Powolne uruchamianie i działanie systemu Win XP

[tomekbrzez]

Witam serdecznie!

Przez kilka dni miałem bardzo uciążliwy problem. Uruchamianie zamiast 15-20 sekund trwało nawet do 120 sekund. Po zalogowaniu, przez pewien czassystem doświadczał chwilowych freezów w odstępie około 5 sekund między jednym freez'em, a drugim. Pierwsze co zrobiłem to skan Kasperskim, który niczego nie wykrył. Potem skan Nortonem i Nodem32, które również nie przyniosły żadnego rezultatu. W związku z tym przeniosłem swoje podejrzenia na hardware. Wykonałem skan memtestem z poziomu DOS'u, wszystko w porządku. Następnie użyłem HDDRegeneratora, również wszystko OK. Pomyślałem skoro wszystko w porządku to w czym problem? Zrobiłem dodatkową defragmentację, czyszczenie rejestru i zaawansowany chkdsk. Nic jednak nie pomogło. Postanowiłem sformatować partycję systemową, robiłem to dwukrotnie, nie używałem szybkiego formatowania. Drugiej partycji nie ruszałem, mam tam sporo dokumentów itp. Instalka systemu od początku. Po reinstall'u przez kilkadziesiąt minut wszystko pięknie działało, żadnych zwiech czy innych dziwnych objawów. Potem zacinki powróciły. Powtórzyłem te same czynności jak na początku. Nic to nie dało. Reinstalowałem system po raz kolejny i zacząłem szukać w sieci jakichkolwiek informacji, które mogłyby mnie naprowadzić na trop co mogło być przyczyną takiego zachowania, ale nic szczególnego nie znalazłem. Dzisiaj zupełnie przez przypadek wpadłem na pomysł żeby użyć HijackThis i ComboFixa, choć zupełnie się na tym nie znam, trochę ryzykowne posunięcie. HijackThis chyba niczego nie znalazł, za to ComboFix wykrył rootkita i po ponownym uruchomieniu usunął go. Od tej pory system działa normalnie, zupełnie tak jak powinien. I teraz pora na moje pytanie. Czy to już koniec problemów związanych z tym syfem, czy to tylko taka zmyła?

 

Parametry komputera:

System: Windows XP SP3 aktualizowany na bieżąco

Pamięć: DDR1 1GB + DDR1 2x512MB w dualu

Procesor: AMD Athlon 3200+ 2.00GHz

Dysk: Seagate ST3500418AS 465GB (partycja systemowa c: 171GB, partycja d: 293GB)

 

Są zainstalowane wszystkie najnowsze sterowniki. W rejestrze może być lekki chaos bo nie miałem czasu go przeczyścić.

ComboFix.txt

GMER.txt

OTL.Txt

[picasso]

Dostarczone logi = brak podstaw do szukania infekcji. Zastrzeżenia:

- Zabrakło fragmentu Extras z OTL, nie przestawiłeś opcji "Rejestr - skan dodatkowy" na "Użyj filtrowania".

- Zbędny log z HijackThis usuwam. Za dużo się z niego porządny analityk nie dowie. Nie te czasy. Poza tym, o matko, wersja 1.99.1 (sprzed sześciu lat!), skąd do licha to pobrałeś, bo na pewno nie ze strony domowej narzędzia (TrendMicro, HijackThis już dawno temu został wykupiony od Merijna przez tę firmę).

- ComboFixa nie powinieneś wcale uruchamiać cichaczem w domu, wyjaśnienia: KLIK. I wygląda, że ComboFix startował w niesprzyjającym + nieprawidłowym środowisku, przy czynnym rezydencie NOD:

 

AV: System antywirusowy NOD32 2.70 *Enabled/Updated* {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
 * Rezydentny antywirus jest aktywny

Następnie: jeśli tu widziana wersja NOD to prawda, to ma krótkie nogi. Wersja przestarzała.

 

ComboFix 11-05-31.01 - Ziomal 2001-12-31  22:05:38.1.1 - x86

I jakaś kuriozalna data uruchomienia na 10 lat wstecz się wyświetla ....

 

 

ComboFix wykrył rootkita i po ponownym uruchomieniu usunął go.

 

Nie wygląda wcale na to co sugerujesz. Popatrzmy na wyniki:

 

(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system\WINSPOOL.DRV
.
c:\windows\system32\msgsvc.dll . . . jest zainfekowany!!
.
c:\windows\system32\accwiz.exe . . . jest zainfekowany!!

Zgłoszenia "jest zainfekowany" to fałsz. Dysponujesz modyfikowanym Windows i ComboFix na takich będzie widział zagrożenia tam gdzie ich nie ma. A usunięty plik WINSPOOL.DRV = taki plik jest w normalnym systemie XP:

 

 

... i należy się zastanowić dlaczego tu został skasowany, jakie cechy wykazał, że ComboFix go zlikwidował (a nie powinien). Proszę zapakować folder C:\Qoobox\Quarantine i przesłać mi na PW.

 

Zgłoszenie o rootkicie przy uruchamianiu ComboFix niekoniecznie pochodzi z faktycznej aktywności rootkit, może wejść w kolizję jakiś dobry proces (a już ironią tu by było, gdyby to pochodziło od sterownika ESET). Póki co, nic nie potwierdza, że był to prawdziwy rootkit. Zaś rutyna ComboFix wykonuje pewne opcje porządkowe i skoro jego uruchomienie "ulżyło", to mogło tu pomóc całkiem coś innego niż Ci się wydaje.

 

 

HijackThis chyba niczego nie znalazł

 

A co miał "znaleźć"? To nie jest skaner w rozumieniu tu insynuowanym tylko prosty spis miejsc, które należy własnoręcznie zanalizować.

 

 

Następnie użyłem HDDRegeneratora, również wszystko OK.

 

Przestroga: KLIK / KLIK. Nie używać! Do takich zadań na dysku służy MHDD lub Victoria.

 

 

Po reinstall'u przez kilkadziesiąt minut wszystko pięknie działało, żadnych zwiech czy innych dziwnych objawów. Potem zacinki powróciły. Powtórzyłem te same czynności jak na początku. Nic to nie dało. Reinstalowałem system po raz kolejny i zacząłem szukać w sieci jakichkolwiek informacji, które mogłyby mnie naprowadzić na trop co mogło być przyczyną takiego zachowania, ale nic szczególnego nie znalazłem.

 

Za dużo reinstalacji, nie sądzisz? Tu się pcha na usta, że problemem tu może być nieświadome powielanie tych samych zachowań przy reinstalacji. Potencjalny wspólny łącznik:

 

- Typ oprogramowania zabezpieczającego, wyciąganie z lamusa kwiatków typu NOD32 2.70. Nie wiadomo co uprzednio miałeś zainstalowane, ale ja się niepokoję, że widzę na systemie po reinstalacji taki oto wynik w ComboFix (Sic!):

 

- - - - USUNIĘTO PUSTE WPISY - - - -
.
AddRemove-Ad-Aware SE Personal - c:\progra~1\Lavasoft\Ad-Aware SE Personal\UNWISE.EXE

- Typ Windows. Jest to jakaś przeróbka. Na takich mogą się dziać dziwne rzeczy, zaś diagnostyka poblemu jest bardzo utrudniona, bo w grę wchodzi "inżynieria wsteczna" co namieszał ten, kto przetwarzał źródło Windows. Nie polecam używania takich modyfikacji, jeśli to pobrane z sieci i robione przez kogoś a nie Twoją ręką. Nawiasem: już tu był taki jeden, który reinstalował od zera system chyba z 3 razy, bo zaraz po instalacji MBAM mu wykrywał "trojana" w pliku kalkulatora. Nie przyszło mu do głowy, że winę ponosi sztuczny system i niepotrzebnie się narobił.

 

Jeśli ponownie wystąpi problem, do sprawdzenia będzie jak zachowuje się system kompletnie pozbawiony oprogramowania zabezpieczającego oraz normalny nie przerabiany Windows XP.

 

 

 

 

.

[tomekbrzez]

Wcześniej nie zdawałem sobie sprawy z przeznaczenia ComboFixa, przeczytałem tutorial z bleepingcomputer.com i myślałem, że to wszystko co trzeba o nim wiedzieć. Zapoznałem się z Twoim postem 'Dezynfekcja: narzędzie ComboFix' i faktycznie popełniłem błąd uruchamiając go na własną rękę. Hijack pobrałem z pierwszej lepszej strony, też mój błąd. Przy pierwszym uruchomieniu ComboFixa wyłączyłem antywirusa, prawdopodobnie wykrył go po ponownym uruchomieniu komputera. Data systemowa zmieniła się przez słabą już baterię od BIOSu, wkrótce ją wymienię. Wersja NODa jest chyba z 2008 roku, a to dlatego, że w przeciwieństwie do najnowszych wersji zajmuje mało pamięci i procesora (popraw mnie jeśli się mylę). Windows jest modyfikowany przez SyMiLiOn'a. Słyszałem, że HDDRegenerator jest niezły, ale w takim razie więcej go nie użyje. AddRemove znalazłem na jakimś tam forum, nie chciał zaktualizować sygnatur więc go usunąłem. Najwyraźniej zostało po nim trochę śmieci.

Jak na razie wszystko jest w porządku, żadnych niepokojących objawów. Gdyby coś było nie tak, odezwę się.

Wielkie dzięki za pomoc, a także za kilka cennych lekcji. Na przyszłość będę ostrożniejszy:)

[picasso]

Oczekując na opinię góry na temat kasacji plików mogę dodać od siebie już teraz, że z tą przeróbką jest coś nie tak. Do testu pobrałam ISO autorstwa SyMiLiOn (choć nie do końca jestem pewna czy to jest identyczny build co Twój), by na własne oczy zobaczyć co się dzieje w zetknięciu z procedurą ComboFix i wprawdzie nie mam identycznych wyników kasacji, ale za to zaraz po czystej instalacji z ISO częstuje mnie zgłoszenie o aktywności rootkit:

 

 

Komunikat się objawia przy każdym kolejnym uruchomieniu ComboFix, jego robota w tej materii jest pozorowana. Ta przeróbka Windows ma coś niezdrowego co generuje ten odczyt. Problem główny, z którym przyszedłeś, nadal ma niewyjaśnione podłoże, a udział ComboFix w leczeniu wygląda na zerowy. Podtrzymuję, że problem z Windows może być z winy powielania po reinstalacji pewnych zachowań: posługiwanie się modowanym Windows (nie czarujmy się, nie jesteś autorem przeróbki, toteż Twoja kontrola jest mocno ograniczona) lub doinstalowywanie do niego ofensywnych aplikacji.

 

 

Wersja NODa jest chyba z 2008 roku, a to dlatego, że w przeciwieństwie do najnowszych wersji zajmuje mało pamięci i procesora (popraw mnie jeśli się mylę).

 

To takie zabezpieczanie systemu na pół gwizdka. Aktualnie pakiety antywirusowe nie bez powodu są bardziej rozwinięte i nie kończą się na "czystym antywirusie". Mamy rok 2011, a trzy lata w świecie malware (i do pary anty-malware) to przepaść. Co z tego, że niby mniej zabiera zasobów jak jest to mniej odporna starsza wersja, pozbawiona także technologii będących teraz na porządku dziennym. Dobry nowoczesny rootkit = nokaut Twojego antywirusa.

Ponadto, nie jest wykluczone, że ów "małozasobożerny" program może być przyczyną Twojego głównego problemu. Przecież to sterowniki.

 

To może pojedynczy sygnał: darmowy antywirus Panda Cloud Antivirus z techniką chmury, obliczony na zmianę proporcji w wykorzystaniu zasobów. Zjawisko wygląda bardzo odmiennie od tego co znasz z klasycznego antywirusa typu NOD. Sygnał wysyłam, by dać Ci do zrozumienia, że Twoje myślenie o doborze antywirusa koresponduje z datowaniem Twojego antywirusa.

 

 

AddRemove znalazłem na jakimś tam forum, nie chciał zaktualizować sygnatur więc go usunąłem. Najwyraźniej zostało po nim trochę śmieci.

 

Tu mi nie chodziło bynajmniej o "śmieci", zakreślony ustęp miał wyeksponować fakt, że władowałeś na system po reinstalacji kompletne próchno sprzed kilku lat (!), co każe mi także podejrzewać, że to nie jedyne "faux paux" tu popełnione. Nie wiem skąd Ty wyciągasz takie stare do niczego dziś już niezdatne programy. Nie rób tego "na jakimś tam forum", tylko bezwzględnie na stronie producenta. Obecne Ad-aware to Ad-aware Internet Security (jest wersja darmowa) z podwójnym silnikiem antywirus + antymalware. Inna sprawa, że sam pakiet w wersji darmowej jest w mojej opinii słaby, taki ciężki a tak pokroili rezydenta. Wystarczy porównać np. darmowego Avasta czy AVG, by ujrzeć dysproporcję w Ad-aware Free.

I również notatka: zaciera się granica pojęciowa i obecnie antywirusy są multifunkcyjne i "spyware" jest w detekcji. Wynalazki rodziny "Ad-Aware SE Personal" to historia.

 

 

 

.

Edytowane 1 Lipca 2011 przez picasso
1.07.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso