Приветствую.
Возникла проблема следующего характера. При включении компьютера загрузка происходит с обычной скоростью до появления окна выбора пользователя и входа в систему. После выбора пользователя и ввода пароля до загрузки рабочего стола уже проходит минут 7-10. Дальше запуск любой программы занимает очень много времени - минут 10-15. Аналогично производит и при попытке закрытия программы - ее окно висит еще минут 10-15. Копирование файлов, в том числе с системного диска, происходит с обычной скоростью. Никаких синих экранов смерти или сообщений об ошибках нет.
За день перед возникновением этой проблемы была запущена дефрагментация, закончилась нормально - без ошибок и прерываний.
Подозреваемые: системный жесткий диск и ОС Windows 7.
Пробовал сделать откат ОС на более раннюю дату, не удалось. После окончания процедуры (очень длительной) появилось сообщение о неудаче. Запускал встроенные средства Windows 7 для проверки накопителей. На системном проблем не обнаружено.
Как быть?

Как определить, является проблема системной или вызвана сторонним приложением/службой? (http://www.oszone.net/9856/Troubleshoot#half)

Итак. Сделал согласно инструкции. После отключения всех служб (кроме МС) и программ автозагрузки проблема не исчезла. Все равно загрузка происходит крайне медленно. Но в безопасном режиме все работате отлично. Загрузка быстрая, программы грузятся нормально. Если я правильно понял, то это проблема именно с ОС, а не со сторонними службами и программами. Правильно? ЧТо делать дальше?

Как раз наоборот - с программами и службами.

Так ведь когда я их все отключил, проблема не исчезла.

Vadimius, давайте убедимся в отсутствии вирусов. См. Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему. (http://forum.oszone.net/thread-98169.html)

2mods: верните в 7, если чисто.

И снова здравствуйте. Был в отъезде 2 недели, только вчера смог добраться к компьютеру.

Итак. Сделал LiveCD с доктором Вебом и проверил систему. Козявок не обнаружено. Устроил проверки в соответствии с указаниями в теме "Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему.". Логи прилагаю.

Однако, возможно это важно. Запустить систему в нормальном режиме не удается. Потому эти проверки осуществлялись из безопасного режима, который работоспособен. Не повлияло ли это на достоверность данных в логах?

И еще, возможно важно. При запуске безопасного режима происходит замедление или полная остановка загрузки при загрузке файла classpnp.sys. Нашел информацию, что это может лечиться изменением параметров SATA в BIOS. Мне это не помогло, обновление драйверов к материнской плате и SATA тоже не помогло.

• Скачайте Malwarebytes Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe), установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM (http://data.mbamupdates.com/tools/mbam-rules.exe).

Временно отключите:
Антивирус/Файерволл



• Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
QuarantineFile('C:\Users\Вадим\AppData\Local\Temp\2A767B70-67A9A81D-8AC0A62D-48AE6FD8\mgrx9daa.exe','');
QuarantineFile('C:\Users\Вадим\AppData\Local\Temp\2A767B70-67A9A81D-8AC0A62D-48AE6FD8\qukndndo.exe','');
QuarantineFile('C:\Windows\Scr2C3E.tmp','');
QuarantineFile('C:\Windows\tmp2AB7.tmp','');
QuarantineFile('C:\Windows\ScrD1B.tmp','');
QuarantineFile('C:\Windows\tmpCEB.tmp','');
QuarantineFile('C:\Windows\ScrEC0.tmp','');
QuarantineFile('C:\Windows\tmpDD5.tmp','');
QuarantineFile('C:\Windows\Scr32E3.tmp','');
QuarantineFile('C:\Windows\tmp3072.tmp','');
QuarantineFile('C:\Windows\ScrEF20.tmp','');
QuarantineFile('C:\Windows\tmpEDB8.tmp','');
QuarantineFile('C:\Windows\Scr8852.tmp','');
QuarantineFile('C:\Windows\tmp8767.tmp','');
QuarantineFile('C:\Windows\ScrCBE7.tmp','');
QuarantineFile('C:\Windows\tmpCB4A.tmp','');
QuarantineFile('C:\Windows\Scr8508.tmp','');
QuarantineFile('C:\Windows\tmp83FE.tmp','');
DeleteFile('C:\Windows\tmp83FE.tmp');
DeleteFile('C:\Windows\Scr8508.tmp');
DeleteFile('C:\Windows\tmpCB4A.tmp');
DeleteFile('C:\Windows\ScrCBE7.tmp');
DeleteFile('C:\Windows\tmp8767.tmp');
DeleteFile('C:\Windows\Scr8852.tmp');
DeleteFile('C:\Windows\tmpEDB8.tmp');
DeleteFile('C:\Windows\ScrEF20.tmp');
DeleteFile('C:\Windows\tmp3072.tmp');
DeleteFile('C:\Windows\Scr32E3.tmp');
DeleteFile('C:\Windows\tmpDD5.tmp');
DeleteFile('C:\Windows\tmpCEB.tmp');
DeleteFile('C:\Windows\ScrEC0.tmp');
DeleteFile('C:\Windows\ScrD1B.tmp');
DeleteFile('C:\Windows\tmp2AB7.tmp');
DeleteFile('C:\Windows\Scr2C3E.tmp');
DeleteFile('C:\Users\Вадим\AppData\Local\Temp\2A767B70-67A9A81D-8AC0A62D-48AE6FD8\mgrx9daa.exe');
DeleteFile('C:\Users\Вадим\AppData\Local\Temp\2A767B70-67A9A81D-8AC0A62D-48AE6FD8\qukndndo.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Doctor Web\Dr.Web Engine','EventMessageFile');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Doctor Web\DrWebARKDaemon','EventMessageFile');
RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQ uarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'Software\Microsoft\Windows\CurrentVersion\Run'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.



В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой (http://www.oszone.net/virusnet/) формы. В теле письма укажите свой ник на форуме и ссылку на тему и её название.

Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в сообщение. »

Готово

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Версия базы данных: v2012.07.15.08

Windows 7 Service Pack 1 x64 NTFS (Безопасный режим с поддержкой сети)
Internet Explorer 9.0.8112.16421
Вадим :: POSEYDON7 [администратор]

16.07.2012 07:23:54
mbam-log-2012-07-16 (07-23-54).txt

Тип сканирования: Полное сканирование (C:\|)
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты: 681063
Времени прошло: 1 часов , 36 минут , 30 секунд

Обнаруженные процессы в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные модули в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре: 0
(Вредоносных программ не обнаружено)

Обнаруженные параметры в реестре: 0
(Вредоносных программ не обнаружено)

Объекты реестра обнаружены: 0
(Вредоносных программ не обнаружено)

Обнаруженные папки: 0
(Вредоносных программ не обнаружено)

Обнаруженные файлы: 0
(Вредоносных программ не обнаружено)

(конец)

Временно отключите:
Антивирус/Файерволл
• Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему и её название. »

Сделано.

сделайте повторный комплект логов AVZ & RSIT

+

Загрузите SecurityCheck by screen317 отсюда (http://screen317.spywareinfoforum.org/SecurityCheck.exe) или отсюда (http://screen317.changelog.fr/SecurityCheck.exe) и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Когда увидите консоль, нажмите любую клавишу для продолжения сканирования Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt; Прикрепите файл к следующему сообщению.Подробнее читайте в руководстве (http://safezone.cc/forum/showthread.php?t=17023).

Готово.

Этот прокси Вам известен - 195.96.85.61:8080?

Если нет то пофиксите в HJT (http://safezone.cc/forum/showthread.php?t=9):

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 195.96.85.61:8080

так же пофиксите:

R3 - URLSearchHook: (no name) - - (no file)

обновляем уязвимый софт:

Java(TM) - ссылка (http://java.com/ru/download/faq/remove_olderversions.xml)
Adobe Reader - ссылка (http://get.adobe.com/reader/otherversions/)
Mozilla Firefox - ссылка (http://www.mozilla.org/ru/firefox/fx/)
Mozilla Thunderbird - ссылка (http://www.mozilla.org/ru/thunderbird/)
Google Chrome - ссылка (http://support.google.com/chrome/bin/answer.py?hl=ru&answer=95346)

Указанное пофиксил. Установить обновления не могу в безопасном режиме, а обычный режим все еще не удается загрузить. В принципе, везде стоит автоматическая установка обновлений, так что эти программы должны быть последних версий.

Как быть дальше?

Скачайте ComboFix здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению." (http://safezone.cc/forum/showthread.php?t=2773)

+

Сделайте лог OTL by OldTimer (http://safezone.cc/forum/showpost.php?p=64662&postcount=1)

Готово. Только антивирус не смог отключить. Не нашел его в процессах. Но зависаний не было.

Запустите повторно OTL by OldTimer (http://oldtimer.geekstogo.com/OTL.exe) или OTL.com (http://oldtimer.geekstogo.com/OTL.com) или OTL.scr (http://oldtimer.geekstogo.com/OTL.scr).

Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

В окно Custom Scans/Fixes скопируйте следующую информацию:

:processes

:OTL
[2012.06.26 12:37:00 | 000,000,000 | ---D | C] -- C:\Windows\Scr2C3E.bak
[2012.06.26 11:36:32 | 000,000,000 | ---D | C] -- C:\Windows\ScrD1B.bak
[2012.06.25 20:55:02 | 000,000,000 | ---D | C] -- C:\Windows\ScrEC0.bak
[2012.06.24 19:32:50 | 000,000,000 | ---D | C] -- C:\Windows\Scr32E3.bak
[2012.06.24 19:11:25 | 000,000,000 | ---D | C] -- C:\Windows\ScrEF20.bak
[2012.06.24 15:05:45 | 000,000,000 | ---D | C] -- C:\Windows\Scr8852.bak
[2012.06.24 14:50:14 | 000,000,000 | ---D | C] -- C:\Windows\ScrCBE7.bak
[2012.06.24 13:37:40 | 000,000,000 | ---D | C] -- C:\Windows\Scr8508.bak
@Alternate Data Stream - 153 bytes -> C:\ProgramData\TEMP:07BF512B
@Alternate Data Stream - 144 bytes -> C:\ProgramData\TEMP:A064CECC
@Alternate Data Stream - 131 bytes -> C:\ProgramData\TEMP:41ADDB8A
:Services

:Files

autorun.inf /alldrives
recycler /alldrives
ipconfig /flushdns /c
:Reg
:Commands
[EMPTYJAVA]
[EMPTYFLASH]
[purity]
[Reboot]
Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
Компьютер перезагрузится.
После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

http://safezone.cc/images/combofix-uninstall.jpg

Скачайте OTCleanIt (http://oldtimer.geekstogo.com/OTC.exe) или с зеркала (http://safezone.cc/forum/downloads.php?do=file&id=19&act=down), запустите, нажмите Clean up

Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.
После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Готово:

========== PROCESSES ==========
========== OTL ==========
C:\Windows\Scr2C3E.bak folder moved successfully.
C:\Windows\ScrD1B.bak folder moved successfully.
C:\Windows\ScrEC0.bak folder moved successfully.
C:\Windows\Scr32E3.bak folder moved successfully.
C:\Windows\ScrEF20.bak folder moved successfully.
C:\Windows\Scr8852.bak folder moved successfully.
C:\Windows\ScrCBE7.bak folder moved successfully.
C:\Windows\Scr8508.bak folder moved successfully.
ADS C:\ProgramData\TEMP:07BF512B deleted successfully.
ADS C:\ProgramData\TEMP:A064CECC deleted successfully.
ADS C:\ProgramData\TEMP:41ADDB8A deleted successfully.
========== SERVICES/DRIVERS ==========
========== FILES ==========
autorun.inf not found in C:\
autorun.inf not found in D:\
autorun.inf not found in E:\
autorun.inf not found in F:\
autorun.inf not found in H:\
recycler not found in C:\
recycler not found in D:\
recycler not found in E:\
recycler not found in F:\
recycler not found in H:\
< ipconfig /flushdns /c >
No captured output from command...
C:\Users\Вадим\Desktop\cmd.bat deleted successfully.
========== REGISTRY ==========
========== COMMANDS ==========

[EMPTYJAVA]

User: Admin
->Java cache emptied: 0 bytes

User: All Users

User: Application Data

User: Default

User: Default User

User: Public

User: UpdatusUser

User: Vadim.Poseydon7
->Java cache emptied: 0 bytes

User: *䨬

User: Вадим
->Java cache emptied: 7736836 bytes

User: Все пользователи

User: ‚*¤Ё¬

User: ┬рфшь

User: �����

Total Java Files Cleaned = 7,00 mb


[EMPTYFLASH]

User: Admin
->Flash cache emptied: 57360 bytes

User: All Users

User: Application Data

User: Default
->Flash cache emptied: 56466 bytes

User: Default User
->Flash cache emptied: 0 bytes

User: Public

User: UpdatusUser
->Flash cache emptied: 56502 bytes

User: Vadim.Poseydon7
->Flash cache emptied: 56502 bytes

User: *䨬

User: Вадим
->Flash cache emptied: 232758 bytes

User: Все пользователи

User: ‚*¤Ё¬

User: ┬рфшь

User: �����

Total Flash Files Cleaned = 0,00 mb


OTL by OldTimer - Version 3.2.54.0 log created on 07172012_090140




Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

Не получилось. Пишет: "Не удалось найти Combofix. Проверьте, правильно ли указано имя и повторите попытку". Хотя на рабочем столе вижу Combofix. Пробовал копировать название самого файла, чтобы исключить неправильность написания, менял регистр букв, ничего не помогло.


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Сделано.

После последнего пункта и перезагрузки система перестала видеть системный диск. Вылечил отключением и включением кабелей к нему в корпусе.

Есть ли изменения в работе системы?