Javaws.exe uruchamia tysiące procesów

4dr14n · 20 Styczeń 2016 23:55

Witam,

Objawy:

w jednym momencie komputer wyraźnie zwalnia, jakby miał się zawiesić;
trudno w ogóle wejść do menedżera zadań, a już nie mówiąc o ręcznym zakańczaniu procesów;
w pewnym momencie udało mi się podejrzeć w men. zadań, że pamięć RAM jest wykorzystywana w ponad 90% (a mam 8gb) oraz, że w jednym momencie uruchomionych było kilkanaście tysięcy procesów o nazwie javaws.exe Web Launcher… coś tam.

Jakiś czas temu miałem problem z czymś, co się wgryzło do przeglądarek internetowych, i powodowało uruchamianie wyszukiwarki “Snap Do”. Postąpiłem wg zaleceń na jednej ze stron, ale nie do końca sie usunęło: w IE włącza sie jako strona startowa za każdym razem jak wchodzę (zmiana strony startowej w ustawieniach nic nie daje), ale rzadko korzystam, wiec dałem sobie siana; w Mozilli raczej usunąłem, ale też czasem próbuje odwoływać się do inne strony, która kiedyś była na dysku, ale ją usunąłem z dysku, więc teraz pisze czasem, że nie mogło odnaleźć strony, a w pasku adresu jest "C:\… coś tam.

Wklejam logi z prośbą o sprawdzenie:

Addition

http://wklej.org/id/1912769/

FRST

http://wklej.org/id/1912774/

Bardzo proszę o sprawdzenia.

Atis · 21 Styczeń 2016 00:18

W panelu sterowania odinstaluj FLV Player.

4dr14n · 21 Styczeń 2016 18:48

Nie wiem co się stało z moim poprzednim postem, bo nie widze go tutaj.

Zrobiłem jak napisałeś i pousuwało różne śmieci, ale nic nie pomogło. Proces nadal się uruchamia w tysiącach kopii - nie ma jak go zatrzymać. Poniżej wklejam logi.

Addition

ADW

FRST

Atis · 21 Styczeń 2016 19:01

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM-x32\...\Run: [SunJavaUpdateSched] = C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [596528 2015-11-09] (Oracle Corporation)
HKLM\...\Winlogon: [Userinit] C:\Windows\SysWOW64\userinit.exe,
GroupPolicyScripts-x32: Ograniczenia ======= UWAGA
HKU\S-1-5-21-1706887414-4171953555-2441086110-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnkdYvIvvwfEYzwmkwM3HPmqxt7dskEUzEGcfMkmoZz67uR3AHe_M0BX7J-QK3l0sQErGlzH3KfjAf_WOzrxF2nlKR7at2hICCDqBrfG-vbCLj5PcyAyIJp93EvR-hto56CvaPHJIL1BrP5xQ8Tf_MfgTUexTyvidcQciPA8,q={searchTerms}
HKU\S-1-5-21-1706887414-4171953555-2441086110-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnkdYvIvvwfEYzwmkwM3HPmqxt7dskEUzEGcfMkmoZz67uR3AHe_M0BX7J-QK3l0sQErGlzH3KfjAf_WOzrxF2nlKSymkQb7gABsMjXYSbthx_SBMmCSCpCBYDmzcETkFtnIrmokgSUzFVpwPrh_v-8OtCogAk5HGLLx3ITg,
HKU\S-1-5-21-1706887414-4171953555-2441086110-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnkdYvIvvwfEYzwmkwM3HPmqxt7dskEUzEGcfMkmoZz67uR3AHe_M0BX7J-QK3l0sQErGlzH3KfjAf_WOzrxF2nlKR7at2hICCDqBrfG-vbCLj5PcyAyIJp93EvR-hto56CvaPHJIL1BrP5xQ8Tf_MfgTUexTyvidcQciPA8,q={searchTerms}
HKU\S-1-5-21-1706887414-4171953555-2441086110-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnkdYvIvvwfEYzwmkwM3HPmqxt7dskEUzEGcfMkmoZz67uR3AHe_M0BX7J-QK3l0sQErGlzH3KfjAf_WOzrxF2nlKR7at2hICCDqBrfG-vbCLj5PcyAyIJp93EvR-hto56CvaPHJIL1BrP5xQ8Tf_MfgTUexTyvidcQciPA8,q={searchTerms}
SearchScopes: HKLM-x32 - DefaultScope {ielnksrch} URL =
2016-01-21 18:53 - 2016-01-21 18:59 - 00000000 ____ D C:\AdwCleaner
2016-01-20 23:42 - 2016-01-20 23:42 - 00000000 ____ D C:\ProgramData\GridinSoft
2015-08-06 13:28 - 2015-08-06 13:28 - 0001534 _____ () C:\ProgramData\ss.ini
Task: {7E83F782-FE23-4D81-A6D0-12BD2CF3CA7D} - \GridinSoft Anti-Malware - Brak pliku ==== UWAGA
Task: {F85E460B-D252-4880-A1F6-BF336B1DD8BB} - \{8398512D-BCF5-40EC-876B-4B7AA14AD9B4} - Brak pliku ==== UWAGA
EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.

4dr14n · 21 Styczeń 2016 19:24

~~Fixlog~~

~~frst~~

Dodatkowo zauważyłem ciekawą zależność. Procesy włączają się jak uruchomię przeglądarkę, a jak nie jest uruchomiona, to jest spokój

Przepraszam, pomyliłem linki z logami. Wklejam jeszcze raz:

fixlog

frst

Atis · 21 Styczeń 2016 20:01

Nie widać infekcji. Czy problem występuje w różnych przeglądarkach?

Skasuj folder C:\FRST

4dr14n · 21 Styczeń 2016 20:29

Jeszcze nic nie zrobiłem z tego co napisałeś, ale komputer mi niesamowicie zwolnił Np. jak włączam notatnik, to widzę okienko, ale zanim się zawartość pojawi, to chwilę trzeba czekać, a międzyczasie pisze “brak odpowiedzi”. Jak włączam przeglądarki, to wieszają się, bardzo powoli chodzą. Wszystko bardzo powoli chodzi - w menedżerze zadań nie widać żadnych javaws.exe, a odczyty RAM i CPU są w normie. Nie wiem czego to wina. Panda mi się przed chwilą zaktualizowała, ale aktualizacja dobiegła końca, a komp dalej powoli chodzi … kilka minut zajmuje wejście na dysk C: a kolejne 5 minut przetwarza 40 elementów z folderu FRST (120 mb) w celu usunięcia… nadal przetwarza.

Postanowiłem zamknąć system - podczas zamykania mam komunikat o oczekiwaniu na explorer.exe i … próbie uruchomienia dźwięku wylogowania (no tragedia).

Odczyty są w normie, a komp niestety tak działa, jak wcześniej, gdy uruchamiało się javaws.exe

Atis · 21 Styczeń 2016 20:38

Sprawdź czy problem występuje po odinstalowaniu programu Panda, bo z opisu wynika, że problem wystąpił po aktualizacji tego programu.

4dr14n · 21 Styczeń 2016 22:00

Uruchomiłem komputer ponownie. Folder FRST usunąłem w trybie awaryjnym. Komp na razie działa coraz lepiej - tzn. z każdym nowym uruchomieniem nie muli już tak - choć jeszcze zastanawia się przy wyłączaniu choćby notatnika (jest chwilowy “brak odpowiedzi”).

Usunąłem wszystkie punkty przywracania.

Międzyczasie korzystałem z Mozilli i Explorera - nie próbowała się już uruchomić ta stronka z jakiegoś nieistniejącego folderu na dysku, tylko w explorerze był to MSN, a w Mozilli te ich domyślne kafelki z propozycjami stron - czyli pomyślnie się zrobiło wszystko w tym zakresie.

Malwarebytes Anti-Malware miałem już kiedyś na komputerze i pisze mi, że moja licencja wygasła - tak czy inaczej program zrobił skanowanie i skasował 7 potencjalnych zagrożeń. Po tym nastąpiło ponowne uruch. kompa. Flasch playery - zrobiłem jak napisałeś. Nie wiem czy to istotne, ale znów uruchomiłem Mozille i na starcie nie otwierają się już te ich okienka/kafelki z propozycjami stron, tylko pokazało mi, że nie może znaleźć strony, a w pasku adresu było coś takiego:

http://www.%snf%.com/

Wkurzyłem się na te chwilowe zwiechy explorer.exe i odinstalowałem Pandę. Znasz może jakiś dobry anty virus do zainstalowania od zaraz, ale nie napakowany niepotrzebnymi rzeczami?

Czy pisząc o ustawieniach języka miałeś na myśli ustawienia w kompie, czy w programie do skanowania? Bo jeśli w kompie, to nie bardzo wiem gdzie tego szukać

Poprawka : niestety wyraźnie coś jest nie tak jak trzeba z tym explorerem. Włączyłem Mozillę i po krótkim czasie zawiesza się na dobre 5 minut. Dlaczego wskazuję explorera? Bo co jakiś czas widzę na dolnym pasku, że po prawej stronie na nowo ładują się ikonki (głośność, klawiatura, wybór języka i inne, które tam powinny być).

Aktualizacja :

Sam już nie wiem co może być nie tak. Mozilla ciężko też chodzi - właśnie mi wywala komunikat o nieodpowiadającym skrypcie. Tak czy inaczej próba otwarcia kolejnej karty kończy się komunikatem “brak odpowiedzi”. Chwilowe działania na Windowsie, czyli np uruchomienie menedżera zadań, przeglądniecie panelu sterowania można robić, ale trzeba się liczyć z “przerwami” około 5-cio minutowymi, podczas których klikanie w cokolwiek nie ma sensu, bo po 5 minutach uruchomi się wszystko, co przez okres zwiechy próbowałem otworzyć

Atis · 21 Styczeń 2016 23:13

Ustawienia języka dotyczyły Malwarebytes. W logach nie widać przyczyny tych problemów.

W pasek adresu wpisz: about:support Kliknij Odśwież program Firefox.

Jeżeli chodzi o explorer to spróbuj ShellExView

4dr14n · 22 Styczeń 2016 12:27

Hej,

zrobiłem to:

Atis:

W pasek adresu wpisz: about:support Kliknij Odśwież program Firefox.Zainstaluj uBlock: Firefox - Chrome - OperaJeżeli chodzi o explorer to spróbuj ShellExViewx32: http://www.nirsoft.net/utils/shexview.zipx64: http://www.nirsoft.net/utils/shexview-x64.zipWyłącz (Disable Selected Items F7) wszystkie wpisy podświetlone na różowo i zrestartuj komputer.Co do tego:https://support.microsoft.com/pl-pl/kb/331796...to jestem po pierwszej części, gdzie jest napisane: “Jak wykonać czysty rozruch” - czyli odznaczyłem na liście wszystkie pozycje (prócz windowsowych) i uruchomiłem ponownie kompa. Po ponownym uruchomieniu zauważyłem, że w tym samym miejscu były zaznaczone ticzkiem już tylko procesy odpowiedzialne za Avirę i RocketDock (pozostałe nadal były odznaczone na liście, czyli rozumiem, że nie działają w tle). Odinstalowałem więc z komputera ‘Rocketdock’. Chciałem przejść do dalszych działań wskazanych na stronie Microsoftu w sekcji zatytułowanej “Ustalenie przyczyny problemu”, ale nie bardzo rozumiem co to znaczy (jest to też wymienione w krokach 2 i 3):Kliknij, aby zaznaczyć połowę zestawu pól wyboru na liście UsługiCzy to znaczy, że mam po prostu zaznaczyć ticzki przy połowie wymienionych na liście usług, a drugą połowę zostawić niezaznaczoną? Jeśli tak, to po co - przecież i tak są już teraz wszystkie odznaczone (prócz Aviry) Czegoś tu nie rozumiem :/Poza tym zainstalowałem Avirę A.V. i wykryła 20 podejrzanych obiektów, ale nie mogła dokończyć skanowania, bo znów się wszystko zaczęło wieszać.Zauważyłem dziwną zależność, która jest związana z uruchomieniem Mozilli. Zanim wykonałem kroki z usuwaniem javasw.exe, które wczoraj mi podałeś, międzyczasie usuwałem na piechotę te procesy z menedżera zadań - oczywiście bezskutecznie, bo ciągle przyrastały. W każdym razie zamknąłem też wtedy Mozillę - zakończyłem jej proces w menedżerze. Po kilku minutach javaws.exe się uspokoiło i komp działał normalnie. Teraz co prawda nie ma javasw.exe i nie widać, żeby RAM i CPU wariowały, ale zdaje się, że objawy są te same co wcześniej - czyli wieszanie się wszystkiego po jakimś tam czasie działania Mozilli, tak jakby RAM i CPU były przeciążone, ale przecież nie widać nic takiego w Menedżerze zadań. Postanowiłem znów uruchomić ADWCleaner i zobacz co znalazło:http://wklej.org/id/1914507/Najciekawsze jest to, że w Mozilli dalej coś siedzi (a może nie tyle w Mozilli, co w systemie). Usunęło klucz z rejestru z nazwąsafefinder.comZnam tę nazwę, bo już kilka miesięcy temu zainstalowało się przypadkiem na kompie i zmieniło ustawienia przeglądarek (pamiętam, że był taki komunikat, ale nie wiem czy z Windowsa, czy z samej Mozilli). To jest też jakoś powiązane z “Search Do”, ale nie wiem jak. Być może trzeba poszperać w about:config (?).Jak widać w logu z ADWCleaner’a usunąłem to, co tam było wymienione. Potem zrobiłem znowu skanowanie tym programem i nic nie wykrył, ale obawiam się, że po kilku godzinach działania (a może krócej), znowu coś się uaktywni i robiąc skanowanie ADWCleaner’em zostanie to odnalezione, a jeśli tak, to daję sobie rękę uciąć, że będzie to związane z “Safesearch”, albo “Search Do”.PS: Dziś rano, jak włączyłem komputer to przez parę godzin wszystko działało raczej bez zarzutów (pomiędzy 8.00 a 11.30) - potem zaczęły się powoli wieszać wszystkie rzeczy, aż całkiem nie udawało się już nimi nic zrobić - tak jak wczoraj, gdy nagle zaczynała lawinowo przyrastać liczba procesów javasw.exe.

4dr14n · 23 Styczeń 2016 20:44

Aktualizacja (23.01.2016):

Hej,

wygląda na to, że nie ma już niczego, co mogłoby powodować jakieś błędy. Komputer się nie wiesza i nie spowalnia. Robiłem jeszcze kilka razy skan ADWcleanerem i nic nie znalazło. Wnioskuję z tego, że komp jest czysty. Posprawdzam jeszcze w następne dni, czy dalej jest tak spokojnie i jakby się co działo, to wtedy napiszę.

Dzięki za pomoc w takim razie - bez Twojej pomocy, Atis, nie poradziłbym sobie

Pozdrawiam.