Explorer.exe 99 CPU i 100% użycia procesora


(M Makarewicz92) #1

http://wklejto.pl/46136 log.

Mój problem polega na tym, że explorer.exe zżera mi cały procek. Jest 100% użycia procesora. Jak nie on to jakiś inny program, ale przeważnie to on. Stało się tak gdy przerzuciłem filmy z pendriva. Filmy są dla mnie dosyć ważne i wolałbym ich nie wywalać. Gdy otwieram folder z tymi filmami to następuje 100%. Gdy nie mam go otwartego, użycie jest... na poziomie. Wyższe niż zawsze, ale tolerancyjne. Skanowałem te pliki AVASTem i raczej nic nie wykryło. Po użyciu programu ComboFix już nie mogę otworzyć AVASTa, ani go odinstalować.

Co mam robić?


(Henio Mazurek) #2

Log źle wklejony.

Jest rootkit mbr.

Ciężko taki log sprawdzać. To co widać usuwam. Wklej do notatnika

Zapisz jako CFScript.txt. Ten plik przeciągasz na ikonę ComboFix'a. Rozpocznie się usuwanie, wklej powstały log.

Tym razem wklej log w taki sposób by był czytelny.


(Gorgoroth) #3

Wybaczcie, że się wtrącę - ma to coś wspólnego z bootkitem?


(Henio Mazurek) #4

Tyle co insurekcja z powstaniem.


(M Makarewicz92) #5
ComboFix 09-11-03.03 - Grzesiu mój królu 2009-11-04 15:14.2.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.1279.711 [GMT 1:00]

Uruchomiony z: c:\documents and settings\Grzesiu mój królu\Moje dokumenty\Downloads\ComboFix.exe

Użyto następujących komend :: c:\documents and settings\Grzesiu mój królu\Pulpit\CFScript.txt

AV: avast! antivirus 4.8.1351 [VPS 091103-1] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}


FILE ::

"c:\windows\TEMP\42.tmp"

.


((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.


.

((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))

.


-------\Legacy_BFASTFAO

-------\Legacy_{DEF85C80-216A-43AB-AF70-1665EDBE2780}

-------\Service_{DEF85C80-216A-43ab-AF70-1665EDBE2780}

-------\Service_bfastfao



((((((((((((((((((((((((( Pliki utworzone od 2009-10-04 do 2009-11-04 )))))))))))))))))))))))))))))))

.


2009-11-03 19:11 . 2009-06-30 09:37	28552	----a-w-	c:\windows\system32\drivers\pavboot.sys

2009-11-03 19:05 . 2009-11-03 19:05	--------	d-----w-	c:\program files\Panda Security

2009-10-22 19:06 . 2009-10-22 19:06	--------	d-----w-	c:\documents and settings\All Users\Dane aplikacji\Tlen.pl

2009-10-06 19:19 . 2009-10-06 19:31	--------	d---a-w-	c:\documents and settings\All Users\Dane aplikacji\TEMP

2009-10-06 19:18 . 2009-10-06 19:31	--------	d-----w-	c:\documents and settings\All Users\Dane aplikacji\SpeedBit

2009-10-06 19:18 . 2009-10-06 19:32	--------	d-----w-	c:\program files\DAP

2009-10-06 19:18 . 2009-10-06 19:30	--------	d-----w-	c:\program files\SpeedBit Video Downloader


.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-11-04 14:22 . 2007-07-28 11:47	--------	d-----w-	c:\program files\neostrada tp

2009-10-25 09:28 . 2001-10-26 14:15	82354	----a-w-	c:\windows\system32\perfc015.dat

2009-10-25 09:28 . 2001-10-26 14:15	465372	----a-w-	c:\windows\system32\perfh015.dat

2009-10-24 16:46 . 2007-08-11 10:25	--------	d-----w-	c:\program files\Ganymede

2009-10-21 20:02 . 2009-07-20 14:40	--------	d-----w-	c:\documents and settings\All Users\Dane aplikacji\OpenFM

2009-10-08 20:12 . 2009-09-17 20:19	5	----a-w-	c:\windows\system32\SySmp3con.dat

2009-09-17 20:29 . 2009-09-17 20:29	15325	----a-w-	c:\windows\system32\SpoonUninstall-dBpoweramp Music Converter.dat

2009-09-17 20:28 . 2009-09-17 20:29	5640880	----a-w-	c:\windows\system32\SpoonUninstall.exe

2009-08-17 16:10 . 2009-08-27 19:18	1279456	----a-w-	c:\windows\system32\aswBoot.exe

2009-08-17 16:06 . 2009-08-27 19:18	93392	----a-w-	c:\windows\system32\drivers\aswmon.sys

2009-08-17 16:06 . 2009-08-27 19:18	94160	----a-w-	c:\windows\system32\drivers\aswmon2.sys

2009-08-17 16:05 . 2009-08-27 19:18	114768	----a-w-	c:\windows\system32\drivers\aswSP.sys

2009-08-17 16:05 . 2009-08-27 19:18	20560	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys

2009-08-17 16:04 . 2009-08-27 19:18	51376	----a-w-	c:\windows\system32\drivers\aswTdi.sys

2009-08-17 16:04 . 2009-08-27 19:18	23152	----a-w-	c:\windows\system32\drivers\aswRdr.sys

2009-08-17 16:03 . 2009-08-27 19:18	26944	----a-w-	c:\windows\system32\drivers\aavmker4.sys

2009-08-17 16:02 . 2009-08-27 19:18	97480	----a-w-	c:\windows\system32\AvastSS.scr

.


((((((((((((((((((((((((((((( SnapShot@2009-11-03_15.08.33 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-11-04 14:21 . 2009-11-04 14:21	16384 c:\windows\Temp\Perflib_Perfdata_550.dat

+ 2009-11-04 14:21 . 2009-11-04 14:21	16384 c:\windows\Temp\Perflib_Perfdata_388.dat

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane  

REGEDIT4


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Google Update"="c:\documents and settings\Grzesiu mój królu\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe" [2008-09-11 133104]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WOOTASKBARICON"="c:\progra~1\NEOSTR~1\GestMaj.exe" [2004-10-14 32768]

"avast!"="c:\programy\Avast\ashDisp.exe" [2009-08-17 81000]


[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programy\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"c:\\Programy\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"c:\\Programy\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=

"c:\\Programy\\HP\\Digital Imaging\\bin\\hposfx08.exe"=

"c:\\Programy\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Programy\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

"c:\\Programy\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Programy\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=

"c:\\Programy\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=

"c:\\Programy\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=

"c:\\Programy\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=

"c:\\Programy\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=

"c:\\Programy\\HP\\Digital Imaging\\bin\\hpoews01.exe"=

"c:\\Programy\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=

"c:\\Program Files\\DNA\\btdna.exe"=

"c:\\Programy\\uTorrent\\uTorrent.exe"=


R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2009-11-03 28552]

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-08-27 114768]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-08-27 20560]

S3 DataMan;DataMan USB Infrared Adapter;c:\windows\system32\drivers\DataMan.sys [2008-03-11 10880]

S3 s816bus;Sony Ericsson Device 816 driver (WDM);c:\windows\system32\drivers\s816bus.sys [2009-01-01 81832]


--- Inne Usługi/Sterowniki w Pamięci ---


*NewlyCreated* - PAVBOOT

*Deregistered* - mbr

.

Zawartość folderu 'Zaplanowane zadania'


2009-11-04 c:\windows\Tasks\WGASetup.job

- c:\windows\system32\KB905474\wgasetup.exe [2009-04-01 20:18]

.

.

------- Skan uzupełniający -------

.

uStart Page = hxxp://www.neostrada.pl/

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: { - c:\program files\Messenger\msmsgs.exe

DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} - hxxp://67.15.101.33/g_bin/pl/snooker_2_0_0_35.cab

FF - ProfilePath - c:\documents and settings\Grzesiu mój królu\Dane aplikacji\Mozilla\Firefox\Profiles\fcviona2.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.erepublik.com/

FF - plugin: c:\programy\Adobe reader 8\Reader\browser\nppdf32.dll

FF - plugin: c:\programy\Mozilla\plugins\npganymedenet.dll

.


**************************************************************************


catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-11-04 15:22

Windows 5.1.2600 Dodatek Service Pack 2 NTFS


skanowanie ukrytych procesów ...  


skanowanie ukrytych wpisów autostartu ... 


skanowanie ukrytych plików ...  



**************************************************************************


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net


device: opened successfully

user: MBR read successfully

called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8972C1F8]<< 

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\atapi -> 0x8972c1f8

Warning: possible MBR rootkit infection !

user & kernel MBR OK 

PE file found in sector at 0x025FEDB0 !

Use "Recovery Console" command "fixmbr" to clear infection !


**************************************************************************

.

--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------


- - - - - - - > 'winlogon.exe'(568)

c:\windows\system32\Ati2evxx.dll

.

------------------------ Pozostałe uruchomione procesy ------------------------

.

c:\windows\system32\Ati2evxx.exe

c:\windows\system32\Ati2evxx.exe

c:\programy\Avast\aswUpdSv.exe

c:\programy\Avast\ashServ.exe

c:\windows\System32\FTRTSVC.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\windows\system32\HPZipm12.exe

c:\windows\system32\wdfmgr.exe

c:\progra~1\NEOSTR~1\TaskBarIcon.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Czas ukończenia: 2009-11-04 15:31 - komputer został uruchomiony ponownie

ComboFix-quarantined-files.txt 2009-11-04 14:29

ComboFix2.txt 2009-11-03 15:11


Przed: 2 803 953 664 bajtów wolnych

Po: 2 707 894 272 bajtów wolnych

Zrobiłem co mówiłeś, przeciągnąłem ten plik CFScript.txt. na ComboFix i oto log, który mi wyszedł po tym. Wklejam przez CODE, bo już nie wiem w jaki sposób inaczej.


(Henio Mazurek) #6

Wklej jeszcze log z mbr.exe

Nie wklejasz przez code. Ale na strony do tego poświęcone (jak wklejto.pl), poprzednio źle wyszło bo wkleiłeś log niechlujnie (nie wkleja się przez Przeglądaj).


(M Makarewicz92) #7

http://wklejto.pl/46269

Log z mbr.exe (chyba to log bo nie wiem, tak szybko mi się zrobiło, że nawet nie wiem czy w dobrym miejscu mi się zapisało).

Dzięki za podpowiedź do loga.

Ej dobra, wykryło mi pandą przeglądarkową, że mam wirusy. Nie mogę usunąć, ani użyć avasta w tym celu, a nie chce, żeby zalegał na kompie. Co zrobić?


(Henio Mazurek) #8

A czy Ty myślisz, że ja tutaj przy czarodziejskiej kuli siedzę. Napisz co to za wirusy (ścieżka dostępu, nazwa).


(M Makarewicz92) #9

obra w sumie jest teraz ok, komp łapie muła jak wchodzę w folder z tymi filmami. Odinstalowałem AVASTa i zainstalowałem ESET NOD32. Wykrył mi ten program pare wirusów, ale nie mogę ich wyleczyć, ponieważ są to pliki systemowe.

2009-11-06 07:20:25	Skaner przy uruchamianiu	sektor rozruchowy	sektor głównego rekordu startowego dysku fizycznego 1.	Win32/Mebroot.K koń trojański	błąd podczas leczenie — operacja jest niedostępna w przypadku obiektu tego typu		

2009-11-05 21:29:46	Skaner przy uruchamianiu	sektor rozruchowy	sektor głównego rekordu startowego dysku fizycznego 1.	Win32/Mebroot.K koń trojański	błąd podczas leczenie — operacja jest niedostępna w przypadku obiektu tego typu		

2009-11-05 20:14:46	Skaner przy uruchamianiu	sektor rozruchowy	sektor głównego rekordu startowego dysku fizycznego 1.	Win32/Mebroot.K koń trojański	błąd podczas leczenie — operacja jest niedostępna w przypadku obiektu tego typu	XXXX-6048534029\Grzesiu mój królu

Oto one. Nie można nic zrobić.


(Henio Mazurek) #10

Jeśli chodzi o foldery z filmami zobacz ten temat (post 22)

http://www.searchengines.pl/index.php?s ... st&p=54484

Co do wyników NOD'a to nie widać tutaj aktywnego rootkita sektora rozruchowego. Być może NOD wykrywa tylko jego ciało. Na wszelki wypadek zrób nowy log z mbr.exe, Start => Uruchom, wpisz => combofix /mbr , doklej log z GMER, zakładka Rootkit/Malware , klikasz Szukaj , po skanie Kopiuj lub Zapisz.


(M Makarewicz92) #11

http://wklejto.pl/46401 << nowy log z mbr

http://wklejto.pl/46400 < Uruchom, wpisz => combofix /mbr" tym.

http://wklejto.pl/46413 << log z GMER.

:wink: wykonałem to co co było w temacie 22. Potem opisze w jaki sposób to zrobiłem, bo nie wiem czy dobrze.

Dodam, że NOD co chwile przypomina mi o tym rootkice, gdyż nie mogę go wyleczyć ani nic.


(Henio Mazurek) #12

Dziwne, że NOD coś wykrywa bo ewidentnie nie ma tutaj tego rootkita. Zastosuj jednak mbr.exe z parametrem f i pokaż log. Możesz też w konsoli odzyskiwania wpisać fixmbr.


(M Makarewicz92) #13

Panowie udało się. Wszystkie te zabiegi coś pomogły, ale chyba najbardziej pomógł ten z http://www.searchengines.pl/index.php?s ... st&p=54484 tematu. Ogólnie scan combofixem nawet zmniejszał mi wydajność. Teraz wrócę do mojego starego avasta, a NODa wywaliłem już. NOD wykrywał błędy przy każdym ściągniętym pliku z neta...

Ostatnie chyba pytanie mam do Was. Możecie podać mi jakiś program, który konwertuje plik z MPEG do AVI? Szukałem w necie i są takie co konwertują 2 pierwsze minuty, albo nawet tylko 10 sek. Jak znalazłem jeden to skonwertował, ale na samym środku jest napis o tym programie czy coś. Istnieje taki darmowy program, który w całości konwertuje do AVI bez żadnych napisów itd.? Jak nie to co mam zrobić, żeby mieć 13 minut filmu w jednym kawałku?

Dzięki ciemnowidz , jesteś wielki.


(Henio Mazurek) #14

Spróbuj MediaCoder lub FormatFactory.