ficias Opublikowano 28 Listopada 2011 Zgłoś Udostępnij Opublikowano 28 Listopada 2011 Witam, Brat ma problem z laptopem, a że sam nie ma czasu się tym zająć podrzucił go mi. Problem polega na tym, że zużycie procesora w menedżerze urządzeń cały czas jest 100% i w zasadzie nie da się pracować na tym sprzęcie. Do niedawna wszystko było w porządku, a brat nic nie instalował więc zachodzi podejrzenie jakiejś infekcji (ewentualnie awarii czegoś). W związku z tym, że nie używałem tego laptopa na co dzień nie mogę zagwarantować, że nie wyskoczył żaden komunikat. Brat twierdzi, że nie, ale mógł coś przeoczyć. Niestety jest jeszcze jedno "ale" - zanim dał mi tego laptopa do zrobienia, użył na własną rękę ComboFix, którego log również zamieszczam. Po tym nadal jest problem z zużyciem procesora i nic to nie pomogło. Gdyby potrzebne były jakieś dodatkowe informacje, to proszę pisać. Poniżej zamieszczam również log z Security Check. Pozostałe umieściłem w załącznikach. Results of screen317's Security Check version 0.99.28 Windows XP Service Pack 3 x86 Internet Explorer 8 `````````````````````````````` Antivirus/Firewall Check: Microsoft Security Essentials ``````````````````````````````` Anti-malware/Other Utilities Check: Spybot - Search & Destroy Java™ 6 Update 29 Java™ 6 Update 3 Java 2 Runtime Environment Standard Edition v1.3.1_11 Java version out of date! Adobe Flash Player ( 10.0.32.18) Flash Player out of Date! ```````````````````````````````` Process Check: objlist.exe by Laurent Windows Defender MSMpEng.exe Microsoft Security Essentials msseces.exe Microsoft Security Client Antimalware MsMpEng.exe ``````````End of Log```````````` . OTL.Txt Extras.Txt GMERlog.txt checkup.txt ComboFix.txt Odnośnik do komentarza
picasso Opublikowano 29 Listopada 2011 Zgłoś Udostępnij Opublikowano 29 Listopada 2011 Nie notuję tu żadnych znaków infekcji. Do poprawki widzę tylko puste bądź z błędami wpisy i wybrakowany łańcuch Winsock: O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - %SystemRoot%\system32\wshbth.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000002 - %SystemRoot%\system32\wshbth.dll File not foundO10 - Protocol_Catalog9\Catalog_Entries\000000000003 - %SystemRoot%\system32\wshbth.dll File not found Drobna korekta. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files netsh winsock reset /C :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Need2FindBar Uninstall] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Yahoo! Toolbar] :OTL O4 - HKLM..\Run: [Anti Trojan Elite] C:\Program Files\Anti Trojan Elite\TJEnder.exe :NO File not found O3 - HKLM\..\Toolbar: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll File not found O3 - HKU\S-1-5-21-2902433401-553749132-977211287-1006\..\Toolbar\ShellBrowser: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - No CLSID value found. O3 - HKU\S-1-5-21-2902433401-553749132-977211287-1006\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O3 - HKU\S-1-5-21-2902433401-553749132-977211287-1006\..\Toolbar\WebBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O3 - HKU\S-1-5-21-2902433401-553749132-977211287-1006\..\Toolbar\WebBrowser: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll File not found O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} "http://toolbar1.google.com/data/pl/big/1.1.62-big/GoogleNav.cab" (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0013-0001-0011-ABCDEFFEDCBA} "http://java.sun.com/products/plugin/autodl/jinstall-1_3_1_11-windows-i586.cab" (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0015-0000-0003-ABCDEFFEDCBA} "http://java.sun.com/update/1.5.0/jinstall-1_5_0_03-windows-i586.cab" (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab" (Reg Error: Key error.) :Commands [emptytemp] Klik w Wykonaj skrypt. Problem polega na tym, że zużycie procesora w menedżerze urządzeń cały czas jest 100% i w zasadzie nie da się pracować na tym sprzęcie. Ale na jakim procesie? Mimo, że mowa o tym, iż brat "nic nie instalował" = kiedy został zainstalowany antywirus Microsoft Security Essentials? Już w trakcie diagnostyki? Wstępnie: sprawdź czy efekt występuje na tzw. czystym rozruchu: KB331796. . Odnośnik do komentarza
ficias Opublikowano 29 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 29 Listopada 2011 Wykonałem skrypt i wygląda na to, że zużycie procesora uspokoiło się aczkolwiek zdarza się od czasu do czasu, że podskoczy do większych wartości (typu 80%). Zamieszczam log z użycia skryptu oraz z ponownego skanu OTL. Problem dotyczy procesu CLI.exe (wg informacji w internecie związany on jest ze sterownikami ati). Zanim wykonałem skrypt podejrzałem procesy jak się zachowują i wyglądało to tak, że pojawiało się i znikało kilka procesów o tej nazwie np. były jednocześnie 3-4 procesy, które zajmowały cały procesor, potem jeden znikał i za chwilę pojawiał się znowu, potem kolejny znikał itd. Ogólnie to nawet nie zdążyłem zaznaczyć i zakończyć procesu, bo zaraz znikał i pojawiał się w innym miejscu. Obecnie nadal są 2 procesy o nazwie CLI.exe. Co do Microsoft Security Essentials, to chyba faktycznie pakiet został zainstalowany już w trakcie "diagnostyki" brata. Nie wiem tylko czy przed czy po ComboFix'ie. Jednak zanim zaczęły się problemy nie był instalowany jakiś program, sterownik itp., żeby można go było podejrzewać jako źródło problemów, dlatego pomyślałem o jakiejś infekcji. otl_po_skrypcie.txt OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 30 Listopada 2011 Zgłoś Udostępnij Opublikowano 30 Listopada 2011 Temat przemieszczam do działu Windows XP. Problem dotyczy procesu CLI.exe (wg informacji w internecie związany on jest ze sterownikami ati). Zanim wykonałem skrypt podejrzałem procesy jak się zachowują i wyglądało to tak, że pojawiało się i znikało kilka procesów o tej nazwie np. były jednocześnie 3-4 procesy, które zajmowały cały procesor, potem jeden znikał i za chwilę pojawiał się znowu, potem kolejny znikał itd. Ogólnie to nawet nie zdążyłem zaznaczyć i zakończyć procesu, bo zaraz znikał i pojawiał się w innym miejscu.Obecnie nadal są 2 procesy o nazwie CLI.exe. Sterowniki ATI to są tu mocno sfatygowane: ========== Processes (SafeList) ========== PRC - [2005-08-12 14:43:58 | 000,045,056 | ---- | M] (ATI Technologies Inc.) -- C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe ========== Driver Services (SafeList) ========== DRV - [2005-12-11 07:40:44 | 001,414,656 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag) Rozglądnij się za aktualizacją, a gdy do tego ewentualnie dojdzie, po deinstalacji w Trybie awaryjnym doczyść za pomocą Driver Sweeper (jeśli instalator programu poda jakieś "oferty", ominąć instalację badziewia). Wykonałem skrypt i wygląda na to, że zużycie procesora uspokoiło się aczkolwiek zdarza się od czasu do czasu, że podskoczy do większych wartości (typu 80%). To ciekawe, że skrypt miał jakikolwiek wpływ, ten scenariusz nie był tu przewidziany . Jedyne co mogę tu względnie logicznie powiązać, to ten uszczerbiony Winsock, może coś próbowało to odczytywać, hmmm... Dodatkowo: 1. Należy w prawidłowy sposób odinstalować ComboFix. W Start > Uruchom > wklej komendę: "C:\Documents and Settings\centrino\Pulpit\ComboFix.exe" /uninstall Po tym możesz zastosować Sprzątanie w OTL. 2. Wyłączenie ze startu kilku zbędnych procesów, np. przy udziale Autoruns (karta Logon): O4 - HKLM..\Run: [iMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE (Microsoft Corporation)O4 - HKLM..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe ()O4 - HKLM..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe (Nokia)O4 - HKLM..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation)O4 - HKLM..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation)O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe (Adobe Systems Incorporated) 3. Aktualizacja oprogramowania: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java 6 Update 29"{3248F0A8-6813-11D6-A77B-00B0D0150030}" = J2SE Runtime Environment 5.0 Update 3"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java 6 Update 3"{68249B71-B714-11D7-88E8-0050DA21757E}" = Java 2 Runtime Environment Standard Edition v1.3.1_11"{AC76BA86-7AD7-1033-7B44-A70000000000}" = Adobe Reader 7.0"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"Gadu-Gadu" = Gadu-Gadu 7.1"LiveUpdate" = LiveUpdate 3.0 (Symantec Corporation) - Szczegóły aktualizacyjne: INSTRUKCJE. Dla uwypuklenia: Te stare Java zmieć doszczętnie, a Flash jest w dwóch wersjach (IE + alternatywy). - Deinstalacja lamusowatego Spybot Search & Destroy i szczątka po Symantec. - Gadu to osobnik dedykowany artykułem Darmowe komunikatory. Po cóż męczyć się na staroci niezgodnej już nawet z własną siecią i obciążającej zasoby reklamami, skoro można przeskoczyć na bezreklamową alternatywę z obsługą protokołu GG10 (propozycje: WTW, Miranda). 4. Bezstratna zmiana systemu plików, aktualnie dysk chodzi w archaicznym zawodnym FAT: Drive C: | 35,06 Gb Total Space | 14,07 Gb Free Space | 40,13% Space Free | Partition Type: FAT32Drive D: | 35,55 Gb Total Space | 10,39 Gb Free Space | 29,23% Space Free | Partition Type: FAT32 Konwersja na NTFS bez utraty danych: Start > Uruchom > cmd i w linii komend wpisz polecenie convert X: /fs:ntfs, gdzie pod X podstawiasz literę partycji. Na pytanie o dezinstalację woluminu odpowiedz twierdząco. 5. Defragmentacja dysku (standardowa + BootTime) np. za pomocą darmowego Puran Defrag Free Edition. BootTime m.in. pod kątem "pokonwersyjnych" skutków, MFT najpewniej ulegnie fragmentacji. Jeśli nie zdecydujesz się na konwersję FAT > NTFS, defragmentacja obu rodzajów i tak pożądana. . Odnośnik do komentarza
ficias Opublikowano 1 Grudnia 2011 Autor Zgłoś Udostępnij Opublikowano 1 Grudnia 2011 Dziękuję za pomoc Wczoraj włączyłem laptopa i problem ze zużyciem procesora powrócił - znowu 100% i kilka procesów CLI.exe pojawiających się i znikających, każdy zajmuje 0-40% (lub więcej czasem), wygląda to trochę jakby ktoś odpalił generator liczb losowych Chciałem zastosować podane wyżej porady, żeby oczyścić system, a przede wszystkim przeinstalować sterowniki amd/ati. Początkowo miałem problem, żeby je znaleźć, bo na oficjalnej stronie nie mogłem wyszukać w ogóle modelu karty graficznej (ATI Mobility Radeon X1300). Na szczęście na stronie producenta laptopa są nadal sterowniki do tego modelu (ACER TravelMate 4082WLMi) Jednak, zanim zacząłem zabawę coś mnie tknęło, żeby sprawdzić kondycję dysku i przeskanowałem go HDTune. Efekt jest taki, że chyba znalazłem winowajcę wszystkich problemów - stan dysku jest bardzo marny, ma dużo bad sectorów (ponad 200 realokowanych i dużo niestabilnych, które pewnie niedługo też będę realokowane). W obecnej sytuacji chyba daruję sobie oczyszczanie tego systemu (tym bardziej, że komp tak zamula, że ciężko na nim cokolwiek robić) i biorę się za kopiowanie plików, żeby odzyskać jak najwięcej, bo stan dysku jest coraz gorszy (sektorów realokowanych przybywa). Wrzucę dysk do obudowy zewnętrznej eSata/USB, podłącze go do stacjonarnego komputera i zatrudnię Total Commandera do kopiowania (chyba, że ktoś ma lepszy pomysł). EDIT: Jednak nie skorzystam z mojej obudowy, bo okazało się, że dysk jest jeszcze ata (44pin) więc muszę poszukać jakiejś przejściówki 44pin -> sata lub 44pin -> ata. Odnośnik do komentarza
3oo Opublikowano 1 Grudnia 2011 Zgłoś Udostępnij Opublikowano 1 Grudnia 2011 Zawsze możesz użyć jakiegoś LiveCD np. parted magic i z jego poziomu przekopiować dane (z laptopa) na podłączony dysk zewnętrzny USB. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się