Komputer wolno i ciężko działa, non stop 50+% CPU

[Krzyh]

Laptop z 4GB RAM, Intel C2Duo 2,2GHz, 4GB RAM, Vista Home Premium 32bit. Mimo tego potrafi tak zmulić że dźwięki charczą. Próbowałem już różnych rzeczy ale nigdy nie wykryłem żadnego wirusa. Jest to komputer moich rodziców wiec mam dostęp do niego raz na parę miesięcy i od dawna on się tak zachowuje. Sprawdzałem już softer MalwareBytes, ESET Online scanner, Comodo Cleaning Essentials. Na co dzień komputer jest zabezpieczony Comodo Internet Security. Przy nieużuwanym i świeżo uruchomionym systemie w Menadżerze zadań jest wiele procesów które obciążąją system w 100% (svchost-y, BrYNSVC (od drukarki Brothera która nie jest podłączona), Skype (nieużywany), TeamViewer (nieużywany). Procesy przeglądarki Firefox czy Comodo Dragon (mimo że żadne strony się nie otwierają). Odpalone programy zjadają znacznie wiecej czasu procesora (na moje oko) niż to jest potrzebne do tego co robią.

Podejrzewam że coś ciągle siedzi w systemie, choć nie udało mi się nigdy znaleźć dowodu na to. Może ktoś mógłby rzucić okiem bo ja nie mam pomysłu.  Przeskanowałem system zalecanymi programami i załączam logi.

OTL.Txt

Extras.Txt

Addition.txt

FRST.txt

gmer2.txt

[picasso]

Temat przenoszę do działu Windows. Oznak infekcji brak. Tylko drobna operacja kosmetyczna usunięcia wpisów głównie szątkowych (to nie ma żadnego znaczenia dla zgłaszanego problemu):

 

1. Otwórz Notatnik i wklej w nim:

 

HKLM\...\Run: [eRecoveryService] - [x]
HKCU\...\Run: [] - [x]
HKU\Default\...\RunOnce: [AcerScrSav] -
HKU\Default User\...\RunOnce: [AcerScrSav] -
Winlogon\Notify\AWinNotifyVitaKey MC3000:
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKCU - F24440894C5B451CA00A29F25C75A189 URL = http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL =
SearchScopes: HKCU - {BFE91ACD-3805-41B3-A2D1-527744A480FA} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=83764345-9CD1-46ED-9452-3681DAD0CC42&apn_sauid=603FEA4A-9C7F-4FBC-A503-557D5651E437
BHO: No Name - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - No File
Toolbar: HKLM - No Name - {0BF43445-2F28-4351-9252-17FE6E806AA0} - No File
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
2013-09-12 22:35 - 2013-09-12 22:35 - 00000000 ____D C:\Users\bolo\AppData\Local\Temp(17)

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

2. Uruchom TFC - Temp Cleaner.

 

 

Sprawdzałem już softer MalwareBytes, ESET Online scanner, Comodo Cleaning Essentials.

Zataiłeś użycie ComboFix. Na ten temat: KLIK. I dostarcz log C:\ComboFix.txt do oceny, czy coś nie zostało uszkodzone.

 

 

Laptop z 4GB RAM, Intel C2Duo 2,2GHz, 4GB RAM, Vista Home Premium 32bit. Mimo tego potrafi tak zmulić że dźwięki charczą.

(...)

Przy nieużuwanym i świeżo uruchomionym systemie w Menadżerze zadań jest wiele procesów które obciążąją system w 100% (svchost-y, BrYNSVC (od drukarki Brothera która nie jest podłączona), Skype (nieużywany), TeamViewer (nieużywany). Procesy przeglądarki Firefox czy Comodo Dragon (mimo że żadne strony się nie otwierają).

Nieużywane nie jest tautologiczne z brakiem uruchomienia. Przecież tu widać, że w starcie (zwykły start i usługi) jest planowane uruchomienie Brother, Skype i TeamViewer. Co do przeglądarek: jest conajmniej jeden proces Dragon uruchamiany z automatu (jego updater), być może także ma coś do rzeczy technika piaskownicy w COMODO. Pod kątem zamulonego systemu:

 

1. Pierwszy podejrzany dla spowolnienia to COMODO Internet Security. Bardzo inwazyjne oprogramowanie. Wykonaj testową deinstalację (tylko to jest wiarygodnym testem).

 

2. Dodatkowo, wyłącz zbędne wpisy ze startu. Uruchom Autoruns i w karcie logon odznacz:

 

HKLM\...\Run: [Windows Defender] - C:\Program Files\Windows Defender\MSASCui.exe [1008184 2008-01-21] (Microsoft Corporation)

HKLM\...\Run: [WarReg_PopUp] - C:\Program Files\Acer\WR_PopUp\WarReg_PopUp.exe [303104 2008-01-29] (Acer Incorporated)

HKLM\...\Run: [Windows Mobile Device Center] - C:\Windows\WindowsMobile\wmdc.exe [648072 2007-05-31] (Microsoft Corporation)

HKLM\...\Run: [Adobe ARM] - C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated)

HKLM\...\Run: [indexSearch] - C:\Program Files\Nuance\PaperPort\IndexSearch.exe [46368 2010-03-09] (Nuance Communications, Inc.)

HKLM\...\Run: [ControlCenter4] - C:\Program Files\ControlCenter4\BrCcBoot.exe [143360 2012-08-28] (Brother Industries, Ltd.)

HKLM\...\Run: [brStsMon00] - C:\Program Files\Browny02\Brother\BrStMonW.exe [3076096 2012-06-06] (Brother Industries, Ltd.)

HKLM\...\Run: [PaperPort PTD] - C:\Program Files\Nuance\PaperPort\pptd40nt.exe [29984 2010-03-09] (Nuance Communications, Inc.)

HKLM\...\Run: [PPort12reminder] - C:\Program Files\Nuance\PaperPort\Ereg\Ereg.exe [328992 2010-02-09] (Nuance Communications, Inc.)

HKLM\...\Run: [PDFHook] - C:\Program Files\Nuance\PDF Viewer Plus\pdfpro5hook.exe [636192 2010-03-05] (Nuance Communications, Inc.)

HKLM\...\Run: [PDF5 Registry Controller] - C:\Program Files\Nuance\PDF Viewer Plus\RegistryController.exe [62752 2010-03-05] (Nuance Communications, Inc.)

HKLM\...\Run: [iR_SERVER] - C:\PROGRA~1\Realtek\REALTE~1\IR_SERVER.exe

HKLM\...\Run: [ArcSoft Connection Service] - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe [207424 2010-10-27] (ArcSoft Inc.)

HKLM\...\Run: [sunJavaUpdateSched] - C:\Program Files\Common Files\Java\Java Update\jusched.exe [253816 2013-03-12] (Oracle Corporation)

HKCU\...\Run: [ehTray.exe] - C:\Windows\ehome\ehTray.exe [125952 2008-01-21] (Microsoft Corporation)

HKCU\...\Run: [WMPNSCFG] - C:\Program Files\Windows Media Player\WMPNSCFG.exe [202240 2008-01-21] (Microsoft Corporation)

HKCU\...\Run: [skype] - C:\Program Files\Skype\Phone\Skype.exe [19875432 2013-06-21] (Skype Technologies S.A.)

HKCU\...\Run: [iSUSPM] - C:\ProgramData\FLEXnet\Connect\11\ISUSPM.exe [222496 2009-05-05] (Acresso Corporation)

 

W karcie Services odznacz:

 

SRV - [2013-06-21 09:53:36 | 000,162,408 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Program Files\Skype\Updater\Updater.exe -- (SkypeUpdate)

SRV - [2013-05-29 14:19:04 | 002,094,216 | ---- | M] () [Auto | Running] -- C:\Program Files\COMODO\Dragon\dragon_updater.exe -- (DragonUpdater)

SRV - [2013-05-10 09:57:22 | 000,065,640 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)

SRV - [2012-06-05 16:56:28 | 000,266,240 | ---- | M] (Brother Industries, Ltd.) [On_Demand | Running] -- C:\Program Files\Browny02\BrYNSvc.exe -- (BrYNSvc)

SRV - [2012-04-05 15:48:02 | 000,255,376 | ---- | M] (Acer Incorporated) [Auto | Running] -- C:\Program Files\Acer\Acer Updater\UpdaterService.exe -- (Live Updater Service)

SRV - [2010-03-18 11:19:26 | 000,113,152 | ---- | M] (ArcSoft Inc.) [Auto | Running] -- C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe -- (ACDaemon)

SRV - [2009-04-30 12:23:26 | 000,090,112 | ---- | M] () [Auto | Running] -- C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe -- (OMSI download service)

SRV - [2008-01-21 04:23:32 | 000,272,952 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)

 

Zresetuj system.

 

 

.

[Krzyh]

Wprowadziłem zalecone rzeczy (poza Skype, bo rodzicom musi sie sam uruchamiać - podstawowe narzędzie w ich kompie .Co do Comodo to przetestuje deinstalację w następnej kolejnosci. Jest wyraźnie lepiej. Załączam log z FRST

 

Combofix było uruchamiane. Na początek normalnie potem w Safe Mode. Niestety nie mam pliku z pierwszego skanowania gdyż został zastąpiony przez drugie, a w piewszym wydawało mi się że znalazł sporo podejrzanych rzeczy (głównie dużo różnic między plikami systemowymi a tymi w winsxs). Nie wspominałem o nim, bo potem musiałem cofnąć system do stanu sprzed uruchamiania Combofixa, gdyż któryś z następnych programów naprawczych popsuł mi połączenie z internetem. Ale plik z tamtym logiem mogę pokazać

Fixlog.txt

ComboFix.txt

[picasso]

poza Skype, bo rodzicom musi sie sam uruchamiać - podstawowe narzędzie w ich kompie

Ale ja podałam do wyłączenia: usługę aktualizacji Skype a nie Skype per se (usługa jest zbędna, nie musi się uruchamiać w tle) + wpis startowy Skype (program można uruchamiać ręcznie). Jeśli dla wygody Skype ma zostać w starcie, to chociaż tę usługę updatera wyłącz.

 

 

Combofix było uruchamiane. Na początek normalnie potem w Safe Mode. Niestety nie mam pliku z pierwszego skanowania gdyż został zastąpiony przez drugie, a w piewszym wydawało mi się że znalazł sporo podejrzanych rzeczy (głównie dużo różnic między plikami systemowymi a tymi w winsxs). Nie wspominałem o nim, bo potem musiałem cofnąć system do stanu sprzed uruchamiania Combofixa, gdyż któryś z następnych programów naprawczych popsuł mi połączenie z internetem. Ale plik z tamtym logiem mogę pokazać

- ComboFix archiwizuje raporty starsze niż bieżący w katalogu C:\Qoobox.

- Połączenie sieciowe prawdopodobnie załatwił właśnie ComboFix, gdyż jego procedury mają w składzie reset pewnych obszarów sieciowych. Były na forum tematy ze skutkami ubocznymi tego rodzaju po użyciu ComboFix.

 

 

.

[Krzyh]

To był raczej ADWCleaner lub FRST, bo po Combofix jeszcze działało i ściągałem nastęne narzędzia. No ale mniejsza z tym. Przesyłam archiwalny plik Combofixa.

 

 

ComboFix2.txt

[picasso]

Co do raportu ComboFix:

- Żadnej infekcji nie wykrył. Usunięte obiekty bez znaczenia.

- Masowy odczyt o niesygnowanych plikach zwykle jest charakterystyczny dla dysfunkcji Usług kryptograficznych. Cofałeś system wstecz Przywracaniem, więc nie wiadomo czy to nadal ma miejsce. Na wszelki wypadek można zrobić reset Windows Update (zawiera reset kryptograficznych) tym narzędziem: KLIK.

 

 

To był raczej ADWCleaner lub FRST, bo po Combofix jeszcze działało i ściągałem nastęne narzędzia. No ale mniejsza z tym. Przesyłam archiwalny plik Combofixa.

Wątpię, gdyż ComboFix to jedyne narzędzie z tego zestawu, które resetuje z automatu ustawienia sieci (i nie masz na to wpływu), AdwCleaner nie robi tego wcale, a FRST był tu poinstruowany by usuwać drobnostki w ogóle nie powiązane z tą sferą. Usterka mogła nie wyjść na jaw od razu ze względu na opóźniony reset systemu. A jeśli nie ComboFix, to coś innego musiało zajść (i COMODO Internet Security jest tu dość podejrzany), ale na pewno AdwCleaner i FRST nie brały w tym udziału.

 

 

 

.