Problem z Windowsem

[Dontik]

Witam

 

Mam następujący problem. Wczoraj system zamknął się normalnie a dzisiaj system się uruchomił ale baaaardzo wolno.

Pokazał się pulpit, można ruszać kursorem, ale klikniecie na cokolwiek powoduje zawieszenie się eksploratora windows.

W trybie awaryjnym problem nie występuje. Robiłem sfc /scannow, nie wykryło problemów.

Jeśli będzie taka konieczność to zrobię również OTL.

DxDiag.txtPobieranie informacji ...

mbam-log-2011-07-21 (20-57-11).txtPobieranie informacji ...

[Flavius]

Te pliki usunięte przez MBAM nie podobają mi się i wypadałoby się przyjrzeć blizej systemowi - zastosuj się do tego regulaminu https://www.fixitpc.pl/forum-38/announcement-3-wazne-zakladanie-tematu-obowiazkowe-logi/

 

Trudno mi jednak odpowiedzieć czy infekcja i problem z bootem są tu powiązane - wszystko zależy od wyników diagnozy.Mozliwe ze tu są dwa niezależne problemy np. problem ze sprzetem

[picasso]

Te wyniki w MBAM są raczej bez znaczenia pod kątem problemu (to RiskWare i PUP a nie definitywna infekcja), za to wiemy, że z krakersem mamy do czynienia. Wynik kmservice.exe - "legalizator" Office, a ten drugi "patcher" to nawet nie wiadomo czy rzeczywiście szkodliwy (to wykryte jako PUP = Potentially Unwanted Program).

 

Za to logi z OTL się przydadzą, bo nie wiadomo jak wygląda system.

[Dontik]

  W dniu 21.07.2011 o 19:50, Flavius napisał(a):

zastosuj się do tego regulaminu https://www.fixitpc.pl/forum-38/announcement-3-wazne-zakladanie-tematu-obowiazkowe-logi/

OTL.txtPobieranie informacji ...

Extras.txtPobieranie informacji ...

Edytowane 21 Lipca 2011 przez picasso
Posty połączone. //picasso

[picasso]

Chwileczkę:

 

Computer Name: REATOGO | User Name: SYSTEM

 

Czyli log z poziomu płyty OTLPE a nie z poziomu Windows. Dlaczego? OTLPE służy do diagnozy na systemie, który kompletnie nie startuje w żadnym trybie. Tu jest oczekiwany log z OTL zrobiony z poziomu Windows, który jak rozumiem bez przeszkód działa w Trybie awaryjnym. Log zrobiony z poziomu środowiska zewnętrznego wykazuje różnice i nie wszystkie dane mogą być pobrane np. nie jest pokazane które usługi są Running a które Stopped, nie ma procesów + modułów oczywiście listowanych, Dziennika zdarzeń nie wyciągnie (usługa dziennika wymagana do wyciągnięcia tego przez OTL nie działa oczywiście zdalnie).

 

Wstępnie, zastartuj do Trybu awaryjnego i wykonaj następujące czynności:

 

1. Usuń całkowicie Avast (ja nie widzę jego wejścia na liście zainstalowanych, za to cała kolekcja sterowników w raporcie). Wnioskując po datach sterowników i ścieżkach dostępu i tak nie jest to najnowsza wersja, a robiona nakładkowo na jeszcze starszą (aktualizacja 5 > 6). Posłuż się Avast Uninstall Utility. Restart i weryfikacja czy wchodzi normalny. Jeśli ta operacja nie pomoże:

 

2. Uruchom msconfig i przekonfiguruj system na tzw. czysty rozruch (instrukcje) i spróbuj czy Windows normalnie się uruchomić w takich warunkach. Czysty rozruch powinien wyłączyć z ładowania to:

 

 

  Pokaż ukrytą zawartość

SRV:64bit: - [2011/05/30 11:44:37 | 001,038,088 | ---- | M] (Acresso Software Inc.) [On_Demand] -- E:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe -- (FLEXnet Licensing Service 64)

SRV:64bit: - [2010/12/08 10:15:45 | 000,551,896 | ---- | M] (Protection Technology) [Auto] -- E:\Windows\System32\appdrvrem01.exe -- (appdrvrem01) Application Driver Auto Removal Service (01)

SRV:64bit: - [2010/02/19 16:39:46 | 000,202,752 | ---- | M] (AMD) [Auto] -- E:\Windows\System32\atiesrxx.exe -- (AMD External Events Utility)

SRV - [2011/07/06 13:52:38 | 000,366,640 | ---- | M] (Malwarebytes Corporation) [Auto] -- E:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)

SRV - [2011/06/01 14:57:05 | 000,403,240 | ---- | M] (Valve Corporation) [On_Demand] -- E:\Program Files (x86)\Common Files\Steam\SteamService.exe -- (Steam Client Service)

SRV - [2011/05/30 11:44:30 | 000,655,624 | ---- | M] (Acresso Software Inc.) [On_Demand] -- E:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)

SRV - [2011/04/24 12:46:21 | 000,075,136 | ---- | M] () [Auto] -- E:\Windows\SysWOW64\PnkBstrA.exe -- (PnkBstrA)

SRV - [2010/12/28 04:00:34 | 001,296,728 | ---- | M] (www.BitComet.com) [On_Demand] -- E:\Program Files (x86)\BitComet\tools\BitCometService.exe -- (BITCOMET_HELPER_SERVICE)

SRV - [2010/11/16 14:05:14 | 000,008,192 | ---- | M] () [Auto] -- E:\Windows\SysWOW64\srvany.exe -- (KMService)

SRV - [2010/10/12 16:04:39 | 000,181,312 | ---- | M] () [Auto] -- E:\Program Files (x86)\Photodex\ProShowGold\scsiaccess.exe -- (ScsiAccess)

SRV - [2010/03/18 05:19:26 | 000,113,152 | ---- | M] (ArcSoft Inc.) [Auto] -- E:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe -- (ACDaemon)

SRV - [2010/02/19 08:37:14 | 000,517,096 | ---- | M] (Adobe Systems Incorporated) [On_Demand] -- E:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe -- (SwitchBoard)

SRV - [2009/09/08 04:51:46 | 000,114,688 | ---- | M] (Gigabyte Technology CO., LTD.) [Auto] -- E:\Program Files (x86)\gigabyte\smart6\timelock\TimeMgmtDaemon.exe -- (Smart TimeLock)

SRV - [2009/08/04 12:29:54 | 000,219,360 | ---- | M] (DeviceVM, Inc.) [Auto] -- E:\Program Files (x86)\DeviceVM\Browser Configuration Utility\BCUService.exe -- (BCUService)

SRV - [2009/04/07 08:11:58 | 000,241,664 | ---- | M] () [Auto] -- E:\Program Files (x86)\blueconnect\AssistantServices.exe -- (UI Assistant Service)

 

O4:64bit: - HKLM..\Run: [AdobeAAMUpdater-1.0] E:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe (Adobe Systems Incorporated)

O4:64bit: - HKLM..\Run: [bCSSync] File not found

O4:64bit: - HKLM..\Run: [Windows Mobile Device Center] E:\Windows\WindowsMobile\wmdc.exe (Microsoft Corporation)

O4 - HKLM..\Run: [Adobe Reader Speed Launcher] File not found

O4 - HKLM..\Run: [AdobeCS4ServiceManager] E:\Program Files (x86)\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe (Adobe Systems Incorporated)

O4 - HKLM..\Run: [AdobeCS5ServiceManager] E:\Program Files (x86)\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe (Adobe Systems Incorporated)

O4 - HKLM..\Run: [Anti-Blaxx Manager] E:\Program Files (x86)\Anti-Blaxx2\Anti-Blaxx.exe (MB-Soft)

O4 - HKLM..\Run: [ATICustomerCare] E:\Program Files (x86)\ATI\ATICustomerCare\ATICustomerCare.exe (Advanced Micro Devices, Inc.)

O4 - HKLM..\Run: [bCU] E:\Program Files (x86)\DeviceVM\Browser Configuration Utility\BCU.exe (DeviceVM, Inc.)

O4 - HKLM..\Run: [DeathAdder] E:\Program Files (x86)\Razer\DeathAdder\razerhid.exe ()

O4 - HKLM..\Run: [DivXUpdate] E:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe ()

O4 - HKLM..\Run: [JMB36X IDE Setup] E:\Windows\RaidTool\xInsIDE.exe ()

O4 - HKLM..\Run: [Malwarebytes' Anti-Malware (reboot)] E:\Program Files (x86)\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)

O4 - HKLM..\Run: [startCCC] E:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.)

O4 - HKLM..\Run: [switchBoard] E:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe (Adobe Systems Incorporated)

O4 - HKLM..\Run: [uIExec] E:\Program Files (x86)\blueconnect\UIExec.exe ()

O4 - HKU\DOM_ON_E..\Run: [DAEMON Tools Lite] E:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd)

O4 - HKU\DOM_ON_E..\Run: [iDMan] E:\Program Files (x86)\Internet Download Manager\IDMan.exe (Tonec Inc.)

O4 - HKU\DOM_ON_E..\Run: [Pando Media Booster] E:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe ()

O4 - Startup: E:\Users\DOM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Registration .LNK ()

 

Jeśli test wypadnie pozytywnie, zaczniesz stopniowo odkręcać włączając partiami wpisy, które są w miarę istotne (a co nieważne na trwałe zostawisz off).

 

 

Bałagan w przeglądarkach (adware-paski) to osobna sprawa, na razie to pomijam, bo to nie powinno mieć nic do rzeczy w kwestii opisywanych objawów. I spodziewam się dostarczenia logów zrobionych spod Windows, nie z OTLPE.

 

 

 

.

[Dontik]

a dodać jeszcze raz te logi, tyle, że z poziomu windowsa?

[picasso]

Dontik logi podasz już po wykonaniu rzeczonych czynności, gdyż raport stanie się równocześnie potwierdzeniem wykonania operacji.

[Dontik]

Bardzo wielkie, wielkie dzięki picasso. Włączyłem tylko te usługi które są niezbędne i wszystko działa

Teraz jeszcze muszę zainstalować jakiś program antywirusowy. Radziła byś tego Avasta czy jakiś inny ?

Podawać jeszcze te logi?

[picasso]

  Cytat

Podawać jeszcze te logi?

 

Tak, podaj, dla weryfikacji + śmieci trzeba usunąć. Tylko przed wytworzeniem logów pozamiataj wstępnie: w Panelu sterowania w module deinstalacji programów wyeliminuj DAEMON Tools Toolbar, powtórz operację także w menedżerze rozszerzeń Firefox (będą dwa paski do ciachnięcia: DAEMON oraz vShare Toolbar).

 

 

  Cytat

Radziła byś tego Avasta czy jakiś inny ?

 

Avast = czemu nie, instalowany na czysto w najnowszej wersji 6. Ale póki co wykonaj porządki podane wyżej + nowe logi.

 

EDIT: Dodałeś logi. Usuń z powyższego posta, wykonaj deinstalacje o których mówię i dopiero wtedy napisz nowego posta ze świeżymi logami.

 

 

.

[Dontik]

Zrobione

Extras.TxtPobieranie informacji ...

OTL.TxtPobieranie informacji ...

[picasso]

1. W msconfig w karcie Usługi możesz te dwie usługi na stałe wyłączyć:

 

SRV:64bit: - [2009-07-14 03:41:27 | 001,011,712 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2010-03-18 11:19:26 | 000,113,152 | ---- | M] (ArcSoft Inc.) [Auto | Running] -- C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe -- (ACDaemon)

Czynny Windows Defender to nie jest dobry grunt pod wprowadzenie AV w tym kontekście. A ta druga usługa to całkowicie zbędny "updater".

 

2. Czyszczenie po deinstalacjach pasków. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.4.0024
FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0
O2:64bit: - BHO: (no name) - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
 
:Commands
[emptyflash]
[emptytemp]

Klik w Wykonaj skrypt. Po restarcie możesz użyć Sprzątanie.

 

3. System do master aktualizacji:

 

64bit- Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)

Czyli: Windows 7 Service Pack 1 + Internet Explorer 9. Tak, IE również mimo używania alternatyw. Z silnika IE korzystają różne funkcje systemu.

 

 

 

 

.

[Dontik]

Zaraz się za to zabieram Jeszcze raz bardzo dziękuję za pomoc i dobrej nocy życzę.