Компьютер сильно тормозит - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - Компьютер сильно тормозит (http://forum.oszone.net/showthread.php?t=316370)

Компьютер сильно тормозит

Приветствую уважаемых коллег!
Компьютеру ребенка два года. К сожалению, он (ПК) от рождения тугодум. Тем не менее, удовлетворительно проработал год под присмотром защитного пакета KIS. После того, как забыли вовремя продлить лицензию, начались проблемы. В основном, это касается браузера и почтового клиента. В браузере очень медленно открываются вкладки, при клике на пустом месте какого-нибудь сайта может открыться посторонняя вкладка или даже новое окно, а вот открытие нужных ссылок зачастую блокируется. Почта тоже работает нестабильно, часто зависая. Вообще, зависают практически все программы. Перед данным обращением на форум выполнено обновление Windows 10 методом восстановления поверх. Все указанные проблемы остались. Прошу помощи знатоков в восстановлении работоспособности компьютера. Логи прилагаю.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin

 TerminateProcessByName('c:\program files (x86)\premieropinion\pmropn.exe');

 TerminateProcessByName('c:\progra~2\premie~1\pmropn32.exe');

 TerminateProcessByName('C:\PROGRA~2\PREMIE~1\pmropn64.exe');

 TerminateProcessByName('c:\program files (x86)\premieropinion\pmservice.exe');

 StopService('PremierOpinion');

 QuarantineFile('c:\program files (x86)\premieropinion\pmropn.exe', '');

 QuarantineFile('c:\progra~2\premie~1\pmropn32.exe', '');

 QuarantineFile('C:\PROGRA~2\PREMIE~1\pmropn64.exe', '');

 QuarantineFile('c:\program files (x86)\premieropinion\pmservice.exe', '');

 QuarantineFile('C:\Users\27972\AppData\Local\UpdateAdmin\UpdateAdmin.exe', '');

 QuarantineFile('C:\Program Files (x86)\TNT2\2.0.0.1995\ietoolbar.dll', '');

 QuarantineFile('C:\PROGRA~3\247c4a81\501d95ee.dll', '');

 DeleteFile('c:\program files (x86)\premieropinion\pmropn.exe', '32');

 DeleteFile('c:\progra~2\premie~1\pmropn32.exe', '32');

 DeleteFile('C:\PROGRA~2\PREMIE~1\pmropn64.exe', '32');

 DeleteFile('c:\program files (x86)\premieropinion\pmservice.exe', '32');

 DeleteFile('C:\Users\27972\AppData\Local\UpdateAdmin\UpdateAdmin.exe', '32');

 DeleteFile('C:\Program Files (x86)\TNT2\2.0.0.1995\ietoolbar.dll', '32');

 DeleteFile('C:\PROGRA~3\247c4a81\501d95ee.dll', '32');

 DeleteService('PremierOpinion');

 DeleteFileMask('c:\program files (x86)\premieropinion', '*', true);

 DeleteFileMask('c:\progra~2\premie~1', '*', true);

 DeleteFileMask('c:\users\27972\appdata\local\updateadmin', '*', true);

 DeleteFileMask('c:\program files (x86)\tnt2', '*', true);

 DeleteFileMask('c:\progra~3\247c4a81', '*', true);

 DeleteDirectory('c:\program files (x86)\premieropinion');

 DeleteDirectory('c:\progra~2\premie~1');

 DeleteDirectory('c:\users\27972\appdata\local\updateadmin');

 DeleteDirectory('c:\program files (x86)\tnt2');

 DeleteDirectory('c:\progra~3\247c4a81');

 DelBHO('{898E8883-5181-4959-B230-E3C01F807653}');

 ExecuteFile('schtasks.exe', '/delete /TN "UpdateAdmin" /F', 0, 15000, true);

 ExecuteFile('schtasks.exe', '/delete /TN "{80EA4C6E-2102-0680-9C6D-7FDB0796CD2B}" /F', 0, 15000, true);

 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'UpdateAdmin');

ExecuteSysClean;

 ExecuteRepair(3);

 ExecuteWizard('SCU', 2, 2, true);

RebootWindows(true);

end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Спасибо, 11-ый, за ответ. Ваши инструкции выполнил.

Файл quarantine.zip отослан с помощью формы.

Отчет о работе ClearLNK и логи прикрепляю.

PS: запутался в логах ClearLNK: если судить по времени создания файла, то нужно прикрепить верхний, если по сути - нижний. Прошу прощения.

Сделайте лог Farbar Recovery Scan Tool.

Выполнено. Файлы FRST.txt, Additional.txt прикреплены.

Файл Shortcut.txt из-за превышения лимита на внешнем источнике:
https://yadi.sk/d/nkzxjtsOt3CoB

Удалите программы:

eShield Browser Security
FlvPlayer
DNSUnlocker

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:

Tcpip\..\Interfaces\{1db4209b-00a7-4763-a63f-6d8371fb4ac5}: [NameServer] 82.163.142.7 95.211.158.134

SearchScopes: HKU\S-1-5-21-2825347086-2981257662-4213469737-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.eshield.com/serp?guid={1ED4791B-A481-4AE8-89EE-AF6F81FDEFAD}&action=default_search&k={searchTerms}

SearchScopes: HKU\S-1-5-21-2825347086-2981257662-4213469737-1000 -> {5FBC36E2-AD3B-4E43-A2BC-E81DD96FE970} URL = hxxp://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=11467

SearchScopes: HKU\S-1-5-21-2825347086-2981257662-4213469737-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=ntg&gp=custom2

Toolbar: HKLM - eShield - {898E8883-5181-4959-B230-E3C01F807653} - C:\Program Files (x86)\TNT2\2.0.0.1995\IEToolbar64.dll No File

FF Plugin HKU\S-1-5-21-2825347086-2981257662-4213469737-1000: @tnt2npapi.com/Plugin -> C:\Users\27972\AppData\Local\TNT2\2.0.0.1995\npTNT2.dll [2015-08-12] (Eshield)

FF Extension: eShield - C:\Users\27972\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\toolbar11467@eshield.com [2015-08-12] [not signed]

FF HKLM-x32\...\Firefox\Extensions: [{C7AE725D-FA5C-4027-BB4C-787EF9F8248A}] - C:\Program Files (x86)\PremierOpinion\firefox => not found

CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=custom2"

CHR Extension: (eShield) - C:\Users\27972\AppData\Local\Google\Chrome\User Data\Default\Extensions\dkmjljdbbgogihjcapfhgkonfmccbffp [2016-05-27]

CHR HKLM-x32\...\Chrome\Extension: [dkmjljdbbgogihjcapfhgkonfmccbffp] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [mkndcbhcgphcfkkddanakjiepeknbgle] - C:\Program Files (x86)\PremierOpinion\pmcm.crx <not found>

2016-06-27 00:21 - 2016-06-27 00:21 - 00768416 _____ (Reimage) C:\Users\27972\Downloads\ReimageRepair.exe

2016-06-26 21:50 - 2016-06-26 21:50 - 00000000 ____D C:\Users\Все пользователи\db7f6d9d-75c1-0

2016-06-26 21:44 - 2016-06-26 21:44 - 00000000 ____D C:\ProgramData\db7f6d9d-02f3-0

2016-06-26 21:44 - 2016-06-26 21:44 - 00000000 ____D C:\ProgramData\{26866dc3-512c-1}

2016-06-26 21:44 - 2016-06-26 21:44 - 00000000 ____D C:\ProgramData\{09b7bbd4-712c-0}

2016-06-26 21:44 - 2016-06-26 21:44 - 00000000 ____D C:\ProgramData\{0162428d-412c-0}

2016-06-26 21:44 - 2016-05-27 00:26 - 00000000 ____D C:\ProgramData\3126b259-3dd3-1

2016-06-26 21:46 - 2016-05-27 00:26 - 00000000 ____D C:\ProgramData\3126b259-4237-0

Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E1527582-8509-4011-B922-29E3FB548882}_is1" /f

CMD: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E1527582-8509-4011-B922-29E3FB548882}_is1" /f /reg:32

CustomCLSID: HKU\S-1-5-21-2825347086-2981257662-4213469737-1000_Classes\CLSID\{898E8883-5181-4959-B230-E3C01F807653}\InprocServer32 -> C:\Program Files (x86)\TNT2\2.0.0.1995\IEToolbar64.dll => No File

Task: {04286734-0F4D-43E1-BE2A-CF0B7DD01ED6} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION

Task: {0AAC9C26-4AAF-4C4D-B90D-2489D61714ED} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION

Task: {0B7BBD80-430A-476D-B678-8EDDCA121BA9} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION

Task: {12B838E5-C1C1-4EA9-8535-D6935A0C9E94} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION

Task: {1BCAB131-35CA-4C39-8B40-A2098BB4F383} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION

Task: {207D6D67-D876-4965-9483-CAC6E342D97E} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION

Task: {4506E1FD-1940-479E-9FE8-5696BE4EF939} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION

Task: {459AFBDA-EC2E-482F-BD05-02DD7F03E868} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION

Task: {90887EF0-1C10-43DD-81D9-03145CBEF6FF} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION

Task: {BF49698C-208E-4ADA-9D68-596C02EFE74B} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION

Task: {EB591647-3C8C-420B-B1CB-C991F132BDC5} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION

Task: {F500A4D5-360F-4335-8DCF-7186F3402AE8} - System32\Tasks\DNSPLUM => dnsplum.exe <==== ATTENTION

FirewallRules: [{867E74C6-BA1E-496C-9941-3EEAAE6A9635}] => (Allow) C:\Users\27972\AppData\Local\TNT2\2.0.0.1995\TNT2User.exe

FirewallRules: [{53A4E74B-F476-4903-A7D6-02B5FCCE3A40}] => (Allow) C:\Program Files (x86)\PremierOpinion\pmropn.exe

FirewallRules: [{A6656C16-9533-45E2-84B2-0D8BFDFFE242}] => (Allow) C:\Program Files (x86)\PremierOpinion\pmropn.exe

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UpdateAdmin

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PremierOpinion

C:\Users\27972\AppData\Local\TNT2

CMD: ipconfig /flushdns

EmptyTemp:

Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.

Уточните, пож-ста, удаление трех вышеуказанных программ это отдельное задание для меня или это делает FRST согласно присланному вами коду?

Цитата:

Цитата KotDevuar

удаление трех вышеуказанных программ это отдельное задание для меня »

Отдельное задание. Вы должно самостоятельно удалить их через установку и удаление программ.

+ уточните, пожалуйста, если кликнуть на ярлык

Код:

C:\Users\27972\Links\Яндекс.Диск.lnk

Яндекс Диск открывается?

+
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

var PathAutoLogger, CMDLine : string;



 begin

   clearlog;

   PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));

   AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);

   SaveLog(PathAutoLogger+'report3.log');

     if FolderIsEmpty(PathAutoLogger+'CrashDumps')

         then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log"'

         else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';

      if FileExists('7za.exe') then ExecuteFile('7za.exe', CMDLine, 0, 180000, false)

         else ExecuteFile('7za.pif', CMDLine, 0, 180000, false);

   AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));

 end.

архив Report.7z из папки с AutoLogger пожалуйста прикрепите к своему сообщению.

1. Все три программы удалены штатными средствами Win10.

2. FRST>Fix - выполнено, отчет прикреплен.

3. Проверен ярлык Яндекс-Диска - работает, папка Яндекс-Диска открывается. Сам Яндекс-Диск открывается кликом по ярлыку в системном трее.

4. AVZ - скрипт выполнен, отчет прикреплен.

Основная проблема ушла - посторонние вкладки и окна Яндекс-браузера больше не открываются. Тормоза тоже ушли, браузер работает значительно быстрей.

Пожалуйста, чтобы бы могли улучшить свои утилиты, посмотрите файл

Код:

C:\Users\27972\Documents\Автосборщик логов\AutoLogger\HijackThis\HiJackThis.log

Есть? Если да, то пришлите его.

+ - выполните такой скрипт в AVZ

Код:

begin

 ClearQuarantineEx(true); 

 QuarantineFile('C:\Users\27972\Links\Яндекс.Диск.lnk', '');

 CreateQurantineArchive(GetAVZDirectory + 'yandex_lnk.zip');

end.

- Файл "yandex_lnk.zip" также прикрепите к сообщению.

Не уверен, что вам понравится моя инициатива, но я специально сделал лог HijackThis - прикреплен.

Прикреплен также отчет AVZ. Что касается yandex_lnk.zip, такой файл не обнаружен.

папку C:\FRST удалите.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var

LogPath : string;

ScriptPath : string;



begin

 LogPath := GetAVZDirectory + 'log\avz_log.txt';

 if FileExists(LogPath) Then DeleteFile(LogPath);

 ScriptPath := GetAVZDirectory +'ScanVuln.txt';



  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin

    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin

       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');

       exit;

      end;

  end;

 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)

end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.

Просьба только тему не забрасывать. Может ещё что-то попросим проверить.
И когда AutoLogger-ом логи собирали никаких ошибок не выскакивало?

+ Пожалуйста, заново скачайте AutoLogger, соберите логи свежим AutoLogger-ом и прикрепите свежий CollectionLog.

Цитата:

Цитата regist

Просьба только тему не забрасывать. Может ещё что-то попросим проверить. »

Ни в коем случае не заброшу. К сожалению, в течение ближайшей недели у меня не будет доступа к зараженному компьютеру, но дальше обязательно продолжим. Зловред вверг меня в такое глубокое уныние, что желание во всем хорошенько разобраться велико. На собственном рабочем ПК у меня защитный пакет Kaspersky Crystal, поэтому никаких проблем никогда не наблюдалось, а вот за этим компом в другом городе не уследил. Так что, прошу извинить меня за вынужденный перерыв.