WMI Provider Host - CPU 20%; OTL logi

Cześć,

 

Od kilku dni mam problem z jakimś dziadostwem, wygląda to następująco:

  • proces WMI Provider Host zjada ok. 20% procesora

  • w Firefox co jakiś czas losowo jak kliknę wyskakuje mi okno play.quiz.com, yahoo i podobne.

 

Próbowałem już: Malwarebytes Anti-Malware, AdwCleaner. Poprawa w Firefoxie chwilowa, ale proces nadal zjada 20%.

 

Poniżej logi OTL, będę mega wdzięczny za pomoc.

 

 

http://www.wklej.org/id/1798394/

 

http://www.wklej.org/id/1798395/

Przeczytaj regulamin działu, bo nikt nie sprawdza logów z OTL.

Przepraszam, już poprawiam:

 

FRST:

http://www.wklej.org/id/1798422/

 

Addition:

http://www.wklej.org/id/1798423/

 

Shortcut:

http://www.wklej.org/id/1798425/

 

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses:
HKU\S-1-5-21-2266683934-1082594318-764997462-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\Łukasz\AppData\Local\Akamai\netsession_win.exe"
HKU\S-1-5-21-2266683934-1082594318-764997462-1001\...\Run: [SpybotPostWindows10UpgradeReInstall] => "C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe"
HKU\S-1-5-21-2266683934-1082594318-764997462-1001\...\RunOnce: [Uninstall C:\Users\Aukasz\AppData\Local\Microsoft\OneDrive\17.3.5907.0716_1\amd64] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Łukasz\AppData\Local\Microsoft\OneDrive\17.3.5907.0716_1\amd64"
AppInit_DLLs: C:\ProgramData\Itstock\MedKix.dll => C:\ProgramData\Itstock\MedKix.dll [883200 2015-09-11] ()
AppInit_DLLs-x32: C:\ProgramData\Itstock\HoldSolfan.dll => C:\ProgramData\Itstock\HoldSolfan.dll [738816 2015-09-11] ()
BootExecute: autocheck autochk * sdnclean64.exe
HKU\S-1-5-21-2266683934-1082594318-764997462-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCnu3MVwnRkDv93AbSylD8ltYQRVyHAcIgOCm3sCw7vd9z53sZFLO8Z_X9TsBnnDx8P0MKOuoDATL9FFdtoP8Yux2bRG-r3IKN1Hwjor2Cs3Pcv_a-P2_yrxcb0rHqRn2i4z-1d_5xueA,,&q={searchTerms}
HKU\S-1-5-21-2266683934-1082594318-764997462-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCnu3MVwnRkDv93AbSylD8ltYQRVyHAcIgOCm3sCw7vd9z53sZFLO8Z_X9TsBnnDx8P0MKOuoDATL9FFdtoP8Yux2bRG-r3IKN1Hwjor2Cs3Pcv_a-P2_yrxcb0rHqRn2i4z-1d_5xueA,,&q={searchTerms}
HKU\S-1-5-21-2266683934-1082594318-764997462-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCnu3MVwnRkDv93AbSylD8ltYQRVyHAcIgOCm3sCw7vd9z53sZFLO8Z_X9TsBnnDx8P0MKOuoDATL9FFdtoP8Yux2bRG-r3IKN1Hwjor2Cs3Pcv_a-P2_yrxcb0rHqRn2i4z-1d_5xueA,,&q={searchTerms}
CHR HKU\S-1-5-21-2266683934-1082594318-764997462-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
R2 Itstock; C:\ProgramData\Itstock\Itstock.exe [38400 2015-09-10] () [Brak podpisu cyfrowego]
S3 BCM42RLY; system32\drivers\BCM42RLY.sys [X]
S3 PCASp60; System32\Drivers\PCASp60.sys [X]
2015-09-17 16:05 - 2015-09-17 16:07 - 00000000 ____ D C:\AdwCleaner
2015-09-17 12:04 - 2015-09-17 12:04 - 02042328 _____ (iS3, Inc.) C:\Users\Łukasz\Downloads\STOPzillaPRO_Downloader.exe
2015-09-17 11:48 - 2015-09-17 11:48 - 00000000 ____ D C:\ProgramData\Itstocks
2015-09-11 23:37 - 2015-09-17 16:08 - 00000000 ____ D C:\ProgramData\Itstock
2015-09-16 19:23 - 2015-09-16 19:23 - 05635119 _____ (Swearware) C:\Users\Łukasz\Downloads\ComboFix(1).exe
2015-09-16 17:19 - 2015-09-16 18:24 - 00000000 ____ D C:\Program Files (x86)\Spybot - Search & Destroy 2
2015-09-16 17:19 - 2015-09-16 18:22 - 00000000 ____ D C:\ProgramData\Spybot - Search & Destroy
2015-09-16 17:19 - 2015-09-16 17:19 - 00000000 ____ D C:\WINDOWS\System32\Tasks\Safer-Networking
2015-09-16 17:18 - 2015-09-16 17:17 - 46525608 _____ (Safer-Networking Ltd. ) C:\Users\Łukasz\Downloads\spybot-2.4.exe
2015-09-16 17:15 - 2015-09-16 17:15 - 05635119 _____ (Swearware) C:\Users\Łukasz\Downloads\ComboFix.exe
2015-09-15 20:45 - 2015-09-15 20:45 - 03237248 _____ (Enigma Software Group USA, LLC.) C:\Users\Łukasz\Downloads\SpyHunter-Installer.exe
Task: {0BCA3C6E-E0DC-493F-852E-9A33663B45AE} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
Task: {505AE33E-8750-422D-B0EC-9091457D2019} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
Task: {5BDD26CC-885E-40C4-80AF-7BBA3A74D7E8} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
Task: {A27DBA98-DD0F-40CA-AED2-1DD9ED9CBF2E} - \AutoKMS -> Brak pliku <==== UWAGA
Task: {A76A3F7D-F656-48A4-8718-3F99C7799C10} - System32\Tasks\{3FFDA16C-1FCD-40D6-A7B9-B73DAD6BAD97} => pcalua.exe -a G:\autorun.exe -d G:\
Task: {B95A9EBD-F901-4A8D-8833-0AC3CB0B199A} - \Microsoft\Windows\Setup\GWXTriggers\Time-3xd -> Brak pliku <==== UWAGA
Task: {BDDC07BF-DAD9-4D59-BE46-2CE2F77A3FBB} - System32\Tasks\{A1EDA76E-E09F-42F2-A003-B63C486028AA} => pcalua.exe -a G:\setup.exe -d G:\
Task: {FDFF15D0-D813-4A35-B423-7913A446499F} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe
EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.

Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.

Załączam FRST:

 

http://www.wklej.org/id/1798640/

 

 

Co udało się zweryfikować zaraz po uruchomieniu komputera - proces zużywa 0% procesora :smiley:

Wszedłem też na stronę, gdzie wyskakiwały różne wynalazki - teraz jest OK.

 

 

Dzięki!

Skasuj folder C:\FRST

Odinstaluj Java 8 Update 31.

Wszystko śmiga, aż miło.

Jeszcze raz dzięki :slight_smile: