Osłomania > Problem - explorer.exe

Pomoc - Szukaj - Użytkownicy - Kalendarz

Osłomania > IT, Multimedia, Home Entertainment, Komunikacja > Systemy Operacyjne > Windows 9X / NT / W2K / XP

gulon

08.07.04 - 19:26

Niedawno instalowałem system
Problem jest taki. Po połączeniu z netem zużycie procesu explorer.exe zaczyna skakać do prawie 100%. Tzn. tak mniej więcej 2 sekundy normalnie i 2 prawie max. Zeskanowanie CwsSchreder nic nie dało. Antywirus to samo. Nigdy nie miałem żadnych problemów z wirusami, trojanami czy innym świństwem, więc praktykę w tym temacie mam zerową. Tyle co zdążyłem przeszukać sieć, się dowiedziałem, że to na pewno jakieś świństwo, ale jednoznacznej odpowiedzi nie znalazłem. Wkleję logi z Hijack:

Przed połączeniem:

KOD

Logfile of HijackThis v1.97.7
Scan saved at 20:13:14, on 2004-07-08
Platform: Unknown Windows (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 (6.00.3790.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
D:\INSTALACJA\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://shdoclc.dll/hardAdmin.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [cFosDNT] C:\Program Files\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [nod32kui] C:\Program Files\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)

I po połączeniu:

KOD

Logfile of HijackThis v1.97.7
Scan saved at 20:14:14, on 2004-07-08
Platform: Unknown Windows (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 (6.00.3790.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
D:\INSTALACJA\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://shdoclc.dll/hardAdmin.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [cFosDNT] C:\Program Files\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [nod32kui] C:\Program Files\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{54319C68-0D3E-4F47-9CD5-96DD6F32AC08}: NameServer = 194.204.152.34 217.98.63.164
O17 - HKLM\System\CS1\Services\Tcpip\..\{54319C68-0D3E-4F47-9CD5-96DD6F32AC08}: NameServer = 194.204.152.34 217.98.63.164

Zastanawiają mnie te 2 ostatnie wpisy, ale po próbie ich usunięcia w HighJack powracają po restarcie.
System to win2003pl. IE w ogóle nie używam. Poprawki zainstalowane to te na blaster i sasser.

I_O

08.07.04 - 19:51

KOD

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://shdoclc.dll/hardAdmin.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Nie jestem do konca pewien, ale czesc powyzszych wpisow mocno mi sie nie podoba. Wywalic mozesz je w kazdym razie bez obaw

gulon

08.07.04 - 20:05

Wywaliłem. Wywaliłem też te 2 ostatnie podejrzane, ale po restarcie powróciły. Log teraz wygląda tak:

KOD

Logfile of HijackThis v1.97.7
Scan saved at 21:02:39, on 2004-07-08
Platform: Unknown Windows (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 (6.00.3790.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
D:\INSTALACJA\HijackThis.exe

O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [cFosDNT] C:\Program Files\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [nod32kui] C:\Program Files\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{54319C68-0D3E-4F47-9CD5-96DD6F32AC08}: NameServer = 194.204.152.34 217.98.63.164
O17 - HKLM\System\CS1\Services\Tcpip\..\{54319C68-0D3E-4F47-9CD5-96DD6F32AC08}: NameServer = 194.204.152.34 217.98.63.164

Coś z tymi 2 ostatnimi chyba. Tylko jak wywalić je żeby nie wracały?

WoocashACN

08.07.04 - 20:08

czy te dwa ostatnie pokrywają się z Twoimi DNS'ami ?

zobacz w

KOD

ipconfig /all

I_O

08.07.04 - 20:16

KOD

inetnum: 217.98.63.0 - 217.98.63.255
netname: TP-INTERNET-WARSZAWA
descr: TP Internet
descr: Autoryzowany dostep komutowany
descr: Warszawa
country: PL

KOD

inetnum: 194.204.152.0 - 194.204.152.255
netname: TPNET-CST-WARSZAWA
descr: Commercial IP network of Polish Telecom
country: PL

Te wpisy wydaja sie byc OK, ale faktycznie mozesz na wszelki wypadek sprawdzic jakie sa oficjalne adresy DNS u ciebie..

gulon

08.07.04 - 20:19

CYTAT(Woocash[ACN)

,08.07.2004 - 21:08] czy te dwa ostatnie pokrywają się z Twoimi DNS'ami ?

Tak. Te same adresy.

Eyeore

08.07.04 - 20:39

Teraz już masz wszystko w porżadku w windowsie...Przeinstaluj tego firewalla, i pewnie wszystko będzie dobrze.

gulon

08.07.04 - 20:53

Przeinstalowałem i to samo... no nic chyba pozostała mi jedyna skuteczna metoda, bo tak zostac nie może...

No dobra. Dzięki za pomoc, znikam na 2 godzinki.

Na szczęście system był świeży

I_O

08.07.04 - 22:09

Au, szkoda...
Chetnie bym sie dowiedzial co tam w bitach piszczalo

Tia, niezbadane sa powody BSOD-a w Windowsie, mowi sie trudno..

gulon

08.07.04 - 22:41

No już po problemie

System świeżutki...

gulon

31.07.04 - 11:55

Problem powrócił. Najprawdopodobniej jest to wina jakiejś aktualizacji (następnym razem będę robił je po kolei i sprawdzał) ale teraz nie chce już mi się dochodzić...
Jakby ktoś miał ten sam problem, to doraźnym rozwiązaniem jest po pierwszym połączeniu z netem zakończenie procesu explorer.exe i go ponowne uruchomienie - wtedy wszystko normalnie. Na szczęście restart robię raz na tydzień, dwa...

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.