженные параметры в реестре: 0
(Вредоносных программ не обнаружено)

Объекты реестра обнаружены: 0
(Вредоносных программ не обнаружено)

Обнаруженные папки: 0
(Вредоносных программ не обнаружено)

Обнаруженные файлы: 0
(Вредоносных программ не обнаружено)

(конец)

Vadimius 16-07-2012 10:20 1952619
Цитата:
Цитата iskander-k
Временно отключите:
Антивирус/Файерволл
• Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему и её название. »
Сделано.

alex_sev 16-07-2012 13:08 1952721
сделайте повторный комплект логов AVZ & RSIT

+
  • Загрузите SecurityCheck by screen317 отсюда или отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt;
  • Прикрепите файл к следующему сообщению.
Подробнее читайте в руководстве.

Vadimius 16-07-2012 14:09 1952759
Готово.

alex_sev 16-07-2012 15:05 1952794
Этот прокси Вам известен - 195.96.85.61:8080?

Если нет то пофиксите в HJT:

Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 195.96.85.61:8080
так же пофиксите:

Код:
R3 - URLSearchHook: (no name) -  - (no file)
обновляем уязвимый софт:

Java(TM) - ссылка
Adobe Reader - ссылка
Mozilla Firefox - ссылка
Mozilla Thunderbird - ссылка
Google Chrome - ссылка

Vadimius 16-07-2012 16:04 1952840
Указанное пофиксил. Установить обновления не могу в безопасном режиме, а обычный режим все еще не удается загрузить. В принципе, везде стоит автоматическая установка обновлений, так что эти программы должны быть последних версий.

Как быть дальше?

alex_sev 16-07-2012 17:04 1952899
Скачайте ComboFix здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

+

Сделайте лог OTL by OldTimer

Vadimius 16-07-2012 18:24 1952967
Готово. Только антивирус не смог отключить. Не нашел его в процессах. Но зависаний не было.

alex_sev 16-07-2012 21:54 1953091
  • Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  • В окно Custom Scans/Fixes скопируйте следующую информацию:

    Код:
    :processes

    :OTL
    [2012.06.26 12:37:00 | 000,000,000 | ---D | C] -- C:\Windows\Scr2C3E.bak
    [2012.06.26 11:36:32 | 000,000,000 | ---D | C] -- C:\Windows\ScrD1B.bak
    [2012.06.25 20:55:02 | 000,000,000 | ---D | C] -- C:\Windows\ScrEC0.bak
    [2012.06.24 19:32:50 | 000,000,000 | ---D | C] -- C:\Windows\Scr32E3.bak
    [2012.06.24 19:11:25 | 000,000,000 | ---D | C] -- C:\Windows\ScrEF20.bak
    [2012.06.24 15:05:45 | 000,000,000 | ---D | C] -- C:\Windows\Scr8852.bak
    [2012.06.24 14:50:14 | 000,000,000 | ---D | C] -- C:\Windows\ScrCBE7.bak
    [2012.06.24 13:37:40 | 000,000,000 | ---D | C] -- C:\Windows\Scr8508.bak
    @Alternate Data Stream - 153 bytes -> C:\ProgramData\TEMP:07BF512B
    @Alternate Data Stream - 144 bytes -> C:\ProgramData\TEMP:A064CECC
    @Alternate Data Stream - 131 bytes -> C:\ProgramData\TEMP:41ADDB8A
    :Services

    :Files

    autorun.inf /alldrives
    recycler /alldrives
    ipconfig /flushdns /c
    :Reg
    :Commands
    [EMPTYJAVA]
    [EMPTYFLASH]
    [purity]
    [Reboot]
  • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"



Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Vadimius 17-07-2012 11:11 1953377
Цитата:
Цитата alex_sev
Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.
После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
Готово:
Код:
========== PROCESSES ==========
========== OTL ==========
C:\Windows\Scr2C3E.bak folder moved successfully.
C:\Windows\ScrD1B.bak folder moved successfully.
C:\Windows\ScrEC0.bak folder moved successfully.
C:\Windows\Scr32E3.bak folder moved successfully.
C:\Windows\ScrEF20.bak folder moved successfully.
C:\Windows\Scr8852.bak folder moved successfully.
C:\Windows\ScrCBE7.bak folder moved successfully.
C:\Windows\Scr8508.bak folder moved successfully.
ADS C:\ProgramData\TEMP:07BF512B deleted successfully.
ADS C:\ProgramData\TEMP:A064CECC deleted successfully.
ADS C:\ProgramData\TEMP:41ADDB8A deleted successfully.
========== SERVICES/DRIVERS ==========
========== FILES ==========
autorun.inf not found in C:\
autorun.inf not found in D:\
autorun.inf not found in E:\
autorun.inf not found in F:\
autorun.inf not found in H:\
recycler not found in C:\
recycler not found in D:\
recycler not found in E:\
recycler not found in F:\
recycler not found in H:\
< ipconfig /flushdns /c >
No captured output from command...
C:\Users\Вадим\Desktop\cmd.bat deleted successfully.
========== REGISTRY ==========
========== COMMANDS ==========
 
[EMPTYJAVA]
 
User: Admin
->Java cache emptied: 0 bytes
 
User: All Users
 
User: Application Data
 
User: Default
 
User: Default User
 
User: Public
 
User: UpdatusUser
 
User: Vadim.Poseydon7
->Java cache emptied: 0 bytes
 
User: *䨬
 
User: Вадим
->Java cache emptied: 7736836 bytes
 
User: Все пользователи
 
User: ‚*¤Ё¬
 
User: ┬рфшь
 
User: �����
 
Total Java Files Cleaned = 7,00 mb
 
 
[EMPTYFLASH]
 
User: Admin
->Flash cache emptied: 57360 bytes
 
User: All Users
 
User: Application Data
 
User: Default
->Flash cache emptied: 56466 bytes
 
User: Default User
->Flash cache emptied: 0 bytes
 
User: Public
 
User: UpdatusUser
->Flash cache emptied: 56502 bytes
 
User: Vadim.Poseydon7
->Flash cache emptied: 56502 bytes
 
User: *䨬
 
User: Вадим
->Flash cache emptied: 232758 bytes
 
User: Все пользователи
 
User: ‚*¤Ё¬
 
User: ┬рфшь
 
User: �����
 
Total Flash Files Cleaned = 0,00 mb
 
 
OTL by OldTimer - Version 3.2.54.0 log created on 07172012_090140

Цитата:
Цитата alex_sev
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
Не получилось. Пишет: "Не удалось найти Combofix. Проверьте, правильно ли указано имя и повторите попытку". Хотя на рабочем столе вижу Combofix. Пробовал копировать название самого файла, чтобы исключить неправильность написания, менял регистр букв, ничего не помогло.


Цитата:
Цитата alex_sev
Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up
Сделано.

После последнего пункта и перезагрузки система перестала видеть системный диск. Вылечил отключением и включением кабелей к нему в корпусе.

alex_sev 17-07-2012 13:49 1953489
Есть ли изменения в работе системы?

Vadimius 17-07-2012 13:54 1953493
Нет. По-прежнему, доступен для работы только безопасный режим, полноценно зайти в обычный режим не получается из-за слишком долгой загрузки ОС после выбора пользователя.

Думаю, нужно снова переносить тему в Windows 7.

alex_sev 17-07-2012 15:04 1953541
Мне вот это не нравится:

Код:
User: *䨬
 
User: ‚*¤Ё¬
 
User: ┬рфшь
 
User: �����
поставьте на ваши учетные записи сложные пароли, поставьте все обновления ОС и удалите лишних пользователей.

Vadimius 17-07-2012 18:54 1953737
В системе имеется 3 учетные записи, но в папке пользователей есть еще и такие. Их можно просто удалить через проводник?

У всех пользователей разные пароли и достаточно сложные.

iskander-k 17-07-2012 20:17 1953804
Переношу обратно..

Petya V4sechkin 18-07-2012 07:55 1954027
Цитата:
Цитата Vadimius
система перестала видеть системный диск. Вылечил отключением и включением кабелей к нему в корпусе
Сделайте проверку/диагностику диска.

Посмотрите S.M.A.R.T.-информацию, например с помощью HD Tune (вкладка Health). Особое внимание к параметрам "Reallocated Sector Count", "Current Pending Sector", "Ultra DMA CRC Error Count". Можете скриншот сделать или скопировать в текстовом виде.


Время: 23:12.

Время: 23:12.
© OSzone.net 2001-