cmd.exe użycie procesora 100%

drunkparis · 22.12.2019, 17:23

Dzień dobry,

Mam problem z komputerem Ojca, który ma służyć tylko do internetu. Nie jest to żaden kombajn, a sprzęt, który ma wystarczać tylko do serfowania po sieci.

Problem polega na tym, że po przeinstalowaniu systemu i przejściu z Win10 na Win7 zaraz po uruchomieniu się systemu po tak zwanym formacie w menadżerze zadań zauważyłem, że proces cmd.exe zużywa 99% procesora.

System nie został nawet jeszcze aktywowany, a proces nadal występuje zaraz po uruchomienia się komputera. Ciekawostką jest fakt, że po uruchomieniu ComboFix wszystko wraca do normy, ale już po wyłączeniu systemu i przykładowo odpaleniu ponownym komputera problem nadal występuje.

Log z ComboFix:

Spoiler

Bardzo proszę o pomoc ponieważ system w takim stanie jest bardzo ociężały i praktycznie bezużyteczny.

morderca · 22.12.2019, 17:40

Cytat:[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"dllm.vbs"="c:\users\KAZIMI~1\AppData\Local\Temp\dllm.vbs" [2019-12-22 2903]
.
c:\users\Kazimierz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
dllm.js [2019-7-3 64350]
dllm.vbs [2019-12-22 2903]
setup.js [2019-7-1 101134]

Niezbyt podobają mi się te powyższe.

Spróbuj zrobić logi z FRST.
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t

Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt".
.

drunkparis · Liczba postów: 15 Liczba wątków: 5 Dołączył: 22.12.2019

Spoiler

morderca · 22.12.2019, 18:10

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Kod:

VirusTotal: C:\ProgramData\\CloudPrinter\\CloudPrinter.exe

HKU\S-1-5-21-2907934896-2442041907-2014270199-1001\...\Run: [dllm.vbs] => C:\Users\Kazimierz\AppData\Local\Temp\dllm.vbs [2903 2019-12-22] () [Brak podpisu cyfrowego] <==== UWAGA

AppInit_DLLs: C:\ProgramData\AppxeetouQ\Trustbam.dll => C:\ProgramData\AppxeetouQ\Trustbam.dll [342528 2019-12-22] () [Brak podpisu cyfrowego]

AppInit_DLLs-x32: C:\ProgramData\AppxeetouQ\Donsing.dll => C:\ProgramData\AppxeetouQ\Donsing.dll [460800 2019-12-22] () [Brak podpisu cyfrowego]

Startup: C:\Users\Kazimierz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\dllm.js [2019-07-03] () [Brak podpisu cyfrowego]

Startup: C:\Users\Kazimierz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\dllm.vbs [2019-12-22] () [Brak podpisu cyfrowego]

Startup: C:\Users\Kazimierz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\setup.js [2019-07-01] () [Brak podpisu cyfrowego]

RemoveDirectory: C:\ProgramData\AppxeetouQ

Task: {9398913E-209E-4ACA-995E-E27EE90E91A9} - System32\Tasks\anydesk => C:\Users\KAZIMI~1\AppData\Local\Temp\setup.js <==== UWAGA

HKU\S-1-5-21-2907934896-2442041907-2014270199-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ_mMDj6RCuaFiGAQkDJDBx035PvxhxgXFVlEni03miCX8p4YzuALFqUgFbCtKFQQOJK6lV3M_-fteeun9EqLbKMK3yrKMrkZungyz6mPo2klPtTwPLCV52HAAEOrDEHzYdW2LogIzJCVcWI68svLqFkcFKQTTK&q={searchTerms}

HKU\S-1-5-21-2907934896-2442041907-2014270199-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ_mMDj6RCuaFiGAQkDJDBx035PvxhxgXFVlEni03miCX8p4YzuALFqUgFbCtKFQQOFstKRQx_2BMz-8D6sUQhwdlF3RyL8CsmbPqlTNMc7B81cJpbVdLe4l478TqpyKv2Fr7lRw7NRUh1HpVuk39mGfy77w20W

SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = 

SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ_mMDj6RCuaFiGAQkDJDBx035PvxhxgXFVlEni03miCX8p4YzuALFqUgFbCtKFQQOJK6lV3M_-fteeun9EqLbKMK3yrKMrkZungyz6mPo2klPtTwPLCV52HAAEOrDEHzYdW2LogIzJCVcWI68svLqFkcFKQTTK&q={searchTerms}

SearchScopes: HKU\S-1-5-21-2907934896-2442041907-2014270199-1001 -> DefaultScope {ielnksrch} URL = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ_mMDj6RCuaFiGAQkDJDBx035PvxhxgXFVlEni03miCX8p4YzuALFqUgFbCtKFQQOJK6lV3M_-fteeun9EqLbKMK3yrKMrkZungyz6mPo2klPtTwPLCV52HAAEOrDEHzYdW2LogIzJCVcWI68svLqFkcFKQTTK&q={searchTerms}

SearchScopes: HKU\S-1-5-21-2907934896-2442041907-2014270199-1001 -> {ielnksrch} URL = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ_mMDj6RCuaFiGAQkDJDBx035PvxhxgXFVlEni03miCX8p4YzuALFqUgFbCtKFQQOJK6lV3M_-fteeun9EqLbKMK3yrKMrkZungyz6mPo2klPtTwPLCV52HAAEOrDEHzYdW2LogIzJCVcWI68svLqFkcFKQTTK&q={searchTerms}

R2 AppxeetouQ; C:\ProgramData\\AppxeetouQ\\AppxeetouQ.exe [1767936 2019-12-22] () [Brak podpisu cyfrowego]

U3 catchme; \??\C:\ComboFix\catchme.sys [X]

2019-12-22 16:50 - 2019-12-22 16:51 - 000000000 ____D C:\ProgramData\AppxeetouQ

2019-12-22 16:50 - 2019-12-22 16:50 - 000399430 __RSH C:\PLXSB

2019-12-22 16:50 - 2019-12-22 16:50 - 000015603 _____ C:\Windows\SysWOW64\findit.xml

2019-12-22 16:50 - 2019-12-22 16:50 - 000000000 ____D C:\ProgramData\AppxeetouQs

2019-12-22 16:45 - 2019-12-22 16:46 - 008320512 _____ C:\Users\Kazimierz\AppData\Local\agent.dat

2019-12-22 16:45 - 2019-12-22 16:45 - 002112940 _____ C:\Users\Kazimierz\AppData\Local\K-dintech.tst

2019-12-22 16:45 - 2019-12-22 16:45 - 000140800 _____ C:\Users\Kazimierz\AppData\Local\installer.dat

2019-12-22 16:45 - 2019-12-22 16:45 - 000126464 _____ C:\Users\Kazimierz\AppData\Local\lobby.dat

2019-12-22 16:45 - 2019-12-22 16:45 - 000068317 _____ C:\Users\Kazimierz\AppData\Local\Overtraxlam.tst

2019-12-22 16:45 - 2019-12-22 16:45 - 000044032 _____ C:\Users\Kazimierz\AppData\Local\ApplicationHosting.dat

2019-12-22 16:45 - 2019-12-22 16:45 - 000002880 _____ C:\Users\Kazimierz\AppData\Local\md.xml

2019-12-22 16:45 - 2019-12-22 16:44 - 001767936 _____ C:\Users\Kazimierz\AppData\Local\Overtraxlam.exe

2019-12-22 16:45 - 2019-12-22 16:44 - 001767936 _____ C:\Users\Kazimierz\AppData\Local\K-dintech.exe

2019-12-22 16:44 - 2019-12-22 16:45 - 000016416 _____ C:\Users\Kazimierz\AppData\Local\InstallationConfiguration.xml

2019-12-22 16:34 - 2019-12-22 16:34 - 000000000 ____H C:\ProgramData\DP45977C.lfl

2019-12-22 16:34 - 2019-12-22 16:34 - 000000000 _____ C:\END

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

Zrób nowe logi FRST.
Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt"

Logi (tekst) wklejaj na http://wklejto.pl/, a w poście daj tylko linki.(czyli skopiuj adres z paska adresów)
.

drunkparis · 22.12.2019, 18:32

FIRST: http://wklejto.pl/795500

Addition: http://www.wklejto.pl/795501

Shortcut: http://www.wklejto.pl/795502

morderca · Liczba postów: 2422 Liczba wątków: 4 Dołączył: 27.07.2012

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Kod:

Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

RemoveDirectory: C:\ProgramData\\CloudPrinter

FirewallRules: [SPPSVC-In-TCP] => (Allow) %SystemRoot%\system32\sppsvc.exe Brak pliku

FirewallRules: [SPPSVC-In-TCP-NoScope] => (Allow) %SystemRoot%\system32\sppsvc.exe Brak pliku

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

==============

Cytat:Error: (12/22/2019 05:23:28 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.

Ściągnij MicrosoftFixit50688.msi stąd > http://www.mediafire.com/download/6hwcm6...t50688.msi
i go uruchom jako Administator.

Powinno już być OK.
.

drunkparis · 22.12.2019, 18:41

Na chwilę obecną wszystko wygląda dobrze. Zużycie procesora w normie, a sam proces cmd.exe nie widnieje nawet w menadżerze zadań. Nie zapeszam, ale przepuściłem jeszcze system przez malwarebytes anti-malware i wypadło okej - żadnych zagrożeń.

Dzięki w takim razie za pomoc Oczko

Zaloguj się
Login
Hasło:	Nie pamiętam hasła
	Zapamiętaj mnie

Podobne wątki (cmd.exe użycie procesora 100%)
Wątek:		Autor	Odpowiedzi:	Wyświetleń:	Ostatni post
	1 rdzeń procesora na 100%	arnagorn	2	6971	03.12.2018, 14:19 Ostatni post: Illidan
	Procesor - użycie CPU od 80 do 100% - wszystkie programy zamknięte-spowolniona praca.	MIRZET	7	1776	20.11.2018, 17:25 Ostatni post: wlisik
	Włączające się cmd (wiersz poleceń)	v33N	3	7668	17.02.2018, 19:43 Ostatni post: broda99

Wybrane wątki (cmd.exe użycie procesora 100%)
Wątek:		Autor	Odpowiedzi:	Wyświetleń:	Ostatni post
	Przeglądarka jest zarządzana przez twoją organizację	PannaNatalka	4	8456	25.04.2020 01:24 Ostatni post: Illidan
	Powiadomienie SMS o braku prądu	dia8el	2	7399	24.04.2020 16:17 Ostatni post: Illidan
	prawdopodobnie keylogger	lucaskrk	3	7765	20.04.2020 11:12 Ostatni post: wlisik
	Prośba o sprawdzenie logów	wonski85	1	8302	04.04.2020 18:36 Ostatni post: broda99
	Mocno spowolniony system + zablokowany ikon w obszarze powiadomień.	KlimatSDR	5	7629	28.03.2020 19:08 Ostatni post: Illidan
	wirus w internet explorer	maciomen201	10	18504	05.03.2020 01:33 Ostatni post: Illidan
	Ktoś chyba włamał mi się na pocztę	krzysiek3542	3	8444	15.02.2020 16:12 Ostatni post: Fix00ser
	pomoc z złośliwym oprogramowaniem	roger9595	0	8316	07.02.2020 18:35 Ostatni post: roger9595
	Windows Defender - ciągłe skanowanie?	DonOmar3	13	30456	06.02.2020 00:52 Ostatni post: Illidan
	Wirus blokuje dostęp do internetu	Rzychu	10	19120	05.02.2020 12:10 Ostatni post: wlisik
	Uwaga na crackerów	wlisik	11	19342	04.02.2020 23:59 Ostatni post: Illidan
	Potencjalnie zainfekowane pliki na FTP	Unlimited	5	2849	02.02.2020 19:21 Ostatni post: kompowiep
	Po starcie systemu włącza się strona z wirusem [wydzielone]	sugar80	2	8282	01.02.2020 16:53 Ostatni post: sugar80
	Nieautoryzowane logowanie na Facebooka - możliwy keylogger	Pawes97	1	8765	15.12.2019 09:12 Ostatni post: morderca
	Internet spowalnia komputer	technomaro	10	20846	04.12.2019 20:32 Ostatni post: donatanio