Obciążenie CPU

[ona]

Witam,

Od jakiegoś czasu mam problem z ładowaniem stron, w menadżerze zadań uruchamia się proces GoogleToolbarUser_32, który momentami wskazuje 40% obciążenie CPU, czasem załadowanie trwa kilkanaście sekund. Wcześniej zawieszał się system, podczas szybszego pisania na klawiaturze. Chciałam się upewnic, czy wszystko jest w porządku, dlatego prosze o sprawdzenie logów.

OTL.Txt

Extras.Txt

gmer.txt

[picasso]

Temat przenoszę do działu Vista. Oznak czynnej infekcji nie notuję, choć na dysku jest odpadek po UKASH i śmieci adware.

 

 

Od jakiegoś czasu mam problem z ładowaniem stron, w menadżerze zadań uruchamia się proces GoogleToolbarUser_32, który momentami wskazuje 40% obciążenie CPU, czasem załadowanie trwa kilkanaście sekund.

 

1. Skoro dewiacje wykazuje proces GoogleToolbarUser_32, odinstaluj Google Toolbar for Internet Explorer i sprawdź czy jest zmiana.

 

2. Nie wykluczam też negatywnego wpływu G Data InternetSecurity.

 

 

---

Co do logów:

 

1. Doczyść sobie te drobnostki adware, archaiczne komponenty GMER i wpisy puste. Instrukcje w spoilerze:

 

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\igdkmd32.sys -- (igfx)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard)
DRV - [2012-06-16 20:11:21 | 000,068,961 | ---- | M] (GMER) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\gmer.sys -- (gmer)
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2434594"
IE - HKU\S-1-5-21-917128133-1351155886-2866853356-1000\..\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}: "URL" = "http://www.icq.com/search/results.php?q={searchTerms}&ch_id=osd"
IE - HKU\S-1-5-21-917128133-1351155886-2866853356-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2434594"
IE - HKU\S-1-5-21-917128133-1351155886-2866853356-1000\..\URLSearchHook:  - No CLSID value found
IE - HKU\S-1-5-21-917128133-1351155886-2866853356-1000\..\URLSearchHook: {eb3a5112-b4ac-4978-8f6c-04b5cf432fed} - No CLSID value found
O3 - HKU\S-1-5-21-917128133-1351155886-2866853356-1000\..\Toolbar\WebBrowser: (no name) - {EB3A5112-B4AC-4978-8F6C-04B5CF432FED} - No CLSID value found.
IE - HKU\S-1-5-21-917128133-1351155886-2866853356-1000\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll (ICQ)
O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll (ICQ)
O9 - Extra Button: Amazon.co.uk - {8A918C1D-E123-4E36-B562-5C1519E434CE} - "http://www.amazon.co.uk/exec/obidos/redirect-home?tag=Toshibaukbholink-21&site=home" File not found
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (MksSkanerOnline Class)
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} "http://download.eset.com/special/eos/OnlineScanner.cab" (Reg Error: Key error.)
 
:Files
C:\Program Files\ICQ6Toolbar
C:\Users\beata h\AppData\Roaming\hellomoto
C:\Users\beata h\AppData\Local\Temp*.html
C:\Windows\tasks\ReclaimerInstall_beata h.job
C:\Windows\gmer.exe
C:\Windows\gmer.dll
netsh advfirewall reset /C
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany. Po restarcie użyj Sprzątanie.

 

2. Odinstaluj adware pdfforge Toolbar v1.0.

 

3. Uruchom AdwCleaner i zastosuj Delete. Po akcji użyj Uninstall.

 

 

 

 

2. Wyłącz zbędne wpisy ze startu. Uruchom Autoruns i w karcie Logon odznacz te wpisy:

 

O4 - HKLM..\Run: [QuickFinder Scheduler] c:\Program Files\Corel\WordPerfect Office X5\Programs\QFSCHD150.EXE (Corel Corporation)
O4 - HKLM..\Run: [TkBellExe] c:\program files\real\realplayer\Update\realsched.exe (RealNetworks, Inc.)
O4 - HKLM..\Run: [topi] C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe (TOSHIBA)
O4 - HKLM..\Run: [Toshiba Registration] C:\Program Files\Toshiba\Registration\ToshibaRegistration.exe (Toshiba)
O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - Startup: C:\Users\beata h\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.ux.pl 2.0.lnk = C:\Program Files\OpenOffice.ux.pl 2.0\program\quickstart.exe ()

 

W karcie Services odznacz:

 

SRV - [2012-07-13 13:28:36 | 000,160,944 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Program Files\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2012-06-11 16:22:16 | 000,240,208 | ---- | M] (Microsoft Corporation.) [On_Demand | Running] -- C:\Program Files\Microsoft\BingBar\7.1.391.0\SeaPort.EXE -- (BBUpdate)
SRV - [2012-06-11 16:22:16 | 000,193,616 | ---- | M] (Microsoft Corporation.) [Auto | Stopped] -- C:\Program Files\Microsoft\BingBar\7.1.391.0\BBSvc.EXE -- (BBSvc)
SRV - [2008-01-21 04:23:32 | 000,272,952 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2006-08-23 16:39:48 | 000,049,152 | ---- | M] (Ulead Systems, Inc.) [Auto | Running] -- C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe -- (UleadBurningHelper)

 

3. OTL nie może odczytać Dziennika zdarzeń, ostatnie nagrania z 2010 plus komunikat:

 

Error encountered while reading event logs.

 

Sprawdź czy Dziennik zdarzeń w ogóle działa ...

 

4. Windows zupełnie nie aktualizowany:

 

Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.19088)

 

Inne aplikacje zresztą też nie:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java™ 6 Update 20
"{3248F0A8-6813-11D6-A77B-00B0D0150150}" = J2SE Runtime Environment 5.0 Update 15
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java™ 6 Update 7
"{32A3A4F4-B792-11D6-A78A-00B0D0150150}" = J2SE Development Kit 5.0 Update 15
"{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Google Chrome" = Google Chrome 21.0.1180.89

 

Do nadrobienia: KLIK.

 

 

 

.

[ona]

1) Wykonałam powyższe polecenia i zaktualizowałam część aplikacji.

 

2) Po odinstalowaniu "Google Toolbar for Internet Explorer" problem zniknął.

 

3) Dziennik zdarzeń działa, widnieją aktulane daty. Nie wiem, czy jest to istotne ale po przejrzeniu "Dziennika Systemu Windows" w dzienniku "System" ("źródło - Windows Defender") zauważyłam ostrzeżenia o następującej treści:

"Agent ochrony w czasie rzeczywistym produktu Windows Defender wykrył zmiany. Firma Microsoft zaleca dokonanie analizy potencjalnych zagrożeń związanych z oprogramowaniem, które wprowadziło te zmiany. Możesz użyć informacji na temat działania tych programów, aby zdecydować, czy chcesz zezwolić im na działanie czy usunąć je z komputera. Zezwalaj na zmiany tylko, jeśli ufasz programowi lub wydawcy oprogramowania. Windows Defender nie może cofnąć zmian, na które zezwalasz..."

Są tam podane ścieżki do miejsca odnalezienia, na przykład:

"file:C\Windows\tasks\ReclaimerUpdatefiles_beata h.job;file:C\Users\beata h\AppData\Roaming\Real\Update\UpgradeHelper\RealPlayer\10.10\agent\rnupgagent.exe;taskscheduler:C\Windows\tasks\ReclaimerUpdatefiles_beata h.job."

Jest także informacja (źródło także Windows Defender) o następującej treści:

"Agent ochrony w czasie rzeczywistym produktu Windows Defender podjął akcję mającą na celu ochronę tego komputera przed programem szpiegującym lub innym potencjalnie niechcianym oprogramowaniem..."

 

Nie wiem, czy o czymś to świadczy ale wolałam o tym wspomnieć.

[picasso]

Te komunikaty Windows Defender nie wykazują podejrzanych cech. Przy okazji: skoro jest tu G Data InternetSecurity, to przestarzały Windows Defender należy całkowicie wyłączyć, by nie przemęczać systemu. Już to uwzględniałam w w/w operacjach. Windows Defender ma dwa wpisy startowe:

 

SRV - [2008-01-21 04:23:32 | 000,272,952 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)
O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)

 

Zaleciłam odptaszkowanie w Autoruns (pierwszy wpis w karcie Services, drugi w Logon).

 

 

 

.