Nienaturalnie wysokie użycie procesora


(Aya9) #1

Witam,

problem zaczął się wczoraj. Filmiki na stronach internetowych zaczęły "ciąć". Użycie procesora nienaturalnie wzrasta i waha się 30-50% przy włączonej Operze. Miałem już wcześniej tego typu problemy i zazwyczaj pomagał mi combofix, jednak tym razem mimo, że znalazł rootkit'a zero access tcp/ip stack i usunął jakiś pliczek, to nie pomogło. Po ponownym uruchomieniu combofix wciąż znajdował ten sam problem lecz niczego nie usuwał. Dostęp do internetu cały czas mam. Problemem są te skoki. Poniżej zamieszczam log z combofix'a i raport z OTL. Proszę o pomoc w tej sprawie. Byłbym też wdzięczny za rekomendację jakiegoś antywirusa na przyszłość, innego niż eset nod32, bo zdaje się, że zawiódł.

ComboFix 11-06-08.04 - Bolo 2011-06-09 10:07:57.3.2 - x86

Microsoft Windows XP Professional 5.1.2600.3.1250.48.1045.18.3070.2593 [GMT 1:00]

Uruchomiony z: c:\documents and settings\Bolo\Pulpit\ComboFix.exe

AV: ESET NOD32 Antivirus 4.2 *Disabled/Updated* {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}

 * Rezydentny antywirus jest aktywny

.

.

.

((((((((((((((((((((((((( Pliki utworzone od 2011-05-09 do 2011-06-09 )))))))))))))))))))))))))))))))

.

.

2011-06-08 22:58 . 2011-06-08 23:00	--------	d-----w-	C:\!KillBox

2011-06-07 22:04 . 2011-06-07 22:04	--------	d-----r-	C:\MSOCache

2011-06-07 17:22 . 2011-06-07 17:22	--------	d-----w-	C:\Intel

.

.

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

.

((((((((((((((((((((((((((((( SnapShot@2011-06-08_22.27.29 )))))))))))))))))))))))))))))))))))))))))

.

+ 2001-10-26 18:15 . 2011-06-08 23:05	49910 c:\windows\system32\perfc015.dat

- 2001-10-26 18:15 . 2011-06-08 22:17	49910 c:\windows\system32\perfc015.dat

+ 2001-08-17 23:30 . 2011-06-08 23:05	40326 c:\windows\system32\perfc009.dat

- 2001-08-17 23:30 . 2011-06-08 22:17	40326 c:\windows\system32\perfc009.dat

+ 2011-06-08 23:09 . 2011-05-29 08:11	39984 c:\windows\system32\drivers\mbamswissarmy.sys

+ 2011-06-08 23:09 . 2011-05-29 08:11	22712 c:\windows\system32\drivers\mbam.sys

+ 2001-10-26 18:15 . 2011-06-08 23:05	356068 c:\windows\system32\perfh015.dat

- 2001-10-26 18:15 . 2011-06-08 22:17	356068 c:\windows\system32\perfh015.dat

+ 2001-08-17 23:30 . 2011-06-08 23:05	311938 c:\windows\system32\perfh009.dat

- 2001-08-17 23:30 . 2011-06-08 22:17	311938 c:\windows\system32\perfh009.dat

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane  

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2009-10-30 369200]

"uTorrent"="f:\utorrent\uTorrent.exe" [2011-06-08 399736]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IntelZeroConfig"="c:\program files\Intel\Wireless\bin\ZCfgSvc.exe" [2007-10-08 995328]

"IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2007-10-08 1101824]

"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2010-03-29 2145000]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2011-01-07 111208]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2011-01-07 13880424]

"NVHotkey"="nvHotkey.dll" [2011-01-07 178792]

"nwiz"="c:\program files\NVIDIA Corporation\nView\nwiz.exe" [2010-11-04 1753192]

"SigmatelSysTrayApp"="c:\program files\SigmaTel\C-Major Audio\WDM\stsystra.exe" [2007-05-10 405504]

"EVGAPrecision"="c:\program files\EVGA Precision\EVGAPrecision.exe" [2011-01-17 355432]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-10-26 1024000]

"OEM02Mon.exe"="c:\windows\OEM02Mon.exe" [2007-05-10 36864]

"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-05-29 449584]

"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2011-05-29 1047656]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-05-29 449584]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

c:\documents and settings\All Users\Menu Start\Programy\Autostart\

BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-5-17 568176]

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Opera\\opera.exe"=

"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager

"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager

"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"f:\\uTorrent\\uTorrent.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

.

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [2011-06-07 691696]

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [2010-03-29 114984]

R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2010-03-29 95872]

R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [2010-03-29 810120]

R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2011-06-09 366640]

R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2011-06-09 22712]

R3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\drivers\wdcsam.sys [2011-06-07 11520]

S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2011-06-09 39984]

.

.

------- Skan uzupełniający -------

.

IE: Wyślij do urządzenia &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

TCP: DhcpNameServer = 192.168.0.1

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2011-06-09 10:10

Windows 5.1.2600 Dodatek Service Pack 3 NTFS

.

skanowanie ukrytych procesów ...  

.

skanowanie ukrytych wpisów autostartu ... 

.

skanowanie ukrytych plików ...  

.

skanowanie pomyślnie ukończone

ukryte pliki: 0

.

**************************************************************************

.

--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------

.

[HKEY_LOCAL_MACHINE\software\ESET\ESET Security\CurrentVersion\Info]

@Denied: (2) (LocalSystem)

"AppDataDir"="c:\\Documents and Settings\\All Users\\Dane aplikacji\\ESET\\ESET NOD32 Antivirus\\"

"DataDir"="ESET\\ESET NOD32 Antivirus\\"

"EditionName"=" "

"InstallDir"="c:\\Program Files\\ESET\\ESET NOD32 Antivirus\\"

"LanguageId"=dword:00000409

"PackageTag"=dword:6090e758

"ProductBase"=dword:00000000

"ProductCode"="{B91B4988-2671-4C7A-9B84-5FE9E38EDDE0}"

"ProductName"="ESET NOD32 Antivirus"

"ProductType"="eav"

"ProductVersion"="4.2.42.0"

"UniqueId"="0039D6B34DEE123D"

"ScannerBuild"=dword:000024a9

"ScannerVersionId"=dword:0000182a

"ScannerVersion"="Locked/open ESET for status."

"FixId"=dword:00000007

.

--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

.

- - - - - - - > 'winlogon.exe'(1020)

c:\windows\system32\netprovcredman.dll

.

Czas ukończenia: 2011-06-09 10:11:46

ComboFix-quarantined-files.txt 2011-06-09 09:11

ComboFix2.txt 2011-06-08 22:43

ComboFix3.txt 2011-06-08 22:28

.

Przed: 27 056 365 568 bajtów wolnych

Po: 27 054 231 552 bajtów wolnych

.

- - End Of File - - D2B9460065B86AF86F499CD55E820894

http://www.wklej.org/id/543571/

http://www.wklej.org/id/543573/


(R Januszek) #2

Panie "Bolo" sprawa jest taka powinienes miec sp.2 (mniejsze uzycie ram)

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL

IE - HKU\S-1-5-21-1960408961-1364589140-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.googlle.com/

:Commands

[emptytemp]

Kliknij Wykonaj skrypt..Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Log z OTL jest nieprawidłowo skonfigurowany na "Wszystko" a nie "Użyj filtrowania"

Pokaż nowy log OTL.txt oraz raport z usuwania.

Teraz tak : http://www.programosy.pl/program,dr-web-cureit.html

I tak : Start > Uruchom > msconfig > zakładka uruchamianie i odznaczasz programy których nie chcesz aby się włączały przy starcie Windowsa

CCleaner to drugie imie twego kompa :stuck_out_tongue:

Defragmentacja dysku jakimś programem polecam SmartDefrag

Napisz jak to wszystko wyszło jak to samo to pisz ....


(Aya9) #3

Wiesz, ale to jest świeża instalka windowsa xp na nowym kompie. Dosłownie dzień po zaczęły się te problemy. Nie chodzi mi o te skoki nawet procka, co te skoki filmików flash i bardzo wolny net. Dla pewności zrobiłem dual boot wczoraj w nocy i zainstalowałem win 7, i tu nie ma problemów, nic nie zwalnia, nic się nie zacina, net śmiga. Defragmentacja i ccleaner pomogły by może gdybym miał ten komp od jakiegoś czasu, ale te dyski były puste jeszcze niecałe 3 dni temu, a win xp jest świeży... Swoją drogą ten rootkit w combofix nie pokazałby się bez przyczyny. Pisałem na forum bleepingcomputer i powiedzieli mi, że mam coś naprawdę przegiętego, umieściłem jednak post w złym dziale, co później zmieniłem, jednak jeszcze nikt się nie odezwał, mają tam niezły nawał swoją drogą. Także nie wiem, czy powinienem zastosować się do Twoich rad (za które tak czy tak dziękuję) bo miałem już xp na gorszym kompie bez defragmentowania i ccleaner'a i śmigał ok.


(R Januszek) #4

Ok ale logi z otl wskazuja na cos innego może niepoprawnie wgrał się windows :stuck_out_tongue: Często to sie zdarza a w szczegulności w pirackim oprogramowaniu którego zwolennikiem nie jestem i nie popieram piractwa !!


(Aya9) #5

Liczyłem przeczytać coś w stylu: "walka do końca, nie format". Zaskoczę Cię, bo mam oryginalnego Windows'a XP SP3 i Vistę. Mam też naklejkę z serialem na Windows 7. Wgrałem pirata, bo słyszałem, że trzeba bawić się w jakieś aktywacje przez telefon przy kolejnej instalacji na ten sam klucz. Ale może wgram tego oryginała i zobaczę co się będzie działo. Tylko, że mam teraz dual boot. Jak zrobię format C to pójdzie bootsector i pozbędę się też zdrowej siódemki z drugiej partycji. Jest na to jakiś sposób?