OTL (raporty) - problem z usługą "System"


(Damian Muszkiet) #1

Witam,

Od kilku dni występuje problem z usługą "System". Podczas kopiowania, otwierania i zamykania aplikacji, to samo podczas przełączania pomiędzy już otwartymi oknami, podczas spoczynku, kiedy kursor się nie rusza usługa wykazuje 0% użycia, kiedy jednak już coś zacznę działać w systemie usługa "system" wskakuje na użycie 20~50 %. System działa kilka miesięcy i do tej pory nie było podobnych problemów.

Poniżej raporty z OTL:

OTL.txt

Extras.txt

Konfiguracja peceta:

Model : FUJITSU ESPRIMO P2550

Processor

Model : Intel® Core2 Duo CPU E7500 @ 2.93GHz

Speed : 3GHz

Computer

Mainboard : FUJITSU D2950-A1

BIOS : FUJITSU // Phoenix Technologies Ltd. 6.00 R1.05.2950.A1 10/02/2009

Bus(es) : X-Bus PCI PCIe IMB USB i2c/SMBus

Total Memory : 1.75GB DIMM DDR2

Chipset

Model : Fujitsu Siemens MCP73 Host Bridge

Front Side Bus Speed : 4x 267MHz (1GHz)

Total Memory : 2GB DIMM DDR2

Memory Bus Speed : 2x 400MHz (800MHz)

Memory Module(s)

Memory Module : Samsung M3 78T5663QZ3-CF7 2GB DIMM DDR2 PC2-6400U DDR2-800 (5-6-6-18 3-24-6-3)

Video System

Video Adapter : NVIDIA GeForce 7100 / NVIDIA nForce 630i (PS3.0, VS3.0, 256MB, Integrated Graphics)

Storage Devices

Hitachi HDT721032SLA360 (320GB, SATA300, 3.5", 7200rpm, 15MB Cache) : 298GB (C:) (D:)

Optiarc DVD RW AD-7230S (SATA150, DVD+-RW, CD-RW, 2MB Cache) : N/A (E:)

TMZKHIZ BOLQRODAV4 (SCSI, BD-R, HD-DVD-R, DVD+-R-DL, CD-R) : N/A (H:)

Operating System

Windows System : Microsoft Windows 7 Ultimate 6.01.7600

Platform Compliance : x86

Proszę o sprawdzenie logów, czy wina leży po stronie jakiegoś złośliwca czy może oprogramowania jakie mam, albo dotyczy to wady sprzętowej...?

Zniecierpliwiony sprawnością PeCegrata.

Opat


(jessica) #2

Dwa Rootkity + jakiś nieznany program.

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Zrób nowy log z OTL, ale oprócz normalnych ustawień, dodaj jeszcze jedno:

W pole Własne opcje skanowania/Scrypt wklej:

i dopiero wtedy kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania.

Sprawdź je na --> JOTTI/ albo na VIRUSTOTAL albo na VIRSCAN

jessi


(Damian Muszkiet) #3

Witam,

Po pierwsze dziękuję za szybką odpowiedź, a dalej wrzucam logi:

OTL.txt

LOG z usuwania

Jak to teraz wygląda?

Nie istnieje plik "win.exe" w systemie.

Co zaś tyczy się pliku "str.sys" czysty wg. Jotti i Virscan; virustotal jeszcze nie egzaminował takiego pliku i nie wypluł mi żadnej informacji.

Pozdrawiam,

Opat


(jessica) #4

Źle to wygląda: infekcja natychmiast po restarcie się odrodziła.

Powodem tego odrodzenia się jest powyższa wartość klucza Rejestru.

Musimy to najpierw zmienić:

Do Notatnika wklej:

Windows Registry Editor Version 5.00


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]

"Startup"=hex(2):25,00,55,00,53,00,45,00,52,00,50,00,52,00,4f,00,46,00,49,00,\

  4c,00,45,00,25,00,5c,00,41,00,70,00,70,00,44,00,61,00,74,00,61,00,5c,00,52,\

  00,6f,00,61,00,6d,00,69,00,6e,00,67,00,5c,00,4d,00,69,00,63,00,72,00,6f,00,\

  73,00,6f,00,66,00,74,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,5c,\

  00,53,00,74,00,61,00,72,00,74,00,20,00,4d,00,65,00,6e,00,75,00,5c,00,50,00,\

  72,00,6f,00,67,00,72,00,61,00,6d,00,73,00,5c,00,53,00,74,00,61,00,72,00,74,\

  00,75,00,70,00,00,00

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako > FIX.REG >> plik uruchom (dwuklik i OK). Potem: Uruchom OTL i w dolne białe pole wklej to:

:OTL

DRV - File not found [Kernel | On_Demand | Running] -- -- (cpuvis)

() (No name found) -- C:\USERS\DMUSZKIE\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\OWPE8EGR.DEFAULT\EXTENSIONS\{5C46D283-ABDE-4DCE-B83C-08881401921C}.XPI

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)

O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.

[2011-04-20 10:07:07 | 000,000,000 | ---D | C] -- C:\Program Files\My applications

[2011-04-18 10:49:50 | 000,121,133 | ---- | C] () -- C:\_OTL\MovedFiles\04202011_100240\C_Program Files\My applications\Windows Defender Apps Control.exe

[2011-04-18 10:49:50 | 000,016,374 | ---- | C] () -- C:\_OTL\MovedFiles\04202011_100240\C_Program Files\My applications\Windows Live Control.exe


:Commands

[emptyflash]

[emptytemp]

Kliknij w Wykonaj Script. Zapisz raport, który się pokaże.

Zrób nowy log z OTL, ale oprócz normalnych ustawień, dodaj jeszcze jedno:

W pole Własne opcje skanowania/Scrypt wklej:

i dopiero wtedy kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania.

Zainstaluj bezpieczniejszą wersję Javy >Java 6 Update 24 (JRE)

Starą wersję odinstaluj.

jessi


(Damian Muszkiet) #5

Witam ponownie,

Poniżej logi:

LOG z usuwania

OTL.txt

Jak teraz?

p.s. przeinstalowałem tez javę.

Serdecznie,

dM


(jessica) #6

Jest OK.

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

Usuń kopie szkodników z folderu "System Volume Information" poprzez chwilowe wyłączenie "Przywracania Systemu":

jessi


(Damian Muszkiet) #7

Dobrze wiedzieć, że już czysto co jednak nie pomogło usłudze "System".

Podczas pracy jak pisałem od kilku dni wciąż bez zmian, muzyka zacina, kursor tak samo, kopiowanie plików otwieranie aplikacji pozwala na dłuższy spacer - muli wciąż i wciąż...

Jakieś pomysły?

dM


(jessica) #8

Taka usługa w ogóle nie istnieje, a przynajmniej ja o takiej nie słyszałam.

Daj oba logi z >GMER

Choć najprawdopodobniej u Ciebie GMER nie będzie chciał działać, bo masz zainstalowany Daemon Tools (sterownik "sptd.sys").

jessi