Wirus spowalniający pracę systemu windows

Dla specjalistów Bezpieczeństwo
#1

Witam wszystkich forumowiczów,

Podejrzewam wirusa, proszę o pomoc, nie mam pojęcia o co może chodzić:

  1. Jakieś dwa tygodnie temu komputer po uruchomieniu bardzo powoli chodził do tego stopnia, że nie mogłem wykonać zaznaczania plików na pulpicie obwiednią (naciskając i przytrzymując lewy przycisk myszy można zaznaczyć większą ilość plików - nie do zrobienia, mocno rwało). Po próbie zaznaczania, a właściwie w takcie gdy następowało zacięcie, system wystosował komunikat, “czy chcesz zmienić schemat kolorów aby zwiększyć wydajność” z 3 opcjami do wyboru:
  • zmień schemat kolorów
  • nie zmieniaj
  • nie zmieniaj i nie pytaj ponownie
    Po wyborze pierwszej opcji - zmianie schematów kolorów system działał płynnie.
    Po ponownym uruchomieniu komputera problem się powtarzał.
    Przeskanowałem system programami antywirusowymi, wyczyściłem rejestry, zrobiłem oczyszczenie dysku i zajrzałem do msconfig->Uruchamianie czy nie ma czegoś z nietypową nazwą, nie było.
    Problem zniknął, natomiast wiersz poleceń MS-DOS pojawia się i natychmiast znika i nadal nie mogę uruchomić aktualnej wersji programu ComboFix - co jest symptomem zawirusowanego systemu z mojego doświadczenia . Spadła też prędkość internetu o połowę, ale to chyba nie jest związane z wirusem - nie spotkałem się z czymś takim.

Sprzęt, na którym pracuję:
Komputer stacjonarny:
Procesor: Intel i7-6700K CPU 4.00 GHz
RAM: 32,0 GB
System: Win 7 64 bit
Karta graficzna: NVIDIA GeForce GTX 970
Dysk twardy: Samsung SSD 850 EVO
Aktualny indeks wydajności systemu Windows 7,8 pkt.

Poniżej zamieszczam raporty z programu FRST wersja 14-12-2020:
Raport FRST
FRST.txt (38,2 KB)
Raport Addition
Addition.txt (55,2 KB)
Raport Shortcut
Shortcut.txt (65,5 KB)

Będę bardzo wdzięczny za pomoc w zdiagnozowaniu kondycji systemu.

1 polubienie
#2

Witaj @obi_11 na Forum DobreProgramy

Masz wprowadzone niewielkie zmiany, ale nie mogę jednoznacznie stwierdzić, że są one źródłem problemów, które opisujesz.
Zastosujemy kilka programów, aby przeskanować system.

  1. Pobierz ten plik i zapisz w katalogu z FRST, tzn. D:\Programy\FRST
    fixlist.txt (1,2 KB)
    “Plik naprawczy został utworzony tylko dla Ciebie, nie należy go stosować na innym komputerze”
  2. Uruchom FRST i kliknij Napraw, program wyłączy niepotrzebne procesy, zrobi Punkt Przywracania i zacznie pracę.
  3. Po restarcie wklej plik wynikowy.
  4. Pobierz ADWCleaner
  5. Uruchom z Uprawnieniami Administratora, uruchom skanowanie.
    Jeśli znajdzie linie z Preinstalled to odznacz, resztę oczyść
  6. Wklej plik wynikowy.
#3

Witaj iJuliusz
Dziękuję za podjęcie tematu.
Opisuję co się stało:
Wkleiłem plik tekstowy do wskazanego folderu.
Zostawiłem włączony tylko program FRST.
Wcisnąłem przycisk Napraw.
W trakcie naprawiania wyskoczył komunikat:
"Program Farbar Recovery Scan Tool przestał działać.
System Windows może wyszukać rozwiązanie tego problemu w trybie online.

  • Wyszukaj rozwiązane online i zamknij program
  • Zamknij program"
    Wybrałem opcję “Zamknij program”.
    Poniżej plik wynikowy po naprawie:
    Fixlog.txt (3,8 KB)

Następnie pobrałem, uruchomiłem adwcleaner.
Nic nie znalazł, pojawił się komunikat:
“Nie wykryto żadnych elementów w Twoim systemie.
Opcjonalnie możesz uruchomić naprawę podstawową (Basic Repair), która zresetuje Winsock i inne ustawienia do domyślnych.”
Wybrałem uruchom naprawę podstawową.

Okno MS-DOS funkcjonuje teraz poprawnie, ale Combofix nadal nie chce się uruchomić.
Wróciła też normalna prędkość internetu.

#4

Proponuję teraz przeskanować MBAM

  • Pobierz MalwareBytes MBAM
  • Zamknij wszystkie aktywne programy i przeglądarki.
  • Zainstaluj MBAM, zaznacz na końcu, aby uruchomił się po zakończeniu instalacji.
  • Wejdź w Ustawienia w Prawym górnym rogu
  • Zakładka Bezpieczeństwo
  • W Opcjach skanowania zaznacz trzy pierwsze z czterech dostępnych
  • Wróć do Głównego Menu
  • Rozpocznij skanowanie, po przeskanowaniu oczyść to co znajdzie, wklej plik wynikowy.
#5

Coś znalazł.
Poniżej plik wynikowy. Jest zatytuowany"2 plik wynikowy", ponieważ zawiera informacje o plikach dodanych do kwarantanny. Pierwszy raport jest po skanowaniu, bez kwarantanny.
2 plik wynikowy.txt (1,7 KB)

#6

Dziękuję

Teraz uruchom i przeskanuj RogueKiller
Wstaw plik wynikowy

Potem przeskanuj FRST i wstaw logi do wglądu

#7

To ja dziękuję.
Ten też coś znalazł.
Poniżej plik wynikowy z RougeKiller przed usunięciem tego co znalazł.
Raport 1.txt (2,7 KB)
Plik po usunięciu tego co znalazł.
Raport 2.txt (1,7 KB)

Raporty z FRST:
FRST.txt (39,7 KB)
Addition.txt (57,1 KB)
Shortcut.txt (66,2 KB)

1 polubienie
#8

Kolejny plik naprawczy

  1. Pobierz ten plik i zapisz w katalogu z FRST, tzn. D:\Programy\FRST
    fixlist.txt (658 bajtów)
    “Plik naprawczy został utworzony tylko dla Ciebie, nie należy go stosować na innym komputerze”

  2. Uruchom FRST i kliknij Napraw, program wyłączy niepotrzebne procesy, zrobi Punkt Przywracania i zacznie pracę.

  3. Po restarcie wklej plik wynikowy.

  4. Błąd w Dzienniku Zdarzeń, siedzi w Windows 7
    Event filter with query "SELECT * FROM __InstanceModificationEvent
    Naprawisz plikiem MicrosoftFixit50688.msi
    Kliknij w Download, może wyskoczyć dodatkowe okno z reklamą, zamknij je, a pobrany plik uruchom i zainstaluj poprawkę.

#9

W trakcie naprawiania wyskoczył komunikat:
“Program Farbar Recovery Scan Tool przestał działać.
System Windows może wyszukać rozwiązanie tego problemu w trybie online.
Wyszukaj rozwiązane online i zamknij program
Zamknij program”
Wybrałem opcję “Zamknij program”.
Poniżej plik wynikowy po naprawie:
Fixlog.txt (2,8 KB)