Nienaturalnie wysokie użycie procesora

[travis_22]

Witam,
problem zaczął się wczoraj. Filmiki na stronach internetowych zaczęły "ciąć". Użycie procesora nienaturalnie wzrasta i waha się 30-50% przy włączonej Operze. Miałem już wcześniej tego typu problemy i zazwyczaj pomagał mi combofix, jednak tym razem mimo, że znalazł rootkit'a zero access tcp/ip stack i usunął jakiś pliczek, to nie pomogło. Po ponownym uruchomieniu combofix wciąż znajdował ten sam problem lecz niczego nie usuwał. Dostęp do internetu cały czas mam. Problemem są te skoki. Poniżej zamieszczam w kolejności log z Gmer'a i raport z OTL. Proszę o pomoc w tej sprawie. Byłbym też wdzięczny za rekomendację jakiegoś antywirusa na przyszłość, innego niż eset nod32, bo zdaje się, że zawiódł.

Kod: Zaznacz wszystko

GMER 1.0.15.15640 - http://www.gmer.net
Rootkit scan 2011-06-09 13:26:31
Windows 5.1.2600 Dodatek Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-f ST9160823ASG rev.3.ADE
Running: k7os7g15.exe; Driver: C:\DOCUME~1\Bolo\USTAWI~1\Temp\kwtdqpog.sys


---- Kernel code sections - GMER 1.0.15 ----

?               04513739.sys                                                                                       Nie można odnaleźć określonego pliku. !
?               sptd.sys                                                                                           Nie można odnaleźć określonego pliku. !
.text           C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                           section is writeable [0xB73053A0, 0x5FE082, 0xE8000020]
init            C:\WINDOWS\system32\Drivers\OEM02Afx.sys                                                           entry point in "init" section [0xB49C1310]
?               C:\WINDOWS\system32\drivers\mbam.sys                                                               Nie można odnaleźć określonego pliku. !
?               C:\WINDOWS\system32\Drivers\PROCEXP141.SYS                                                         Nie można odnaleźć określonego pliku. !

---- User code sections - GMER 1.0.15 ----

.text           C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe[572] kernel32.dll!SetUnhandledExceptionFilter  7C84495D 4 Bytes  [C2, 04, 00, 00]

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                             eamon.sys (Amon monitor/ESET)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                            SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                            SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                          epfwtdir.sys (ESET Antivirus Network Redirector/ESET)

---- EOF - GMER 1.0.15 ----


http://www.wklej.org/id/543571/

http://www.wklej.org/id/543573/

Net jeszcze mi się zaczął kaszanić - wolny jak diabli...

[wojtas]

prosze pokazać raport z Combo, nie używaj go na własną rękę ...

[travis_22]

Kod: Zaznacz wszystko

ComboFix 11-06-08.04 - Bolo 2011-06-09  10:07:57.3.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1250.48.1045.18.3070.2593 [GMT 1:00]
Uruchomiony z: c:\documents and settings\Bolo\Pulpit\ComboFix.exe
AV: ESET NOD32 Antivirus 4.2 *Disabled/Updated* {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
* Rezydentny antywirus jest aktywny
.
.
.
(((((((((((((((((((((((((   Pliki utworzone od 2011-05-09 do 2011-06-09  )))))))))))))))))))))))))))))))
.
.
2011-06-08 22:58 . 2011-06-08 23:00   --------   d-----w-   C:\!KillBox
2011-06-07 22:04 . 2011-06-07 22:04   --------   d-----r-   C:\MSOCache
2011-06-07 17:22 . 2011-06-07 17:22   --------   d-----w-   C:\Intel
.
.
.
((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
(((((((((((((((((((((((((((((   SnapShot@2011-06-08_22.27.29   )))))))))))))))))))))))))))))))))))))))))
.
+ 2001-10-26 18:15 . 2011-06-08 23:05   49910              c:\windows\system32\perfc015.dat
- 2001-10-26 18:15 . 2011-06-08 22:17   49910              c:\windows\system32\perfc015.dat
+ 2001-08-17 23:30 . 2011-06-08 23:05   40326              c:\windows\system32\perfc009.dat
- 2001-08-17 23:30 . 2011-06-08 22:17   40326              c:\windows\system32\perfc009.dat
+ 2011-06-08 23:09 . 2011-05-29 08:11   39984              c:\windows\system32\drivers\mbamswissarmy.sys
+ 2011-06-08 23:09 . 2011-05-29 08:11   22712              c:\windows\system32\drivers\mbam.sys
+ 2001-10-26 18:15 . 2011-06-08 23:05   356068              c:\windows\system32\perfh015.dat
- 2001-10-26 18:15 . 2011-06-08 22:17   356068              c:\windows\system32\perfh015.dat
+ 2001-08-17 23:30 . 2011-06-08 23:05   311938              c:\windows\system32\perfh009.dat
- 2001-08-17 23:30 . 2011-06-08 22:17   311938              c:\windows\system32\perfh009.dat
.
(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2009-10-30 369200]
"uTorrent"="f:\utorrent\uTorrent.exe" [2011-06-08 399736]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IntelZeroConfig"="c:\program files\Intel\Wireless\bin\ZCfgSvc.exe" [2007-10-08 995328]
"IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2007-10-08 1101824]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2010-03-29 2145000]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2011-01-07 111208]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2011-01-07 13880424]
"NVHotkey"="nvHotkey.dll" [2011-01-07 178792]
"nwiz"="c:\program files\NVIDIA Corporation\nView\nwiz.exe" [2010-11-04 1753192]
"SigmatelSysTrayApp"="c:\program files\SigmaTel\C-Major Audio\WDM\stsystra.exe" [2007-05-10 405504]
"EVGAPrecision"="c:\program files\EVGA Precision\EVGAPrecision.exe" [2011-01-17 355432]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-10-26 1024000]
"OEM02Mon.exe"="c:\windows\OEM02Mon.exe" [2007-05-10 36864]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-05-29 449584]
"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2011-05-29 1047656]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-05-29 449584]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\All Users\Menu Start\Programy\Autostart\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-5-17 568176]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Opera\\opera.exe"=
"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"f:\\uTorrent\\uTorrent.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
.
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [2011-06-07 691696]
R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [2010-03-29 114984]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2010-03-29 95872]
R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [2010-03-29 810120]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2011-06-09 366640]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2011-06-09 22712]
R3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\drivers\wdcsam.sys [2011-06-07 11520]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2011-06-09 39984]
.
.
------- Skan uzupełniający -------
.
IE: Wyślij do urządzenia &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
TCP: DhcpNameServer = 192.168.0.1
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-06-09 10:10
Windows 5.1.2600 Dodatek Service Pack 3 NTFS
.
skanowanie ukrytych procesów ... 
.
skanowanie ukrytych wpisów autostartu ...
.
skanowanie ukrytych plików ... 
.
skanowanie pomyślnie ukończone
ukryte pliki: 0
.
**************************************************************************
.
--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------
.
[HKEY_LOCAL_MACHINE\software\ESET\ESET Security\CurrentVersion\Info]
@Denied: (2) (LocalSystem)
"AppDataDir"="c:\\Documents and Settings\\All Users\\Dane aplikacji\\ESET\\ESET NOD32 Antivirus\\"
"DataDir"="ESET\\ESET NOD32 Antivirus\\"
"EditionName"=" "
"InstallDir"="c:\\Program Files\\ESET\\ESET NOD32 Antivirus\\"
"LanguageId"=dword:00000409
"PackageTag"=dword:6090e758
"ProductBase"=dword:00000000
"ProductCode"="{B91B4988-2671-4C7A-9B84-5FE9E38EDDE0}"
"ProductName"="ESET NOD32 Antivirus"
"ProductType"="eav"
"ProductVersion"="4.2.42.0"
"UniqueId"="0039D6B34DEE123D"
"ScannerBuild"=dword:000024a9
"ScannerVersionId"=dword:0000182a
"ScannerVersion"="Locked/open ESET for status."
"FixId"=dword:00000007
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
.
- - - - - - - > 'winlogon.exe'(1020)
c:\windows\system32\netprovcredman.dll
.
Czas ukończenia: 2011-06-09  10:11:46
ComboFix-quarantined-files.txt  2011-06-09 09:11
ComboFix2.txt  2011-06-08 22:43
ComboFix3.txt  2011-06-08 22:28
.
Przed: 27 056 365 568 bajtów wolnych
Po: 27 054 231 552 bajtów wolnych
.
- - End Of File - - D2B9460065B86AF86F499CD55E820894


[wojtas]

nic nie widać... nie masz raportu jak usunął "jakiś pliczek " ? jak nie to :


Uruchom OTL z opcji sprzątanie.
* wykonaj optymalizację Windowsa ( instrukcja dla Windowsa XP, lecz w innych systemach jest podobnie )
* zrób pełny skan Malwarebytes Anti-Malware (zaktualizuj, usuń co znajdzie )
* Skasuj stan przywracania systemu


Zaktualizuj zabezpieczenia:

>>> Java™ 6

[travis_22]

Wiesz, ale to jest świeża instalka windowsa xp na nowym kompie, ma nie całe trzy dni. Dosłownie dzień po zaczęły się te problemy. Nie chodzi mi o te skoki nawet procka, co te skoki filmików flash i bardzo wolny net, a chwilami jego kompletny zanik. Dla pewności zrobiłem dual boot wczoraj w nocy i zainstalowałem win 7, i tu nie ma problemów, nic nie zwalnia, nic się nie zacina, net śmiga. A na tym xp, nawet jak opera nie jest włączona procesy skaczą nawet do 13%. "Something out there waiting for us and it ain't no man" Tym malwarebytes skanowałem już wcześniej i nic nie znalazł. No zawaliłem z tym logiem combofixa, szkoda, że je nadpisuje. Plik był chyba w c:\windows\system32\ i nazwa zaczynała się od dużej litery A, choć to pewnie nieistotna informacja.

[wojtas]

ciężko powiedzieć , ale wirusów nie masz , tyle mogę oświadczyć...

do tego Combofix usuwa czasami prawidłowe pliki...
w kwarantannie C:\Qoobox powinna być nazwa pliku, zobaczymy co usunął.

[travis_22]

2011-06-10 14:52:04 . 2011-06-10 14:52:04 558 ----a-w- C:\Qoobox\Quarantine\Registry_backups\SafeBoot-79912285.sys.reg.dat
2011-06-08 22:26:37 . 2011-06-10 14:50:43 12,072 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2011-06-08 22:14:37 . 2011-06-10 14:48:39 510 ----a-w- C:\Qoobox\Quarantine\catchme.log
2011-06-07 11:31:19 . 2011-06-07 11:31:19 13,984 ----a-w- C:\Qoobox\Quarantine\C\WINDOWS\AegisP.inf.vir

[wojtas]

C:\Qoobox\Quarantine\C\WINDOWS\AegisP.inf.vir

skasuj koncówke .vir i wrzuć do C windows ..


ale nic po za tym nie ma

[travis_22]

Możesz napisać mi, co to spowoduje?

[wojtas]

odzyskasz plik który jest bodajże od internetu ( prawidłowy ) a Combo skasował ,

[travis_22]

Dzięki za Twoją pomoc. Jako jedyny z tak wielu for na których zgłosiłem ten problem, naprawdę starałeś się mi pomóc. Straciłem jednak cierpliwość i zrobiłem format. Wszystko jak narazie chodzi ok. Poleć mi jakbyś mógł jakiś dobry program antywirusowy. Pozdrawiam

[wojtas]

płatny : Nod32 , Kaspersky
darmowy : Avast 6 , Comodo Internet Security ( pakiet ) , Avira