Forum PCLab.pl: 100% użycia procesora - nie można wyłączyć procesu - Forum PCLab.pl

Skocz do zawartości


Otwarty

Ikona Najnowsze pliki

Strona 1 z 1
  • Nie możesz rozpocząć nowego tematu
  • Nie możesz odpowiadać w tym temacie

100% użycia procesora - nie można wyłączyć procesu Proces jest 'nieuchwytny'- włącza się wyłącza, stąd jest nie d Oceń temat: -----

#1 Użytkownik jest niedostępny   S4jm0n Ikona

  • Dyskutant
  • PipPip
  • Grupa: Forumowicze
  • Postów: 60
  • Dołączył: Nd, 23 Paź 05

Napisany 16 Sierpień 2012 - 17:29

Witam,
o podobnych przypadkach można sporo znaleźć w internecie, próbowałem różnych metod, niestety bezskutecznie.
Problem dzieje się na laptopie mojej kobiety, nie za dobrze go znam (lapka) ale postaram się napisać wszystko co wiem. Sytuacja 100%-go zużycia procesora non-stop wystąpiła po uruchomieniu jakiegoś keygena do Illustratora. Aktualnie od razu po uruchomieniu systemu (także w trybie awaryjnym) kursor jest cały czas w stanie "zajęty", a w Menedżerze zadań zużycie procesora generuje proces: aiblpywb.exe. Nie da rady go zamknąć, bo pojawia się on i znika na tyle szybko... no że właśnie nie da się go zatrzymać.

Oczywiście jak już wspomniałem, próbowałem różnych metod, a więc także i Combofixa, za co wiem, że powinienem dostać po łbie ale cóż - na konkretne porady postępowania w takich przypadkach trafiłem dopiero po czasie, teraz jestem już świadom popełnionych grzechów, Combofix to nie młotek żeby go używać zawsze i wszędzie

Combofix mimo wszystko nie chciał ruszyć. Generalnie blokowane jest w jakiś sposób uruchamianie wielu programów jak np. Malwarebytes. Combofix udało się uruchomić za którymś razem, a to w trybie awaryjnym, to potem znowu w trybie normalnym, aż w końcu ruszył. Podłączenia do netu nie ma, konsoli odzyskiwania nie ma, combofix błędu nie naprawił ale i sprawy nie pogorszył - przynajmniej na pierwszy rzut oka bowiem nic gorszego dziać się nie zaczęło.

Potem był OLT w trybie sprzątania - także bez skutków.

Kilka słów jeszcze o systemie. Jak wskazują logi - Win XP SP2. Jest na nim chyba jakaś nakładka bo uruchamiając Menedzer zadań, widnieje logo Windows Vista, a w rogu CrystalXP.net. Fizycznych napędów brak - dvd kiedyś było, ale się popsuło. Z tego co widzę, jakieś wirtualne napędy są. Wyłączyłem je za pośrednictwem menedżera urzadzeń jakby to coś miało dać, ale nie dało
Aha, msconfig'a uruchomić poprzez start->uruchom też nie mogę.

Wklejam logi, mam nadzieję, że będziecie w stanie mi pomóc.

Log z OTL:
http://www.wklej.org/id/811893/

OTL Extras:
http://www.wklej.org/id/811895/

Log z RootRepeal:
http://www.wklej.org/id/811896/
Może istotna informacja - po wybraniu opcji do zeskanowania, nie wyskoczyło mi okno z możliwością zaznaczenia 'all drivers' - proces skanowania się uruchomił od razu.


Myślę, że sprawa by się rozwiązała, gdybym tylko mógł ten proces jakoś zabić i usunąć plik exe - znajduje się on na C:/Documents & Settings/User/Temp. Ma dokładnie taką samą nazwę jak proces - aiblpywb.exe. Usunąć oczywiście nie da rady, bo jest uruchomiony.
Nie mogę go zabić przy pomocy żadnego z programów do zatrzymywania procesów czy np. za pośrednictwem konsoli CMD bo, co chwila zmienia on swoje ID (które np. trzeba wpisać w konsoli). Tak jakby uruchamiał się, zamykał i ponownie uruchamiał.
W trybie awaryjnym także się uruchamia. Myślałem o wrzuceniu płytki windy, uruchomieniu kompa z wiersza poleceń no ale... no ale nie ma lapek fizycznego napędu Jakieś pomysły jak zatrzymać i usunąć tego dziada?

Próbowałem także bootować komputer z USB - w DOSie jednak nie wykrywa pozostałych dysków kompa, mogę tylko skakać po kluczu USB, do którego przypisana jest litera C:. Odpalałem DOS Navigatora - też nie znajduje innych dysków.

Stworzyłem więc jeszcze bootowalnego XPka według wskazówek stąd: http://forum.cdrinfo...pendrive-60354/
Ale niestety nie bootuje mi się lapek z tak wykonanego klucza usb.

Macie jakieś pomysły jak mogę pozbyć się tego dziada?

#2 Użytkownik jest niedostępny   agent_x007 Ikona

  • Mad man with a box
  • Ikona
  • Grupa: Moderatorzy lokalni
  • Postów: 8029
  • Dołączył: Cz, 19 Mar 09

Napisany 16 Sierpień 2012 - 17:39

Lapek może się nie bootować, ponieważ nie zaznaczyłeś w BIOSie (albo za pomocą klawisza F8 ?), że może uruchamiać się z USB. Jak masz teraz ustawioną sekwencję rozruchu (list napędów) ?

Czy możesz włączyć program do edycji rejestru systemowego (tj. "regedit" w poleceniu uruchom) ?
Jeżeli tak, to powinieneś być wstanie usunąć wszelkie wzmianki o tym programie (lub pliku) w rejestrze, a wtedy nie będzie on istniał dla systemu operacyjnego = będziesz mógł go usunąć.

Ten post był edytowany przez agent_x007 dnia: 16 Sierpień 2012 - 17:40


#3 Użytkownik jest niedostępny   MaxWar Ikona

  • Gaduła
  • PipPipPip
  • Grupa: Forumowicze
  • Postów: 244
  • Dołączył: So, 26 Cze 10

Napisany 16 Sierpień 2012 - 17:41

Konkretny formacik , jeżeli bios ma taką opcje rozruch z USB/CD-ROM USB/HDD to polecam.
a)Zainwestować w kieszeń 3,5" - Znajdziesz na alledrogo.pl
b)Podłączyć jakąś starą nagryware nawet to cd być może.
c)Cieszyć się instalacją systemu.
Uwaga ta metoda jest dosyć kosztowna bo trzeba kupić kieszeń na dysk twardy a taki cd-rom to za grosze. Może podziała , testowałem to na wielu kompach i instalacja przez usb z napędu który jest podpięty zamiast hdd sprawdza się wyśmienicie. Zero problemów , tylko pamiętaj czy masz podobne opcje w biosie. Niestety bios typowo laptopowy pewnie więc nie wywróżę dużo dwie opcje na krzyż i raczej marnie to wygląda. Ale jeżeli coś takiego jest to polecam spróbować. "win"DOS Ci nic wie wykryje bo niefortunnie nie obsługuje on NTFS , chyba FAT32 już tak ale NTFS niestety nie. Trzymaj się.

#4 Użytkownik jest niedostępny   filutka78 Ikona

  • Uzależniony od forum
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 10914
  • Dołączył: Pn, 15 Lis 10

Napisany 16 Sierpień 2012 - 17:53

Do >SystemLook wklej:

Cytuj

:filefind
aiblpywb.exe
seqre.dll
iagnnwuu.exe

:file
c:\Documents and Settings\User\Temp\aiblpywb.exe
C:\WINDOWS\system32\seqre.dll

:regfind
aiblpywb.exe
seqre.dll
iagnnwuu.exe
awobdwle

:dir
C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\awobdwle


Naciśnij Look i pokaż raport.

F.

#5 Użytkownik jest niedostępny   S4jm0n Ikona

  • Dyskutant
  • PipPip
  • Grupa: Forumowicze
  • Postów: 60
  • Dołączył: Nd, 23 Paź 05

Napisany 16 Sierpień 2012 - 18:02

agent_x007 - ustawienia w BIOSie zmienione, w końcu z USB udało mi się zbootować w trybie DOS, tyle że to niewiele pomogło. Rejestr mogę uruchomić. Przeszukałem go w poszukiwaniu tego pliku. Znalazł owego aiblpywb.exe, usunąłem wpis. Przeszukałem ponownie, więcej nie znalazł. Uruchomiłem ponownie komputer, ponownie to samo, ponownie ten sam plik w tym samym miejscu, ponownie mogę go usunąć z rejestru ale tak można bez końca.

MaxWar - format nie wchodzi w grę. Kupno jak na razie czegokolwiek też nie - jesteśmy przez tydzień w UK i próbuję tymczasowo jak najszybciej zwalczyć problem :/

Tworzę bootowalnego z usb XP innym sposobem...

#6 Użytkownik jest niedostępny   S4jm0n Ikona

  • Dyskutant
  • PipPip
  • Grupa: Forumowicze
  • Postów: 60
  • Dołączył: Nd, 23 Paź 05

Napisany 16 Sierpień 2012 - 18:31

Zobacz postfilutka78, o 16 Sierpień 2012 - 18:53, napisał(a):

Do >SystemLook wklej:

Naciśnij Look i pokaż raport.

F.


Skanowanie zostaje przerwane po jakimś czasie, brak raportu :/ Spróbuję jeszcze w trybie awaryjnym, pokombinuję żeby ten skan jednak zrobić.

EDIT:
Udało mi się wykonać bootowalny usb z XP. Wszedłem w konsole odzyskiwania ale nie mogę dostać się do Documents and Settings - odmowa dostępu :/

Ten post był edytowany przez S4jm0n dnia: 16 Sierpień 2012 - 18:39


#7 Użytkownik jest niedostępny   S4jm0n Ikona

  • Dyskutant
  • PipPip
  • Grupa: Forumowicze
  • Postów: 60
  • Dołączył: Nd, 23 Paź 05

Napisany 16 Sierpień 2012 - 18:53

Ok, udało się wykonać skan (o dziwo trwał zaledwie parę sekund) i jest raport:

SystemLook 30.07.11 by jpshortstuff
Log created at 19:51 on 16/08/2012 by User
Administrator - Elevation successful

No Context: SystemLook 30.07.11 by jpshortstuff

No Context: Log created at 19:29 on 16/08/2012 by User

No Context: Administrator - Elevation successful

No Context: ========== filefind ==========

No Context: Searching for "aiblpywb.exe"

No Context: C:\Documents and Settings\User\Temp\aiblpywb.exe	--a-s-- 119151 bytes	[19:54 15/08/2012]	[18:10 15/08/2012] 2DA4C6882B9035C858BE9959536B302C

No Context: Searching for "seqre.dll"

No Context: No files found.

No Context: Searching for "iagnnwuu.exe"

No Context: No files found.

No Context: ========== file ==========

No Context: c:\Documents and Settings\User\Temp\aiblpywb.exe - File found and opened.

No Context: MD5: 2DA4C6882B9035C858BE9959536B302C

No Context: Created at 19:54 on 15/08/2012

No Context: Modified at 18:10 on 15/08/2012

No Context: Size: 119151 bytes

No Context: Attributes: --a-s--

No Context: No version information available.

No Context: C:\WINDOWS\system32\seqre.dll  - Unable to find/read file.

No Context: ========== regfind ==========

No Context: Searching for "aiblpywb.exe"

-= EOF =-


#8 Użytkownik jest niedostępny   filutka78 Ikona

  • Uzależniony od forum
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 10914
  • Dołączył: Pn, 15 Lis 10

Napisany 16 Sierpień 2012 - 19:02

Niczego to nie wyjaśniło.
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

Cytuj

:OTL
MOD - [2012-08-15 20:10:07 | 000,119,151 | --S- | M] () -- c:\Documents and Settings\User\Temp\aiblpywb.exe
SRV - [2007-03-25 01:17:59 | 000,167,403 | RHS- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\seqre.dll -- (mtpxlgfzr)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim....3.1010000&st=10
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweeti...q={searchTerms}
IE - HKU\S-1-5-21-1960408961-1580818891-839522115-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim....3.1010000&st=10
IE - HKU\S-1-5-21-1960408961-1580818891-839522115-1001\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweeti...q={searchTerms}
FF - prefs.js..browser.search.defaultenginename: "SweetIM Search"
FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com/?crg=3.1010000&st=10"
FFF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
O4 - HKU\S-1-5-21-1960408961-1580818891-839522115-1001..\Run: [IagNnwuu] C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\awobdwle\iagnnwuu.exe File not found
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/...indows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.ma...t/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} http://java.sun.com/...indows-i586.cab (Java Plug-in 1.5.0_09)
O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} http://java.sun.com/...indows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/...indows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.ad...Plus/1.6/gp.cab (Reg Error: Key error.)
O20 - HKLM Winlogon: UserInit - (C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\awobdwle\iagnnwuu.exe) - C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\awobdwle\iagnnwuu.exe File not found
NetSvcs: mtpxlgfzr - C:\WINDOWS\system32\seqre.dll ()

:Files
C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\awobdwle

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"

:Commands
[emptytemp]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Scriptem.

F.

#9 Użytkownik jest niedostępny   Kiciuk Ikona

  • #elinmasterrace
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 2662
  • Dołączył: Pn, 02 Lip 12

Napisany 16 Sierpień 2012 - 19:06

filutko może to ramnit ?

#10 Użytkownik jest niedostępny   filutka78 Ikona

  • Uzależniony od forum
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 10914
  • Dołączył: Pn, 15 Lis 10

Napisany 16 Sierpień 2012 - 19:17

Zobacz postConor29134, o 16 Sierpień 2012 - 21:06, napisał(a):

filutko może to ramnit ?

Wg mojej wiedzy Ramnit lokuje swój obiekt w "Program Files", a nie w Documents and Settings\User\Ustawienia lokalne\Dane aplikacji, choć też w kluczu "userinit".
W ostateczności można na wszelki wypadek sprawdzić używając KVRT, ale Kaspersky przestał udostępniać to narzędzie za darmo.
Można pobrać tylko starą wersję > http://www.mediafire...3xy96va05setcmq

F.

#11 Użytkownik jest niedostępny   S4jm0n Ikona

  • Dyskutant
  • PipPip
  • Grupa: Forumowicze
  • Postów: 60
  • Dołączył: Nd, 23 Paź 05

Napisany 16 Sierpień 2012 - 19:49

Tak wygląda raport po wykonaniu skryptu (niestety proces wciąż się uruchamia ;/ ):
http://www.wklej.org/id/812388/

Tak wygląda raport po przeskanowaniu OLT po ponownym uruchomieniu kompa z opcjami: Wszyscy użytkownicy, Infekcja LOP, Infekcja Purity:
http://www.wklej.org/id/812391/

Ściągnąłem podlinkowany program, spróbuję nim coś zawalczyć... dzięki Panowie za pomoc.

#12 Użytkownik jest niedostępny   Kiciuk Ikona

  • #elinmasterrace
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 2662
  • Dołączył: Pn, 02 Lip 12

Napisany 16 Sierpień 2012 - 20:14

------------------------->@Filutka
Nie tylko.
Wpis z zarażonego komputera:
O20 - HKCU Winlogon: Shell - (C:\Documents and Settings\Uzytkownik\Dane aplikacji\C8255\B58A5.exe) - C:\Documents and Settings\Uzytkownik\Dane aplikacji\C8255\B58A5.exe ()


Link do tematu
http://peb.pl/logi-d...ity-shield.html

Drugi w którym był w program files ale po usunięciu
O20 - HKLM Winlogon: UserInit - (C:\Program Files\advcusdm\ignofvma.exe) -  File not found


------------------------------>@S4jm0n
Taka wzmianka filutka jak nazwa wskazuje jest kobietą

Pozatym siedzi nadal w modułach.
Oprócz KVRT można jeszcze użyć KAspersky wirus removal tool bo radzi sobie także z zianfekowanymi html-ami które też ramnit infekuje

#13 Użytkownik jest niedostępny   S4jm0n Ikona

  • Dyskutant
  • PipPip
  • Grupa: Forumowicze
  • Postów: 60
  • Dołączył: Nd, 23 Paź 05

Napisany 16 Sierpień 2012 - 20:28

Zobacz postConor29134, o 16 Sierpień 2012 - 21:14, napisał(a):

------------------------------>@S4jm0n
Taka wzmianka filutka jak nazwa wskazuje jest kobietą

Pozatym siedzi nadal w modułach.
Oprócz KVRT można jeszcze użyć KAspersky wirus removal tool bo radzi sobie także z zianfekowanymi html-ami które też ramnit infekuje

Ups, zatem przepraszam ;)
Dziękuję zatem Panie i Panowie, że pomagacie.
A KVRT i Kaspersky Virus Removal Tool to nie to samo? ;)
Właśnie skanuje go tym Virus Removalem, jak na razie po pół godziny - 8%.

#14 Użytkownik jest niedostępny   Kiciuk Ikona

  • #elinmasterrace
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 2662
  • Dołączył: Pn, 02 Lip 12

Napisany 16 Sierpień 2012 - 20:31

Mój bład :E
Jeżeli będzie wykrywał coś o nazwie nimnul to jest właśnie ramnit.
Wykrył cokolwiek ?

#15 Użytkownik jest niedostępny   S4jm0n Ikona

  • Dyskutant
  • PipPip
  • Grupa: Forumowicze
  • Postów: 60
  • Dołączył: Nd, 23 Paź 05

Napisany 16 Sierpień 2012 - 21:53

Jak do tej pory nic nie wykrył. 23%, póki co wszystko OK w szczegółach skanowania.

#16 Użytkownik jest niedostępny   S4jm0n Ikona

  • Dyskutant
  • PipPip
  • Grupa: Forumowicze
  • Postów: 60
  • Dołączył: Nd, 23 Paź 05

Napisany 17 Sierpień 2012 - 12:27

Przeskanowałem go parę razy. Za pierwszym razem efekty były najbardziej obiecujące ALE...
Przy ok. 46% chciał reset aby usunąć aktywne zagrożenia. Zgodziłem się. Świadomie zgodziłem się także na usunięcie 'notepad.exe' - pomyślałem, że skoro zainfekowany no to niech usuwa, doinstaluje "się" jakoś ;)
Uruchomił kompa ponownie, porobił jakieś tam swoje zabiegi, poinformował, że zakończył ale okienka z tym komunikatem zamknąć nie mogłem (przycisk zamknij był podświetlony na szaro - nie aktywny). W każdym razie dziada chyba nie było już, bo kursor był normalny (nie w trybie "myślenia" jak ma to miejsce teraz przez cały czas) a komp chodził dobrze. Nie mogłem jednak uruchomić menedżera zadań, nie mogłem także normalnie uruchomić komputer ponownie. Nie reagował po prostu na te czynności, pomimo wybierania "Uruchom Ponownie", czy wciskania Ctrl+Alt+Del. Musiałem więc go wyłączyć przymusowo. Po uruchomieniu problem wrócił. Przeskanowałem go jeszcze parę razy, bezskutecznie :/ Przesyłam raporty ze skanowania.
http://www.wklej.org/id/812756/

BTW: Jak zainstalować ponownie notatnik? ;) Da radę jakoś bez płyty instalacyjnej XP bo z tego bootowalnego klucza USB to coś mi nie idzie instalacja tego.

Ten post był edytowany przez S4jm0n dnia: 17 Sierpień 2012 - 12:56


#17 Użytkownik jest niedostępny   Kiciuk Ikona

  • #elinmasterrace
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 2662
  • Dołączył: Pn, 02 Lip 12

Napisany 17 Sierpień 2012 - 15:07

Start>Uruchom>wpisujesz
sfc /scannow

Strona 1 z 1
  • Nie możesz rozpocząć nowego tematu
  • Nie możesz odpowiadać w tym temacie

1 Użytkowników czyta ten temat
0 użytkowników, 1 gości, 0 anonimowych