tajpan Opublikowano 22 Stycznia 2011 Zgłoś Udostępnij Opublikowano 22 Stycznia 2011 Witam, piszę z prośbą o pomoc. Posiadam komputer marki hp model G62, z oryginalnym systemem operacyjnym (Windows 7 64bit). Od około tygodnia komputer po 40-50 minutach pracy zaczyna się bardzo zacinać, niemożliwe jest wykonanie żadnego polecenia (wykazuje 100% wykorzystanie CPU). Próbowałem skanować komputer przy pomocy CCleaner'a w poszukiwaniu blędów w rejestrze, jednak program nie wykrył żadnych nieprawidłowości. Na innych forach znalazłem stwierdzenie iż wina często leży po stronie jav'y dlatego ją odinstalowałem, problem jednak nadal wystepuje. Nie podejmowałem żadnych prób wyeliminowania tego problemu, prócz skanowania komputera przy pomocy CCleaner'a.. Stąd zwracam się o pomoc tutaj. załączam pliki ComboFix.txt OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 24 Stycznia 2011 Zgłoś Udostępnij Opublikowano 24 Stycznia 2011 1. Czy masz jakieś podstawy, by doszukiwać się infekcji? Prezentowane raporty nie wskazują na problem tego typu. Aczkolwiek nie została tu przeprowadzona weryfikacja pod kątem rootkitów. Dla systemów 64-bitowych brak odpowiednika stosowanego u nas do diagnozy na systemach 32-bit. W zasadzie jednak na systemach x64 problem rootkitów jest zawężony na dzień dzisiejszy do obszaru MBR. Wykonaj szybkie sprawdzenie narzędziami MBRCheck + Kaspersky TDSSKiller (pokaże Ci jako zablokowany sterownik SPTD od emulacji wirtualnej = do całkowitego zignorowania). Jeśli nie zostaną wykazane żadne modyfikacje, temat Malware porzucam. Gdyby coś zostało namierzone, nic nie naprawiaj automatycznie, tylko zaprezentuj wyniki do oceny. 2. Odinstaluj ComboFix w prawidłowy sposób. Klawisz z flagą Windows + R i wklej polecenie: C:\Users\Rafał\Desktop\ComboFix.exe /uninstall 3. Co najwyżej w OTL mogłabym poprawki nanieść, tzn. usunąć szczątki po odmontowanych paskach narzędziowych. To zadanie kosmetyzujące i na razie nie warto się rozdrabniać na takie głupoty nie przybliżające do rozwiązania problemu: Od około tygodnia komputer po 40-50 minutach pracy zaczyna się bardzo zacinać, niemożliwe jest wykonanie żadnego polecenia (wykazuje 100% wykorzystanie CPU). Czy przeważającą moc procesora zabiera jakiś szczególny proces? Czy bezpośrednio przed wystąpieniem tych objawów uruchamiasz konkretny program / prowadzisz określoną operację? Czy problem nie zbiegł się z wykonaniem instalacji którejś aplikacji lub aktualizacji Windows Update? Mało danych. Będzie dużo zgadywania. Wstępnie: 1. W Dzienniku zdarzeń powiela się taki błąd usługi RasMan: Error - 2011-01-12 10:46:21 | Computer Name = Rafał-Komputer | Source = Application Error | ID = 1000Description = Nazwa aplikacji powodującej błąd: svchost.exe_RasMan, wersja: 6.1.7600.16385, sygnatura czasowa: 0x4a5bc3c1 Nazwa modułu powodującego błąd: msvcrt.dll, wersja: 7.0.7600.16385, sygnatura czasowa: 0x4a5bdfbe Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x00000000000016cb Identyfikator procesu powodującego błąd: 0x3c4 Godzina uruchomienia aplikacji powodującej błąd: 0x01cbb2649d7cb469 Ścieżka aplikacji powodującej błąd: C:\Windows\system32\svchost.exe Ścieżka modułu powodującego błąd: C:\Windows\system32\msvcrt.dllIdentyfikator raportu: b82e8fa3-1e5a-11e0-ad52-95ffa8ac6a6e Zweryfikuj, czy problem występuje, jeśli dla celów testowych ta usługa zostanie wyłączona. Start > w polu wpisz services.msc > z prawokliku Uruchom jako Administrator > na liście dwuklik w Menedżer połączeń usługi Dostęp zdalny i Typ startowy przestaw na Wyłączona. Zresetuj komputer. Zgłoś swoje obserwacje. 2. Jeśli powyższa operacja nie wykaże związku, przeprowadź kolejne testy: Sprawdź czy problem występuje w stadium czystego rozruchu: KB929135 Sprawdź jaka aktywność jest notowana w monitorze zasobów (uruchom go zanim wystąpi problem i zostaw otwarty do czasu usterku): klawisz z flagą Windows + R i wklep polecenie perfmon /res. Przeglądnij zestawienie zbiorcze wszystkich sekcji, posortuj w kolumnach wg najwyższych wartości. 3. Ślepe strzały / luźne rozważania: Czy podczas pracy systemu cały czas jest w tle uTorrent lub może jest inicjowany tuż przed wystąpieniem problemu? Dodatkowo zastanowiły mnie jeszcze aplikacje: Bonjour wpięte w Winsock oraz Magic Desktop startujący na zasadzie hookowania powłoki Windows. . Odnośnik do komentarza
tajpan Opublikowano 24 Stycznia 2011 Autor Zgłoś Udostępnij Opublikowano 24 Stycznia 2011 Wykonałem skany i niżej zamieszczam ich wyniki. Zweryfikuj, czy problem występuje, jeśli dla celów testowych ta usługa zostanie wyłączona. Start > w polu wpisz services.msc > z prawokliku Uruchom jako Administrator > na liście dwuklik w Menedżer połączeń usługi Dostęp zdalny i Typ startowy przestaw na Wyłączona. Zresetuj komputer. Zgłoś swoje obserwacje. Wykonałem to polecenie jednak po przelączeniu Dostępu zdalnego i Typu startowego na wyłączony nie mogłem się połączyć z moim internetem (play online, modem). Musiałem powrócić do wcześniejszych ustawień Dostępu zdalnego. Poniżej zamieszczam również rzut ekranu, błędu. 2. Jeśli powyższa operacja nie wykaże związku, przeprowadź kolejne testy: Sprawdź czy problem występuje w stadium czystego rozruchu:KB929135 Wykonałem powyższe polecenie i na razie komputer pracuje prawidłowo, postaram się zaobserwować czy problem wystąpi znów po dłuższej pracy komputera. uTorrent nie jest włączony w tle, może usunę Magic Deskop? to urządzenie jest zbędne.. MBRCheck_01.24.11_11.47.16.txt TDSSKiller.2.4.15.0_24.01.2011_11.49.21_log.txt Odnośnik do komentarza
picasso Opublikowano 24 Stycznia 2011 Zgłoś Udostępnij Opublikowano 24 Stycznia 2011 Wyniki z MBR nic nie potwierdzają. Wprawdzie w MBRCheck jest "Unknown boot code", ale tu jest komputer Hewlett-Packard i prędzej taki wynik wynika z modyfikacji OEM. Wykonałem to polecenie jednak po przelączeniu Dostępu zdalnego i Typu startowego na wyłączony nie mogłem się połączyć z moim internetem (play online, modem). Musiałem powrócić do wcześniejszych ustawień Dostępu zdalnego.Poniżej zamieszczam również rzut ekranu, błędu. Taki skutek uboczny był na widoku. To miał być tylko test z wyłączaniem usługi, a nie jej trwałe pozostawienie na statusie wyłączonym. Wykonałem powyższe polecenie i na razie komputer pracuje prawidłowo, postaram się zaobserwować czy problem wystyąpi znów po dłuższej pracy komputera. Poczekam więc na rezultaty tej operacji. Wg Twoich raportów czysty rozruch objął te pozycje: SRV:64bit: - [2009-11-18 03:14:26 | 000,098,208 | ---- | M] (Andrea Electronics Corporation) [Auto | Running] -- C:\Program Files\Realtek\Audio\HDA\AERTSr64.exe -- (AERTFilters)SRV - [2010-11-27 13:15:38 | 000,654,848 | ---- | M] (Macrovision Europe Ltd.) [On_Demand | Stopped] -- C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)SRV - [2009-10-01 05:01:32 | 002,320,920 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Program Files (x86)\Intel\Intel® Management Engine Components\UNS\UNS.exe -- (UNS) Intel®SRV - [2009-10-01 05:01:30 | 000,268,824 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Program Files (x86)\Intel\Intel® Management Engine Components\LMS\LMS.exe -- (LMS) Intel®SRV - [2009-02-22 12:00:00 | 000,129,584 | ---- | M] (EasyBits Sofware AS) [Auto | Running] -- C:\Windows\SysWOW64\ezsvc7.dll -- (ezSharedSvc) O4:64bit: - HKLM..\Run: [HotKeysCmds] C:\Windows\SysNative\hkcmd.exe (Intel Corporation)O4:64bit: - HKLM..\Run: [igfxTray] C:\Windows\SysNative\igfxtray.exe (Intel Corporation)O4:64bit: - HKLM..\Run: [Persistence] C:\Windows\SysNative\igfxpers.exe (Intel Corporation)O4:64bit: - HKLM..\Run: [RTHDVCPL] C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe (Realtek Semiconductor)O4:64bit: - HKLM..\Run: [RtkOSD] C:\Program Files (x86)\Realtek\Audio\OSD\RtVOsd64.exe (Realtek Semiconductor Corp.)O4 - HKLM..\Run: [Easybits Recovery] C:\Program Files (x86)\EasyBits For Kids\ezRecover.exe (EasyBits Software AS)O4 - HKU\S-1-5-21-1511967764-3832604813-1607033857-1000..\Run: [ccleaner] C:\Program Files\CCleaner\CCleaner64.exe (Piriform Ltd)O4 - HKU\S-1-5-21-1511967764-3832604813-1607033857-1000..\Run: [Mobile Partner] C:\Program Files (x86)\PLAY ONLINE\PLAY ONLINE.exe () może usunę Magic Deskop? to urządzenie jest zbędne.. Ja tylko czynię luźne przypuszczenia bez pewności. Jeśli jednak nie korzystasz z tego wcale, to oczywiście możesz odinstalować. . Odnośnik do komentarza
tajpan Opublikowano 24 Stycznia 2011 Autor Zgłoś Udostępnij Opublikowano 24 Stycznia 2011 Chyba wiem kto jest ''winowajcą'', gdy komputer zaczął źle pracować odłączyłem modem i praca CPU się ustabilizowała.. gdy modem jest wyłączony komputer nie ''wariuje''// Odnośnik do komentarza
Rekomendowane odpowiedzi