missYou utworzono 24 stycznia 2009 utworzono 24 stycznia 2009 Witam. Mam następujący problem: -Po włączeniu komputera użycie procesora wynosi 100%. Podkreślam, że nie uruchamiam wcześniej żadnych aplikacji. Nie instalowałem również żadnych nowych oprogramowań, gier, itp. -Przeskanowałem komputer, ale nie znalazłem nic niepokojącego. -Myślę, że po formacie problem zostałby zażegnany, ale chcę pominąć ten proces, dlatego proszę o pomoc. -Jedyną niepokojącą rzeczą jest użycie pamięci przez FF :| -Z góry dziękuję za pomoc.
asmodeuszz komentarz 24 stycznia 2009 komentarz 24 stycznia 2009 Dla mnie niepokojący proces to msupdte.exe - żre 99% procesora. FF - normalne użycie pamięci. Wrzuć logi z ComboFixa.
pc12 komentarz 24 stycznia 2009 komentarz 24 stycznia 2009 msupdte.exe to pewnie jakiś rodzaj wirusa, w każdym razie nie powinno tego w ogóle być.
missYou komentarz 24 stycznia 2009 Autor komentarz 24 stycznia 2009 ComboFix 09-01-21.04 - xXx 2009-01-24 12:08:21.1 - NTFSx86Microsoft Windows XP Professional 5.1.2600.3.1250.1.1045.18.1022.727 [GMT 1:00] Uruchomiony z: c:\documents and settings\xXx\Pulpit\ComboFix.exe . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\2u.com C:\autorun.inf C:\gfqgq.cmd C:\j60osk9.cmd C:\uvsqfgwd.cmd c:\windows\system32\amvo.exe c:\windows\system32\amvo0.dll c:\windows\system32\gasretyw0.dll c:\windows\system32\kamsoft.exe c:\windows\system32\msupdte.exe D:\2u.com D:\Autorun.inf D:\gfqgq.cmd D:\j60osk9.cmd D:\uvsqfgwd.cmd E:\2u.com E:\Autorun.inf E:\gfqgq.cmd E:\j60osk9.cmd E:\uvsqfgwd.cmd . ((((((((((((((((((((((((( Pliki utworzone od 2008-12-24 do 2009-01-24 ))))))))))))))))))))))))))))))) . 2009-01-22 17:36 . 2009-01-22 17:36 <DIR> d-------- C:\games 2009-01-22 17:20 . 2009-01-22 17:20 107,385 -r-hs---- C:\w98.com 2009-01-21 15:47 . 2009-01-21 15:47 108,869 -r-hs---- C:\gy.exe 2009-01-18 08:40 . 2009-01-23 19:57 95,744 -r-hs---- c:\windows\system32\nmdfgds1.dll 2009-01-17 19:55 . 2008-04-14 21:51 70,144 --a------ c:\windows\AhnRpta.exe 2009-01-17 18:42 . 2009-01-23 19:57 108,293 -r-hs---- c:\windows\system32\olhrwef.exe 2009-01-17 18:42 . 2009-01-24 12:10 95,744 -r-hs---- c:\windows\system32\nmdfgds0.dll 2009-01-14 06:18 . 2009-01-14 06:18 79 --a------ c:\windows\pit2008.ini 2009-01-14 06:18 . 2009-01-14 06:18 21 --a------ c:\windows\pit2007.ini 2009-01-14 06:17 . 2009-01-14 06:17 <DIR> d-------- c:\program files\Gofin 2009-01-11 19:25 . 2009-01-23 17:42 <DIR> d-------- c:\program files\AIMP2 2009-01-11 09:38 . 2009-01-11 10:05 <DIR> d-------- c:\documents and settings\xXx\Dane aplikacji\GanymedeNet 2009-01-11 09:35 . 2009-01-11 09:38 <DIR> d-------- c:\program files\Ganymede 2009-01-02 16:41 . 2009-01-02 16:41 <DIR> d-------- c:\program files\Sierra On-Line 2009-01-02 16:40 . 2009-01-02 16:40 <DIR> d-------- c:\documents and settings\xXx\WINDOWS 2009-01-02 16:40 . 1997-05-12 17:53 314,368 --a------ c:\windows\IsUninst.exe 2009-01-02 16:40 . 2009-01-02 16:41 424 --a------ c:\windows\SIERRA.INI 2009-01-02 16:39 . 2009-01-02 16:39 86,528 --a------ c:\windows\bnetunin.exe 2008-12-30 18:42 . 2009-01-06 17:00 <DIR> d-------- c:\program files\Total Video Converter 2008-12-30 18:27 . 2008-12-30 18:27 <DIR> d-------- c:\program files\Riva 2008-12-30 18:27 . 2008-12-30 18:27 <DIR> d-------- c:\program files\Common Files\SWF Studio 2008-12-24 10:57 . 2008-12-24 10:57 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\Adobe Systems 2008-12-24 10:53 . 2008-12-24 10:53 <DIR> d-------- c:\program files\Common Files\Adobe Systems Shared . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-01-24 11:00 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\McAfee 2009-01-24 10:04 --------- d-----w c:\documents and settings\LocalService\Dane aplikacji\SACore 2008-12-28 09:25 --------- d-----w c:\program files\Common Files\Adobe 2008-12-25 21:25 --------- d-----w c:\program files\Garena 2008-12-23 22:07 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\nView_Profiles 2008-12-23 22:07 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\NVIDIA 2008-12-22 16:13 60,416 ----a-w c:\windows\ALCFDRTM.EXE 2008-12-21 16:27 2,829 ----a-w c:\windows\War3Unin.pif 2008-12-21 16:27 139,264 ----a-w c:\windows\War3Unin.exe 2008-12-13 16:13 --------- d-----w c:\program files\LittleFighter2 2008-12-10 15:21 --------- d-----w c:\program files\SubEdit-Player 2008-12-07 18:28 --------- d-----w c:\program files\NuxBox 2008-12-06 11:24 --------- d--h--w c:\program files\InstallShield Installation Information 2008-12-06 11:24 --------- d-----w c:\program files\Common Files\InstallShield 2008-12-04 14:41 --------- d-----w c:\program files\Skype 2008-12-04 03:37 --------- d-----w c:\documents and settings\xXx\Dane aplikacji\skypePM 2008-12-02 17:19 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\Skype 2008-12-01 17:21 --------- d-----w c:\documents and settings\xXx\Dane aplikacji\Apple Computer 2008-12-01 17:19 --------- d-----w c:\program files\QuickTime 2008-12-01 17:18 --------- d-----w c:\program files\Common Files\Apple 2008-12-01 17:18 --------- d-----w c:\program files\Apple Software Update 2008-12-01 17:18 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\Apple Computer 2008-12-01 17:18 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\Apple 2008-11-30 15:27 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\Microsoft Help 2008-11-21 20:35 2,560 ----a-w c:\windows\system32\BitCometRes.dll 2008-11-18 16:30 410,976 ----a-w c:\windows\system32\deploytk.dll . ------- Sigcheck ------- 2008-05-08 19:02 361344 accf5a9a1ffaa490f33dba1c632b95e1 c:\windows\system32\drivers\tcpip.sys . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "Gadu-Gadu"="d:\programy\Gadu-Gadu\gg.exe" [2007-07-09 2119104] "DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2007-12-15 482760] "cdoosoft"="c:\windows\system32\olhrwef.exe" [2009-01-23 108293] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-01 7618560] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016] "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-18 136600] "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-09-06 413696] "SoundMan"="SOUNDMAN.EXE" [2006-06-20 c:\windows\soundman.exe] "nwiz"="nwiz.exe" [2006-06-01 c:\windows\system32\nwiz.exe] "NvMediaCenter"="NvMCTray.dll" [2006-06-01 c:\windows\system32\nvmctray.dll] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "nltide_2"="shell32" [X] c:\documents and settings\xXx\Menu Start\Programy\Autostart\ Adobe Gamma.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664] c:\documents and settings\All Users\Menu Start\Programy\Autostart\ Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 40048] Adobe Reader Synchronizer.lnk - c:\program files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 734872] Ralink Wireless Utility.lnk - c:\program files\RALINK\Common\RaUI.exe [2008-11-10 598016] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{BB4C402F-882A-4526-8C08-51278EA437C1}"= "c:\windows\system32\afmain0.dll" [2008-04-14 78848] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.ffds"= ffdshow.ax "msacm.ac3filter"= ac3filter.acm [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "d:\\Programy\\Gadu-Gadu\\gg.exe"= "c:\\Program Files\\Garena\\Garena.exe"= "c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"= "c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "14077:TCP"= 14077:TCP:BitComet 14077 TCP "14077:UDP"= 14077:UDP:BitComet 14077 UDP S3 GarenaPEngine;GarenaPEngine;\??\c:\docume~1\xXx\USTAWI~1\Temp\QCQ135.tmp --> c:\docume~1\xXx\USTAWI~1\Temp\QCQ135.tmp [?] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9773d7e8-e7e0-11dd-8555-0017315a71ae}] \Shell\AutoRun\command - F:\gy.exe \Shell\open\Command - F:\gy.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f6915c3a-e4bd-11dd-854a-0017315a71ae}] \Shell\AutoRun\command - F:\2u.com \Shell\explore\Command - F:\2u.com \Shell\open\Command - F:\2u.com . Zawartość folderu 'Zaplanowane zadania' 2008-12-31 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34] . - - - - USUNIĘTO PUSTE WPISY - - - - HKLM-Run-Microsoft WinUpdate - c:\windows\system32\msupdte.exe . ------- Skan uzupełniający ------- . uStart Page = hxxp://www.www.daemon-search.com/default IE: Download all links using BitComet - c:\program files\BitComet\BitComet.exe/AddAllLink.htm IE: Download all videos using BitComet - c:\program files\BitComet\BitComet.exe/AddVideo.htm IE: Download link using &BitComet - c:\program files\BitComet\BitComet.exe/AddLink.htm IE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 TCP: {7798D789-A54D-409E-B064-F264FF5829FB} = 80.51.97.2 80.51.97.1 . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-01-24 12:10:38 Windows 5.1.2600 Dodatek Service Pack 3 NTFS skanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\GarenaPEngine] "ImagePath"="\??\c:\docume~1\xXx\USTAWI~1\Temp\QCQ135.tmp" . --------------------- ZABLOKOWANE KLUCZE REJESTRU --------------------- [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|˙˙˙˙¤•€|ů•6~*] "5E7CEC10DF0760D4F8DAFB12FDC06CCD"="" . ------------------------ Pozostałe uruchomione procesy ------------------------ . c:\program files\Java\jre6\bin\jqs.exe c:\program files\Common Files\LightScribe\LSSrvc.exe c:\windows\system32\nvsvc32.exe c:\windows\AhnRpta.exe c:\windows\system32\wscntfy.exe c:\windows\system32\rundll32.exe . ************************************************************************** . Czas ukończenia: 2009-01-24 12:11:52 - komputer został uruchomiony ponownie [xXx] ComboFix-quarantined-files.txt 2009-01-24 11:11:49 Przed: 3,718,893,568 bajtów wolnych Po: 3,813,933,056 bajtów wolnych WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect 194
lebron123 komentarz 24 stycznia 2009 komentarz 24 stycznia 2009 Pobierz ComboFix, ale nie uruchamiaj Wklej do notatnika: Kod: Zaznacz cały File:: C:\WINDOWS\system32\msupdte.exe Plik -> zapisz jako -> CFScript.txt Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu -> Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum + nowy log z HijackThis. Jeśli wszystko pójdzie dobrze, to po restarcie usuń ręcznie folder C: \Qoobox Użyj jeszcze: Pobierz program SDFix * Dwuklik na SDFix.exe następnie program wypakuje się na dysk systemowy (standardowo C:\SDFix) * Zrestartuj komputer i wejdź do trybu awaryjnego (klawisz F8 przed bootem Windowsa) * Wejdź do folderu z SDFix kliknij dwa razy na plik RunThis.bat * Wciśnij Y nastąpi proces usuwania. * Kiedy usuwanie się ukończy wciśnij dowolny klawisz (Any Key). Nastąpi restart komputera. * Po restarcie SDFix uruchomi się ponownie, żeby dokończyć proces usuwania kiedy pojawi się w oknie programu Finished, wciśnij dowolny klawisz do zakończenia scryptu i załadowania ikon na pulpicie. * Pokaż Report.txt znajdujący się w folderze SDFix.
marcin13135 komentarz 24 stycznia 2009 komentarz 24 stycznia 2009 Ja też tak miałem tylko u mnie przy firefoxie bylo 99%, sciaglem inna wersje i dziala A u ciebie dzieje sie to przez ten proces;/ Sprobuj to zamknac i wtedy zbacz.
star4870 komentarz 24 stycznia 2009 komentarz 24 stycznia 2009 To msupdate.exe jest spyware(złośliwym oprogramowaniem) ,który zapisuje, śledzi twoje poczynania w sieci i przekazuje je do analizy CoolWebSearch, możne tez powodować wyskakiwanie okienek z reklamami etc.Powinieneś usunąć program zarówno z dysku jak i z listy uruchamianych programów przy starcie systemu, (pole uruchom w menu start->wpisujesz msconfig i zakladka autostart). Pozdrawiam
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.