Dontik Opublikowano 21 Lipca 2011 Zgłoś Udostępnij Opublikowano 21 Lipca 2011 Witam Mam następujący problem. Wczoraj system zamknął się normalnie a dzisiaj system się uruchomił ale baaaardzo wolno. Pokazał się pulpit, można ruszać kursorem, ale klikniecie na cokolwiek powoduje zawieszenie się eksploratora windows. W trybie awaryjnym problem nie występuje. Robiłem sfc /scannow, nie wykryło problemów. Jeśli będzie taka konieczność to zrobię również OTL. DxDiag.txt mbam-log-2011-07-21 (20-57-11).txt Odnośnik do komentarza
Flavius Opublikowano 21 Lipca 2011 Zgłoś Udostępnij Opublikowano 21 Lipca 2011 Te pliki usunięte przez MBAM nie podobają mi się i wypadałoby się przyjrzeć blizej systemowi - zastosuj się do tego regulaminu https://www.fixitpc.pl/forum-38/announcement-3-wazne-zakladanie-tematu-obowiazkowe-logi/ Trudno mi jednak odpowiedzieć czy infekcja i problem z bootem są tu powiązane - wszystko zależy od wyników diagnozy.Mozliwe ze tu są dwa niezależne problemy np. problem ze sprzetem Odnośnik do komentarza
picasso Opublikowano 21 Lipca 2011 Zgłoś Udostępnij Opublikowano 21 Lipca 2011 Te wyniki w MBAM są raczej bez znaczenia pod kątem problemu (to RiskWare i PUP a nie definitywna infekcja), za to wiemy, że z krakersem mamy do czynienia. Wynik kmservice.exe - "legalizator" Office, a ten drugi "patcher" to nawet nie wiadomo czy rzeczywiście szkodliwy (to wykryte jako PUP = Potentially Unwanted Program). Za to logi z OTL się przydadzą, bo nie wiadomo jak wygląda system. Odnośnik do komentarza
Dontik Opublikowano 21 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 21 Lipca 2011 (edytowane) zastosuj się do tego regulaminu https://www.fixitpc.pl/forum-38/announcement-3-wazne-zakladanie-tematu-obowiazkowe-logi/ OTL.txt Extras.txt Edytowane 21 Lipca 2011 przez picasso Posty połączone. //picasso Odnośnik do komentarza
picasso Opublikowano 21 Lipca 2011 Zgłoś Udostępnij Opublikowano 21 Lipca 2011 Chwileczkę: Computer Name: REATOGO | User Name: SYSTEM Czyli log z poziomu płyty OTLPE a nie z poziomu Windows. Dlaczego? OTLPE służy do diagnozy na systemie, który kompletnie nie startuje w żadnym trybie. Tu jest oczekiwany log z OTL zrobiony z poziomu Windows, który jak rozumiem bez przeszkód działa w Trybie awaryjnym. Log zrobiony z poziomu środowiska zewnętrznego wykazuje różnice i nie wszystkie dane mogą być pobrane np. nie jest pokazane które usługi są Running a które Stopped, nie ma procesów + modułów oczywiście listowanych, Dziennika zdarzeń nie wyciągnie (usługa dziennika wymagana do wyciągnięcia tego przez OTL nie działa oczywiście zdalnie). Wstępnie, zastartuj do Trybu awaryjnego i wykonaj następujące czynności: 1. Usuń całkowicie Avast (ja nie widzę jego wejścia na liście zainstalowanych, za to cała kolekcja sterowników w raporcie). Wnioskując po datach sterowników i ścieżkach dostępu i tak nie jest to najnowsza wersja, a robiona nakładkowo na jeszcze starszą (aktualizacja 5 > 6). Posłuż się Avast Uninstall Utility. Restart i weryfikacja czy wchodzi normalny. Jeśli ta operacja nie pomoże: 2. Uruchom msconfig i przekonfiguruj system na tzw. czysty rozruch (instrukcje) i spróbuj czy Windows normalnie się uruchomić w takich warunkach. Czysty rozruch powinien wyłączyć z ładowania to: SRV:64bit: - [2011/05/30 11:44:37 | 001,038,088 | ---- | M] (Acresso Software Inc.) [On_Demand] -- E:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe -- (FLEXnet Licensing Service 64) SRV:64bit: - [2010/12/08 10:15:45 | 000,551,896 | ---- | M] (Protection Technology) [Auto] -- E:\Windows\System32\appdrvrem01.exe -- (appdrvrem01) Application Driver Auto Removal Service (01) SRV:64bit: - [2010/02/19 16:39:46 | 000,202,752 | ---- | M] (AMD) [Auto] -- E:\Windows\System32\atiesrxx.exe -- (AMD External Events Utility) SRV - [2011/07/06 13:52:38 | 000,366,640 | ---- | M] (Malwarebytes Corporation) [Auto] -- E:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService) SRV - [2011/06/01 14:57:05 | 000,403,240 | ---- | M] (Valve Corporation) [On_Demand] -- E:\Program Files (x86)\Common Files\Steam\SteamService.exe -- (Steam Client Service) SRV - [2011/05/30 11:44:30 | 000,655,624 | ---- | M] (Acresso Software Inc.) [On_Demand] -- E:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service) SRV - [2011/04/24 12:46:21 | 000,075,136 | ---- | M] () [Auto] -- E:\Windows\SysWOW64\PnkBstrA.exe -- (PnkBstrA) SRV - [2010/12/28 04:00:34 | 001,296,728 | ---- | M] (www.BitComet.com) [On_Demand] -- E:\Program Files (x86)\BitComet\tools\BitCometService.exe -- (BITCOMET_HELPER_SERVICE) SRV - [2010/11/16 14:05:14 | 000,008,192 | ---- | M] () [Auto] -- E:\Windows\SysWOW64\srvany.exe -- (KMService) SRV - [2010/10/12 16:04:39 | 000,181,312 | ---- | M] () [Auto] -- E:\Program Files (x86)\Photodex\ProShowGold\scsiaccess.exe -- (ScsiAccess) SRV - [2010/03/18 05:19:26 | 000,113,152 | ---- | M] (ArcSoft Inc.) [Auto] -- E:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe -- (ACDaemon) SRV - [2010/02/19 08:37:14 | 000,517,096 | ---- | M] (Adobe Systems Incorporated) [On_Demand] -- E:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe -- (SwitchBoard) SRV - [2009/09/08 04:51:46 | 000,114,688 | ---- | M] (Gigabyte Technology CO., LTD.) [Auto] -- E:\Program Files (x86)\gigabyte\smart6\timelock\TimeMgmtDaemon.exe -- (Smart TimeLock) SRV - [2009/08/04 12:29:54 | 000,219,360 | ---- | M] (DeviceVM, Inc.) [Auto] -- E:\Program Files (x86)\DeviceVM\Browser Configuration Utility\BCUService.exe -- (BCUService) SRV - [2009/04/07 08:11:58 | 000,241,664 | ---- | M] () [Auto] -- E:\Program Files (x86)\blueconnect\AssistantServices.exe -- (UI Assistant Service) O4:64bit: - HKLM..\Run: [AdobeAAMUpdater-1.0] E:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe (Adobe Systems Incorporated) O4:64bit: - HKLM..\Run: [bCSSync] File not found O4:64bit: - HKLM..\Run: [Windows Mobile Device Center] E:\Windows\WindowsMobile\wmdc.exe (Microsoft Corporation) O4 - HKLM..\Run: [Adobe Reader Speed Launcher] File not found O4 - HKLM..\Run: [AdobeCS4ServiceManager] E:\Program Files (x86)\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [AdobeCS5ServiceManager] E:\Program Files (x86)\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [Anti-Blaxx Manager] E:\Program Files (x86)\Anti-Blaxx2\Anti-Blaxx.exe (MB-Soft) O4 - HKLM..\Run: [ATICustomerCare] E:\Program Files (x86)\ATI\ATICustomerCare\ATICustomerCare.exe (Advanced Micro Devices, Inc.) O4 - HKLM..\Run: [bCU] E:\Program Files (x86)\DeviceVM\Browser Configuration Utility\BCU.exe (DeviceVM, Inc.) O4 - HKLM..\Run: [DeathAdder] E:\Program Files (x86)\Razer\DeathAdder\razerhid.exe () O4 - HKLM..\Run: [DivXUpdate] E:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe () O4 - HKLM..\Run: [JMB36X IDE Setup] E:\Windows\RaidTool\xInsIDE.exe () O4 - HKLM..\Run: [Malwarebytes' Anti-Malware (reboot)] E:\Program Files (x86)\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation) O4 - HKLM..\Run: [startCCC] E:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.) O4 - HKLM..\Run: [switchBoard] E:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [uIExec] E:\Program Files (x86)\blueconnect\UIExec.exe () O4 - HKU\DOM_ON_E..\Run: [DAEMON Tools Lite] E:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd) O4 - HKU\DOM_ON_E..\Run: [iDMan] E:\Program Files (x86)\Internet Download Manager\IDMan.exe (Tonec Inc.) O4 - HKU\DOM_ON_E..\Run: [Pando Media Booster] E:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe () O4 - Startup: E:\Users\DOM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Registration .LNK () Jeśli test wypadnie pozytywnie, zaczniesz stopniowo odkręcać włączając partiami wpisy, które są w miarę istotne (a co nieważne na trwałe zostawisz off). Bałagan w przeglądarkach (adware-paski) to osobna sprawa, na razie to pomijam, bo to nie powinno mieć nic do rzeczy w kwestii opisywanych objawów. I spodziewam się dostarczenia logów zrobionych spod Windows, nie z OTLPE. . Odnośnik do komentarza
Dontik Opublikowano 21 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 21 Lipca 2011 a dodać jeszcze raz te logi, tyle, że z poziomu windowsa? Odnośnik do komentarza
picasso Opublikowano 21 Lipca 2011 Zgłoś Udostępnij Opublikowano 21 Lipca 2011 Dontik logi podasz już po wykonaniu rzeczonych czynności, gdyż raport stanie się równocześnie potwierdzeniem wykonania operacji. Odnośnik do komentarza
Dontik Opublikowano 21 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 21 Lipca 2011 Bardzo wielkie, wielkie dzięki picasso. Włączyłem tylko te usługi które są niezbędne i wszystko działa Teraz jeszcze muszę zainstalować jakiś program antywirusowy. Radziła byś tego Avasta czy jakiś inny ? Podawać jeszcze te logi? Odnośnik do komentarza
picasso Opublikowano 21 Lipca 2011 Zgłoś Udostępnij Opublikowano 21 Lipca 2011 Podawać jeszcze te logi? Tak, podaj, dla weryfikacji + śmieci trzeba usunąć. Tylko przed wytworzeniem logów pozamiataj wstępnie: w Panelu sterowania w module deinstalacji programów wyeliminuj DAEMON Tools Toolbar, powtórz operację także w menedżerze rozszerzeń Firefox (będą dwa paski do ciachnięcia: DAEMON oraz vShare Toolbar). Radziła byś tego Avasta czy jakiś inny ? Avast = czemu nie, instalowany na czysto w najnowszej wersji 6. Ale póki co wykonaj porządki podane wyżej + nowe logi. EDIT: Dodałeś logi. Usuń z powyższego posta, wykonaj deinstalacje o których mówię i dopiero wtedy napisz nowego posta ze świeżymi logami. . Odnośnik do komentarza
Dontik Opublikowano 21 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 21 Lipca 2011 Zrobione Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 21 Lipca 2011 Zgłoś Udostępnij Opublikowano 21 Lipca 2011 1. W msconfig w karcie Usługi możesz te dwie usługi na stałe wyłączyć: SRV:64bit: - [2009-07-14 03:41:27 | 001,011,712 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)SRV - [2010-03-18 11:19:26 | 000,113,152 | ---- | M] (ArcSoft Inc.) [Auto | Running] -- C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe -- (ACDaemon) Czynny Windows Defender to nie jest dobry grunt pod wprowadzenie AV w tym kontekście. A ta druga usługa to całkowicie zbędny "updater". 2. Czyszczenie po deinstalacjach pasków. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.4.0024 FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 O2:64bit: - BHO: (no name) - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab" (Reg Error: Key error.) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) :Commands [emptyflash] [emptytemp] Klik w Wykonaj skrypt. Po restarcie możesz użyć Sprzątanie. 3. System do master aktualizacji: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstationInternet Explorer (Version = 8.0.7600.16385) Czyli: Windows 7 Service Pack 1 + Internet Explorer 9. Tak, IE również mimo używania alternatyw. Z silnika IE korzystają różne funkcje systemu. . Odnośnik do komentarza
Dontik Opublikowano 21 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 21 Lipca 2011 Zaraz się za to zabieram Jeszcze raz bardzo dziękuję za pomoc i dobrej nocy życzę. Odnośnik do komentarza
Rekomendowane odpowiedzi