Komputer bardzo wolno pracuje

[scott]

Witam

Komputer, już dosyć leciwy z Win XP HE 32-bit, od pewnego czasu bardzo wolno pracuje. Uruchamia się teoretycznie normalnie, natomiast po załadowaniu windowsa otwarcie Firefoxa trwa ponad minutę. W menadżerze zadań procesor nie jest zbyt obciążony, nie brakuje również pamięci a bardzo wolno wszystko otwiera. Jakiś czas temu przez nieuwagę przy aktualizacji flasha został zainstalowany McAfee, ale w tej chwili już go nie ma. Czy możesz sprawdzić czy nie siedzi jakieś paskudztwo i go nie spowalnia?

Pozdrawiam

 

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

Shortcut.txt

[picasso]

Zabrakło obowiązkowego raportu z GMER. A paskudztwo owszem siedzi - cała kolekcja adware, w tym bardzo silny obiekt Movies Toolbar ładowany metodą AppCertDlls. Prócz tego są tu odpadki archaicznej instalacji Symantec.

 

 

Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

(Cherished Technololgy LIMITED) C:\Documents and Settings\All Users\Dane aplikacji\IePluginService\PluginService.exe
(Cherished Technololgy LIMITED) C:\Documents and Settings\All Users\Dane aplikacji\WPM\wprotectmanager.exe
(PriceMeter) C:\Program Files\PriceMeterLiveUpdate\Update\PriceMeterLiveUpdate.exe
() C:\Program Files\BrowseMark\updateBrowseMark.exe
() C:\Program Files\BrowseMark\bin\utilBrowseMark.exe
(PriceMeter) C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\PriceMeter\pricemeterw.exe
R2 IePluginService; C:\Documents and Settings\All Users\Dane aplikacji\IePluginService\PluginService.exe [705136 2014-04-11] (Cherished Technololgy LIMITED)
S2 pricemeterliveUpdate; C:\Program Files\PriceMeterLiveUpdate\Update\PriceMeterLiveUpdate.exe [150504 2014-04-18] (PriceMeter)
S3 pricemeterliveUpdatem; C:\Program Files\PriceMeterLiveUpdate\Update\PriceMeterLiveUpdate.exe [150504 2014-04-18] (PriceMeter)
R2 Update BrowseMark; C:\Program Files\BrowseMark\updateBrowseMark.exe [316704 2014-04-30] ()
R2 Util BrowseMark; C:\Program Files\BrowseMark\bin\utilBrowseMark.exe [316704 2014-05-01] ()
R2 Wpm; C:\Documents and Settings\All Users\Dane aplikacji\WPM\wprotectmanager.exe [566272 2014-04-18] (Cherished Technololgy LIMITED)
R1 F06DEFF2-5B9C-490D-910F-35D3A9119622; C:\Program Files\Movies Toolbar\Datamngr\setmgrc1.cfg [31096 2014-04-06] (Bandoo Media Inc)
R1 tStLibG; C:\WINDOWS\System32\drivers\tStLibG.sys [55232 2014-04-19] (StdLib)
Task: C:\WINDOWS\Tasks\At5.job => C:\DOCUME~1\Dawid\DANEAP~1\PRICEM~1\UPDATE~1\UPDATE~1.EXE 
Task: C:\WINDOWS\Tasks\PriceMeterLiveUpdateUpdateTaskMachineCore.job => C:\Program Files\PriceMeterLiveUpdate\Update\PriceMeterLiveUpdate.exe 
Task: C:\WINDOWS\Tasks\PriceMeterLiveUpdateUpdateTaskMachineUA.job => C:\Program Files\PriceMeterLiveUpdate\Update\PriceMeterLiveUpdate.exe 
Task: C:\WINDOWS\Tasks\pricemetertask.job => C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\PriceMeter\pricemeter.exe 
Task: C:\WINDOWS\Tasks\pricemeterwatcher.job => C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\PriceMeter\pricemeterw.exe 
HKLM\...\AppCertDlls: [x64] -> c:\program files\movies toolbar\datamngr\x64\apcrtldr.dll 
HKLM\...\AppCertDlls: [x86] -> c:\program files\movies toolbar\datamngr\apcrtldr.dll [490496 2014-04-06] () 
HKLM\...\Run: [] => [X]
IFEO\bitguard.exe: [Debugger] tasklist.exe
IFEO\bprotect.exe: [Debugger] tasklist.exe
IFEO\bpsvc.exe: [Debugger] tasklist.exe
IFEO\browserdefender.exe: [Debugger] tasklist.exe
IFEO\browserprotect.exe: [Debugger] tasklist.exe
IFEO\browsersafeguard.exe: [Debugger] tasklist.exe
IFEO\dprotectsvc.exe: [Debugger] tasklist.exe
IFEO\jumpflip: [Debugger] tasklist.exe
IFEO\protectedsearch.exe: [Debugger] tasklist.exe
IFEO\searchinstaller.exe: [Debugger] tasklist.exe
IFEO\searchprotection.exe: [Debugger] tasklist.exe
IFEO\searchprotector.exe: [Debugger] tasklist.exe
IFEO\searchsettings.exe: [Debugger] tasklist.exe
IFEO\searchsettings64.exe: [Debugger] tasklist.exe
IFEO\snapdo.exe: [Debugger] tasklist.exe
IFEO\stinst32.exe: [Debugger] tasklist.exe
IFEO\stinst64.exe: [Debugger] tasklist.exe
IFEO\umbrella.exe: [Debugger] tasklist.exe
IFEO\utiljumpflip.exe: [Debugger] tasklist.exe
IFEO\volaro: [Debugger] tasklist.exe
IFEO\vonteera: [Debugger] tasklist.exe
IFEO\websteroids.exe: [Debugger] tasklist.exe
IFEO\websteroidsservice.exe: [Debugger] tasklist.exe
HKU\S-1-5-21-1845119400-1298913301-3594010967-1005\...\Run: [PriceMeterW] => C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\PriceMeter\pricemeterw.exe [309256 2014-04-13] (PriceMeter)
HKU\S-1-5-21-1845119400-1298913301-3594010967-1005\...\Run: [iLivid] => "C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\iLivid\iLivid.exe" -autorun
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1397832165&from=cor&uid=HitachiXHTS541610J9SA00_SB2C01SMG1LDEBG1LDEBX
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1397832165&from=cor&uid=HitachiXHTS541610J9SA00_SB2C01SMG1LDEBG1LDEBX
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1397832165&from=cor&uid=HitachiXHTS541610J9SA00_SB2C01SMG1LDEBG1LDEBX
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1397832165&from=cor&uid=HitachiXHTS541610J9SA00_SB2C01SMG1LDEBG1LDEBX&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1397832165&from=cor&uid=HitachiXHTS541610J9SA00_SB2C01SMG1LDEBG1LDEBX&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1397832165&from=cor&uid=HitachiXHTS541610J9SA00_SB2C01SMG1LDEBG1LDEBX
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1397832165&from=cor&uid=HitachiXHTS541610J9SA00_SB2C01SMG1LDEBG1LDEBX&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1397832165&from=cor&uid=HitachiXHTS541610J9SA00_SB2C01SMG1LDEBG1LDEBX&q={searchTerms}
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1397832165&from=cor&uid=HitachiXHTS541610J9SA00_SB2C01SMG1LDEBG1LDEBX&q={searchTerms}
SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=974&systemid=406&v=n12281-321&apn_uid=5075453358044284&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms}
BHO: IETabPage Class - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files\SupTab\SupTab.dll (Thinknice Co. Limited)
FF Plugin: @tools.updatepm.com/PriceMeterLiveUpdate Update;version=3 - C:\Program Files\PriceMeterLiveUpdate\Update\1.3.23.0\npGoogleUpdate3.dll (PriceMeter)
FF Plugin: @tools.updatepm.com/PriceMeterLiveUpdate Update;version=9 - C:\Program Files\PriceMeterLiveUpdate\Update\1.3.23.0\npGoogleUpdate3.dll (PriceMeter)
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF HKLM\...\Firefox\Extensions: [quick_start@gmail.com] - C:\Documents and Settings\Dawid\Dane aplikacji\Mozilla\Firefox\Profiles\k892xccp.default\extensions\quick_start@gmail.com
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\sweet-page.xml
C:\Documents and Settings\All Users\Dane aplikacji\48e4ac4dbef777db
C:\Documents and Settings\All Users\Dane aplikacji\AVG
C:\Documents and Settings\All Users\Dane aplikacji\Common Files
C:\Documents and Settings\All Users\Dane aplikacji\F-Secure
C:\Documents and Settings\All Users\Dane aplikacji\SuperbApp
C:\Documents and Settings\All Users\Dane aplikacji\{01BD4FC9-2F86-4706-A62E-774BB7E9D308}
C:\Documents and Settings\LocalService\Dane aplikacji\AVG
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\AVG
C:\Documents and Settings\Dawid\Dane aplikacji\AVG
C:\Documents and Settings\Dawid\Dane aplikacji\OpenCandy
C:\Documents and Settings\Dawid\Dane aplikacji\Opera Software
C:\Documents and Settings\Dawid\Dane aplikacji\SimilarSites
C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\AVG
C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\Comodo
C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\Google\Chrome
C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\Opera Software
C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\Torch
C:\Documents and Settings\Administrator
C:\Documents and Settings\Gość
C:\Documents and Settings\Pomocnik
C:\Documents and Settings\SUPPORT_388945a0
C:\Program Files\AVG
C:\Program Files\Opera
C:\Program Files\SiteFinder
C:\WINDOWS\System32\drivers\tStLibG.sys
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser" /v {C4069E3A-68F1-403E-B40E-20066696354B} /f
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Dodaj/Usuń odinstaluj adware: BrowseMark, Movies Toolbar for Firefox (Dist. by Bandoo Media, Inc.), Price Metar, Sweet Page, Update for PriceMeter, WebSaveros, WPM18.8.0.212.

 

3. Wyczyść Firefox:

• menu Historia > Wyczyść historię przeglądania
• menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

5. Uruchom Norton Removal Tool z poziomu Trybu awaryjnego Windows.

 

6. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) i zaległy GMER. Dołącz też plik fixlog.txt i log z AdwCleaner. Podsumuj jaki jest stan po czyszczeniu.

 

 

 

 

.

[scott]

Witaj

 

Dzięki za instrukcje. Wykonałem wszystkie czynności. W załącznikach przesyłam logi. Niestety muli nadal mocno. Zastanawiam się czy te infekcje nie pozmieniały czegoś w systemie? Rzuć okiem jesli możesz na logi czy jeszcze coś nie siedzi.

 

Pozdrawiam

Fixlog.txt

GMER.txt

AdwCleanerR0.txt

AdwCleanerS0.txt

[Rucek]

Tutaj: https://www.fixitpc.pl/topic/60-diagnostyka-infekcje-typu-rootkit/?do=findComment&comment=318 sprawdź: Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP).

Możliwe, że GMER przestawił z DMA na PIO. Daj znać.

[picasso]

Poprzednie zadania wyglądają na wykonane, ale przecież nie podałeś nowego raportu:

 

6. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut)

Co do mulenia: zgłaszałeś je już przed uruchomieniem GMER, ale owszem po uruchomieniu GMER mogły wystąpić dodatkowe okoliczności. Rucek już kieruje do odpowiedniego ustępu.

 

 

 

.

[scott]

Niestety IDE pracuje w DMA, więc to nie transfer z dysku powoduje mulenie, procesor się nie przepracowuje, ramu również nie brakuje. Nie mam pomysłu co to moze być.

 

W załączniku dodaje log z FRST do sprawdzenia

 

FRST.txt

[picasso]

Niestety IDE pracuje w DMA, więc to nie transfer z dysku powoduje mulenie, procesor się nie przepracowuje, ramu również nie brakuje.

Na wszelki wypadek zaprezentuj mi ustawienia na zrzucie ekranu. W menu Widok ustaw Urządzania wg połączenia, by było widać gdzie leży dysk twardy + opcje kontrolerów.

 

 

 

.

[scott]

Witaj

 

Zamieszczam zrzuty ekranu. Jeśli możesz to sprawdź.

 

Pozdrawiam

 

[scott]

Zamykam temat. Przeinstalowałem system

Bardzo dziękuję za pomoc

Dobrego dnia