Całkowicie zamulony komputer po aktualizacji

[schell]

Win 7, 64 bit, program antywirusowy avast

komp chodził normalnie, przedwczoraj zaktualizowałem avasta. Wołał o to od kilku dni, ale dopiero przedwczoraj miałem dostęp do stałego łącza. Aktualizacja przebiegła bezproblemowo, uruchomiłem ponownie komputer, ale później już nie używałem kompa. W nocy dodatkowo zaktualizował się Windows. Rano sprawa wyglądała tak, że komp był całkowicie zamulony, miał około 1% normalnej wydajności. Zwalniał cały czas, aż całkowicie się zablokował. Zresetowałem na twardo. Po ponownym uruchomieniu działa normalnie kilkadzieisiąt sekund do kilku minut i znowu zwalnia coraz bardziej, aż do całkowitego zamulenia.

Przez pierwsze sekundy po uruchomieniu jest coś pobierane z sieci, a później pada łącze (Plus). Wifi działa normalnie w trybie awaryjnym. Obciążenie procesora jest minimalne, nawet podczas zamulenia.

Odinstalowałem avasta, myślałem, że to problem po aktualizacji. Niestety, zamulił w połowie i awast odinstalował się nie całkowicie.

Uruchomiłem przywracanie do punktu sprzed aktualizacji avasta. Niestety, kompletnie nic się nie zmieniło.

W trybie awaryjnym działa normalnie, chociaż raz też zamulił. Wcześniej awast nie zgłaszał jakichkolwiek podejrzanych plików.

Nie byłem ostatnio na żadnych podejrzanych stronach. Być może mój syn ściągnął jakąś gierkę.

 

Logi (większość zrobiona w trybie awaryjnym, w normalnym nie ma możliwości)

 

FRST

http://wklej.org/id/1274032/

Addition

http://wklej.org/id/1274045/

 

OTL

http://wklej.org/id/1274046/

Extras

http://wklej.org/id/1274047/

 

GMER

http://wklej.org/id/1274050/

[muzyk75]

W winsock są widoczne wpisy VMware. W MSCONFIG jest zablokowany wpis Mobogenie. Uruchom MSCONFIG i odznacz Mobogenie.

 

Gdy wykonywałeś skany, uruchomiony był kalkulator ?

 

Otwórz notatnik i wklej:

C:\Users\Krzysztof\AppData\Local\genienext
S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X]
S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X]
S3 WinRing0_1_2_0; \??\C:\Users\Krzysztof\Desktop\K10STAT154\WinRing0x64.sys [X]
AlternateDataStreams: C:\ProgramData\Temp:48C1F0D9
AlternateDataStreams: C:\ProgramData\Temp:77846FFE
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
CMD: netsh winsock reset

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Reset komputera.

 

Pobierz: TFC Temp File Cleaner by Oldtimer: http://www.fixitpc.p...lizujące-temat/ Naciśnij "start" i rozpocznie się usuwanie plików tymczasowych.

 

Pobierz Eusing Free Registry Cleaner 3.3.1: http://www.eusing.co...try_cleaner.htm Uruchom kliknij "Skip" w zakładce "language" zmień na Polski i kliknij skan. Po skanie Napraw.

 

 Malwarebytes Anti-Malware w zakładce ustawienia-->ustawienia skanera zaznacz PUP , PUM -->pokazuj i zaznacz przy usuwaniu. Załącz log ze skanu.

 

Uruchom Wiersz poleceń jako Admin i wpisz: sfc /scannow  i klik enter. Zostaną spr. pliki systemowe.

 

Załącz powstały fixlog i nowe logi z FRST i Addition i MBAM.

[schell]

Zrobiłem wszystko według porad i...NIC.

Ja nie widzę jakiejkolwiek infekcji, różne programy antywirusowe też nie widzą.

Oczyściłem rejestr, przywróciłem pliki systemowe. I nadal nic.

Byłbym gotów uznać, że nastąpiło uszkodzenie hardware, gdyby nie fakt, że w trybie awaryjnym pracuje normalnie.

 

W podczas zamulenia menadżer zadań nie wykazuje obciążenia procesora.

W drzewie procesów nie widać jakichkolwiek nieznanych mi procesów.

A zamula tak, że kliknięcie w jakiekolwiek okno otwartego programu powoduje "zamglenie" ekranu i napis "brak odpowiedzi".

Wyłączanie po kolei włączonych programów, procesów i usług (o ile w ogóle da się otworzyć menedżera zadań) nie przynosi rezultatu.

Sam system staje chyba wolniej, niż zwykle, ale nie jest to duża różnica.

 

Jeśli włączam Chrome, to przez kilka pierwszych chwil jest OK, później próba wczytania jakiejkolwiek strony kończy się "oczekiwaniem na pamięć podręczną".

Próba wyjścia z Chrome czy Thunderbirda wygląda tak, że znika okno, ale pozostaje proces w menedżerze zadań i nie można go zakończyć

 

Z wielu względów chciałbym uniknąć formatowania.

 

Teraz zaczęły dziać się nowe rzeczy.

Próba skanowania MBAM przy skanie pełnym kończy się całkowitym zawieszeniem również w trybie awaryjnym.

 

Sprawdziłem pamięć memtestem, ale wszystko w porządku.

 

Według porad Picasso z innego wątku sprawdziłem dziennik zdarzeń.

Zauważyłem dużą ilość wpisów o licznikach wydajności.

Przebudowałem je poleceniem lodctr /r.

 

Zauważyłem też, że ciągle woła o niemożności uruchomienia usługi WIA, ponieważ nie działa usługa wykrywanie sprzętu powłoki. Wyłączyłem również tę usługę.

 

Po tych zabiegach udało mi się uruchomić testy w trybie normalnym.

Niestety, użycie Eusing Free Registry Cleaner spowodowało problemy z moim programem inżynierskim AlibreDesign, więc przywróciłem rejestr.

 

MBAM wreszcie coś znalazł, przy pełnym teście.

Jest tam jedyny plik, do mnie udało się zydentyfikować i do którego miałem wątpliwości: mobogenie

 

Załączam logi po tych zabiegach:

 

FRST

http://wklej.org/id/1276085/txt/

 

Addition

http://wklej.org/id/1276096/txt/

 

CBS

http://wklej.org/id/1276401/txt/

 

MBAM

http://wklej.org/id/1276100/txt/

 

Wieczorem spróbuję dorzucić pliki dziennika zdarzeń

[picasso]

muzyk75

 

- Wpis w msconfig jest nieczynny, zamiast mu kazać to włączać (sic!) trzeba było usunąć klucz z msconfig. Jedna komenda kasacji i po sprawie.

- Ta komenda kasacji klucza Google zadana nie wiadomo po co. Odczyt: "Error reading preferences" w ogóle nie jest związany z kluczem w rejestrze. On oznacza niemożność poboru preferencji z folderu na dysku. I Google Chrome jest zainstalowane, więc należy podjąć całkiem inne działania przy uszkodzonych preferencjach przeglądarki (reset preferencji lub reinstalcja Google Chrome).

- Proszę ogranicz to czyszczenie rejestru w ciemno. Zadajesz je w wielu tematach nie znając precyzyjnie usterki. Taki automat może pogorszyć sprawę.

 

 

schell

 

Temat przenoszę do działu Windows. To nie wygląda na problem infekcji. Log z FRST zrobiony na zbyt szerokich ustawieniach: opcje Drivers MD5 oraz List BCD nie mają być domyślnie zaznaczone. I proszę dostarcz zaległy fixlog.txt z poprzednich działań (nie uruchamiaj przypadkiem skryptu ponownie). Ponadto, są jawne ślady uruchomienia jakiegoś skryptu do OTL, pokaż co to za skrypt wyciągając go z folderu C:\_OTL.

 

 

MBAM wreszcie coś znalazł, przy pełnym teście.

Jest tam jedyny plik, do mnie udało się zydentyfikować i do którego miałem wątpliwości: mobogenie

Te wyniki nie mają żadnego znaczenia dla problemu. Wszystko z katalogu Downloads to po prostu "Asystenci pobierania" lub instalatory mające adware: KLIK. Całe Mobogenie to lewa aplikacja instalowana metodami adware. MBAM wykrył jej szczątki, nic ciekawego, całe foldery do usunięcia.

 

Doczyść jeszcze rejestracje WMI z Avast oraz msconfig i Harmonogram zadań ze szczątków aplikacji:

 

 

 

Otwórz Notatnik i wklej w nim:

 

AV: avast! Antivirus (Enabled - Up to date) {2B2D1395-420B-D5C9-657E-930FE358FC3C}
AS: avast! Antivirus (Enabled - Up to date) {904CF271-6431-DA47-5FCE-A87D98DFB681}
Task: {442EAFDC-EB23-437E-A8A3-BB6D72D220DD} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe
Task: {A4E4EFDF-3A86-4384-864C-337F48F6A880} - System32\Tasks\{6503456E-9263-4F89-96E0-760F39F93B73} => E:\NeostradaTP\Drivers\SpeedTouch200\start.exe
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\Services\avast! Antivirus" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^AsusVibeLauncher.lnk" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AsusVibeLuncher" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ASUSWebStorage" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AvastUI.exe" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GG" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NextLive" /f
C:\Windows\pss\AsusVibeLauncher.lnk.CommonStartup

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

 

 

 

Jeśli włączam Chrome, to przez kilka pierwszych chwil jest OK, później próba wczytania jakiejkolwiek strony kończy się "oczekiwaniem na pamięć podręczną".

Chrome to tu wygląda w ogóle na uszkodzone:

 

Chrome:

=======

Error reading preferences. Please check "preferences" file for possible corruption. 
 

Zrób pełną reinstalację przeglądarki. Po deinstalacji dokasuj ręcznie ten folder:
 

C:\Users\Krzysztof\AppData\Local\Google
 
 

Niestety, użycie Eusing Free Registry Cleaner spowodowało problemy z moim programem inżynierskim AlibreDesign, więc przywróciłem rejestr.

Jeśli chodzi o czyszczenie rejestru, to jestem przeciwnikiem wykonywania takich operacji w ciemno (i nigdy tego nie zadaję w żadnych producerach naprawczych). Problem nie zdiagnozowany, a zapuszczono narzędzie które mogło pogorszyć sprawę. I pogorszyło.
 
 


Zauważyłem dużą ilość wpisów o licznikach wydajności.

Przebudowałem je poleceniem lodctr /r.

vs.
 

Application errors:

==================

Error: (02/18/2014 01:03:29 AM) (Source: Microsoft-Windows-LoadPerf) (User: SCHEGOR)

Description: Nie można zainstalować ciągów liczników wydajności dla usługi .NET Data Provider for Oracle (). Pierwszy wpis DWORD w sekcji danych (Data) zawiera kod błędu.
 

Error: (02/18/2014 01:03:12 AM) (Source: Microsoft-Windows-LoadPerf) (User: SCHEGOR)

Description: Nie można zainstalować ciągów liczników wydajności dla usługi MAV Client PerfMon Provider (). Pierwszy wpis DWORD w sekcji danych (Data) zawiera kod błędu.
 

Error: (02/18/2014 00:36:42 AM) (Source: Microsoft-Windows-LoadPerf) (User: ZARZĄDZANIE NT)

Description: Występująca w rejestrze wartość ciągu objaśniającego licznika wydajności jest niepoprawnie sformatowana. Wadliwie sformułowany ciąg to . Pierwszy wpis DWORD w sekcji danych (Data) zawiera wartość indeksu wadliwie sformułowanego ciągu, a drugi i trzeci wpis DWORD w sekcji danych zawiera ostatnie prawidłowe wartości indeksu.
 

Czy po zastosowaniu lodctr /r te błędy nadal się pojawiają?
 
 

Zauważyłem też, że ciągle woła o niemożności uruchomienia usługi WIA, ponieważ nie działa usługa wykrywanie sprzętu powłoki. Wyłączyłem również tę usługę.

vs.
 

Error: (02/18/2014 00:32:30 AM) (Source: Service Control Manager) (User: )

Description: Usługa Windows Image Acquisition (WIA) zależy od usługi Wykrywanie sprzętu powłoki, której nie można uruchomić z powodu następującego błędu:

%%1058
 

Ustalmy: obie usługi są obecnie wyłączone? Usługa Wykrywanie sprzętu powłoki ma być uruchamiana. Proszę przywróć obu usługom odpowiedni Typ uruchomienia: Wykrywanie sprzętu powłoki = Automatyczny, Windows Image Acquisition = Ręczny. Po tym zrób nowy raport FRST, ale dla Services odznacz pole Whitelist
 

Dostarczony log z CBS nie był poprawny, to jest ogólny raport ze wszystkim jak leci. Jak się filtruje CBS.LOG do działań SFC: KLIK. Przefiltrowałam log i podstawiłam w poprzednim poście. Wykryty jeden nienaprawialny pliki, choć szczerze wątpię czy to powiązane ze sprawą. Dodaj wyszukiwanie na wystąpienia tego pliku. Uruchom SystemLook x64 i w oknie wklej:
 

:filefind

PINTLGB.IMD
 

Klik w Look.
 
 
 

.

[schell]

I proszę dostarcz zaległy fixlog.txt z poprzednich działań (nie uruchamiaj przypadkiem skryptu ponownie). Ponadto, są jawne ślady uruchomienia jakiegoś skryptu do OTL, pokaż co to za skrypt wyciągając go z folderu C:\_OTL.

Zaległy log:

http://wklej.org/id/1276681/

 

 

Ponadto, są jawne ślady uruchomienia jakiegoś skryptu do OTL, pokaż co to za skrypt wyciągając go z folderu C:\_OTL.

 

Skrypt

http://wklej.org/id/1276697/

 

Doczyść jeszcze rejestracje WMI z Avast oraz msconfig i Harmonogram zadań ze szczątków aplikacji:

 

Doczyszczone.

Log:

http://wklej.org/id/1276728/

 

 

Chrome to tu wygląda w ogóle na uszkodzone:

 

Zrób pełną reinstalację przeglądarki. Po deinstalacji dokasuj ręcznie ten folder:

 

C:\Users\Krzysztof\AppData\Local\Google

 

Nie mogę odinstalować Chrome. Klikam odinstaluj i nic się nie dzieje.

Co mam zrobić?

 

 

 

Czy po zastosowaniu lodctr /r te błędy nadal się pojawiają?

 

 

Wydaje mi się, że już się nie pojawiają.

Ale dziennik zdarzeń jest pełen błędów.

Najwięcej jest związanych z CVHSVC oraz usługą rozpoznawania lokalizacji w sieci (chociaż jest włączona).

Jak przeglądam wpisy, to zdecydowana większość błędów i ostrzeżeń jest związana z siecią.

Występuje też ciągle ostrzeżenie, że został osiągnięty maksymalny rozmiar pliku sesji ReadyBoot.

Na obecną chwilę jest tak, że dopóki w trybie normalnym nie połączę się z siecią, mogę w miarę pracować.

Połączenie powoduje błyskawiczne zamulenie.

W trybie awaryjnym połączenie z siecią nie powoduje takich skutków.

 

 

 

Ustalmy: obie usługi są obecnie wyłączone? Usługa Wykrywanie sprzętu powłoki ma być uruchamiana. Proszę przywróć obu usługom odpowiedni Typ uruchomienia: Wykrywanie sprzętu powłoki = Automatyczny, Windows Image Acquisition = Ręczny. Po tym zrób nowy raport FRST, ale dla Services odznacz pole Whitelist

 

Tak, obie usługi są włączone.

 

FSRT

http://wklej.org/id/1276965/

Addition

http://wklej.org/id/1276966/

[schell]

Nie ma żadnej szansy, żeby uratować się przed formatem?

Picasso, please help!!!