Skocz do zawartości

Temat został przeniesiony do archiwum

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

S4jm0n

100% użycia procesora - nie można wyłączyć procesu

Rekomendowane odpowiedzi

Witam,

o podobnych przypadkach można sporo znaleźć w internecie, próbowałem różnych metod, niestety bezskutecznie.

Problem dzieje się na laptopie mojej kobiety, nie za dobrze go znam (lapka) ale postaram się napisać wszystko co wiem. Sytuacja 100%-go zużycia procesora non-stop wystąpiła po uruchomieniu jakiegoś keygena do Illustratora. Aktualnie od razu po uruchomieniu systemu (także w trybie awaryjnym) kursor jest cały czas w stanie "zajęty", a w Menedżerze zadań zużycie procesora generuje proces: aiblpywb.exe. Nie da rady go zamknąć, bo pojawia się on i znika na tyle szybko... no że właśnie nie da się go zatrzymać.

 

Oczywiście jak już wspomniałem, próbowałem różnych metod, a więc także i Combofixa, za co wiem, że powinienem dostać po łbie ale cóż - na konkretne porady postępowania w takich przypadkach trafiłem dopiero po czasie, teraz jestem już świadom popełnionych grzechów, Combofix to nie młotek żeby go używać zawsze i wszędzie

 

Combofix mimo wszystko nie chciał ruszyć. Generalnie blokowane jest w jakiś sposób uruchamianie wielu programów jak np. Malwarebytes. Combofix udało się uruchomić za którymś razem, a to w trybie awaryjnym, to potem znowu w trybie normalnym, aż w końcu ruszył. Podłączenia do netu nie ma, konsoli odzyskiwania nie ma, combofix błędu nie naprawił ale i sprawy nie pogorszył - przynajmniej na pierwszy rzut oka bowiem nic gorszego dziać się nie zaczęło.

 

Potem był OLT w trybie sprzątania - także bez skutków.

 

Kilka słów jeszcze o systemie. Jak wskazują logi - Win XP SP2. Jest na nim chyba jakaś nakładka bo uruchamiając Menedzer zadań, widnieje logo Windows Vista, a w rogu CrystalXP.net. Fizycznych napędów brak - dvd kiedyś było, ale się popsuło. Z tego co widzę, jakieś wirtualne napędy są. Wyłączyłem je za pośrednictwem menedżera urzadzeń jakby to coś miało dać, ale nie dało

Aha, msconfig'a uruchomić poprzez start->uruchom też nie mogę.

 

Wklejam logi, mam nadzieję, że będziecie w stanie mi pomóc.

 

Log z OTL:

http://www.wklej.org/id/811893/

 

OTL Extras:

http://www.wklej.org/id/811895/

 

Log z RootRepeal:

http://www.wklej.org/id/811896/

Może istotna informacja - po wybraniu opcji do zeskanowania, nie wyskoczyło mi okno z możliwością zaznaczenia 'all drivers' - proces skanowania się uruchomił od razu.

 

 

Myślę, że sprawa by się rozwiązała, gdybym tylko mógł ten proces jakoś zabić i usunąć plik exe - znajduje się on na C:/Documents & Settings/User/Temp. Ma dokładnie taką samą nazwę jak proces - aiblpywb.exe. Usunąć oczywiście nie da rady, bo jest uruchomiony.

Nie mogę go zabić przy pomocy żadnego z programów do zatrzymywania procesów czy np. za pośrednictwem konsoli CMD bo, co chwila zmienia on swoje ID (które np. trzeba wpisać w konsoli). Tak jakby uruchamiał się, zamykał i ponownie uruchamiał.

W trybie awaryjnym także się uruchamia. Myślałem o wrzuceniu płytki windy, uruchomieniu kompa z wiersza poleceń no ale... no ale nie ma lapek fizycznego napędu Jakieś pomysły jak zatrzymać i usunąć tego dziada?

 

Próbowałem także bootować komputer z USB - w DOSie jednak nie wykrywa pozostałych dysków kompa, mogę tylko skakać po kluczu USB, do którego przypisana jest litera C:. Odpalałem DOS Navigatora - też nie znajduje innych dysków.

 

Stworzyłem więc jeszcze bootowalnego XPka według wskazówek stąd: http://forum.cdrinfo...pendrive-60354/

Ale niestety nie bootuje mi się lapek z tak wykonanego klucza usb.

 

Macie jakieś pomysły jak mogę pozbyć się tego dziada?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Lapek może się nie bootować, ponieważ nie zaznaczyłeś w BIOSie (albo za pomocą klawisza F8 ?), że może uruchamiać się z USB. Jak masz teraz ustawioną sekwencję rozruchu (list napędów) ?

 

Czy możesz włączyć program do edycji rejestru systemowego (tj. "regedit" w poleceniu uruchom) ?

Jeżeli tak, to powinieneś być wstanie usunąć wszelkie wzmianki o tym programie (lub pliku) w rejestrze, a wtedy nie będzie on istniał dla systemu operacyjnego = będziesz mógł go usunąć.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Konkretny formacik , jeżeli bios ma taką opcje rozruch z USB/CD-ROM USB/HDD to polecam.

a)Zainwestować w kieszeń 3,5" - Znajdziesz na alledrogo.pl

b)Podłączyć jakąś starą nagryware nawet to cd być może.

c)Cieszyć się instalacją systemu.

Uwaga ta metoda jest dosyć kosztowna bo trzeba kupić kieszeń na dysk twardy a taki cd-rom to za grosze. Może podziała , testowałem to na wielu kompach i instalacja przez usb z napędu który jest podpięty zamiast hdd sprawdza się wyśmienicie. Zero problemów , tylko pamiętaj czy masz podobne opcje w biosie. Niestety bios typowo laptopowy pewnie więc nie wywróżę dużo dwie opcje na krzyż i raczej marnie to wygląda. Ale jeżeli coś takiego jest to polecam spróbować. "win"DOS Ci nic wie wykryje bo niefortunnie nie obsługuje on NTFS , chyba FAT32 już tak ale NTFS niestety nie. Trzymaj się.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Do >SystemLook wklej:

:filefind

aiblpywb.exe

seqre.dll

iagnnwuu.exe

 

:file

c:\Documents and Settings\User\Temp\aiblpywb.exe

C:\WINDOWS\system32\seqre.dll

 

:regfind

aiblpywb.exe

seqre.dll

iagnnwuu.exe

awobdwle

 

:dir

C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\awobdwle

 

Naciśnij Look i pokaż raport.

 

F.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

agent_x007 - ustawienia w BIOSie zmienione, w końcu z USB udało mi się zbootować w trybie DOS, tyle że to niewiele pomogło. Rejestr mogę uruchomić. Przeszukałem go w poszukiwaniu tego pliku. Znalazł owego aiblpywb.exe, usunąłem wpis. Przeszukałem ponownie, więcej nie znalazł. Uruchomiłem ponownie komputer, ponownie to samo, ponownie ten sam plik w tym samym miejscu, ponownie mogę go usunąć z rejestru ale tak można bez końca.

 

MaxWar - format nie wchodzi w grę. Kupno jak na razie czegokolwiek też nie - jesteśmy przez tydzień w UK i próbuję tymczasowo jak najszybciej zwalczyć problem :/

 

Tworzę bootowalnego z usb XP innym sposobem...

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Do >SystemLook wklej:

 

Naciśnij Look i pokaż raport.

 

F.

 

Skanowanie zostaje przerwane po jakimś czasie, brak raportu :/ Spróbuję jeszcze w trybie awaryjnym, pokombinuję żeby ten skan jednak zrobić.

 

EDIT:

Udało mi się wykonać bootowalny usb z XP. Wszedłem w konsole odzyskiwania ale nie mogę dostać się do Documents and Settings - odmowa dostępu :/

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Ok, udało się wykonać skan (o dziwo trwał zaledwie parę sekund) i jest raport:

 

SystemLook 30.07.11 by jpshortstuff
Log created at 19:51 on 16/08/2012 by User
Administrator - Elevation successful

No Context: SystemLook 30.07.11 by jpshortstuff

No Context: Log created at 19:29 on 16/08/2012 by User

No Context: Administrator - Elevation successful

No Context: ========== filefind ==========

No Context: Searching for "aiblpywb.exe"

No Context: C:\Documents and Settings\User\Temp\aiblpywb.exe	--a-s-- 119151 bytes	[19:54 15/08/2012]	[18:10 15/08/2012] 2DA4C6882B9035C858BE9959536B302C

No Context: Searching for "seqre.dll"

No Context: No files found.

No Context: Searching for "iagnnwuu.exe"

No Context: No files found.

No Context: ========== file ==========

No Context: c:\Documents and Settings\User\Temp\aiblpywb.exe - File found and opened.

No Context: MD5: 2DA4C6882B9035C858BE9959536B302C

No Context: Created at 19:54 on 15/08/2012

No Context: Modified at 18:10 on 15/08/2012

No Context: Size: 119151 bytes

No Context: Attributes: --a-s--

No Context: No version information available.

No Context: C:\WINDOWS\system32\seqre.dll  - Unable to find/read file.

No Context: ========== regfind ==========

No Context: Searching for "aiblpywb.exe"

-= EOF =-

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Niczego to nie wyjaśniło.

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL

MOD - [2012-08-15 20:10:07 | 000,119,151 | --S- | M] () -- c:\Documents and Settings\User\Temp\aiblpywb.exe

SRV - [2007-03-25 01:17:59 | 000,167,403 | RHS- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\seqre.dll -- (mtpxlgfzr)

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=3.1010000&st=10

IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}

IE - HKU\S-1-5-21-1960408961-1580818891-839522115-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=3.1010000&st=10

IE - HKU\S-1-5-21-1960408961-1580818891-839522115-1001\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}

FF - prefs.js..browser.search.defaultenginename: "SweetIM Search"

FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com/?crg=3.1010000&st=10"

FFF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found

O4 - HKU\S-1-5-21-1960408961-1580818891-839522115-1001..\Run: [iagNnwuu] C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\awobdwle\iagnnwuu.exe File not found

O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html File not found

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)

O16 - DPF: {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_09-windows-i586.cab (Java Plug-in 1.5.0_09)

O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)

O20 - HKLM Winlogon: UserInit - (C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\awobdwle\iagnnwuu.exe) - C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\awobdwle\iagnnwuu.exe File not found

NetSvcs: mtpxlgfzr - C:\WINDOWS\system32\seqre.dll ()

 

:Files

C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\awobdwle

 

:Reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\WINDOWS\system32\userinit.exe,"

 

:Commands

[emptytemp]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Scriptem.

 

F.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

filutko może to ramnit ?

Wg mojej wiedzy Ramnit lokuje swój obiekt w "Program Files", a nie w Documents and Settings\User\Ustawienia lokalne\Dane aplikacji, choć też w kluczu "userinit".

W ostateczności można na wszelki wypadek sprawdzić używając KVRT, ale Kaspersky przestał udostępniać to narzędzie za darmo.

Można pobrać tylko starą wersję > http://www.mediafire.com/?3xy96va05setcmq

 

F.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Tak wygląda raport po wykonaniu skryptu (niestety proces wciąż się uruchamia ;/ ):

http://www.wklej.org/id/812388/

 

Tak wygląda raport po przeskanowaniu OLT po ponownym uruchomieniu kompa z opcjami: Wszyscy użytkownicy, Infekcja LOP, Infekcja Purity:

http://www.wklej.org/id/812391/

 

Ściągnąłem podlinkowany program, spróbuję nim coś zawalczyć... dzięki Panowie za pomoc.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

------------------------->@Filutka

Nie tylko.

Wpis z zarażonego komputera:

O20 - HKCU Winlogon: Shell - (C:\Documents and Settings\Uzytkownik\Dane aplikacji\C8255\B58A5.exe) - C:\Documents and Settings\Uzytkownik\Dane aplikacji\C8255\B58A5.exe ()

 

Link do tematu

http://peb.pl/logi-do-sprawdzenia/1253659-logi-do-sprawdzenia-security-shield.html

 

Drugi w którym był w program files ale po usunięciu

O20 - HKLM Winlogon: UserInit - (C:\Program Files\advcusdm\ignofvma.exe) -  File not found

 

------------------------------>@S4jm0n

Taka wzmianka filutka jak nazwa wskazuje jest kobietą

 

Pozatym siedzi nadal w modułach.

Oprócz KVRT można jeszcze użyć KAspersky wirus removal tool bo radzi sobie także z zianfekowanymi html-ami które też ramnit infekuje

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

------------------------------>@S4jm0n

Taka wzmianka filutka jak nazwa wskazuje jest kobietą

 

Pozatym siedzi nadal w modułach.

Oprócz KVRT można jeszcze użyć KAspersky wirus removal tool bo radzi sobie także z zianfekowanymi html-ami które też ramnit infekuje

Ups, zatem przepraszam ;)

Dziękuję zatem Panie i Panowie, że pomagacie.

A KVRT i Kaspersky Virus Removal Tool to nie to samo? ;)

Właśnie skanuje go tym Virus Removalem, jak na razie po pół godziny - 8%.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Mój bład :E

Jeżeli będzie wykrywał coś o nazwie nimnul to jest właśnie ramnit.

Wykrył cokolwiek ?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jak do tej pory nic nie wykrył. 23%, póki co wszystko OK w szczegółach skanowania.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Przeskanowałem go parę razy. Za pierwszym razem efekty były najbardziej obiecujące ALE...

Przy ok. 46% chciał reset aby usunąć aktywne zagrożenia. Zgodziłem się. Świadomie zgodziłem się także na usunięcie 'notepad.exe' - pomyślałem, że skoro zainfekowany no to niech usuwa, doinstaluje "się" jakoś ;)

Uruchomił kompa ponownie, porobił jakieś tam swoje zabiegi, poinformował, że zakończył ale okienka z tym komunikatem zamknąć nie mogłem (przycisk zamknij był podświetlony na szaro - nie aktywny). W każdym razie dziada chyba nie było już, bo kursor był normalny (nie w trybie "myślenia" jak ma to miejsce teraz przez cały czas) a komp chodził dobrze. Nie mogłem jednak uruchomić menedżera zadań, nie mogłem także normalnie uruchomić komputer ponownie. Nie reagował po prostu na te czynności, pomimo wybierania "Uruchom Ponownie", czy wciskania Ctrl+Alt+Del. Musiałem więc go wyłączyć przymusowo. Po uruchomieniu problem wrócił. Przeskanowałem go jeszcze parę razy, bezskutecznie :/ Przesyłam raporty ze skanowania.

http://www.wklej.org/id/812756/

 

BTW: Jak zainstalować ponownie notatnik? ;) Da radę jakoś bez płyty instalacyjnej XP bo z tego bootowalnego klucza USB to coś mi nie idzie instalacja tego.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

  • Tematy

  • Odpowiedzi

    • NO zgadza się  ,ale oni nagrywają w miejscach publicznych takich jak  ulica ,dworzec ,park .... czy ktoś nagrywa filmy latając  dronem po prywatnych domach i zagląda ludziom na posesje co robią  czy jakaś laska się opala na leżaczku  ,co  kto na grillu  piecze   itp itd ? nie . Autobus  np Flixbus  to tez miejsce publiczne ,pociąg /metro również  ,centrum handlowe  również ..... chociaż niektóre sklepy zabraniają nagrywania /zdjęć w środku .   Ta ostatnio popularne nagrywanie Policji podczas interwencji ... owszem można bo to funkcjonariusz publiczny  ,ale nie można bez jego zgody  upubliczniać  tego nagrania w mediach .I coraz więcej  taki upublicznionych nagrań  trafia pod sąd  ,policjanci pozywają (prywatnie) autorów  za naruszenie wizerunku  i wygrywają  te sprawy .   Kilka lat temu kuzyn nagrał na osiedlu   w  Zabrzu pirata  drogowego ,typ mieszkał też na tym osiedlu ale lubił sobie przygazować i przy  ograniczeniu 30km/h   jeździł dużo  szybciej . Kuzyn go  nagrał  wideorejestratorem jak go wyprzedza przed przejsciem dla pieszych i na ograniczeniu 30km/h  wrzucił film na lokalne forum . Lokalni działacze ,chyba jjakiś  radny skierował sprawę na policję z tym nagraniem  ,sprawa w sądzie ..  2 miesiące później  kuzyn  zostaje pozwany przez    sprawcę za naruszenie wizerunku  itp itd  ... sprawa  w sądzie  . Fakt ze skończyło się  ugodą miedzy piratem  ,a kuzynem  ,ale finalnie kuzyna kosztowało to  6000tys  ,pirat w prawdzie został skazany  za  wykroczenia drogowe ,ale sprawę za naruszenie wizerunku wygrał ,a uzasadnienie sądu było takie ze  materiał został upubliczniony bez zgody nagranego  co stanowiło naruszenie jego  dobrego wizerunku ,oraz wywołało falę  hejtu  w jego stronę ....    
    • Dokładnie tak. I ładnych parę razy to już tu opisywałem. I od atomu odeszli. Są też w trakcie dekarbonizacji i też wszystko wskazuje, że skończą wiele lat przed nami.
    • Jest tu kilku szosowców, mamy jakieś doświadczenia, ale z mojej strony to najpierw padnie pytanie: czy kiedykolwiek cokolwiek wybrałeś po poprzednich dyskusjach o sprzęcie?  Wiesz, to pytanie w temacie czy jest sens się produkować. Ogólnie patrząc na post, masz w nim wiele zagadnień, które nikt za ciebie nie przetrawi. Jeżeli chcesz bezpieczeństa, to kup trenażer  
    • A dzięki, zapomniałem. Jak coś to mam czarną taśmę
    • Pamiętajcie, że zależy na czym się wyświetla te np. 40 FPS. Jak na monitorze/telewizorze z odświeżaniem 120 Hz lub wyższym ewentualnie VRR to klatki będą wyświetlane w równych lub podobnych odstępach czasu natomiast przy 60 Hz odstępy będą bardzo nierówne, ponieważ będą wynosiły 16,7 ms lub 33,3 ms. Niech każdy sobie sprawdzi, ustawiając takie odświeżanie i ograniczając FPS do 40.
  • Aktywni użytkownicy

×
×
  • Dodaj nową pozycję...