Zużycie procesora 100%

[ficias]

Witam,

 

Brat ma problem z laptopem, a że sam nie ma czasu się tym zająć podrzucił go mi. Problem polega na tym, że zużycie procesora w menedżerze urządzeń cały czas jest 100% i w zasadzie nie da się pracować na tym sprzęcie. Do niedawna wszystko było w porządku, a brat nic nie instalował więc zachodzi podejrzenie jakiejś infekcji (ewentualnie awarii czegoś).

 

W związku z tym, że nie używałem tego laptopa na co dzień nie mogę zagwarantować, że nie wyskoczył żaden komunikat. Brat twierdzi, że nie, ale mógł coś przeoczyć.

Niestety jest jeszcze jedno "ale" - zanim dał mi tego laptopa do zrobienia, użył na własną rękę ComboFix, którego log również zamieszczam. Po tym nadal jest problem z zużyciem procesora i nic to nie pomogło.

 

Gdyby potrzebne były jakieś dodatkowe informacje, to proszę pisać. Poniżej zamieszczam również log z Security Check. Pozostałe umieściłem w załącznikach.

 

 

 

Results of screen317's Security Check version 0.99.28

Windows XP Service Pack 3 x86

Internet Explorer 8

``````````````````````````````

Antivirus/Firewall Check:

Microsoft Security Essentials

```````````````````````````````

Anti-malware/Other Utilities Check:

Spybot - Search & Destroy

Java™ 6 Update 29

Java™ 6 Update 3

Java 2 Runtime Environment Standard Edition v1.3.1_11

Java version out of date!

Adobe Flash Player ( 10.0.32.18) Flash Player out of Date!

````````````````````````````````

Process Check:

objlist.exe by Laurent

Windows Defender MSMpEng.exe

Microsoft Security Essentials msseces.exe

Microsoft Security Client Antimalware MsMpEng.exe

``````````End of Log````````````

 

.

OTL.Txt

Extras.Txt

GMERlog.txt

checkup.txt

ComboFix.txt

[picasso]

Nie notuję tu żadnych znaków infekcji. Do poprawki widzę tylko puste bądź z błędami wpisy i wybrakowany łańcuch Winsock:

 

O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - %SystemRoot%\system32\wshbth.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - %SystemRoot%\system32\wshbth.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - %SystemRoot%\system32\wshbth.dll File not found

 

Drobna korekta. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
netsh winsock reset /C
 
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Need2FindBar Uninstall]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Yahoo! Toolbar]
 
:OTL
O4 - HKLM..\Run: [Anti Trojan Elite] C:\Program Files\Anti Trojan Elite\TJEnder.exe :NO File not found
O3 - HKLM\..\Toolbar: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll File not found
O3 - HKU\S-1-5-21-2902433401-553749132-977211287-1006\..\Toolbar\ShellBrowser: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - No CLSID value found.
O3 - HKU\S-1-5-21-2902433401-553749132-977211287-1006\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKU\S-1-5-21-2902433401-553749132-977211287-1006\..\Toolbar\WebBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKU\S-1-5-21-2902433401-553749132-977211287-1006\..\Toolbar\WebBrowser: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll File not found
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} "http://toolbar1.google.com/data/pl/big/1.1.62-big/GoogleNav.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0013-0001-0011-ABCDEFFEDCBA} "http://java.sun.com/products/plugin/autodl/jinstall-1_3_1_11-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0003-ABCDEFFEDCBA} "http://java.sun.com/update/1.5.0/jinstall-1_5_0_03-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab" (Reg Error: Key error.)
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt.

 

 

Problem polega na tym, że zużycie procesora w menedżerze urządzeń cały czas jest 100% i w zasadzie nie da się pracować na tym sprzęcie.

 

Ale na jakim procesie? Mimo, że mowa o tym, iż brat "nic nie instalował" = kiedy został zainstalowany antywirus Microsoft Security Essentials? Już w trakcie diagnostyki?

 

Wstępnie: sprawdź czy efekt występuje na tzw. czystym rozruchu: KB331796.

 

 

 

.

[ficias]

Wykonałem skrypt i wygląda na to, że zużycie procesora uspokoiło się aczkolwiek zdarza się od czasu do czasu, że podskoczy do większych wartości (typu 80%). Zamieszczam log z użycia skryptu oraz z ponownego skanu OTL.

 

Problem dotyczy procesu CLI.exe (wg informacji w internecie związany on jest ze sterownikami ati). Zanim wykonałem skrypt podejrzałem procesy jak się zachowują i wyglądało to tak, że pojawiało się i znikało kilka procesów o tej nazwie np. były jednocześnie 3-4 procesy, które zajmowały cały procesor, potem jeden znikał i za chwilę pojawiał się znowu, potem kolejny znikał itd. Ogólnie to nawet nie zdążyłem zaznaczyć i zakończyć procesu, bo zaraz znikał i pojawiał się w innym miejscu.

Obecnie nadal są 2 procesy o nazwie CLI.exe.

 

Co do Microsoft Security Essentials, to chyba faktycznie pakiet został zainstalowany już w trakcie "diagnostyki" brata. Nie wiem tylko czy przed czy po ComboFix'ie. Jednak zanim zaczęły się problemy nie był instalowany jakiś program, sterownik itp., żeby można go było podejrzewać jako źródło problemów, dlatego pomyślałem o jakiejś infekcji.

otl_po_skrypcie.txt

OTL.Txt

Extras.Txt

[picasso]

Temat przemieszczam do działu Windows XP.

 

 

Problem dotyczy procesu CLI.exe (wg informacji w internecie związany on jest ze sterownikami ati). Zanim wykonałem skrypt podejrzałem procesy jak się zachowują i wyglądało to tak, że pojawiało się i znikało kilka procesów o tej nazwie np. były jednocześnie 3-4 procesy, które zajmowały cały procesor, potem jeden znikał i za chwilę pojawiał się znowu, potem kolejny znikał itd. Ogólnie to nawet nie zdążyłem zaznaczyć i zakończyć procesu, bo zaraz znikał i pojawiał się w innym miejscu.

Obecnie nadal są 2 procesy o nazwie CLI.exe.

 

Sterowniki ATI to są tu mocno sfatygowane:

 

========== Processes (SafeList) ==========
 
PRC - [2005-08-12 14:43:58 | 000,045,056 | ---- | M] (ATI Technologies Inc.) -- C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
 
========== Driver Services (SafeList) ==========
 
DRV - [2005-12-11 07:40:44 | 001,414,656 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)

 

Rozglądnij się za aktualizacją, a gdy do tego ewentualnie dojdzie, po deinstalacji w Trybie awaryjnym doczyść za pomocą Driver Sweeper (jeśli instalator programu poda jakieś "oferty", ominąć instalację badziewia).

 

 

Wykonałem skrypt i wygląda na to, że zużycie procesora uspokoiło się aczkolwiek zdarza się od czasu do czasu, że podskoczy do większych wartości (typu 80%).

 

To ciekawe, że skrypt miał jakikolwiek wpływ, ten scenariusz nie był tu przewidziany . Jedyne co mogę tu względnie logicznie powiązać, to ten uszczerbiony Winsock, może coś próbowało to odczytywać, hmmm...

 

Dodatkowo:

 

1. Należy w prawidłowy sposób odinstalować ComboFix. W Start > Uruchom > wklej komendę:

 

"C:\Documents and Settings\centrino\Pulpit\ComboFix.exe" /uninstall

 

Po tym możesz zastosować Sprzątanie w OTL.

 

2. Wyłączenie ze startu kilku zbędnych procesów, np. przy udziale Autoruns (karta Logon):

 

O4 - HKLM..\Run: [iMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe ()
O4 - HKLM..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe (Nokia)
O4 - HKLM..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation)
O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe (Adobe Systems Incorporated)

 

3. Aktualizacja oprogramowania:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java™ 6 Update 29
"{3248F0A8-6813-11D6-A77B-00B0D0150030}" = J2SE Runtime Environment 5.0 Update 3
"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java™ 6 Update 3
"{68249B71-B714-11D7-88E8-0050DA21757E}" = Java 2 Runtime Environment Standard Edition v1.3.1_11
"{AC76BA86-7AD7-1033-7B44-A70000000000}" = Adobe Reader 7.0
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Gadu-Gadu" = Gadu-Gadu 7.1
"LiveUpdate" = LiveUpdate 3.0 (Symantec Corporation)

 

- Szczegóły aktualizacyjne: INSTRUKCJE. Dla uwypuklenia: Te stare Java zmieć doszczętnie, a Flash jest w dwóch wersjach (IE + alternatywy).

- Deinstalacja lamusowatego Spybot Search & Destroy i szczątka po Symantec.

- Gadu to osobnik dedykowany artykułem Darmowe komunikatory. Po cóż męczyć się na staroci niezgodnej już nawet z własną siecią i obciążającej zasoby reklamami, skoro można przeskoczyć na bezreklamową alternatywę z obsługą protokołu GG10 (propozycje: WTW, Miranda).

 

4. Bezstratna zmiana systemu plików, aktualnie dysk chodzi w archaicznym zawodnym FAT:

 

Drive C: | 35,06 Gb Total Space | 14,07 Gb Free Space | 40,13% Space Free | Partition Type: FAT32
Drive D: | 35,55 Gb Total Space | 10,39 Gb Free Space | 29,23% Space Free | Partition Type: FAT32

 

Konwersja na NTFS bez utraty danych: Start > Uruchom > cmd i w linii komend wpisz polecenie convert X: /fs:ntfs, gdzie pod X podstawiasz literę partycji. Na pytanie o dezinstalację woluminu odpowiedz twierdząco.

 

5. Defragmentacja dysku (standardowa + BootTime) np. za pomocą darmowego Puran Defrag Free Edition. BootTime m.in. pod kątem "pokonwersyjnych" skutków, MFT najpewniej ulegnie fragmentacji. Jeśli nie zdecydujesz się na konwersję FAT > NTFS, defragmentacja obu rodzajów i tak pożądana.

 

 

 

.

[ficias]

Dziękuję za pomoc

 

Wczoraj włączyłem laptopa i problem ze zużyciem procesora powrócił - znowu 100% i kilka procesów CLI.exe pojawiających się i znikających, każdy zajmuje 0-40% (lub więcej czasem), wygląda to trochę jakby ktoś odpalił generator liczb losowych

 

Chciałem zastosować podane wyżej porady, żeby oczyścić system, a przede wszystkim przeinstalować sterowniki amd/ati. Początkowo miałem problem, żeby je znaleźć, bo na oficjalnej stronie nie mogłem wyszukać w ogóle modelu karty graficznej (ATI Mobility Radeon X1300). Na szczęście na stronie producenta laptopa są nadal sterowniki do tego modelu (ACER TravelMate 4082WLMi)

Jednak, zanim zacząłem zabawę coś mnie tknęło, żeby sprawdzić kondycję dysku i przeskanowałem go HDTune. Efekt jest taki, że chyba znalazłem winowajcę wszystkich problemów - stan dysku jest bardzo marny, ma dużo bad sectorów (ponad 200 realokowanych i dużo niestabilnych, które pewnie niedługo też będę realokowane).

 

W obecnej sytuacji chyba daruję sobie oczyszczanie tego systemu (tym bardziej, że komp tak zamula, że ciężko na nim cokolwiek robić) i biorę się za kopiowanie plików, żeby odzyskać jak najwięcej, bo stan dysku jest coraz gorszy (sektorów realokowanych przybywa). Wrzucę dysk do obudowy zewnętrznej eSata/USB, podłącze go do stacjonarnego komputera i zatrudnię Total Commandera do kopiowania (chyba, że ktoś ma lepszy pomysł).

 

EDIT: Jednak nie skorzystam z mojej obudowy, bo okazało się, że dysk jest jeszcze ata (44pin) więc muszę poszukać jakiejś przejściówki 44pin -> sata lub 44pin -> ata.

[3oo]

Zawsze możesz użyć jakiegoś LiveCD np. parted magic i z jego poziomu przekopiować dane (z laptopa) na podłączony dysk zewnętrzny USB.