Jak w temacie - mam 100% użycia procesora, wiatrak w lapku wyje jak oszalały, ale tylko do momentu uruchomienia taskmanagera (przez prawym na belkę -> Menadżer Zadań) - wtedy natychmiast spada do 2-3%. Wraca po kilku minutach od zamknięcia task managera. Na super user trafiłem na informację że może to być sprytniejsza koparka bitcoinów. Zrobiłem szybkie skany antywirem, ale nic nie znalazło. Pełen skan zbootowanym Kaspersky z Pen-Drive’a zarzuciło mi czasem rzędu kilkadziesiąt godzin (SDD 2 TB + HDD 2 TB, oba zajęte w 95%), więc pewnie zapuszczę jak będzie potrzeba, ale wolałbym tego uniknąć - przydałby się dostęp do kompa w tym czasie.
Telemetria wyłącza się z chwilą uruchomienia Task Managera? Bo inna aktywność komputera, np. odpalenie Unity albo Visual Studio nie przerywa tej operacji. Komputer wyje wentylatorami nawet jak jest (niezbyt) intensywnie używany (w sensie aktywnie dostaje inputa). Przestaje za każdym razem po otwarciu TMa, pokazując przez ułamek sekundy 100% a potem spadając do 2-3%
O, nowa ciekawostka - po restarcie GoG Galaxy się nie odpala, bo mówi że jest uruchomiony przez innego użytkownika. Plik Locka na dysku (C:\ProgramData\GOG.com\Galaxy\lock-files\GalaxyClient.exe.lock) zawiera PID, pod tym PIDem mam svchost.exe pod którym mam service TermService Usługi Pulpitu Zdalnego (zdaniem SysInternals).
Prawdopodobnie masz koparkę, która wykrywa uruchomienie taskmenagera - miałem już z tym styczność, ale niepokoi mnie plik “.lock”, bo to sugeruje, że możesz mieć cryptolockera, który właśnie zaczyna pustoszyć pliki.
Nie, to standardowe zachowanie GoGa na upewnienie się że jest jedna instancja na maszynie dla wszystkich zalogowanych użytkowników (z tego co wiem mutex systemowy tu nie wystarczy, w sensie jest unikalny per user). Więc tworzy taki plik .lock z PIDem (Process ID). To nie jest nic nietypowego - poza tym że PID powinien zawierać proces należący do mnie a nie do usługi sieciowej (mam GoGa w autostarcie, ale tym razem przed zalogowaniem upłynęła chwila czasu, w trakcie której robiłem sobie herbaty)…
Btw. jestem programistą - nie związanym z bezpieczeństwem ani antywirami, więc sam sobie na tym polu nie pomogę. Ale coś nie coś o Windowsie wiem
Jeżeli to koparka, to jest świadoma istnienia ProcessExplorer. Też zwalnia po jego otwarciu. Miga w okienku proces na czerwono, ale ta apka nie ma historii bufora… Co ciekawe zacząłem randomowo sprawdzać pliki bez podpisów cyfrowych w Virus Total aż natrafiłem na to:
Moim zdaniem to false positive, bo to część (legalnej, studenckiej wersji - kupnej) zabezpieczeń FumeFX, pluginu do 3ds maxa (też legalnego - z uczelni), aczkolwiek mnie zaintrygowało…
Podobny problem zaobserwowałem u siebie, ale wydaje mi się że winę ponosi strona gazeta.pl. Po zabiciu tego procesu wszystko działa bez nadmiernego obciążania procesora.
Uruchom RKill, przeskanuj system, może pojawić się czarny ekran przed zakończeniem skanowania. Zapisz plik wynikowy do późniejszego wglądu. Nie restartuj komputera po skończonym skanowaniu
Zamknij wszystkie aktywne programy i przeglądarki.
Zainstaluj MBAM, zaznacz na końcu, aby uruchomił się po zakończeniu instalacji.
Po uruchomieniu rozpocznij skanowanie, po przeskanowaniu oczyść to co znajdzie, zapisz plik wynikowy na później, wyłącz MBAM. Nie restartuj komputera po skończonym skanowaniu
Uruchom ADWCleaner, przeskanuj i usuń to co wykryje. Teraz na żądanie programu możesz uruchomić ponownie komputer
Po restarcie pojawi się plik wynikowy, zapisz go na później.
Teraz możesz umieścić wszystkie pliki wynikowe do wglądu, czyli RKill, MBAM i ADWCleaner
Jedyne co Eset znalazł to prawdopodobny false positive w demku 64 kb. Sytuacja też się uspokoiła po wyłączeniu telemetrii (dzięki ci Microsoft!)… czyli chyba czysto, ale raporty oczywiście wrzucam
Oki - tym razem złapałem kolejny wynalazek Microsoftu. Usługa indeksowania jadła sobie spokojnie 60-70% czasu CPU, podczas gdy robiłem coś innego. Też wyłączyłem (poprzez Opcje Indeksowania).
Seriously, na co takie wynalazki? Wyszukiwarka ma mi programy znajdywać a nie konkretne pliki…
Po co takie mądrości. Wiesz lepiej to nie pros o pomoc. O indeksowaniu sam decydujesz. Jak włączysz to masz pełne wyszukiwanie tego co masz na dyskach, realnie.
Jeśli jednak tego nie właczyłeś? No to coś nie tak. Coś to włączyło, po coś.
Tak przy okazji. To jednak poczekaj co ci jedyny tu fachowiec, @iJuliusz napisze.
Ja tylko zwrócę ci uwagę że
2020-03-19 o godz. 21:10:45 Windows Defender wykrył złośliwe oprogramowanie o nazwie Trojan:Win32/Tiggre!plock.
Nie rozumiem. Nie wrzucam, jak to się wyraziłeś, oklepanych “mądrości”, tylko rzeczy które moim zdaniem mogą pomóc realnie namierzyć źródło problemu. Oczywiście mógłbym się poprawić, rozpłakać publicznie i stwierdzić że komp “muli”, i wrzucić nagie logi a na pytania odpisywać jednym słowem. Sam zdecyduj czy byłoby to bardziej użyteczne. Osobiście jednak - jako programista - lubię nadmiar informacji ponad jej brak. Przy nadmiarze mogę część zignorować. Jeżeli to brak, muszę z kimś grać w 50 pytań do autora. A teraz do meritum - usługa indeksowania jest włączona domyślnie, można ją za to wyłączyć ręcznie. Microsoft włącza by default dużo różnych zbędnych rzeczy z którymi zgadzać się jest dość dyskusyjne. Nie wierzysz? To naciśnij (poza grą) 5x lewy shift. A jeżeli znałeś ten skrót - to masz go nadal włączonego? Wszak coś to włączyło, po coś
Nigdy też nie twierdziłem że wiem lepiej, więc bardzo proszę, nie próbuj insynuować rzeczy które nie mają miejsca. To nie świadczy dobrze o twoim poziomie. Mam wiedzę na temat IT - na niektórych polach dość sporą - która jednak nie pokrywa się z tematyką współczesnych zagrożeń. Napisałem na forum licząc na pomoc - od fachowca dla fachowca w nieco innym polu. To trochę jak dermatolog udający się po poradę do endokrynologa.
EDIT
Pisanie pod wpływem emocji nie pomaga. Windows Defender dokopał się do dwóch trojanów, nie jednego - wyłapał kawałek ultra starego backupu na jednym z dysków. Przyznaję bez picia, że tam był keygen. Keygen którego data ostatniego otwarcia to 2004 rok… Osobiście wątpię żeby był przyczyną tego problemu, ale oczywiście plik poszedł do odstrzelenia, a ja intensywnie przeglądam backupy czy nie mam tam innych dziwnych pułapek (na komputerze który mam obecnie nie mam ani jednego pirackiego oprogramowania - natomiast przyznaję że ~15 lat temu nie byłem święty i że wciąż mam archiwum z tamtych czasów)
Mój drogi kolego. Chyba miałeś zły dzień.
Ja uważam, że dobrze jest samodzielnie drążyć temat i próbować rozwiązać problem.
Uważam za idealne to, że autor oprócz przedstawienia problemu, dodatkowo dzieli się własnymi spostrzeżeniami i pomysłami.
W tym konkretnym autor przypadku ma dodatkową wiedzę i umiejętności.
@L_Devil wracając do tematu.
Masz zainstalowane wiele różnych programów.
Sporo wpisów w autostarcie.
Aż trudno się połapać
Spora ilość programów ma ustawione kompatybilne uruchamianie. Dawno nie widziałem tylu na raz.
Nie będę tych konkretnych wpisów ruszał, gdyż nie wiem, które nadal są potrzebne.
Robiłeś skanowanie MBAM i ADWCleaner? Jakie były wyniki skanów?
Ogólnie nie widać w systemie infekcji, ale warto trochę go odciążyć.
Sprawdź, które gry i programy są Ci najbardziej potrzebne, lub częściej używane.
Masz utworzone kilka (widocznych) plików/skrótów .bat, ale wiedząc, że jesteś programistą mogę zakładać, że jest to działanie celowe. W innym przypadku, byłoby to wysłane do kontroli.
Poniżej plik naprawczy, choć w Twoim przypadku jedynie czyszczący.
Pobierz ten plik i zapisz w katalogu z FRST, tzn. C:\Users\piotr\Downloads fixlist.txt (12,5 KB) “Plik naprawczy został utworzony tylko dla Ciebie, nie należy go stosować na innym komputerze”
Uruchom FRST i kliknij Napraw, program wyłączy niepotrzebne procesy, zrobi Punkt Przywracania i zacznie pracę.
Po restarcie wklej plik wynikowy.
Następnie przeniesiemy temat do innego działu.
Będzie trzeba przyjrzeć się błędom w Dzienniku Aplikacji i Systemu
Zwróciłeś uwagę kiedy pojawiły się problemy z taskmanagerem?
Jakaś konkretna aktualizacja systemu lub sterowników?
Może nowy zainstalowany lub napisany program?
Mój tekst o mądrościach dotyczył tego co powyzej a to ze masz problem z systemem wiedziałem z twoich logów dlatego napisałem dalej co ponizej. I tyle. Czytać ze zrozumieniem.
Wykrył i usunął. Co do VirusTotal to nie mam o nim pozytywnej opinii ze wzgledu na rodzaj uzywanych silników.
