Powolny komputer

[Wendor]

Witam, mam problem z bardzo powoli dzialającym komputerem, kontrolka dysku twardego praktycznie nie gaśnie, proszę o pomoc

Extras.Txt

OTL.Txt

gmer.txt

[picasso]

Wendor, ja już trzeci raz do Ciebie mówię. Log z GMER musi być robiony po usunięciu sterownika SPTD (KLIK). W logu z OTL sterownik widocznyt jako czynny:

 

DRV - [2012-11-13 18:43:40 | 000,477,240 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)

 

 

 

problem z bardzo powoli dzialającym komputerem, kontrolka dysku twardego praktycznie nie gaśnie

 

Owszem, jest w systemie rootkit w postaci podpiętego strumienia ADS. Ta infekcja siedzi w systemie nie wiadomo od jak dawna (to archaiczna infekcja!).

 

========== Alternate Data Streams ==========
 
@Alternate Data Stream - 46080 bytes -> C:\WINDOWS\System32\svchost.exe:ext.exe
 
C:\WINDOWS\system32\svchost.exe:ext.exe

 

Ale nie tylko to może powodować opisywane objawy. Jest tu potężny plik HOSTS zmodyfikowany przez Spybot Search & Destroy, jest przetwarzane ponad 11 tysięcy rekordów:

 

O1 HOSTS File: ([2009-08-31 21:22:38 | 000,325,929 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1	www.007guard.com
O1 - Hosts: 127.0.0.1	007guard.com
O1 - Hosts: 127.0.0.1	008i.com
O1 - Hosts: 127.0.0.1	www.008k.com
O1 - Hosts: 127.0.0.1	008k.com
O1 - Hosts: 127.0.0.1	www.00hq.com
O1 - Hosts: 127.0.0.1	00hq.com
O1 - Hosts: 127.0.0.1	010402.com
O1 - Hosts: 127.0.0.1	www.032439.com
O1 - Hosts: 127.0.0.1	032439.com
O1 - Hosts: 127.0.0.1	www.0scan.com
O1 - Hosts: 127.0.0.1	0scan.com
O1 - Hosts: 127.0.0.1	1000gratisproben.com
O1 - Hosts: 127.0.0.1	www.1000gratisproben.com
O1 - Hosts: 127.0.0.1	1001namen.com
O1 - Hosts: 127.0.0.1	www.1001namen.com
O1 - Hosts: 127.0.0.1	100888290cs.com
O1 - Hosts: 127.0.0.1	www.100888290cs.com
O1 - Hosts: 127.0.0.1	www.100sexlinks.com
O1 - Hosts: 127.0.0.1	100sexlinks.com
O1 - Hosts: 127.0.0.1	10sek.com
O1 - Hosts: 127.0.0.1	www.10sek.com
O1 - Hosts: 127.0.0.1	www.1-2005-search.com
O1 - Hosts: 127.0.0.1	1-2005-search.com
O1 - Hosts: 11154 more lines...

 

To bardzo niezdrowe i może obciążać usługę Klient DNS. I to się tu dzieje, w Dzienniku zdarzeń jest ten błąd:

 

Error - 2012-11-13 15:38:55 | Computer Name = KAMB | Source = Service Control Manager | ID = 7011
Description = Limit czasu (30000 milisekund) podczas oczekiwania na odpowiedź transakcji
 z usługi Dnscache.

 

Dodatkowo, zainstalowany bardzo stary pakiet kodeków i ogólnie system wykazje archaiczne cechy. Od razu będę usuwać szczątki po Google Chrome i Firefox (nie wyglądają na zainstalowane).

 

 

---

Przeprowadź następujące działania:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
@Alternate Data Stream - 46080 bytes -> C:\WINDOWS\System32\svchost.exe:ext.exe
IE - HKU\S-1-5-21-3672487110-2424896980-960419198-1007\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=19950&mntrId=d85ea3130000000000000013cea1be84be84"
IE - HKU\S-1-5-21-3672487110-2424896980-960419198-1007\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/custom/java/redirect?client=ie&tb=ORJ&o=100000026&src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000"
IE - HKU\S-1-5-21-3672487110-2424896980-960419198-1007\..\SearchScopes\{3A6A5AC5-6BBE-4255-B7F2-3A3C03FF2653}: "URL" = "http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=971163&p={searchTerms}"
IE - HKU\S-1-5-21-3672487110-2424896980-960419198-1007\..\SearchScopes\{55FAF0F2-44D4-425f-B5F5-6B275B621EAB}: "URL" = "http://search.burn4free-toolbar.com/search?p=Q&ts=ne&w={searchTerms}&csrc=search-field"
IE - HKU\S-1-5-21-3672487110-2424896980-960419198-1007\..\URLSearchHook: {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - SOFTWARE\Classes\CLSID\{9CB65206-89C4-402c-BA80-02D8C59F9B1D}\InprocServer32 File not found
IE - HKU\S-1-5-21-3672487110-2424896980-960419198-1007\..\URLSearchHook: {B922D405-6D13-4A2B-AE89-08A030DA4402} - No CLSID value found
O2 - BHO: (no name) - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - No CLSID value found.
O2 - BHO: (Ask Search Assistant BHO) - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL File not found
O2 - BHO: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - No CLSID value found.
O2 - BHO: (no name) - {E33CF602-D945-461A-83F0-819F76A199F8} - No CLSID value found.
O2 - BHO: (Ask Toolbar BHO) - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL File not found
O2 - BHO: (no name) - SOFTWARE - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {25D8BACF-3DE2-4B48-AE22-D659B8D835B0} - No CLSID value found.
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL File not found
O3 - HKU\S-1-5-21-3672487110-2424896980-960419198-1007\..\Toolbar\WebBrowser: (Ask Toolbar) - {FE063DB9-4EC0-403E-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL File not found
O4 - HKLM..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" File not found
O4 - HKLM..\Run: [Onet.pl AutoUpdate] "C:\Program Files\Common Files\Onet.pl\NewAutoUpdate.exe" /updateexetsr File not found
O4 - Startup: C:\Documents and Settings\kasia\Menu Start\Programy\Autostart\Pampers Pregnancy Widget.lnk =  File not found
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF}  (Reg Error: Key error.)
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
O20 - Winlogon\Notify\klogon: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
O29 - HKLM SecurityProviders - (digiwet.dll) -  File not found
SRV - [2012-07-19 14:10:36 | 000,792,512 | ---- | M] (Spigot, Inc.) [Auto | Running] -- C:\Program Files\Application Updater\ApplicationUpdater.exe -- (Application Updater)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\usbser_lowerflt.sys -- (upperdev)
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Google]
 
:Files
C:\Program Files\Application Updater
C:\Documents and Settings\All Users\Dane aplikacji\Ask
C:\Documents and Settings\All Users\Dane aplikacji\Avg7
C:\Documents and Settings\All Users\Dane aplikacji\Babylon
C:\Documents and Settings\kasia\Dane aplikacji\Babylon
C:\Documents and Settings\kasia\Dane aplikacji\pdfforge
C:\Documents and Settings\kasia\Dane aplikacji\Search Settings
C:\Documents and Settings\kasia\Ustawienia lokalne\Dane aplikacji\Google
C:\Documents and Settings\kasia\Dane aplikacji\Mozilla
C:\Program Files\Mozilla Firefox
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

2. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

3. Odinstaluj przestarzałe aplikacje ACE Mega CoDecS Pack, KaZaA Lite Resurrection 2.4.8 PL, Spybot - Search & Destroy oraz adware FoxTab Video Converter, P2P Networking. Od razu machnij także MSN Search Toolbar, wszystkie pozycje Adobe i Java.

 

4. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner.

 

 

 

.

[Wendor]

W załączeniu logi

OTL1.Txt

AdwCleanerS1.txt

[picasso]

Nie wypowiadasz się nic czy nastąpiła poprawa. Zadania w większości wykonane, ale wymagane poprawki. I nie zauważyłam - posłużyłeś się kompletnie przestarzałą wersją OTL 3.2.57.0 bez określonych skanów i poprawek. Ten program zawsze należy pobierać od nowa.

 

1. Pobierz najnowszą wersję OTL: KLIK. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:OTL
O2 - BHO: (no name) - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - No CLSID value found.
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No CLSID value found.
O2 - BHO: (no name) - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - No CLSID value found.
O2 - BHO: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - No CLSID value found.
O2 - BHO: (Java™ Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll File not found
O2 - BHO: (no name) - {E33CF602-D945-461A-83F0-819F76A199F8} - No CLSID value found.
O2 - BHO: (no name) - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - No CLSID value found.
O2 - BHO: (no name) - SOFTWARE - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {25D8BACF-3DE2-4B48-AE22-D659B8D835B0} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {55FAF0F2-44D4-425F-B5F5-6B275B621EAB} - No CLSID value found.
O4 - HKCU..\Run: [indxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020 File not found
O8 - Extra context menu item: Dodaj do blokowanych banerów - Reg Error: Value error. File not found
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} Reg Error: Value error. (Reg Error: Key error.)
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} Reg Error: Value error. (Reg Error: Key error.)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} "http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab" (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} Reg Error: Value error. (Reg Error: Key error.)
O18 - Protocol\Filter\text/html - No CLSID value found
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. Zatwierdź restart.

 

2. Zrób nowy log OTL z opcji Skanuj.

 

 

 

.

[Wendor]

Przepraszam że nie dzielę się spostrzeżeniami, jest o wiele lepiej niż było jednak brakuje kropki nad i, co pewien czas zdarza mu się nieprzerwana praca twardego dysku, kontrolka nie gaśnie, ale jak mówiłem sporadycznie.

OTL2.Txt

[picasso]

Zadania wykonane. Widzę, że już SPTD usunąłeś, to na wszelki wypadek zrób mi nowy log z GMER. Jeśli tam nic nowego nie wyskoczy, zadam już instrukcje wykańczające i skan dla pewności.

[Wendor]

Nie wiem czy GMER wykonuje się do końca, bo wygląda tak jakby się zwieszał i już nie wstaje, poza tym poprawiło się ale tylko trochę, dysk twardy bardzo się grzeje

gmer.txt

[picasso]

W GMER nadal widać ten szkodliwy strumień NTFS, ale jest on już w innym miejscu (folder Przywracania systemu) i to już nie ma wpływu na system (izolowany magazyn). Przejdź do tej części zadań:

 

1. Porządki po narzędziach: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Wykonaj skan za pomocą Kaspersky Virus Removal Tool. W konfiguracji skanera zaznacz wszystkie obszary do skanowania. To wydłuży skan, ale da pewniejsze rezultaty. Jeśli coś zostanie wykryte, zaprezentuj wyniki. Interesują mnie tylko te o statusie "Detected", inne typy nie.

 

 

poza tym poprawiło się ale tylko trochę, dysk twardy bardzo się grzeje

 

Może to już sprawa sprzętowa. Po ukończeniu wszystkich działań tutaj załóż nowy temat w dziale Hardware z pełną specyfikacją sprzętu i danymi o dysku.

 

 

 

.

[Wendor]

Witam

 

Kasperski nic nie wykrył

[picasso]

Czyli kończymy:

 

1. Wyłącz jeszcze zbędne wpisy ze startu. Uruchom Autoruns i w karcie Logon odznacz:

 

O4 - HKLM..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe ()
O4 - HKCU..\Run: [ALLUpdate] C:\Program Files\ALLPlayer\ALLUpdate.exe ()

 

2. Grunt pod aktualizacje już był robiony (zaleciłam deinstalacje wszystkich Adobe i Java). Zaktualizuj także Internet Explorer i Windows Media Player. Wg listy zainstalowanych obecnie są wersje:

 

Internet Explorer (Version = 7.0.5730.11)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Gadu-Gadu" = Gadu-Gadu 7.1
"Windows Media Player" = Windows Media Player 10

 

Co do Gadu-Gadu 7.1, to polecam lekki nowoczesny alternatywny zamiennik WTW: KLIK.

 

3. Przeprowadź defragmentację dysku za pomocą darmowego PerfectDisk Free Defrag. Wykonaj dwa rodzaje defragmentacji: zwykłą oraz Boot Time.

 

 

co pewien czas zdarza mu się nieprzerwana praca twardego dysku, kontrolka nie gaśnie, ale jak mówiłem sporadycznie (...) dysk twardy bardzo się grzeje

 

Jeszcze na wszelki wypadek sprawdź tryb transferu dysku na okoliczność degradacji DMA do PIO: KLIK (ustęp Optymalizacja wydajności HDD i CD/DVD-ROMów - Włączenie DMA). Oceniasz linię "bieżący tryb transferu". Przy wykryciu DMA nie ma nic do roboty, ale przy wykryciu PIO odinstaluj kontroler, by się przebudował przy restarcie systemu.

 

Jeśli nadal będą problemy z dyskiem, to już jak mówię do działu sprzętowego osobny wątek.

 

 

.