Wolne działanie systemu

[respown]

Witam. Mam kolegę któremu bardzo powoli działa PC. Poprosiłem go o zrobienie logów z GMERA i FRSTa:

 

https://megawrzuta.pl/download/9f6c0e9a060d888013cc271045962c43.html

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Temat przenoszę do działu Windows. Żadnych oznak infekcji. A te zgłoszenia "rootkit" w GMER odnoszą się poprawnych usług Windows, mogą być konsekwencją właśnie tego, że system "bardzo powoli działa".

 

Z raportów nic nie wynika. Na dodatek, są tu znaki, że była uruchamiana co dopiero procedura Odśwież / Resetuj PC lub inna metoda reinstalacji systemu, co niejako odsuwa podejrzenia od komponentów systemu:

 

2016-04-24 21:23 - 2016-04-24 21:23 - 00000000 ____D C:\Windows.old

 

Sugestie:

 

1. Przetestować zachowanie w "czystym rozruchu" (częściowo już były podobne kombinacje, pewne usługi są wyłączone): KLIK. Jeśli nastąpi raptowna poprawa stanu, partiami odwracać akcję włączając po kolei elementy + restart, aż zdefiniujesz który obiekt tworzy problem.

 

2. Odinstalować aktualizator NVIDIA GeForce Experience 2.9.1.22 i Asusowy WebStorage, co na trwałe obetnie ilość ładowanych elementów.

 

3. Sprawdzić jak system działa po deinstalacji Avast, który występuje tu w starszej wersji. Jeśli polepszy się sytuacja, zainstalować najnowszą wersję.

 

4. O ile system spełnia warunki i nie jest aktywowany na kluczu "wielokrotnym", zaktualizować do wersji Windows 8.1: KLIK.

 

Platform: Windows 8 Pro (X64) Język: Polski (Polska)

 

5. Dalsza diagnostyka w dziale Hardware.

 

 

PS. Do wykonania drobne korekty w spoilerze, co nie ma związku ze zgłoszonymi problemami i w niczym nie pomoże.

 

 

 

Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKLM-x32\...\Winlogon: [userinit] [X]
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
SearchScopes: HKLM -> {8CDE19E6-71C2-4B46-89B7-35F6A18C571A} URL = hxxp://nl.yhs4.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wny_ir_15_14&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dnl%26pa%3DWinYahoo%26cd%3D2XzuyEtN2Y1L1QzuyDyE0AtDyDtDtD0DyEzzyD0ByBtDyDyBtN0D0Tzu0StCtCzzzytN1L2XzutAtFzytFzztFtDtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StByByEtAtCyE0D0AtG0BtA0C0FtG0DyCyByEtGtC0EtB0AtGyBtDzztCtDyC0FzzyBtA0C0A2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0BtDtD0EyB0D0FtCtGyBtDyCtAtGyE0D0B0AtGzy0E0DtDtGyCzzyB0ByEyBtDzztBtB0C0E2QtN0A0LzuyEtN1B2Z1V1T1S1NzuyCyDtA%26cr%3D1784031936%26a%3Dwny_ir_15_14%26os%3DWindows 8.1&p={searchTerms}
SearchScopes: HKLM -> {fcd9f10e-0daa-405f-bca0-0dd3f37c59d9} URL = hxxp://nl.yhs4.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wny_ir_15_14&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dnl%26pa%3DWinYahoo%26cd%3D2XzuyEtN2Y1L1QzuyDyE0AtDyDtDtD0DyEzzyD0ByBtDyDyBtN0D0Tzu0StCtCzzyBtN1L2XzutAtFzytFyEtFtCtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StBzzzz0BtCzzyD0FtGzz0CzytCtG0AyCzytDtGzz0FzztAtGyBtC0BtB0A0E0A0DyB0F0F0D2QtN1M1F1B2Z1V1N2Y1L1Qzu2StC0FtDyDzyyCtAtDtGyDzzyDtAtGyE0DtByBtGzzzzyDzztG0B0CtCzzyC0CyD0EyEyB0AyD2QtN0A0LzuyEtN1B2Z1V1T1S1NzuyCyDyD%26cr%3D1585016808%26a%3Dwny_ir_15_14%26os%3DWindows 8.1&p={searchTerms}
SearchScopes: HKU\S-1-5-21-3680113385-3031691342-242504588-1001 -> {015DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = hxxp://www.trovi.com/Results.aspx?gd=&ctid=CT3325159&octid=EB_ORIGINAL_CTID&ISID=M2C6B4747-8D22-4A2C-B5FC-0B576B928B0E&SearchSource=58&CUI=&UM=8&UP=SP723BB0F9-F5FD-4866-8ACC-C07D3512573D&q={searchTerms}&D=040415&SSPV=
SearchScopes: HKU\S-1-5-21-3680113385-3031691342-242504588-1001 -> {8CDE19E6-71C2-4B46-89B7-35F6A18C571A} URL = hxxp://nl.yhs4.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wny_ir_15_14&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dnl%26pa%3DWinYahoo%26cd%3D2XzuyEtN2Y1L1QzuyDyE0AtDyDtDtD0DyEzzyD0ByBtDyDyBtN0D0Tzu0StCtCzzzytN1L2XzutAtFzytFzztFtDtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StByByEtAtCyE0D0AtG0BtA0C0FtG0DyCyByEtGtC0EtB0AtGyBtDzztCtDyC0FzzyBtA0C0A2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0BtDtD0EyB0D0FtCtGyBtDyCtAtGyE0D0B0AtGzy0E0DtDtGyCzzyB0ByEyBtDzztBtB0C0E2QtN0A0LzuyEtN1B2Z1V1T1S1NzuyCyDtA%26cr%3D1784031936%26a%3Dwny_ir_15_14%26os%3DWindows 8.1&p={searchTerms}
SearchScopes: HKU\S-1-5-21-3680113385-3031691342-242504588-1001 -> {fcd9f10e-0daa-405f-bca0-0dd3f37c59d9} URL = hxxp://nl.yhs4.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wny_ir_15_14&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dnl%26pa%3DWinYahoo%26cd%3D2XzuyEtN2Y1L1QzuyDyE0AtDyDtDtD0DyEzzyD0ByBtDyDyBtN0D0Tzu0StCtCzzyBtN1L2XzutAtFzytFyEtFtCtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StBzzzz0BtCzzyD0FtGzz0CzytCtG0AyCzytDtGzz0FzztAtGyBtC0BtB0A0E0A0DyB0F0F0D2QtN1M1F1B2Z1V1N2Y1L1Qzu2StC0FtDyDzyyCtAtDtGyDzzyDtAtGyE0DtByBtGzzzzyDzztG0B0CtCzzyC0CyD0EyEyB0AyD2QtN0A0LzuyEtN1B2Z1V1T1S1NzuyCyDyD%26cr%3D1585016808%26a%3Dwny_ir_15_14%26os%3DWindows 8.1&p={searchTerms}
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-08-24]
C:\Users\Dawid\AppData\Local\BIT6B14.tmp
C:\Users\Dawid\AppData\Local\BTServer.log
C:\Users\Dawid\AppData\Local\{C9FC911C-C438-4131-A583-BAE5E6C6163A}
C:\Users\Dawid\AppData\Local\{EA7840F2-AE84-4E60-8826-040F0E0A50DB}
C:\Users\Dawid\AppData\Local\{F403C24B-C9A0-4A0A-89A6-9502028B4F8B}
C:\Users\Dawid\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\*.lnk
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przestaw go.