Komputer bardzo wolno pracujący w określonych godzinach

[pyrek]

Komputer między godz 9 a 14 jest bardzo powolny natomiast w pozostałym czasie pracuje w miarę znośnie, próbowałem sporządzić obowiązkowe logi ale udało mi się tylko uruchomić OTL natomiast GMER po ściągnięciu i uruchomieniu powodował restart komputera a po jakimś czasie pojawiał się komunikat o błędzie, który również załączam.

OTL.Txt

Extras.Txt

komunikat_o_błędzie.txt

[Landuss]

Logi wskazują, że jest tu aktywna infekcja:

 

O4 - HKU\S-1-5-21-436374069-2025429265-839522115-1004..\Run: [Oyxoxc] C:\Documents and Settings\Zdroj\Dane aplikacji\Oyxoxc.exe ()

 

Przejdź do usuwania - Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKU\S-1-5-21-436374069-2025429265-839522115-1004\..\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - No CLSID value found
O3 - HKU\S-1-5-21-436374069-2025429265-839522115-1004\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-436374069-2025429265-839522115-1004\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-21-436374069-2025429265-839522115-1004\..\Toolbar\WebBrowser: (no name) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - No CLSID value found.
O4 - HKU\S-1-5-21-436374069-2025429265-839522115-1004..\Run: [Oyxoxc] C:\Documents and Settings\Zdroj\Dane aplikacji\Oyxoxc.exe ()
O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Office Update.lnk =  File not found
 
:Services
SASKUTIL
MBAMSwissArmy
huawei_enumerator
huawei_cdcacm
ew_hwusbdev
catchme
 
:Commands
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

[pyrek]

Wykonałem zalecenia

Extras.Txt

OTL.Txt

[Landuss]

Infekcja pomyślnie usunięta i logi nic nowego już nie wykazują. Pozostaje standard na koniec.

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij folder przywracania systemu: KLIK

 

3. Zaktualizuj wymienione programy:

 

"{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java 6 Update 32

"{AC76BA86-7AD7-1033-7B44-A70000000000}" = Adobe Reader 7.0

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

 

Szczegóły aktualizacyjne: KLIK

[pyrek]

Ad.1 Posprzątałem

Ad.2 Niestety w Control Panel (Panel sterowania) > nie mam >Wydajność i konserwacja > a w System > nie mam zakładki >System Restore (Przywracanie systemu)

Wykonałem natomiast Czyszczenie Lokalizacji Tymczasowych i ściągnąlem i zainstalowałem Windows XP Service Pack 3

Ad.3 Niestety nic więcej nie udało się zrobić komputer "chodzi tak wolno, że poprzednia prędkość była świńskim truchcikiem" w porównaniu do obecnej oczywiście natychmiast zrobiłem logi i oczywiście GMER po uruchomieniu spowodował restrt komputera i komunikat " System odzyskał sprawność po poważnym błędzie" Załączam więc tylko:

Extras.Txt

OTL.Txt

[picasso]

W ogóle nie został sprawdzony system pod kątem infekcji rootkit. Czy da radę uruchomić GMER z poziomu Trybu awaryjnego Windows?

 

 

Ad.2 Niestety w Control Panel (Panel sterowania) > nie mam >Wydajność i konserwacja > a w System > nie mam zakładki >System Restore (Przywracanie systemu)

 

Winę ponosi ten wpis blokujący Przywracanie systemu:

 

========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
"DisableSR" = 3735552

 

Start > Uruchom > regedit i skasuj klucz:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore

 

Zresetuj system. Po restarcie karta Przywracanie systemu powinna być już widoczna.

 

 

Ad.3 Niestety nic więcej nie udało się zrobić komputer "chodzi tak wolno, że poprzednia prędkość była świńskim truchcikiem" w porównaniu do obecnej

 

1. Zweryfikuj czy nie wystąpiła degradacja szybkości transferu dysku z DMA do PIO: KLIK (ustęp Optymalizacja wydajności HDD i CD/DVD-ROMów - Włączenie DMA). Zwracasz uwagę na "bieżący tryb transferu". Jeśli będzie PIO, z prawokliku odinstaluj kanał i zresetuj system, a Windows przebuduje urządzenia.

 

2. Poza tym, nie zwrócono Ci uwagi, że w systemie pracuje potwornie stara i już nieistniejąca wersja Microsoft AntiSpyware:

 

========== Processes (SafeList) ==========
 
PRC - [2005-11-15 13:12:14 | 000,756,552 | ---- | M] (Microsoft Corporation) -- C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

 

Ewolucja wersji: Microsoft AntiSpyware > Windows Defender > Microsoft Security Essentials. Czym prędzej się pozbądź Microsoft AntiSpyware.

 

W systemie jest też więcej archaizmów, które mogą prowadzić do zawieszeń: Firebird i Borland.

 

 

 

.

[pyrek]

Ad1. Opróżniłem folder przywracania systemu, odinstalowałem Mikrosoft AntiSpyware, Chcąc wygenerować log z GMER, który niestety wciąż restartuje komputer zastosowałem SPTDinst-Vx86.exe otrzymełem odpowiedz: nie ma SPTD. Po ponownym ściągnięciu, zainstalowaniu GMER i uruchomieniu nastąpił kolejny restart i komunikat : system odzyskał sprawność po poważnym błędzie.

W sprawie DMA doszedłem do wskazanych kanałów stwierdziłem takie ustawienia::

1. Podstawowy kanał IDET

Urządzenie główne

tryb urządzenia: Automatyczne wykrywanie, tryb transferu: DMA jeżeli dostępny, Bieżący tryb transferu: nie dotyczy

Urządzenie podrzędne

tryb urządzenia: Automatyczne wykrywanie, tryb transferu: DMA jeżeli dostępny, Bieżący tryb transferu: nie dotyczy

2. Podstawowy kanał IDET

Urządzenie główne

tryb urządzenia: wyszarzone, tryb transferu: DMA jeżeli dostępny, Bieżący tryb transferu: Ultra DMA tryb 5

Urządzenie podrzędne

tryb urządzenia: Automatyczne wykrywanie, tryb transferu: DMA jeżeli dostępny, Bieżący tryb transferu: nie dotyczy

3. Pomocniczy kanał IDET

Urządzenie główne

tryb urządzenia: Automatyczne wykrywanie, tryb transferu: DMA jeżeli dostępny, Bieżący tryb transferu: nie dotyczy

Urządzenie podrzędne

tryb urządzenia: Automatyczne wykrywanie, tryb transferu: DMA jeżeli dostępny, Bieżący tryb transferu: nie dotyczy

4. Pomocniczy kanał IDET

Urządzenie główne

tryb urządzenia: Automatyczne wykrywanie, tryb transferu: DMA jeżeli dostępny, Bieżący tryb transferu: nie dotyczy

Urządzenie podrzędne

tryb urządzenia: wyszarzone, tryb transferu: DMA jeżeli dostępny, Bieżący tryb transferu: Ultra DMA tryb 2

Ponieważ nie wiedziałem co zrobić nie podjąłem żadnych czynności.

W sprawie Fierebird i Borland: mam zainstalowane programy do nadzorowania procesów produkcji i niezbędne bazy danych.

Podczas pracy z tym komputerem wykorzystuje 6 przenośnych pamięci USB, od momentu podjęcia działań przez Was zalecanych nie podłączłem ich ale obawiam się, że także są zainfekowane co robić?

[picasso]

Chcąc wygenerować log z GMER, który niestety wciąż restartuje komputer zastosowałem SPTDinst-Vx86.exe otrzymełem odpowiedz: nie ma SPTD. Po ponownym ściągnięciu, zainstalowaniu GMER i uruchomieniu nastąpił kolejny restart i komunikat : system odzyskał sprawność po poważnym błędzie.

 

Sterownika SPTD tu w ogóle nie było. Rozumiem, że GMER wywala błąd z poziomu zaleconego Trybu awaryjnego? Przetestuj jeszcze redukowany skan GMER, zacznij od odznaczenia sekcji IAT/EAT, a przy niepowodzeniu kolejnych, aż wychwycisz która sekcja tworzy problem. Na wszelki wypadek przeprowadź też skanowanie w Kaspersky TDSSKiller.

 

 

Podczas pracy z tym komputerem wykorzystuje 6 przenośnych pamięci USB, od momentu podjęcia działań przez Was zalecanych nie podłączłem ich ale obawiam się, że także są zainfekowane co robić?

 

1. Zabezpiecz system za pomocą opcji Computer Vaccination w Panda USB Vaccine. Zresetuj Windows.

 

2. Podepnij maksymalną ilość nośników USB, która może wejść na raz. Wytwórz log z USBFix z opcji Listing.

 

 

W sprawie DMA doszedłem do wskazanych kanałów stwierdziłem takie ustawienia

 

Nie ma tu żadnego odnośnika do PIO jako "bieżącego".

 

 

W sprawie Fierebird i Borland: mam zainstalowane programy do nadzorowania procesów produkcji i niezbędne bazy danych.

 

Zdaję sobie sprawę, iż oba nie są na dysku sobie a muzom. Podkreślam jednak, że są to tak przestrzałe wersje (Firebird z 2004, Borland z 2000), iż nie wykluczam ich negatywnego wpływu na system. Część z nich jest cały czas uruchomiona w tle na bazie usług (Firebird w stanie Running):

 

========== Win32 Services (SafeList) ==========
 
SRV - [2004-12-13 02:05:20 | 001,527,893 | ---- | M] (The Firebird Project) [On_Demand | Running] -- C:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe -- (FirebirdServerDefaultInstance)
SRV - [2004-12-13 02:05:20 | 000,065,536 | ---- | M] (The Firebird Project) [Auto | Running] -- C:\Program Files\Firebird\Firebird_1_5\bin\fbguard.exe -- (FirebirdGuardianDefaultInstance)
SRV - [2000-06-23 05:00:00 | 001,702,400 | ---- | M] (Inprise Corporation) [On_Demand | Stopped] -- C:\Program Files\Borland\InterBase\bin\ibserver.exe -- (InterBaseServer)
SRV - [2000-06-23 05:00:00 | 000,022,016 | ---- | M] (Inprise Corporation) [On_Demand | Stopped] -- C:\Program Files\Borland\InterBase\bin\ibguard.exe -- (InterBaseGuardian) 

 

 

To na czym teraz stoimy, co się dzieje z systemem, czy nadal się wiesza? Jeśli tak, wykonaj test z uruchomieniem Windows w stanie czystego rozruchu: KB310353.

 

 

 

 

.

[pyrek]

Wykonałem skanowanie Kaspersky TDSSKiller. Zabezpieczyłem system Computer Vaccination w Panda USB Vaccine.

TDSSKiller.2.7.34.0_14.05.2012_10.15.18_log.txt

UsbFix.txt

[picasso]

Nie wypowiedziałeś się na temat kondycji systemu, czy nadal jest spowolniony. W TDSSKiller nic ciekawego (wyniki UnsignedFile.Multi.Generic to tylko adnotacja o braku podpisu cyfrowego pliku). USBFix potwierdza infekcję na nośnikach USB, wszystkich. Są dwa typy: infekcja autorun.inf (i to zdołało się skopiować też na dysk C) oraz na bazie skrótów LNK (ukrywa foldery na urządzeniu i robi skróty o nazwach takich jak foldery).

 

1. Pobierz ponownie OTL i go uruchom. W sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
RECYCLER /alldrives
autoply.exe /alldrives
autorun.inf /alldrives
E:\ws.exe
E:\AUTORUN.FCB
F:\AUTORUN.FCB
E:\*.lnk
F:\*.lnk
G:\*.lnk
H:\*.lnk
I:\*.lnk
J:\*.lnk
attrib /d /s -s -h E:\* /C
attrib /d /s -s -h F:\* /C
attrib /d /s -s -h G:\* /C
attrib /d /s -s -h H:\* /C
attrib /d /s -s -h J:\* /C
rd /s /q H:\_OTL /C

 

Klik w Wykonaj skrypt.

 

2. Przedstaw log z wynikami przetwarzania skryptu z punktu 1 oraz nowy log z USBFix z opcji Listing.

 

 

 

.

[pyrek]

Kondycja systemu - w pewnym momencie myślałem, że wszystko wróciło do normy ale niestety po czasie normalnej pracy są okresy że nagle komputer zachowuje się tak jakby coś się uaktualniało procesor intensywnie prauje i w tym czasie praktycznie nie można nic robić bo komputer działa z badzo dużym opóźnieniem. GMER - kolejno odznaczałem IAT/EAT, następnie SYSTEM, następnie REJESTR przy którym nawet GMER długo chodził ale wyłączył się teraz po wstępnym skanie resetuje komputer (oczywiście po każdej próbie komunikat że system odzyskał sprawność po poważnym błędzie)

UsbFix.txt

OTL.txt

[picasso]

Co Ty właściwie tu robiłeś? Skrypt OTL rzecz jasna przewidywał obecność urządzeń i identyczne mapowanie liternictwa jak widzialne w logu z USBFix. Skrypt praktycznie nic nie wykonał, wszędzie "not found" / "nie można odnaleźć ścieżki". A log z USBFix pokazuje niezmiennie infekcję.

[pyrek]

Podczas wykonywania Własne opcje skanowania / Skrypt aplikacja została za każdym razem zamknięta więc po iluś próbach zrobiłem skan bez podłączonych pamięci przenośnych i taki to doało efekt.

[picasso]

Wykonanie tego bez połączonych nośników praktycznie bezsensowne, jako że skrypt w 905 miał tylko definicje obiektów na USB. Skoro OTL wiesza się, spróbuj ponowić skrypt z poziomu Trybu awaryjnego Windows, ale założeniem jest, że w trybie tym będą widzialne wszystkie USB.

[pyrek]

Mam nadzieje że tym razem udało się

OTL.txt

UsbFix.txt

[picasso]

Tak, tym razem wykonało się co należy, tylko niektóre linie nie zostały odnalezione, ale to było wkalkulowane (widziałam minimalne zmiany między logami). Jeszcze do wykonania w tym zakresie:

 

1. Poprawka na dysk J, foldery na tym dysku nie odkryły się. W OTL w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
attrib -s -h I:\Arch_chłod /C
attrib -s -h I:\Arch_parzel /C
attrib -s -h I:\odzysk /C
attrib -s -h I:\Excel /C
attrib -s -h "I:\do wysłania" /C
attrib -s -h "I:\Avery Dennison" /C

 

Klik w Wykonaj skrypt.

 

2. Zabezpiecz urządzenia przed infekcjami typu autorun.inf. W Panda USB Vaccine dla każdego po kolei zastosuj opcję USB Vaccination. To wygeneruje na urządzeniach falsyfikaty autorun.inf blokujące zagnieżdżenie się takich plików infekcji.

 

3. Posprzątaj po używanych narzędziach: w OTL uruchom Sprzątanie, odinstaluj USBFix, resztę dokasuj ręcznie.

 

 

 

Kondycja systemu - w pewnym momencie myślałem, że wszystko wróciło do normy ale niestety po czasie normalnej pracy są okresy że nagle komputer zachowuje się tak jakby coś się uaktualniało procesor intensywnie prauje i w tym czasie praktycznie nie można nic robić bo komputer działa z badzo dużym opóźnieniem.

 

Wracamy do tego wątku. Czy wykonałeś to:

 

wykonaj test z uruchomieniem Windows w stanie czystego rozruchu: KB310353.

 

 

 

.

Edytowane 19 Czerwca 2012 przez picasso
19.06.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso