WMI Provider Host zamula komputer

Dla specjalistów Bezpieczeństwo
#1

Witam.Od wczoraj mam problem z niechcianym procesem,którego nie idzie wyłaczyć.

Czy mogę prosić o znalezienie zainfekowanych komórek WMI Provider Host (WmiPrvSE.exe)

#2

W panelu sterowania odinstaluj Przyspiesz Komputer - Kompletna deinstalacja i PCSpeedUp Application.

Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.

Pobierz Farbar Recovery Scan Tool 32-Bit Version

Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.

#3

Zrobiłem jak pisałeś.Proces nie zniknął.

FRST: http://wklej.org/id/1401518/

Addition: http://wklej.org/id/1401520/

 

Dzięki za zainteresowanie.

#4

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

ShellIconOverlayIdentifiers: GGDriveOverlay1 -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File
ShellIconOverlayIdentifiers: GGDriveOverlay2 -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File
ShellIconOverlayIdentifiers: GGDriveOverlay3 -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File
ShellIconOverlayIdentifiers: GGDriveOverlay4 -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKLM - {fb72f1bd-a2f1-47eb-8f13-2c6dcd65516f} URL = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=XRxdm006YYpl&ptnrS=XRxdm006YYpl&si=CKm9saPnt7ICFYYNfAodWmUAfg&ptb=0CFBE5D7-D718-4163-9A54-B582DA06EAD5&psa=&ind=2012091510&st=sb&n=77ee1476&searchfor={searchTerms}
SearchScopes: HKCU - {fb72f1bd-a2f1-47eb-8f13-2c6dcd65516f} URL = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=XRxdm006YYpl&ptnrS=XRxdm006YYpl&si=CKm9saPnt7ICFYYNfAodWmUAfg&ptb=0CFBE5D7-D718-4163-9A54-B582DA06EAD5&psa=&ind=2012091510&st=sb&n=77ee1476&searchfor={searchTerms}
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
S3 IpInIp; system32\DRIVERS\ipinip.sys [X]
S3 LgBttPort; system32\DRIVERS\lgbtport.sys [X]
S3 lgbusenum; system32\DRIVERS\lgbtbus.sys [X]
S3 LGVMODEM; system32\DRIVERS\lgvmodem.sys [X]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X]
U5 UnlockerDriver5; D:\Unlocker\UnlockerDriver5.sys [4096 2010-07-04] () [File not signed]
S3 usbbus; system32\DRIVERS\lgusbbus.sys [X]
S3 UsbDiag; system32\DRIVERS\lgusbdiag.sys [X]
S3 USBModem; system32\DRIVERS\lgusbmodem.sys [X]
C:\AdwCleaner
C:\Users\machony79\AppData\Local\Temp*.html
C:\Users\machony79\AppData\Local\Temp\*.exe
Task: {6737BE01-983F-4D51-8CC5-B90D00CE9D0A} - System32\Tasks\0 => Iexplore.exe <==== ATTENTION
Task: {BB0A5276-D29D-48EE-AEF0-3222859C4938} - System32\Tasks\4794 => Wscript.exe C:\Users\MACHON~1\AppData\Local\Temp\launchie.vbs //B <==== ATTENTION
C:\Users\MACHON~1\AppData\Local\Temp\launchie.vbs

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.

#5

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

ShellIconOverlayIdentifiers: GGDriveOverlay1 -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File
ShellIconOverlayIdentifiers: GGDriveOverlay2 -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File
ShellIconOverlayIdentifiers: GGDriveOverlay3 -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File
ShellIconOverlayIdentifiers: GGDriveOverlay4 -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKLM - {fb72f1bd-a2f1-47eb-8f13-2c6dcd65516f} URL = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=XRxdm006YYpl&ptnrS=XRxdm006YYpl&si=CKm9saPnt7ICFYYNfAodWmUAfg&ptb=0CFBE5D7-D718-4163-9A54-B582DA06EAD5&psa=&ind=2012091510&st=sb&n=77ee1476&searchfor={searchTerms}
SearchScopes: HKCU - {fb72f1bd-a2f1-47eb-8f13-2c6dcd65516f} URL = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=XRxdm006YYpl&ptnrS=XRxdm006YYpl&si=CKm9saPnt7ICFYYNfAodWmUAfg&ptb=0CFBE5D7-D718-4163-9A54-B582DA06EAD5&psa=&ind=2012091510&st=sb&n=77ee1476&searchfor={searchTerms}
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
S3 IpInIp; system32\DRIVERS\ipinip.sys [X]
S3 LgBttPort; system32\DRIVERS\lgbtport.sys [X]
S3 lgbusenum; system32\DRIVERS\lgbtbus.sys [X]
S3 LGVMODEM; system32\DRIVERS\lgvmodem.sys [X]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X]
U5 UnlockerDriver5; D:\Unlocker\UnlockerDriver5.sys [4096 2010-07-04] () [File not signed]
S3 usbbus; system32\DRIVERS\lgusbbus.sys [X]
S3 UsbDiag; system32\DRIVERS\lgusbdiag.sys [X]
S3 USBModem; system32\DRIVERS\lgusbmodem.sys [X]
C:\AdwCleaner
C:\Users\machony79\AppData\Local\Temp*.html
C:\Users\machony79\AppData\Local\Temp\*.exe
Task: {6737BE01-983F-4D51-8CC5-B90D00CE9D0A} - System32\Tasks\0 => Iexplore.exe <==== ATTENTION
Task: {BB0A5276-D29D-48EE-AEF0-3222859C4938} - System32\Tasks\4794 => Wscript.exe C:\Users\MACHON~1\AppData\Local\Temp\launchie.vbs //B <==== ATTENTION
C:\Users\MACHON~1\AppData\Local\Temp\launchie.vbs

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.

#6

fixlog: http://wklej.org/id/1401566/

FRST: http://wklej.org/id/1401567/

#7

Skasuj folder C:\FRST

Pobierz TFC - Temp File Cleaner Uruchom TFC i kliknij Start.

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

http://wstaw.org/m/2014/03/25/2014-03-25_123039.png

Język PL > Settings > General Settings > Language > Polish

Odinstaluj:

Adobe Flash Player 11 ActiveX

Adobe Flash Player 11 Plugin

Adobe Reader 9

Adobe Shockwave Player 12.0

Java 7 Update 51

Java 6 Update 26

Microsoft Silverlight

Zainstaluj:

Java 7 Update 60

Adobe Reader

Flash Player 14.0.0.125 Internet Explorer i Plugin-based browsers

Silverlight 5.1.30214.0

#8

wszystko zrobione krok po kroku z powyższej listy i nic sie nie zmieniło.Zaraz po włączeniu kompa WMI Provider Host (WmiPrvSE.exe) skacze w procesach na menadżerze urządzeń.

#9

W takim razie napisz jaki program zainstalowałeś przed wystąpieniem problemu.

#10

właśnie nie instalowałem nic.Syn grał w gry OnLine.

#11

Sprawdź wpływ programów uruchamianych razem z systemem.

Start -> Uruchom (klawisz z logo Windows + R) -> wpisz: msconfig

  1. W zakładce Uruchamianie odznacz wszystkie pozycje i zrestartuj komputer.

  2. Jeżeli problem nadal występuje to przejdź do zakładki Usługi i zaznacz:

  • Ukryj wszystkie usługi firmy Microsoft

Teraz odznacz wszystkie pozycje i zrestartuj komputer.

#12

Już nie wiem gdzie jeszcze szukać.Może tak ma być.Może ktoś sprawdzi w swoim kompie.

U mnie WMI Provider Host (WmiPrvSE.exe) skacze od 0 do 5% max.użycia procesora.Jest to usługa sieciowa.

System to Win Vista 32Bity 

#13

Przecież napisałem w jaki sposób masz to sprawdzić.

Nikt nie sprawdzi na swoim komputerze, bo ten systemowy proces jest uruchamiany tylko w razie potrzeby, a najczęściej przyczyną jest jakiś działający program.

#14

To nie pomogło.

Sprawdzę jeszcze drugi punkt.