Spowolnienie systemu po instalacji SP3 i Bitdefender

alan66 · 8 Września 2010

Witam wszystkich,

Jest to mój pierwszy temat i post na Waszym forum. Proszę o wyrozumiałość jeśli czegoś nie dopełniłem. Przeczytałem instrukcję jak wstawiać tematy i co ma się w tym temacie znajdować. Niestety GMER podczas skanowania wstępnego zawiesza się i wyłącza internet. Zawsze w tym samym miejscu. Kilka razy musiałem uruchamiać ponownie komputer i klikać "napraw" połączenie by internet znów zaczął działać. Resetowałem również modem.

Krótka historia:

Komputer ma jakieś 2 lata i jest to laptop. Od tamtego czasu nigdy nie był formatowany. I nigdy do tej pory nie było z nim problemów. Problem pojawił się gdy zaktualizowałem go do service packa 3. Wgrałem tez wówczas nowego antywirusa (bitdefender total security 2010), odinstalowując starego którym był avast. W tym samym czasie wgrałem też TuneUp utilitties 2010, oraz Perfect Disk Pro 10. Wszystko po to by go zoptymalizować po wgraniu sp3. Zaznaczam jednak że odinstalowałem avasta tylko przez "dodaj lub usuń programy". Następnie przeskanowałem rejestr TuneUpem w celu wyeliminowania błędów. Defragmentacje tez robiłem. Wszystko było dobrze dopóki nie uruchomiłem ponownie komputera.

Opis Problemu:

Komputer zaczął strasznie wolno się włączać ( mam tu na myśli od momentu kliknięcia w nazwę użytkownika na panelu logowania do załadowania całego systemu). Więc pierwsze co zrobiłem to Przeprowadziłem raz jeszcze defragmentacje i wyłączyłem wszystkie zbyteczne programy przy autostarcie. Komputer przyśpieszył uruchamianie, jednak jeden problem pozostał- Firefox chodził straszliwie wolno. Z tym problemem dość długo walczyłem w różny sposób i wyglądało że w końcu się udało. Jednak po 10 uruchomieniach, komputer wrócił do "starych przyzwyczajeń" i znowu znacznie zwolnił. Skanowałem go kilkakrotnie bitdefenderem i usuwałem wszystkie pliki (poza niektórymi które znajdował ale usunąć nie mógł bo pisał że takie nie istnieją). Skanowałem go też "Malwarebytes' Anti-Malware" w wersji darmowej i usunąłem dwa pliki. Przyszło mi wtedy do głowy przywracanie systemu. Jednak nie udało się bo nie działało. W związku z powyższym zwracam się z prośbą o zobaczenie logów.

Logi:

Log z OTL:

http://wklej.org/id/386528/

http://wklej.org/id/386529/

GMER się zawieszał więc nie mogę wrzucić jego "logu".

Wyłączyłem emulacje Defogger'em i odinstalowałem Deamona.

Log z Defogger'a:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 13:06 on 08/09/2010 (dom)

Checking for autostart values...

HKCU\~\Run values retrieved.

HKLM\~\Run values retrieved.

Checking for services/drivers...

d344prt -> Disabled (Service running -> reboot required)

Unable to read sptd.sys

SPTD -> Disabled (Service running -> reboot required)

-=E.O.F=-

A teraz log z Security Check:

Results of screen317's Security Check version 0.99.5
Windows XP Service Pack 3

Internet Explorer 6 Out of date!

``````````````````````````````

Antivirus/Firewall Check:

Windows Security Center service is not running! This report may not be accurate!

BitDefender Total Security 2010

McAfee Security Scan Plus

WMI entry may not exist for antivirus; attempting automatic update.

```````````````````````````````

Anti-malware/Other Utilities Check:

Malwarebytes' Anti-Malware

TuneUp Utilities

TuneUp Utilities Language Pack (pl-PL)

TuneUp Utilities

Java 6 Update 13

Out of date Java installed!

Adobe Flash Player 10.1.53.64

Adobe Reader 9.3.4 - Polish

Mozilla Firefox (3.6.9)

````````````````````````````````

Process Check:

objlist.exe by Laurent

Common Files BitDefender BitDefender Update Service livesrv.exe

BitDefender BitDefender 2010 vsserv.exe

BitDefender BitDefender 2010 bdagent.exe

BitDefender BitDefender 2010 seccenter.exe

````````````````````````````````

DNS Vulnerability Check:

Unknown. This method cannot test your vulnerability to DNS cache poisoning. (Wireless connection?)

``````````End of Log````````````

Pozdrawiam i z góry dziękuję za czas poświęcony na czytanie tego.

Dodałem w ten sposób bo post był za długi

picasso · 8 Września 2010

Brak śladów infekcji. Temat migruję do działu Windows XP.

GMER się zawieszał więc nie mogę wrzucić jego "logu".

Jest napisane: w takiej sytuacji podaje się log z Root Repeal. Dodatkowo, porównując ilość serwisów wyłączanych via Defogger, wygląda na to, że opuścił jeden ze sterowników starego Daemona:

Checking for services/drivers...d344prt -> Disabled (Service running -> reboot required)
Unable to read sptd.sys
SPTD -> Disabled (Service running -> reboot required)

vs.

DRV - [2003-12-27 20:42:12 | 000,137,216 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\d344bus.sys -- (d344bus)DRV - [2003-12-27 02:38:10 | 000,005,248 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\d344prt.sys -- (d344prt)

Komputer zaczął strasznie wolno się włączać ( mam tu na myśli od momentu kliknięcia w nazwę użytkownika na panelu logowania do załadowania całego systemu). Więc pierwsze co zrobiłem to Przeprowadziłem raz jeszcze defragmentacje i wyłączyłem wszystkie zbyteczne programy przy autostarcie. Komputer przyśpieszył uruchamianie, jednak jeden problem pozostał- Firefox chodził straszliwie wolno. Z tym problemem dość długo walczyłem w różny sposób i wyglądało że w końcu się udało. Jednak po 10 uruchomieniach, komputer wrócił do "starych przyzwyczajeń" i znowu znacznie zwolnił. Skanowałem go kilkakrotnie bitdefenderem i usuwałem wszystkie pliki (poza niektórymi które znajdował ale usunąć nie mógł bo pisał że takie nie istnieją). Skanowałem go też "Malwarebytes' Anti-Malware" w wersji darmowej i usunąłem dwa pliki. Przyszło mi wtedy do głowy przywracanie systemu. Jednak nie udało się bo nie działało. W związku z powyższym zwracam się z prośbą o zobaczenie logów.

Nie podałeś w ogóle raportów z usuwania skanerami, skąd mam wiedzieć co to było, jakiej wagi i czy w ogóle istotne i dające podstawy do dochodzeń infekcyjnych.

1. Raport OTL nie daje dużego pola do popisu w kwestii wyłączenia zbędników. Jest na odstrzał tylko wpis śmiecia od Realteka: Alcmtr. Skoro jest tu Bitdefender, to McAfee Security Scan Plus jest zbędny i go usuń, to będzie minus dwa obiekty startowe. Sumarycznie, to wszystko wypadnie:

O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\McAfee Security Scan Plus.lnk = C:\Program Files\McAfee Security Scan\2.0.181\SSScheduler.exe (McAfee, Inc.)
SRV - [2010-01-15 14:49:20 | 000,227,232 | ---- | M] (McAfee, Inc.) [On_Demand | Stopped] -- C:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe -- (McComponentHostService)

Dodatkowo, z punktu widzenia kosmetyki, można wyrzucić martwe zapisy i szczątki po Ask Toolbar czy Daemon Toolbar. Ta operacja nie będzie mieć żadnego wpływu na pracę systemu. Zamknij przeglądarki. W OTL w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\Everest Ultimate Edition V. 4.00.976\kerneld.wnt -- (EverestDriver)
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = "http://toolbar.ask.com/toolbarv/askRedirect?o=101720&gct=&gc=1&q="
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = "http://toolbar.ask.com/toolbarv/askRedirect?o=101720&gct=&gc=1&q="
IE - HKU\S-1-5-21-1292428093-515967899-725345543-1003\..\URLSearchHook: {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Program Files\AskSearch\bin\DefaultSearch.dll ()
O2 - BHO: (no name) - {F880A4A8-C436-4AC4-AFD1-AA0BDC9552DD} - No CLSID value found.
O3 - HKU\S-1-5-21-1292428093-515967899-725345543-1003\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found.
O3 - HKU\S-1-5-21-1292428093-515967899-725345543-1003\..\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - No CLSID value found.
O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe File not found
O9 - Extra 'Tools' menuitem : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe File not found
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab" (Reg Error: Key error.)
[2009-07-30 13:17:49 | 000,002,399 | ---- | M] () -- C:\Documents and Settings\dom\Dane aplikacji\Mozilla\Firefox\Profiles\l3qausmc.default\searchplugins\daemon-search.xml

Rozpocznij przez Wykonaj skrypt. Proces powinien szybko się wykonać. Koniec operacji. W OTL uruchom Sprzątanie.

2. Pewnym punktem zaczepienia są wyciągi z Dziennika zdarzeń. Powiela się błąd usługi Aktualizacje Automatyczne:

Error - 2010-09-08 05:27:23 | Computer Name = LAPTOP | Source = DCOM | ID = 10005Description = Model DCOM odebrał błąd "%1058" podczas próby uruchomienia usługi 
wuauserv z argumentami ""  w celu uruchomienia serwera:  {E60687F7-01A1-40AA-86AC-DB1CBF673334}

Wykonaj działania z artykułu: KB896224.

3. Kolejna sprawa z Aktualizacjami automatycznymi. Stoją w OTL bardzo wymowne kontrolki w parze:

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} "http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1282250074968" (WUWebControl Class)

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} "http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1282250062078" (MUWebControl Class)

Co dopiero rozwiązałam problem mielenia systemu podczas procesów aktualizacyjnych, z winy przestawienia się Windows Update na Microsoft Update: KLIK.

4. Ciężarne Gadu-Gadu 10, lubujące się w żarciu mocy i pamięci, jak to bywa w ciąży, można swobodnie zamienić o wiele lżejszym odpowiednikiem alternatywnym. Bez reklam. Do czytania: Darmowe komunikatory. Pierwsze do obejrzenia: WTW i Miranda.

PS. Wyeliminuj zastrzeżenia Security Check: instaluj Internet Explorer 8 + Java 6 Update 21 (JRE).

.

alan66 · 9 Września 2010

Dziękuję za odpowiedź.

Jest napisane: w takiej sytuacji podaje się log z Root Repeal. Dodatkowo, porównując ilość serwisów wyłączanych via Defogger, wygląda na to, że opuścił jeden ze sterowników starego Daemona:

Podaję log:

ROOTREPEAL © AD, 2007-2009

==================================================

Scan Start Time: 2010/09/09 10:23

Program Version: Version 1.3.5.0

Windows Version: Windows XP SP3

==================================================

Drivers

-------------------

Name:

Image Path:

Address: 0xF73DF000 Size: 96512 File Visible: No Signed: -

Status: -

Name: dump_iaStor.sys

Image Path: C:\WINDOWS\System32\Drivers\dump_iaStor.sys

Address: 0x9C316000 Size: 815104 File Visible: No Signed: -

Status: -

Name: rootrepeal.sys

Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys

Address: 0xF782D000 Size: 49152 File Visible: No Signed: -

Status: -

Hidden/Locked Files

-------------------

Path: C:\hiberfil.sys

Status: Locked to the Windows API!

SSDT

-------------------

#: 017 Function Name: NtAllocateVirtualMemory

Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc57ae4

#: 019 Function Name: NtAssignProcessToJobObject

Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc57e4e

#: 031 Function Name: NtConnectPort

Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc5913e

#: 037 Function Name: NtCreateFile

Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc58868

#: 041 Function Name: NtCreateKey

Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc595c6

#: 047 Function Name: NtCreateProcess

Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc57f98

#: 048 Function Name: NtCreateProcessEx

Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc5801a

#: 050 Function Name: NtCreateSection

Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc5868c

#: 053 Function Name: NtCreateThread

Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc576e6

#: 066 Function Name: NtDeviceIoControlFile

Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc596c6

#: 068 Function Name: NtDuplicateObject

Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc5c2f4

#: 084 Function Name: NtFsControlFile

Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc59804

#: 097 Function Name: NtLoadDriver

Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc5a25c

#: 116 Function Name: NtOpenFile

Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc5877c

#: 122 Function Name: NtOpenProcess

Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc5c046

#: 125 Function Name: NtOpenSection

Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc585ac

#: 128 Function Name: NtOpenThread

Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc5c174

#: 137 Function Name: NtProtectVirtualMemory

Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc579e2

#: 180 Function Name: NtQueueApcThread

Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc57ef0

#: 193 Function Name: NtReplaceKey

Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc59dbe

#: 199 Function Name: NtRequestPort

Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc591ce

#: 200 Function Name: NtRequestWaitReplyPort

Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc58f6a

#: 204 Function Name: NtRestoreKey

Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc59e2e

#: 210 Function Name: NtSecureConnectPort

Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc59374

#: 213 Function Name: NtSetContextThread

Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc577d6

#: 237 Function Name: NtSetSecurityObject

Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc59d4e

#: 240 Function Name: NtSetSystemInformation

Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc57be8

#: 253 Function Name: NtSuspendProcess

Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc57944

#: 254 Function Name: NtSuspendThread

Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc578a6

#: 255 Function Name: NtSystemDebugControl

Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc57dac

#: 257 Function Name: NtTerminateProcess

Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc5bfb6

#: 258 Function Name: NtTerminateThread

Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc5c402

#: 277 Function Name: NtWriteVirtualMemory

Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc575e4

Stealth Objects

-------------------

Object: Hidden Code [Driver: Cdrom, IRP_MJ_CREATE]

Process: System Address: 0x85802c88 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_CREATE_NAMED_PIPE]

Process: System Address: 0x85802c88 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_CLOSE]

Process: System Address: 0x85802c88 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_READ]

Process: System Address: 0x85802c88 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_WRITE]

Process: System Address: 0x85802c88 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_QUERY_INFORMATION]

Process: System Address: 0x85802c88 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SET_INFORMATION]

Process: System Address: 0x85802c88 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_QUERY_EA]

Process: System Address: 0x85802c88 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SET_EA]

Process: System Address: 0x85802c88 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_FLUSH_BUFFERS]

Process: System Address: 0x85802c88 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_QUERY_VOLUME_INFORMATION]

Process: System Address: 0x85802c88 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SET_VOLUME_INFORMATION]

Process: System Address: 0x85802c88 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_DIRECTORY_CONTROL]

Process: System Address: 0x85802c88 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_FILE_SYSTEM_CONTROL]

Process: System Address: 0x85802c88 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_DEVICE_CONTROL]

Process: System Address: 0x85802c88 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_INTERNAL_DEVICE_CONTROL]

Process: System Address: 0x85802c88 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SHUTDOWN]

Process: System Address: 0x85802c88 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_LOCK_CONTROL]

Process: System Address: 0x85802c88 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_CLEANUP]

Process: System Address: 0x85802c88 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_CREATE_MAILSLOT]

Process: System Address: 0x85802c88 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_QUERY_SECURITY]

Process: System Address: 0x85802c88 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SET_SECURITY]

Process: System Address: 0x85802c88 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_POWER]

Process: System Address: 0x85802c88 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SYSTEM_CONTROL]

Process: System Address: 0x85802c88 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_DEVICE_CHANGE]

Process: System Address: 0x85802c88 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_QUERY_QUOTA]

Process: System Address: 0x85802c88 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SET_QUOTA]

Process: System Address: 0x85802c88 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_PNP]

Process: System Address: 0x85802c88 Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_CREATE]