Komp zamulony - logi

Witam , proszę o sprawdzenie logów, komputer zamulał od dłuższego czasu.

Tzn. jeszcze dziś rano był muł, a teraz po zrobieniu ComboFixa i wcześniejszych paru prób z innymi narzędziami jest zdecydowanie lepiej, ale wciąż źle.
Wyłączyłem też NOD`a bo wydaje mi się, że on też zamulał. Ale jeszcze nie odinstalowałem; chyba zamienię wersję NOD4 na 3.

Okna zamykanych programów zamykały się na raty przez kilka sekund, (jakby opuszczała się kurtyna);
programy wolno się otwierały (nawet kilka minut), praca wewnątrz programów - koszmar. FF też mulił.

Często w Menedżerze zadań proces Svchost miał nawet 80 000 K użycia pamięci.
WWDC sygnalizował, że Svchost za duży (już przy ok.20 000 K, itp) - sprawdź obecność wirusów.

System chyba czysty, sprawdzałem kilkoma programami, antimalware też.
Defragmentacja dysków zrobiona, wczoraj wykonałem też "sfc /scannow".

Ashampoo WinOptimizer, Odkurzacz, CCleaner, ATF, DiskMax, SLOW-PCfighter, Sreng2, ETRemover,
L2MRemover, Spyware Doctor, A-Squared... - też były w użyciu.



ETRemover http://wklej.org/id/384040/txt/

System Repair Engineer http://wklej.org/id/384043/txt/

ComboFix http://wklej.org/id/384045/txt/

OTL.TXT http://wklej.org/id/384047/txt/

OTL.EXTRA http://wklej.org/id/384048/txt/

GMER http://wklej.org/id/384050/txt/

HJThis http://wklej.org/id/384052/txt/


Jest zdecydowanie lepiej, ale wciąż źle i na pewno trzeba posprzątać po narzędziach, i może jakiś skrypt wykonać?
Proszę o instrukcje.

Nic tu więcej nie ma, tylko kosmetyka. Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL
O3 - HKU\S-1-5-21-2025429265-839522115-1708537768-1003\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found.
SRV - File not found [Disabled | Stopped] -- C:\Program Files\Common Files\Autodata Limited Shared\Service\ADCDLicSvc.exe -- (Autodata Limited License Service)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\user\USTAWI~1\Temp\esihdrv.sys -- (esihdrv)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\user\USTAWI~1\Temp\cpuz132\cpuz132_x32.sys -- (cpuz132)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\avfsfilter.sys -- (AVFSFilter)

:Files
C:\WINDOWS\tasks\Reimage Reminder.job

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt, później Sprzątanie

To tyle.

Skrypt i sprzątanie wykonane http://wklej.org/id/384066/txt/.
Dziękuję mati8898.

Ps.
Czy "Service Autodata Limited" to resztki z programu Autodata czy to z Windowsa?

Widziałem na innych wątkach, że w przypadku mulenia polecałeś:

Kod:

Wejdź w Menedżer Urządzeń -> Kontrolery IDE ATA/ATAPI -> Podstawowy kanał IDE -> Ustawienia zaawansowane -> Sprawdź, jak jest ustawiony Bieżący tryb transferu.  To samo robisz dla Pomocniczego kanału IDE.

U mnie to wygląda tak: http://yfrog.com/euscreenkanayidep
Może coś odinstalować, zmienić ustawienia?

Ps.
Czy "Service Autodata Limited" to resztki z programu Autodata czy to z Windowsa?

To resztki tego programu, dokładnie bezplikowa usługa.

Co do kanałów IDE, możesz odinstalować Pomocniczy restart kompa. Choć nie wiem, czy to coś w tym przypadku da, bo pewnie dotyczy on napędu CD/DVD.

Odinstalowałem, ale po restarcie samo wykryło napęd CD i zainstalowało kanał pomocniczy, tym razem jako DMA kanał 2. A było "tylko PIO".
Mam wrażenie, że szybkość kompa się poprawiła. Ale może to złudzenie, jutro zobaczymy, bo już wychodzę.

Zaobserwowałem w menedżerze zadań olbrzymią zasobożerność wuauclt.exe i svchost.exe.
Zaczęły szaleć obie (użycie pamięci ok. 50 000 K i ponad 100 000 K )i wszystko znów się zaczęło spowalniać jak na początku. Komp chodził jak mucha w smole. Zero reakcji na moje polecenia.
A WWDC wskazywał na obecność wira, bo za duże wartości miał Svchost.

Poszukałem http://forum.dobreprogramy.pl/zasobozernosc-wuauclt-exe-svchost-exe-t407861.html i znalazłem podpowiedź, żeby je wyłączyć. U kogoś problem pojawił się po którejś automatycznej aktualizacji XP, u mnie mogło być tak samo.

Kod:

W systemie Windows XP wuauclt.exe czyli aktualizacje automatyczne.
Aby wyłączyć aktualizacje automatyczne z konta admina wybieramy w menu START polecenie uruchom i w wierszu poleceń wpisujemy services.msc uruchomi się okno USŁUGI.
Wybieramy usługę AKTUALIZACJE AUTOMATYCZNE i z prawokliku wybieramy Wszystkie zadania, w menu rozwijalnym wybieramy ZATRZYMAJ.
Z prawokliku wybieramy w menu rozwijalnym WŁAŚCIWOŚCI, w linii poleceń Typ uruchamiania wybieramy w menu rozwijalnym WYŁĄCZONY.
Aktualizacje można pobrać ręcznie ze strony Microsoftu. Jeśli zdarzyły by się problemy z zainstalowaniem aktualizacji polecenie WYŁĄCZONY należy zastąpić poleceniem RĘCZNY w linii poleceń Typ uruchamiania.

Więc przestawiłem aktualizacje automatyczne na Tryb ręczny. Na razie jest dobrze, nawet Eset nie przeszkadza. Więc to chyba było to podstawową przyczyną spowolnienia. Będę obserwował.

Ostatnio edytowany przez marcos_777 02 Wrz 2010, 12:23, edytowano w sumie 2 razy

A WWDC wskazywał na obecność wira, bo za duże wartości miał Svchost.

Tym się akurat nie należy sugerować.

Co do reszty, jeśli wyłączyłeś aktualizacje to te procesy powinny się "uspokoić".

Usługę ustawiłem na Ręczne, ale zapomniałem ją Zatrzymać. Więc po restarcie kompa znów pracowała. Komp mulił i słychać było szaloną, głośną pracę dysku. Musiałem Zatrzymać proces w M.Zadań.

Po Zatrzymaniu Aktualizacji w services.msc już jest wszystko Ok.

Wklejam poglądowego screena Menedżer zadań + "tasklist /svc" http://yfrog.com/3tscreentasklistsvcp .
Może coś pomoże w diagnozie.

Ostatnio edytowany przez marcos_777, 02 Wrz 2010, 12:56, edytowano w sumie 1 raz

Link do screena nie działa.

Zrób tak: prawoklik na Mój komputer Właściwości zakładka "Aktualizacje automatyczne" zaznacz "Wyłącz Aktualizacje automatyczne" Zastosuj.

Następnie w services.msc zmień typ uruchomienia usługi "Aktualizacje automatyczne" na Wyłączony.
I wtedy powinno być ok, usługa nie będzie się samoczynnie uruchamiać.

Ok. Już wyłączone definitywnie. Z usługą już jest Ok. Ale chodzi mi o inne powiązane procesy, kiedy komp szalał.
Link już poprawiony http://yfrog.com/3tscreentasklistsvcp.

Oprócz tego procesu wuauclt.exe, którego sprawa jest już załatwiona nie ma tu nic, co znacząco obciąża kompa.

Jeśli chcesz jeszcze trochę zoptymalizować system możesz wyłączyć zbędne usługi http://www.searchengines.pl/Services-Us ... t7723.html

Przy okazji usług wyczytałem u Picasso:

Kod:

TAJEMNICA svchost.exe WYJAŚNIONA

Jak widać z opisów usług JEDEN proces svchost.exe obsługuje SPORĄ liczbę usług. Stąd też po Alt-Ctrl-Del w Task Managerze widzimy multikopie tego procesu. Jest to zjawisko normalne! Pełna lista narzędzi, które obsługuje svchost.exe dostępna jest w kluczu:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost

Z tym że należy trzymać nad tym oko gdyż ta nazwa jest wyjątkowo lubiana przez wiry! Są różne trojany które z lubością się podstawiają pod tą nazwę lub też tworzą pliki o tej samej lub podobnej nazwie ale w innych lokalizacjach na dysku. Proszę uważać na:

1. Ilość - Plik svchost.exe powinien być tylko 1!

2. Lokalizację - Jedyną prawidłową jest: C:\WINDOWS\system32\svchost.exe. Pliki położone gdzie indziej np. C:\WINDOWS\svchost.exe to szkodniki!

3. Niuanse w nazwie - np. takie ledwo dostrzegalne kombinacje:

Scvhost.exe - plik wira
svchost.exe - plik systemowy

Svch0st.exe - plik wira
svchost.exe - plik systemowy

Svchosl.exe - plik wira
svchost.exe - plik systemowy


Kod:

Jedyną prawidłową lokalizacją jest: C:\WINDOWS\system32\svchost.exe. Pliki położone gdzie indziej np. C:\WINDOWS\svchost.exe to szkodniki!

A u mnie są w 4 lokalizacjach:

C:\Windows\ERDNT\cache\svchost.exe
C:\Windows\ServicePackFiles\i386\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\symbols\svchost.exe\48025BC06000\svchost.exe

Czy te 3 zbędne svchost.exe po prostu skasować, czy potraktujemy je jakimś skryptem?
Sprawdziłem, Virustotal uznał je wszystkie jako czyste.

Akurat co do svchost.exe, ta porada nie jest zbyt dobrze sprecyzowana, gdyż tak jak w Twoim przypadku te pliki w tych czterech lokalizacjach są jak najbardziej prawidłowe (są to m.in kopie tego pliku tworzone po instalacji Service Packa oraz pracy ComboFixa). W takim razie nie ruszamy ich.

Ok. Na razie komp chodzi super (przynajmniej w stosunku do stanu poprzedniego). Jak zauważę mulenie wrócę do tematu.
Co do wyłączania zbędnych usług - nie mam na razie czasu/możliwości ich analizować (komp jest w pracy, a mam teraz inne pilne prace);
czy jesteś w stanie - tak na szybko, widząc ich listę u mnie (zrobię jutro), wskazać te, które na pewno można i warto wyłączyć?

Thx mati8898.

Ja zazwyczaj wyłączam te:

Urządzenie alarmowe
Aktualizacje automatyczne
Usługa inteligentnego transferu w tle
ClipBook
Przeglądarka komputera
Usługa raportowania błędów
Pomoc i obsługa techniczna
Dostęp do urządzeń interfejsu HID
Usługi IPSEC
Posłaniec
Logowanie do sieci
NetMeeting Remote Desktop Sharing
DDE Sieci
DSDM DDE Sieci
Dziennik wydajności i alerty
QoS RSVP
Menedżer sesji pomocy pulpitu zdalnego
Rejestr zdalny
Routing i dostęp zdalny
Logowanie pomocnicze
Centrum zabezpieczeń
Serwer
Karta inteligentna
Pomocnik karty inteligentnej
Usługa odnajdowania SSDP
Pomocnik TCP/IP NetBIOS
Telnet
Zasilacz awaryjny
Host Uniwersalnego urządzenia Plug and Play
Menedżer przekazywania
WebClient
Usługa inteligentnego transferu w tle
Kopiowanie woluminów w tle

Jeśli nie łączysz się z Internetem bezprzewodowo możesz także wyłączyć tą usługę:

Konfiguracja zerowej sieci bezprzewodowej

Ze względu na to, że czasem niektóre usługi muszą być włączone (ze względu na zastosowanie komputera, konfigurację czy jakieś oprogramowanie) podałem wcześniej link do poradnika, w którym każda jest opisana przez co możesz zdecydować, czy dana usługa jest Ci potrzebna, czy nie.