System wolno działa mimo niskiego użycia CPU

[shanq]

Witam. Mam problem od kilku tygodni system bardzo spowolnił mimo, że użycie CPU maksymalnie dochodzi do 5%. W załącznikach logi, lecz log z gmera jest nie pełny, ponieważ komputer zacinał mi się po kilku godzinach skanowania (co kilka minut kopiowałem wyniki podczas skanowania). Proszę o pomoc.

gmer.txt

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Temat był przetwarzany na innym forum. Proszę o świeży zestaw raportów, o ile mam kontynuuować.

 

Nie odbyła się poprawna deinstalacja paska AVG Web TuneUp, a właściwie żadnej deinstalacji. Został tam stratowany na chama AdwCleaner i "Fixem" FRST. Tym sposobem tylko śmietnik powstaje w systemie, bo takie usuwanie brutalne wcale nie czyści porządnie z programu.

[shanq]

Logi w załączniku. Podczas skanowania antywirus odnalazł jakiegoś wirusa?(dałem pozwól) w pliku FRST.exe: http://i.imgur.com/0tj0saR.png

FRST.txt

Shortcut.txt

Addition.txt

[picasso]

Detekcja FRST w AVG to fałszywy alarm, nie tylko AVG tak ma. Do zignorowania.

 

Problemy się rozmnożyły. Nowa usterka to uszkodzenie systemu Usług kryptograficznych (baza catroot lub catroot2), w logu FRST masowy odczyt File not signed (brak podpisu cyfrowego) wszystkich usług i sterowników Microsoftu. Dodatkowo, tu jeszcze jest niepoprawnie odinstalowany SpywareDoctor (w tle uruchomione komponenty), tym się zajmę potem. Na razie do wdrożenia następujące działania:

 

 

1. Uruchom narzędzie Fix It 50202: KLIK. Narzędzie działa na XP. Zaznacz tryb agresywny, który m.in. zawiera reset bazy catroot2.

 

2. Deinstalacje do przeprowadzenia:

 

----> Tak jak mówiłam, AVG Web TuneUp został uszkodzony (część komponentów usunięta, nadal działa w tle sterownik i na liście programów martwy wpis). W obecnym stanie raczej będzie trudno go odinstalować. Zrób co następuje: zainstaluj nakładkowo ten program stąd: KLIK. Po nakładkowej instalacji odinstaluj go przez Dodaj/Usuń programy.

 

----> Przez Dodaj/Usuń programy odinstaluj stare dziurawe wersje: Adobe AIR, Adobe Reader X (10.1.11) - Polish, Adobe Shockwave Player 11.5, Gadu-Gadu 10, Gadu-Gadu 7.7, J2SE Runtime Environment 5.0 Update 4, Java 7 Update 71, Java SE Development Kit 7 Update 71, Java™ 6 Update 31, JavaFX 2.1.1, OpenOffice.org 3.2 (nie współpracuje z najnowszymi bezpiecznymi Java, dostępna nowsza seria 4.x), Opera 12.14 (najnowsza z tej serii to Opera 12.17 zawierająca łatę na krytyczną lukę Heartbleed), Safari (dziurawa porzucona przeglądarka), Tibia Multi IP Changer (to jest szkodnik!), TVUPlayer 2.4.8.2 (nie działa już, zamknięto sieć w której działał).

 

3. Wg FRST Shortcut jest ogromna ilość pustych skrótów w Menu Start i innych miejscach. Nie miałam siły tego przewertować - w skrypcie FRST adresuję tylko obszar Quick Launch. Przejrzyj i pousuwaj martwe skróty z innych miejsc. Chodzi o foldery na Pulpicie oraz te lokalizacje:

 

D:\Documents and Settings\All Users\Menu Start\Programy

D:\Documents and Settings\Kuba i Michał\Menu Start\Programy

 

4. Do usunięcia pozostałe puste wpisy i różne śmieci. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
StartMenuInternet: (HKLM) Opera - D:\Program Files\Opera\Opera.exe http://www.dosearches.com/?utm_source=b&utm_medium=smt&utm_campaign=eXQ&utm_content=sc&from=smt&uid=SAMSUNGXHD252HJ_S17HJ1KQA00137&ts=1381579882
ProxyServer: [.DEFAULT] => 203.160.1.94:80
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141118
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com
HKU\S-1-5-21-1078081533-299502267-839522115-1003\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
SearchScopes: HKLM -> URL http://startsear.ch/?aff=2&src=sp&cf=b365d94a-2514-11e2-be72-00e04c100ab8&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1078081533-299502267-839522115-1003 -> URL http://startsear.ch/?aff=2&src=sp&cf=b365d94a-2514-11e2-be72-00e04c100ab8&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1078081533-299502267-839522115-1003 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={3183B199-3464-49BF-A85F-F7D21EEA8723}&mid=e9e8e12cc64447d08430d1a90af4e34b-0d067dae5e7e84af70bb79418a28c71df2b2738c&lang=pl&ds=AVG&coid=avgtbavg&cmpid=1214tb&pr=fr&d=2014-11-06 18:15:46&v=4.0.5.7&pid=wtu&sg=&sap=dsp&q={searchTerms}
Toolbar: HKLM - No Name - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - No File
Toolbar: HKU\S-1-5-21-1078081533-299502267-839522115-1003 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
FF Plugin: @gamersfirst.com/LiveLauncher -> H:\Program Files\GamersFirst\LIVE!\nplivelauncher.dll No File
FF Plugin: @videolan.org/vlc,version=2.1.3 -> D:\Program Files\VideoLAN\VLC\npvlc.dll No File
FF HKLM\...\Firefox\Extensions: [{cb84136f-9c44-433a-9048-c5cd9df1dc16}] - H:\Program Files\Spyware Doctor\BDT\FireFox
FF HKLM\...\Firefox\Extensions: [{00ADD29A-66F4-4f22-BCC0-4C1D29DA647B}] - D:\Program Files\LG Electronics\LG PC Suite IV\LinkAir\{00ADD29A-66F4-4f22-BCC0-4C1D29DA647B}
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - D:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF HKLM\...\Firefox\Extensions: [FFPDFArchitectConverter@pdfarchitect.com] - D:\Program Files\PDF Architect\FFPDFArchitectExt
FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - D:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird
CustomCLSID: HKU\S-1-5-21-1078081533-299502267-839522115-1003_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> No File Path
D:\Documents and Settings\All Users\Dane aplikacji\TEMP
D:\Program Files\Mozilla Firefoxavg-secure-search.xml
D:\Program Files\Mozilla Firefox\extensions
D:\Program Files\Mozilla Firefox\plugins
D:\Documents and Settings\bot\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Tibia.lnk
D:\Documents and Settings\Kuba i Michał\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Check PC For Errors.lnk
D:\Documents and Settings\Kuba i Michał\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Chromium.lnk
D:\Documents and Settings\Kuba i Michał\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\FlashGet 2.0.lnk
D:\Documents and Settings\Kuba i Michał\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Nero StartSmart.lnk
D:\Documents and Settings\Kuba i Michał\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\ots24.net Galaxia.lnk
D:\Documents and Settings\Kuba i Michał\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\SjBoy ChingLish.lnk
D:\Documents and Settings\Kuba i Michał\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Tibia.lnk
D:\Documents and Settings\Kuba i Michał\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Xfire.lnk
D:\Documents and Settings\Kuba i Michał\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences
D:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
D:\WINDOWS\pss\20Dollars2Surf.lnkCommon Startup
D:\WINDOWS\pss\BlueSoleil.lnkCommon Startup
D:\WINDOWS\pss\BTTray.lnkCommon Startup
D:\WINDOWS\pss\Game Alarm.lnkStartup
D:\WINDOWS\pss\McAfee Security Scan Plus.lnkCommon Startup
D:\WINDOWS\pss\runjar.batStartup
D:\WINDOWS\pss\OpenOffice.org 3.2.lnkStartup
D:\WINDOWS\pss\Xfire.lnkStartup
Hosts:
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\D:^Documents and Settings^All Users^Menu Start^Programy^Autostart^20Dollars2Surf.lnk" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\D:^Documents and Settings^All Users^Menu Start^Programy^Autostart^BlueSoleil.lnk" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\D:^Documents and Settings^All Users^Menu Start^Programy^Autostart^BTTray.lnk" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\D:^Documents and Settings^All Users^Menu Start^Programy^Autostart^McAfee Security Scan Plus.lnk" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\D:^Documents and Settings^Kuba i Michał^Menu Start^Programy^Autostart^Game Alarm.lnk" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\D:^Documents and Settings^Kuba i Michał^Menu Start^Programy^Autostart^OpenOffice.org 3.2.lnk" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\D:^Documents and Settings^Kuba i Michał^Menu Start^Programy^Autostart^runjar.bat" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\D:^Documents and Settings^Kuba i Michał^Menu Start^Programy^Autostart^tmonitor.exe" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\D:^Documents and Settings^Kuba i Michał^Menu Start^Programy^Autostart^WinCE3.exe" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\D:^Documents and Settings^Kuba i Michał^Menu Start^Programy^Autostart^Xfire.lnk" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AlcoholAutomount" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BtTray" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IPLA!" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KernelFaultCheck" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LG LinkAir" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RDReminder" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

5. Firefox był mocno zabrudzony. Wyczyść go konkretniej: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować.

 

6. W Google Chrome:

• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

7. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pola Addition + Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt. Wypowiedz się czy tytułowy problem "System wolno działa mimo niskiego użycia CPU" nadal ma miejsce, bo to nie zostało sformułowane na tamtym forum.

[shanq]

Logi w załączniku. Nie mogłem zainstalować tego AVG Web TuneUp: http://i.imgur.com/zJROLzg.png

Te puste skróty usunę później, ponieważ teraz nie mam czasu. System już dobrze działa.

FRST.txt

Addition.txt

Shortcut.txt

Fixlog.txt

[picasso]

Fix It 50202 naprawił bazę catroot2 - zniknął masowy odczyt braku podpisu cyfrowego. Pozostał problem z martwym AVG Web TuneUp oraz aktywnymi szczątkami PC Tools. AVG Web TuneUp jest uszkodzony przez AdwCleaner, a kopii zapasowej AdwCleaner brak, bo na tamtym forum zalecono deinstalację AdwCleaner. Na razie spróbuj usunąć powiązany sterownik i wpis instalacyjny produktu:

 

1. Do Notatnika wklej:

 

R1 avgtp; D:\WINDOWS\system32\drivers\avgtpx86.sys [43296 2014-12-09] (AVG Technologies)
BHO: No Name -> {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -> No File
DPF: {166B1BCA-3F9C-11CF-8075-444553540000} http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
DPF: {233C1507-6A77-46A4-9443-F871F945D258} http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
DPF: {CAFEEFAC-0017-0000-0071-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_71-windows-i586.cab
CHR HKLM\...\Chrome\Extension: [pkijdmeepjhpenmighhaodgfoogncnlk] - E:\Program Files\Offline Explorer\mpoe.crx [2013-02-01]
FF Plugin: @java.com/DTPlugin,version=10.5.1 -> D:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation)
D:\Program Files\Asprate
D:\Program Files\Java
D:\Program Files\OpenOffice.org 3
D:\Program Files\Opera
D:\WINDOWS\system32\deployJava1.dll
D:\WINDOWS\system32\drivers\avgtpx86.sys
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gadu-Gadu" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gadu-Gadu 10" /f
CMD: attrib /d /s -r -s -h C:\FOUND.*
CMD: for /d %f in (C:\FOUND.*) do rd /s /q "%f"

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt.

 

2. Uruchom Zoek. W oknie wklej:

 

AVG Web TuneUp;u

 

Klik w Run Script. Przedstaw wynikowy log zoek-results.txt (po zmianie nazwy z *.log).

 

3. Zapomniałam podać do deinstalacji komponent towarzyszący przeglądarce Safari: Apple Software Update.

 

4. Te skróty posprzątaj - wg raportu tam jest niezły śmietnik. Po tym zrób nowy log FRST Shortcut.