Spowolnienie systemu

[kostek]

Witam,

 

mam następujący problem: po uruchomieniu systemu mam bardzo wysokie użycie procesora. Menedżer zadań wskazuje, że jeden z procesów svchost.exe wykorzystuje blisko 100% możliwości procesora. Zwykle po kilku minutach objawy ustają, ale nie na długo... przez cały okres korzystania z komputera przypadłość co jakiś czas powraca.

 

Do posta załączam logi z najnowszych wersji OTL-a, DDS oraz Combofix.

 

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

 

Fakty:

- problem pojawił się w ciągu ostatnich kilku dni

- w momencie pojawienia się problemu na komputerze zainstalowany był Norton internet Security 2011, jednak w momencie wykonywania skanów, których wynikiem są załączone logi, został on usunięty oraz zainstalowano Kaspersky Internet Security 2010 (zapewne widać w logach)

- przeskanowałem system programem Malwarebytes' Anti-Malware i wykazał jeden plik, który został niezwłocznie usunięty

- na komputerze niegdyś był instalowany Daemon Tools Lite, jednak wszelkie pozostałości związane z emulacją napędów zostały usunięte

- mój system to Windows 7 Ultimate

- system został przeskanowany Nortonem Internet Security 2011, wszelkie zagrożenia zostały wyeliminowane

- w menedżerze urządzeń jest jedno urządzenie niewykryte (nieznane urządzenie), jednak wszelkie podjęte próby jego zidentyfikowania nie powiodły się

- niegdyś zainstalowany został Family Keylogger, ale usunięty został doszczętnie

- na komputerze instalowany był program z cyklu "Hide IP", ale nie ma po nim śladu

- wszelkie programy usuwane były programem Your Uninstaller 7.0.2010.13

- nie zauważyłem na komputerze uruchomionych podejrzanych usług

- autostart też OK

 

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

 

Wszelkie próby naprawy w/w problemu legły w gruzach.

 

Proszę o pomoc :-)

OTL.Txt

Extras.Txt

DDS.txt

ComboFix.txt

[Landuss]

Nie ma tutaj zbyt wiele, na usuwanie szczątki po HideIP, Ask Toolbar i infekcji Windows Defender Apps Control. Nie wykonałeś jednak loga z GMER pod kątem rootkitów więc to uzupełnij.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
$RECYCLE.BIN /alldrives
C:\Program Files\Ask.com
C:\Users\XxXxX\AppData\Roaming\HideIPEasy
C:\ProgramData\HideIPEasy
C:\Program Files\HideIPEasy
c:\program files\My applications
 
:Services
vista
eamonm
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Powstanie log, który zachowaj w celu zaprezentowania.

 

2. Uruchom ponownie OTL i w oknie Własne opcje skanowania/Skrypt wklej:

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

 

Kliknij w Skanuj (nie w Wykonaj skrypt).

 

3. Prezentujesz nowe logi z OTL, log z usuwania i log z Gmer.

 

 

 

[kostek]

1) wykonałem pierwszy skrypt z OTL-a. Log w załączniku (new_otl_log)

2) wykonałem skan GMER (gmer)

3) wykonałem ten skan gałęzi rejestru (otl_rejestr)

new_otl_log.txt

gmer.txt

otl_rejestr.txt

[picasso]

mam następujący problem: po uruchomieniu systemu mam bardzo wysokie użycie procesora. Menedżer zadań wskazuje, że jeden z procesów svchost.exe wykorzystuje blisko 100% możliwości procesora. Zwykle po kilku minutach objawy ustają, ale nie na długo... przez cały okres korzystania z komputera przypadłość co jakiś czas powraca.

 

Za mało danych. Wystąpień svchost.exe jest wiele, a rozróżnia je grupa podmontowanych nań usług. Gdy wystąpi ów problem ponownie, w Menedżerze zadań podświetl ten wadliwy svchost.exe i wybierz opcję kontekstową "Przejdź do usług". Przepisz wszystkie usługi, które zostaną automatycznie podświetlone dla tego pliku svchost.exe.

 

 

- w menedżerze urządzeń jest jedno urządzenie niewykryte (nieznane urządzenie), jednak wszelkie podjęte próby jego zidentyfikowania nie powiodły się

 

Pierwsze pytanie: czy po przeprowadzeniu wyżej podanych operacji (skrypt uwzględniał dwie usługi o charakterze sterownikowym) nadal widzisz to urządzenie? Drugie pytanie: jeśli tak, to czy po prostu zwyczajna deinstalacja + restart potrafi usunąć to coś w sposób permanentny?

 

 

---

Pozostałością infekcji jest przekierowanie folderu powłoki Autostart:

 

========== Custom Scans ==========
 
"Startup" = C:\Program Files\My applications

Są tu jeszcze do korekty drobnostki w konfiguracji przeglądarek po śmieciu made in Facebook oraz mikro szczątek paska narzędziowego Symantec.

 

IE - HKU\S-1-5-21-2091594752-2284216975-2041109325-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.facemoods.com/?a=ddr"
FF - prefs.js..keyword.URL: "http://start.facemoods.com/results.php?f=5&a=ddr&q=" 
O3 - HKU\S-1-5-21-2091594752-2284216975-2041109325-1000\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.

 

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]
"Startup"=hex(2):25,00,55,00,53,00,45,00,52,00,50,00,52,00,4f,00,46,00,49,00,\
  4c,00,45,00,25,00,5c,00,41,00,70,00,70,00,44,00,61,00,74,00,61,00,5c,00,52,\
  00,6f,00,61,00,6d,00,69,00,6e,00,67,00,5c,00,4d,00,69,00,63,00,72,00,6f,00,\
  73,00,6f,00,66,00,74,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,5c,\
  00,53,00,74,00,61,00,72,00,74,00,20,00,4d,00,65,00,6e,00,75,00,5c,00,50,00,\
  72,00,6f,00,67,00,72,00,61,00,6d,00,73,00,5c,00,53,00,74,00,61,00,72,00,74,\
  00,75,00,70,00,00,00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}"=-

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > z menu Plik wybierz opcję Importu i wskaż FIX.REG.

 

2. Wg prawdopodobieństwa folder infekcji został przywrócony (jako pusty). Konsekwencja braku spójności w równoczesnym usuwaniu elementów infekcji i uzgadnianiu rejestru. Przy restarcie system odczytuje całą konfigurację folderów powłoki i je odtwarza. Czyli po powyższej operacji zresetuj system, co w pełni zatwierdzi przekierowanie Autostart na właściwą ścieżkę. Następnie sprawdź czy na dysku jest (już zwolniony z użytku) folder C:\Program Files\My applications. Znaleziony skasuj, nie odtworzy się już.

 

3. W Firefox w pasku adresów wklep about:config, wyszukaj wartość keyword.URL i z prawokliku ją zresetuj do poziomu domyślnego.

 

4. Zaktualizuj Javę: INSTRUKCJE.

 

5. Na koniec posprzątaj po używanych narzędziach.

 

• Wywołaj komendę: C:\Users\XxXxX\Desktop\ComboFix.exe /uninstall, co ma w zamiarze prawidłowo usunąć z systemu ComboFix i zresetować foldery Przywracania systemu.
  
• W OTL użyj funkcję Sprzątanie. To z kolei usunie kwarantrannę OTL i ten program.
  

 

 

.

[kostek]

1) USŁUGI:

wuauserv (Windows Update)

Winmgmt (Instrumentacja zarządzania Windows)

Themes (Kompozycje)

ShellHWDetection (Wykrycie sprzętu powłoki)

SENS (Usługa powiadamiania o zdarzeniach systemowych)

seclogon (Logowanie pomocnicze)

Schedule (Harmonogram zadań)

RasMan (Menedżer połączeń usługi Dostęp zdalny)

ProfSvc (Usługa profilów użytkowników)

LanmanServer (Serwer)

iphlpsvc (Pomoc IP)

IKEEXT (Moduły obsługi kluczy IPsec IKE i AuthIP)

gpsvc (Klient zasad grupy)

EapHost (Protokół uwierzytelniania rozszerzonego (EAP))

Browser (Przeglądarka komputera)

 

PS. Co oznacza kolumna PID? Przy każdej w/w usłudze mam liczbę 1008. W innych mam inne liczby, ale powtarzające się co jakiś czas. Domyślam się, że to jakiś identyfikator procesu, który wykorzystuje te usługi. Jeśli nie ma nic w tej kolumnie usługa chyba jest wyłączona, bo nie wyobrażam sobie, żeby wszystkie te wymienione na liście działały jednocześnie.

 

2) Urządzenie nadal jest na liście... a po deinstalacji i restarcie powróciło

 

3) Rejestr zaimportowałem tak jak trzeba (swoją drogą denerwuje mnie ta opcja uruchamiania czegoś jako administrator, zwłaszcza jeśli jest się jedynym użytkownikiem komputera) zrestartowałem system. Folderu My Applications nie ma w katalogu Program Files, ale za to jest Malwarebytes' Anti-Malware (pusty), który właśnie usunąłem (pozostałość po deinstalacji programu).

 

4) Zresetowałem keyword.URL do poziomu domyślnego, ale widzę, że na końcu jeszcze jest taki zapis urlclassifier.keyupdatetime.https://sb-ssl.google.com/safebrowsing/newkey ustawiony na taką dziwną liczbę 1299447964. Zresetować to do poziomu domyślnego? Co to w ogóle jest?

 

5) Zaktualizowałem Javę

 

6) Odinstalowałem ComboFix oraz posprzątałem w OTL. Programów już nie ma

 

Na razie widzę ponowny skok svchost.exe do 100%. Po 3-ch minutach działania komputera opadło na jakieś 10 sekund i znowu...

 

PS. Poobserwowałem komputer w bezczynności... wygląda na to, że po 5 minutach spada użycie procesora do poziomu kilku procent, czasem skacze wyżej, ale nie tak bardzo. Tylko nie wiem, dlaczego przez ten okres 5 minut tak się dzieje... fakt, komputer ma zainstalowany Kaspersky Internet Security 2010, który może sprawdza czy są jakieś aktualizacje, ale nie robi update'a, bo jest już zaktualizowany. Prócz tego komputer usiłuje połączyć się z siecią wifi (jest to laptop) (nie udaje mu się, bo nie mam routera, a komputer należy do kogoś innego), może usiłuje też zidentyfikować to urządzenie, które nadal jest widoczne na liście w menedżerze urządzeń?

 

Poza tym wspomniany komputer jest laptopem: Acer Extensa 5220 i nie znalazłem do niego sterowników pod Windows 7. Co więcej, nie pamiętam, żeby to urządzenie było wcześniej widoczne na liście w menedżerze urządzeń...

[picasso]

Cóż, obawiałam się tego, zbyt dużo podejrzanych. Na duszę to w pierwszej kolejności przyciąga mój wzrok usługa Windows Update. Przetestuj to (działanie tylko tymczasowe w celu wyodrębnienia podejrzanych): Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Aministrator > dwuklik w tę usługę i Typ startowy ustaw na Wyłączona. Zresetuj komputer i podaj czy widzisz zmianę.

 

 

PS. Co oznacza kolumna PID? Przy każdej w/w usłudze mam liczbę 1008. W innych mam inne liczby, ale powtarzające się co jakiś czas. Domyślam się, że to jakiś identyfikator procesu, który wykorzystuje te usługi. Jeśli nie ma nic w tej kolumnie usługa chyba jest wyłączona, bo nie wyobrażam sobie, żeby wszystkie te wymienione na liście działały jednocześnie.

 

PID to sesyjny identyfikator procesu. Przy usługach będą powielenia tej liczby oznaczające, że usługa należy do tego wystąpienia procesu (który jest aktualnie czynny). Po restarcie liczby PID są przypisane od początku.

 

 

widzę, że na końcu jeszcze jest taki zapis urlclassifier.keyupdatetime.https://sb-ssl.google.com/safebrowsing/newkey ustawiony na taką dziwną liczbę 1299447964. Zresetować to do poziomu domyślnego? Co to w ogóle jest?

 

Wszystko w porządku. To wartość związana z wbudowanym modułem antiphishingowym KLIK.

 

 

Prócz tego komputer usiłuje połączyć się z siecią wifi (jest to laptop) (nie udaje mu się, bo nie mam routera, a komputer należy do kogoś innego), może usiłuje też zidentyfikować to urządzenie, które nadal jest widoczne na liście w menedżerze urządzeń?

 

Czy to oznacza, że komputer jest w Twoich rękach tymczasowo i sytuacje tu widziane mogą nie odpowiadać środowisku właściciela?

Nie rozumiem też tego zdarzenia z "usiłowaniem", w sensie dlaczego nie możesz wyłączyć połączenia bezprzewodowego na stałe?

 

 

Poza tym wspomniany komputer jest laptopem: Acer Extensa 5220 i nie znalazłem do niego sterowników pod Windows 7. Co więcej, nie pamiętam, żeby to urządzenie było wcześniej widoczne na liście w menedżerze urządzeń...

 

Na stronie producenta KLIK (Windows 7

 

 

.

[kostek]

1) Wyłączyłem usługę Windows Update... bez zmian...

 

2) Dzięki za informację o PID ...

 

3) ... jak i również za informację o wbudowanym module antiphishingowym w Firefox.

 

4)

Czy to oznacza, że komputer jest w Twoich rękach tymczasowo i sytuacje tu widziane mogą nie odpowiadać środowisku właściciela?

Nie rozumiem też tego zdarzenia z "usiłowaniem", w sensie dlaczego nie możesz wyłączyć połączenia bezprzewodowego na stałe?

 

Oznacza to, że szwagier przyniósł mi ten komputer i obiecał duże piwo, jeśli odkryję przyczynę obciążenia komputera Jeśli chodzi o wyłączenie połączenia na stałe, oczywiście tak zrobiłem zaraz po napisaniu tego posta (w trakcie pisania przyszedł mi do głowy pomysł, że może już zostało wszystko wyeliminowane i nagle okazać się mogło, że proces łączenia z siecią obciąża dodatkowo komputer).

 

5) Faktycznie, nie przyjrzałem się dokładnie laptopowi... ma wbudowany port podczerwieni. Byłem przekonany, że sterownik infrared jest do jakiejś innej konfiguracji. Oczywiście okazało się, że nieznane urządzenie tyczy się właśnie infrared. Do czytnika kart sterowniki są już od dawna zainstalowane (spróbuję jeszcze je przeinstalować na te ściągnięte z podanej przez Ciebie strony). Aha, czytnika linii papilarnych wspomniany laptop nie ma.

 

6) Wyrzuciłem (dla testu) Kaspersky Internet Security z autostartu. Pomyślałem, że może on jeszcze wbija gwóźdź do trumny w kwestii wydajności, tym bardziej, że laptop nie jest najnowszy, nie ma dwóch rdzeni, szybkiej pamięci RAM, dobrej karty graficznej oraz nie pierze, nie gotuje i nie sprząta.

 

Uruchomienie wygląda tak: po 2-ch minutach działania komputera użycie procesora nieznacznie spada na chwilkę, jednak już po 4-ch minutach spada niemalże całkowicie... Jedno jest pewne: coś się w tej kwestii ruszyło i widać poprawę. Jest to duża poprawa, ale czy na pewno aż 4 minuty musi ten komputer się uruchamiać, żeby można było z niego normalnie korzystać? Zaznaczam, że defragmentacja robiona jest cyklicznie, a w samym systemie znajdują się podstawowe programy typu odtwarzacz filmów, muzyki, Your Unistaller, Office, komunikator AQQ i 2 przeglądarki (oprócz IE). Na pewno svchost.exe jest cały czas winowajcą, bo sprawdzam za każdym razem, którego procesu spowolnienie komputera dotyczy.

[kostek]

Problem niestety powrócił, a właściciel komputera zabrał go do domu. Powiedział, że zrobi format c:, także temat jest do zamknięcia. Dziękuję Wam za odpowiedzi Jeśli problem powróci kiedyś po formacie, to dam znać jeśli sobie nie poradzę (przypuszczam, że powróci, bo format nie jest do końca skutecznym rozwiązaniem). A jeśli uda mi się takowy problem rozwiązać, na pewno gdzieś tu napiszę co było przyczyną, albo na PW.