Długie uruchamianie systemu Windows

[Azeroth]

Witam.

Jest możliwość sprawdzenia dlaczego system długo się uruchamia? Próbowałem wiele rzeczy, żeby to przyspieszyć. Wyłączałem usługi, usuwałem programy, ale nic nie pomogło.

[Anonim8]

Jest możliwość https://www.fixitpc.pl/topic/11092-analiza-dlugiego-startu-systemu/

[Azeroth]

Ok. Mam pliczki.

pnp.txt

services.txt

summary.txt

[mgrzeg]

Hej,

 

jeśli możesz jeszcze, to zamiast tych plików poproszę o spakowany zipem boot_1.etl i shostowany np. na sppedyshare.com. Będzie mi zdecydowanie łatwiej przeanalizować to i owo.

 

m.g.

[Azeroth]

http://speedy.sh/b4NPH/boot-1.rar

 

Pliki OTL

Extras.Txt

OTL.Txt

[picasso]

Temat przenoszę do działu diagnostyki infekcji. W systemie działa infekcja ZeroAccess. Liczne szkody w systemie (usunięte usługi).

 

1. Otwórz Notatnik i wklej w nim:

 

reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_EXPAND_SZ /d %%systemroot%%\system32\wbem\wbemess.dll
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Konieczny restart komputera, by odładować z pamięci ZeroAccess.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

C:\Windows\Installer\{9a17a1c0-7f27-534e-ef90-cea883d393a8}
C:\Users\Adrian\AppData\Local\{9a17a1c0-7f27-534e-ef90-cea883d393a8}
C:\Users\Adrian\AppData\Roaming\Mozilla
C:\Users\Adrian\AppData\Roaming\RoboForm
C:\Users\Adrian\AppData\Roaming\dclogs
C:\Users\Adrian\AppData\Roaming\Uniblue
C:\Users\Adrian\1.dat
C:\ProgramData\Update 9-16-11.exe
 
:OTL
IE - HKLM\..\SearchScopes\{44F7FD15-D175-4848-9836-0DF8F6CEC524}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=ca37d5c4-4219-11e1-97ea-00262d664206&q={searchTerms}"
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2938961"
IE - HKU\S-1-5-21-880486109-2065201665-1661478357-1000\..\URLSearchHook:  - No CLSID value found
IE - HKU\S-1-5-21-880486109-2065201665-1661478357-1000\..\URLSearchHook: {14f6a182-4c6f-45ae-9f5a-aa3ccbb1cfa3} - No CLSID value found
IE - HKU\S-1-5-21-880486109-2065201665-1661478357-1000\..\URLSearchHook: {7b13ec3e-999a-4b70-b9cb-2617b8323822} - No CLSID value found
IE - HKU\S-1-5-21-880486109-2065201665-1661478357-1000\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found
IE - HKU\S-1-5-21-880486109-2065201665-1661478357-1000\..\URLSearchHook: {ec66d0dc-ad17-4602-af45-ef595565db02} - No CLSID value found
O2:64bit: - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - No CLSID value found.
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {14F6A182-4C6F-45AE-9F5A-AA3CCBB1CFA3} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {14F6A182-4C6F-45AE-9F5A-AA3CCBB1CFA3} - No CLSID value found.
O3 - HKU\S-1-5-21-880486109-2065201665-1661478357-1000\..\Toolbar\WebBrowser: (no name) - {14F6A182-4C6F-45AE-9F5A-AA3CCBB1CFA3} - No CLSID value found.
O3 - HKU\S-1-5-21-880486109-2065201665-1661478357-1000\..\Toolbar\WebBrowser: (no name) - {7B13EC3E-999A-4B70-B9CB-2617B8323822} - No CLSID value found.
O3 - HKU\S-1-5-21-880486109-2065201665-1661478357-1000\..\Toolbar\WebBrowser: (no name) - {BA14329E-9550-4989-B3F2-9732E92D17CC} - No CLSID value found.
O3 - HKU\S-1-5-21-880486109-2065201665-1661478357-1000\..\Toolbar\WebBrowser: (no name) - {EC66D0DC-AD17-4602-AF45-EF595565DB02} - No CLSID value found.
O8:64bit: - Extra context menu item: Pasek Narzędzi RoboForm - Reg Error: Value error. File not found
O8:64bit: - Extra context menu item: Personalizuj menu - Reg Error: Value error. File not found
O8:64bit: - Extra context menu item: Wypełnij Pola - Reg Error: Value error. File not found
O8:64bit: - Extra context menu item: Zapisz Pola - Reg Error: Value error. File not found
O8 - Extra context menu item: Pasek Narzędzi RoboForm - Reg Error: Value error. File not found
O8 - Extra context menu item: Personalizuj menu - Reg Error: Value error. File not found
O8 - Extra context menu item: Wypełnij Pola - Reg Error: Value error. File not found
O8 - Extra context menu item: Zapisz Pola - Reg Error: Value error. File not found
O9:64bit: - Extra Button: Wypełnij pola - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - Reg Error: Key error. File not found
O9:64bit: - Extra 'Tools' menuitem : Wypełnij Pola - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - Reg Error: Key error. File not found
O9:64bit: - Extra Button: Zapisz - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - Reg Error: Key error. File not found
O9:64bit: - Extra 'Tools' menuitem : Zapisz Pola - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - Reg Error: Key error. File not found
O9:64bit: - Extra Button: Show Toolbar - {724d43aa-0d85-11d4-9908-00400523e39a} - Reg Error: Key error. File not found
O9:64bit: - Extra 'Tools' menuitem : Pasek Narzędzi RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - Reg Error: Key error. File not found
O9 - Extra Button: Wypełnij pola - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - Reg Error: Key error. File not found
O9 - Extra 'Tools' menuitem : Wypełnij Pola - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - Reg Error: Key error. File not found
O9 - Extra Button: Zapisz - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - Reg Error: Key error. File not found
O9 - Extra 'Tools' menuitem : Zapisz Pola - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - Reg Error: Key error. File not found
O9 - Extra Button: Show Toolbar - {724d43aa-0d85-11d4-9908-00400523e39a} - Reg Error: Key error. File not found
O9 - Extra 'Tools' menuitem : Pasek Narzędzi RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - Reg Error: Key error. File not found
 
:Reg
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_CURRENT_USER\Software\MozillaPlugins]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Odinstaluj IObit Malware Fighter. Starawy i zbędny przy Avast.

 

5. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras), GMER, Farbar Service Scanner. Uruchom SystemLook x64 i do skanu wklej:

 

:filefind

services.exe
 
:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s

 

Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[Azeroth]

Gotowe.

AdwCleanerS1.txt

FSS.txt

GMER.txt

OTL.Txt

SystemLook.txt

[picasso]

Zasady działu na temat "refresh'ów". Kosz.

 

Zadania wykonane, ale tu jeszcze robota przed nami, bo uszkodzeń sporo po trojanie.

 

1. Odbuduj usunięte przez trojana usługi za pomocą ServicesRepair.

 

2. Napraw martwą ikonę Centrum Akcji uszkodzoną przez trojana i skoryguj inne drobnostki. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}]
"AutoStart"=""
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D}]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

3. Zresetuj system. Zrób nowy log z Farbar Service Scanner. Podsumuj też co się aktualnie dzieje w systemie.

 

 

 

.

 

[Azeroth]

System działa tak jak poprzednio. Długo się włącza. Najdłużej trwa "Trwa uruchamianie systemu Windows", a potem długo ładują się ikonki na pulpicie i chwilę po załadowaniu. Jedyne co się zmieniło to to, że Windows Update zaczął działać oraz zaczęły wyskakiwać okienka pytające o pozwolenie na pracę programu w sieci.

FSS.txt

[picasso]

Naprawa usług pomyślna. Kolejne działania:

 

1. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zrób pełne skanowanie w Malwarebytes Anti-Malware. Przy instalacji padnie pytanie o typ wersji, wybierz darmową a nie próbną (by nie został zainstalowany rezydent). Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

System działa tak jak poprzednio. Długo się włącza. Najdłużej trwa "Trwa uruchamianie systemu Windows", a potem długo ładują się ikonki na pulpicie i chwilę po załadowaniu.

 

1. W Twoim logu OTL Extras widzę jeszcze jedną rzecz. W Dzienniku zdarzeń jest błąd sugerujący uszkodzenie (brak pliku) usługi Wstępne ładowanie do pamięci:

 

Error - 2013-01-18 13:23:01 | Computer Name = Azeroth | Source = Service Control Manager | ID = 7023
Description = Usługa Wstępne ładowanie do pamięci zakończyła działanie; wystąpił
 następujący błąd:   %%2 

 

Podaj mi skan dodatkowy. Do SystemLook wklej:

 

:reg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SysMain /s
 
:filefind
sysmain.dll

 

2. I taki błąd jeszcze jest od sterownika zabezpieczenia ProtectDisk:

 

Error - 2013-01-19 06:59:35 | Computer Name = Azeroth | Source = Service Control Manager | ID = 7026
Description = Nie można załadować następujących sterowników startu rozruchowego 
lub systemowego:   acedrv05

 

vs.

 

DRV:64bit: - [2010-03-24 18:18:33 | 000,136,192 | ---- | M] () [Kernel | System | Stopped] -- C:\Windows\SysNative\drivers\acedrv05.sys -- (acedrv05)

 

Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator. W Menu Widok włącz pokazywanie ukrytych urządzeń. W sekcji Sterowniki niezgodne z Plug and Play wyszukaj ten obiekt, odinstaluj + restart.

 

 

.

[Azeroth]

Brak sterownika acedrv05. Nie było co usuwać. Brak zauważalnych zmian w systemie.

 

 

Anti-Malware:

 

Wykrytych kluczy rejestru: 3

HKCU\SOFTWARE\JP595IR86O (Trojan.FakeAlert) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

HKCU\SOFTWARE\Z30KYPG3WS (Trojan.FakeAlert) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

HKCU\Software\DC3_FEXEC (Malware.Trace) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

 

Wykrytych plików: 2

C:\Users\Adrian\AppData\Local\Google\Chrome\User Data\Backup Default\Cache\f_0018d5 (PUP.GameBot) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

D:\Total CMA Pack\plugins\wlx\18FileInfo\cadt.dll (Trojan.Constructor) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

 

 

Raport SystemLook

 

SystemLook 30.07.11 by jpshortstuff

Log created at 14:43 on 30/01/2013 by Adrian

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SysMain]

"Start"= 0x0000000002 (2)

"Description"="@%SystemRoot%\system32\sysmain.dll,-1001"

"DisplayName"="@%SystemRoot%\system32\sysmain.dll,-1000"

"ErrorControl"= 0x0000000000 (0)

"ImagePath"="%systemroot%\system32\svchost.exe -k LocalSystemNetworkRestricted"

"Type"= 0x0000000020 (32)

"DependOnService"="rpcss fileinfo"

"ObjectName"="LocalSystem"

"RequiredPrivileges"="SeTcbPrivilege SeProfileSingleProcessPrivilege SeTakeOwnershipPrivilege SeDebugPrivilege SeIncreaseBasePriorityPrivilege"

"FailureActions"=80 51 01 00 00 00 00 00 00 00 00 00 03 00 00 00 14 00 00 00 01 00 00 00 60 ea 00 00 01 00 00 00 60 ea 00 00 00 00 00 00 00 00 00 00 (REG_BINARY)

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SysMain\Parameters]

"ServiceDllUnloadOnStop"= 0x0000000001 (1)

"ServiceMain"="SysMtServiceMain"

"ServiceDll"="%systemroot%\system32\sysmain.dll"

 

 

========== filefind ==========

 

Searching for "sysmain.dll"

C:\Windows\System32\sysmain.dll --a---- 1743360 bytes [10:20 21/04/2011] [13:27 20/11/2010] BF9CCC0BF39B418C8D0AE8B05CF95B7D

C:\Windows\winsxs\amd64_microsoft-windows-s..mmaintenanceservice_31bf3856ad364e35_6.1.7600.16385_none_9942e3f1f9e8597e\sysmain.dll --a---- 1780736 bytes [23:36 13/07/2009] [01:41 14/07/2009] 3C1284516A62078FB68F768DE4F1A7BE

C:\Windows\winsxs\amd64_microsoft-windows-s..mmaintenanceservice_31bf3856ad364e35_6.1.7601.17514_none_9b73f7b9f6d6dd18\sysmain.dll --a---- 1743360 bytes [10:20 21/04/2011] [13:27 20/11/2010] BF9CCC0BF39B418C8D0AE8B05CF95B7D

 

-= EOF =-

[picasso]

1. Wyniki MBAM: to były szkodniki, z wyjątkiem "Trojan.Constructor" w paczce Total Commander (wygląda na fałszywy alarm).

 

2. Skoro tam nie ma acedrv05 widocznego, to usuń usługę. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklep komendę:

 

sc delete acedrv05

 

Po tym skasuj z dysku plik C:\Windows\system32\drivers\acedrv05.sys.

 

3. Skan parametrów usługi SysMain nie wykazuje naruszeń. Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator > sprawdź jaki status ma usługa "Wstępne ładowanie do pamięci". Jeśli nie jest w stanie "Uruchomiono", spróbuj zastartować ręcznie i podaj ewentualny błąd przy tej operacji.

 

 

.

[Azeroth]

Nie da się uruchomić usługi:

Błąd 2: Nie można odnaleźć określonego pliku.

[picasso]

Czyli jednak jest jakiś ubytek, ale nie w podstawowej budowie usługi. Wykonaj weryfikację plików systemowych za pomocą komendy sfc /scannow, za pomocą kolejnej komendy przefiltruj CBS.log do wystąpień znaczników [sR] i przedstaw wynikowy log: KLIK.

 

 

 

.

[Azeroth]

Gotowe. Usługi dalej nie da się uruchomić.

sfc.txt

[picasso]

W SFC same nieistotne głupotki, brak związku z problemem. Potrzebuję log trybu rzeczywistego co się dzieje podczas próby uruchamiania tej usługi. Pobierz Process Monitor. Uruchom konsolę services.msc, następnie uruchom Process Monitor (zacznie nagrywanie), doprowadź ręcznie do błędu próbując startować usługę, zatrzymaj nagrywanie Process Monitor przekleślając ikonkę lupki, zapisz log. Log zapakuj do ZIP, shostuj gdzieś i podaj tu link.

 

 

 

.

[Azeroth]

Nie wiem, czy wszystko dobrze zapisałem. Jak trzeba inny format to mogę zmienić. Nie wyłączałem aplikacji.

 

http://speedy.sh/NzY43/Logfile.rar

[picasso]

Szybko przejrzałam, konkretów nie widzę. Potem będę grzebać więcej. Ale daj mi od razu skan rejestru na inną sferę, czy przypadkiem nie przekombinowałeś w "optymalizacji". Do SystemLook wklej:

 

:reg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters

 

 

 

.

[Azeroth]

Gotowe.

 

SystemLook 30.07.11 by jpshortstuff

Log created at 18:35 on 30/01/2013 by Adrian

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters]

"BootId"= 0x00000005ba (1466)

"BaseTime"= 0x00163101a1 (372310433)

"EnableSuperfetch"= 0x0000000003 (3)

"EnablePrefetcher"= 0x0000000003 (3)

"EnableBootTrace"= 0x0000000000 (0)

 

 

-= EOF =-

[picasso]

Tu jest OK. Inny trop, czyli nieszczęsne produkty IObit, wokół których już się kręciłam na samym początku (usuwanie IObit Malware Fighter). Wypowiedzi z posta numer 2 i ostatniego mówiące o produktach IObit generujących błąd "brakującego pliku" usługi Wstępne ładowanie do pamięci: KLIK.

 

Odinstaluj pozostałe aplikacje IObit: Advanced SystemCare 6 + Protected Folder. Zresetuj system. Sprawdź w services.msc czy usługa Wstępne ładowanie do pamięci jest uruchomiona. Podaj czy widzisz jakąś różnicę w uruchamianiu Windows.

 

 

 

.

[Azeroth]

Usługa "Wstępne ładowanie do pamięci" jest uruchomiona. Brak widocznych zmian podczas startu systemu.

[picasso]

Błąd Wstępnego ładowania do pamięci rozwiązany. Co do mozolnego startu, to z rzucających się w oczy aplikacji zostaje Avast, resztę usług masz już w stanie "Wyłączono". Najbardziej rozbudowany obiekt wtórny. Zrób testową deinstalację antywirusa i zobaczymy jakie efekty.

 

 

 

.

[Azeroth]

Komputer włącza się o jakąś minutę szybciej, ale 2 minuty do pokazania pulpitu to chyba dalej za wolno.

[picasso]

Podsumowując stan bieżący: masz układ usług podobny do zastosowania "czystego rozruchu" (większość Disabled), infekcja usunięta, błędy z Dziennika zdarzeń naprawione, IObit i Avast odinstalowane.

 

Skoro nadal jest problem, przygotuj świeży zestaw danych wskazywany w postach numer 2 do 4. Ściągnę do tematu mgrzeg. W międzyczasie: nie instaluj żadnych antywirusów ani dopalaczy, zachowując stan uzyskany po deinstalacji IObit i Avast.

 

 

.

[mgrzeg]

Hej,

 

przygotuj, proszę, jeszcze raz log boot_1.etl, podobnie jak to zrobiłeś na początku tego wątku, spakuj i wrzuć na speedyshare.com

 

m.g.