Wolne działanie systemu i aplikacji

rsnooz · 22 Kwietnia 2014

Witam,

Mam problem z wolnym działaniem systemu i aplikacji (Windows XP Pro 32 bit). Niektóre programy nie działają w ogóle, tzn. po kliknięciu w ikonę aplikacji nic się nie dzieje, program się nie uruchamia. W innych programach nie działają niektóre funkcje.

Problem zaczął się po ostatniej nieudanej aktualizacji Microsoft Security Essentials, oczywiście program odinstalowałem ale problem pozostał.

W załącznikach logi z OTL, GMER, Autoruns i dziennik zdarzeń Aplikacje i System.

Pozdrawiam i proszę o pomoc.

Dziennik zdarzeń:

http://speedy.sh/jKX3E/Dziennik-zdarzen.zip

Edit: dołączyłem logi z FRST

picasso · 24 Kwietnia 2014

Mam problem z wolnym działaniem systemu i aplikacji (Windows XP Pro 32 bit).

Rzuca się w oczy zainstalowane rozszerzenie Microsoft Update:

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1326361774988 (MUWebControl Class)

Microsoft Update to znacznie poszerzona wersja, Windows Update jest skromniejsze. MU może mieć negatywny problem na system. Wykonaj akcje opisane w tym poście: KLIK. Zresetuj system i sprawdź czy jest poprawa pod kątem wolnego działania Windows.

W systemie są także inne problemy. Widać różne śmieci (szczątki adware, odpadkowe sterowniki MSSE, resztki COPMODO) oraz dysfunkcję usługi Instrumentacji zarządzania Windows. Jest ona w stanie "Zatrzymano" i Dziennik zdarzeń sypie błędami:

S2 winmgmt; C:\WINDOWS\system32\svchost.exe [14336 2008-04-14] (Microsoft Corporation) 

==================== Restore Points =========================
 

Could not list Restore Points. Check "winmgmt" service or repair WMI.
 

==================== Faulty Device Manager Devices =============
 

Could not list Devices. Check "winmgmt" service or repair WMI.
 

Application errors:

==================

Error: (04/17/2014 10:52:48 AM) (Source: SecurityCenter) (User: )

Description: Usługa Centrum zabezpieczeń systemu Windows nie może ustanowić kwerend zdarzeń z WMI, aby monitorować zaporę i program antywirusowy innej firmy.
 

System errors:

=============

Error: (04/22/2014 04:25:59 PM) (Source: DCOM) (User: D630-D3A527AA04)

Description: Serwer {8BC3F05E-D86B-11D0-A075-00C04FB68820} nie zarejestrował się w modelu DCOM w wymaganym czasie.

Mogą być różne przyczyny tego stanu rzeczy: błedna konfiguracja usługi Winmgmt, niepoprawne wersje bibliotek WMI, uszkodzone repozytorium i kilka innych. Aczkolwiek nasuwa mi się, że problemem jest jednak źle naprawiona usługa Winmgmt, gdyż w systemie są znaki, że kiedyś była infekcja policyjna.

Adresując powyższe punkty (COMODo będę wypinać z Dziennika zdarzeń potem):

1. Otwórz Notatnik i wklej w nim:

S2 winmgmt; C:\WINDOWS\system32\svchost.exe [14336 2008-04-14] (Microsoft Corporation)
S1 aqfyvszx; \??\C:\WINDOWS\system32\drivers\aqfyvszx.sys [X]
S1 atpofphs; \??\C:\WINDOWS\system32\drivers\atpofphs.sys [X]
S1 elwanrlf; \??\C:\WINDOWS\system32\drivers\elwanrlf.sys [X]
S1 jzfimovn; \??\C:\WINDOWS\system32\drivers\jzfimovn.sys [X]
S1 kalrgrad; \??\C:\WINDOWS\system32\drivers\kalrgrad.sys [X]
S1 kdaskjfk; \??\C:\WINDOWS\system32\drivers\kdaskjfk.sys [X]
S1 kdicitfx; \??\C:\WINDOWS\system32\drivers\kdicitfx.sys [X]
S1 minmloiz; \??\C:\WINDOWS\system32\drivers\minmloiz.sys [X]
S1 mvrujavj; \??\C:\WINDOWS\system32\drivers\mvrujavj.sys [X]
S1 nbssngoj; \??\C:\WINDOWS\system32\drivers\nbssngoj.sys [X]
S1 nkwjghrc; \??\C:\WINDOWS\system32\drivers\nkwjghrc.sys [X]
S1 nmsgbirz; \??\C:\WINDOWS\system32\drivers\nmsgbirz.sys [X]
S1 orsiynoz; \??\C:\WINDOWS\system32\drivers\orsiynoz.sys [X]
S1 rvdiabjt; \??\C:\WINDOWS\system32\drivers\rvdiabjt.sys [X]
S1 vfrgxfvc; \??\C:\WINDOWS\system32\drivers\vfrgxfvc.sys [X]
S1 wweoiusj; \??\C:\WINDOWS\system32\drivers\wweoiusj.sys [X]
S1 xcmplsfp; \??\C:\WINDOWS\system32\drivers\xcmplsfp.sys [X]
S1 xwhzvdxt; \??\C:\WINDOWS\system32\drivers\xwhzvdxt.sys [X]
Task: C:\WINDOWS\Tasks\EPUpdater.job => C:\DOCUME~1\ADMINI~1\DANEAP~1\BABSOL~1\Shared\BabMaint.exe 
Task: C:\WINDOWS\Tasks\Microsoft Antimalware Scheduled Scan.job => C:\Program Files\Microsoft Security Client\MpCmdRun.exe
HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
SearchScopes: HKLM - DefaultScope {a5b9c0f5-5616-47cd-a95f-e43b488faccf} URL =
SearchScopes: HKCU - {221F6852-E080-49F1-B197-742D9433BAD4} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=9BA0E5AD-23D3-4972-8369-A5289D880B1F&apn_sauid=2E7E7D22-87BB-425A-95DD-ADF9CB911CA5
SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL =
SearchScopes: HKCU - {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo
Toolbar: HKLM - No Name - {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No File
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
Toolbar: HKCU - No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File
Toolbar: HKCU - No Name - {D43723AE-1AE1-4A25-A6A4-BF0929273CAB} - No File
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
C:\Documents and Settings\All Users\Dane aplikacji\jw1rbnwl1.ctrl
C:\Documents and Settings\All Users\Dane aplikacji\f8bq.pad
C:\Documents and Settings\All Users\Dane aplikacji\o7iw8.pad
C:\Documents and Settings\All Users\Dane aplikacji\91f63af8d8706ade
C:\Documents and Settings\All Users\Dane aplikacji\Adtrustmedia
C:\Documents and Settings\All Users\Dane aplikacji\Ask
C:\Documents and Settings\All Users\Dane aplikacji\Babylon
C:\Documents and Settings\All Users\Dane aplikacji\Comodo
C:\Documents and Settings\All Users\Dane aplikacji\InstallMate
C:\Documents and Settings\All Users\Dane aplikacji\Norton
C:\Documents and Settings\All Users\Dane aplikacji\websaave
C:\Documents and Settings\All Users\Dane aplikacji\WinZip
C:\Documents and Settings\Administrator\Dane aplikacji\Babylon
C:\Documents and Settings\Administrator\Menu Start\Programy\BitGuard
C:\Program Files\Common Files\Symantec Shared
C:\Program Files\Comodo
C:\Program Files\websaave
C:\Program Files\YoutubeAdblocker
C:\Program Files\mozilla firefox\plugins
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\WINDOWS\tasks\ImCleanDisabled
C:\WINDOWS\Tasks\TaskDisabled
C:\WINDOWS\System32\sh4native.exe
Reg: reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager" /v BootExecute /t REG_EXPAND_SZ /d "autocheck autochk *" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\COMODO Internet Security" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PrivDogService" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Sony Ericsson PC Companion" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpyHunter Security Suite" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\tvncontrol" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF}" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Extensions\{3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF}" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\MenuExt\&Search" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reboot:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zostanie wymuszony reset, a w katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.

3. Wyczyść Google Chrome:

Ustawienia > karta Rozszerzenia > odinstaluj adware Search-Gol Toolbar, YTBookMArk, YoutubeAdblocker, Websaave
Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy Delta Search i inne niedomyślne śmieci (o ile będą).
Ustawienia > karta Historia > wyczyść
Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

5. Uruchom TFC - Temp Cleaner.

6. Zrób nowy raport FRST z Addition (bez Shortcut). Dołącz też pliki wynikowe fixlog.txt i AdwCleaner.

.

rsnooz · 24 Kwietnia 2014

Dzięki za zainteresowanie i pomoc.

Wklejam logi po wykonaniu powyższych czynności. Pod względem szybkości działania systemu jest trochę lepiej, ale to jeszcze nie to co było. Dziwnie zachowują się połączenia sieciowe. Tzn. po uruchomieniu systemu, zajmuję jakieś 2 minuty aby połączyć się do sieci. Pozdrawiam.