Windows Command Processor

kubixmaster3009 · 15 Maja 2016

W menedżerze zadań zwrócił moją uwagę proces Windows Command Processor, który obciążał procesor około 18-20% i dysk 5 MB/s.

Zatrzymałem go, wyłączył się, windows nadal działał, a komputer zauważalnie przyspieszył.

Zacząłem grzebać w internecie, zorientowałem się mniej więcej czym to jest.

Po restarcie komputera i odpaleniu ProcessExplorera widzę, że cmd.exe jest w drzewku hale.exe.

We właściwościach procesu jego ścieżka to C:\Windows\System32.

Malwarebytes nie wykrywa go, tak samo jak Avira, której używam na co dzień. Nie mam pojęcia jak to usunąć, wywaliłem go jedynie z autostartu, natomiast chciałbym całkowicie się go pozbyć.

Gdy pierwszy raz skanowałem GMERem wszystko się zawiesiło, system przestał odpowiadać, musiałem go zrestartować.

Na liście w programie były typy IAT, Threat oraz Reg.

Przy drugim skanowaniu (log poniżej) nie miałem już problemów, ale nie pokazało żadnych typów IAT oraz Threat.

Przy pierwszym skanowaniu zatrzymałem proces wirusa, przy drugim zapomniałem i nie chciałem go już powtarzać, bo trwa 2 godziny, a komputer wtedy potwornie się zacina i jest nie do użytku, jeśli jest to konieczne mogę to zrobić jeszcze raz z zatrzymanym wirusem, ale dopiero jutro wieczorem.

picasso · 16 Maja 2016

W menedżerze zadań zwrócił moją uwagę proces Windows Command Processor, który obciążał procesor około 18-20% i dysk 5 MB/s. Zatrzymałem go, wyłączył się, windows nadal działał, a komputer zauważalnie przyspieszył. Zacząłem grzebać w internecie, zorientowałem się mniej więcej czym to jest. Po restarcie komputera i odpaleniu ProcessExplorera widzę, że cmd.exe jest w drzewku hale.exe. We właściwościach procesu jego ścieżka to C:\Windows\System32. Malwarebytes nie wykrywa go, tak samo jak Avira, której używam na co dzień.

Obiekt wprowadziłeś w system własnoręcznie:

HKLM\...\Run: [Chew7Hale] => C:\Windows\System32\hale.exe [2169856 2015-08-16] ()

To crack aktywacji Windows 7 (zachowany przy aktualizowaniu do Windows 10). Znany dobrze na forum z niepożądanych zachowań (wysokie obciążenie zasobów). Multum tematów, np.: KLIK / KLIK / KLIK / KLIK / KLIK. Rzecz jasna należy usunąć crack, a wszystko wróci do normy.

Przy okazji do usunięcia różne puste / odpadkowe wpisy (w tym po aktualizacji z Windows 7). Kombinując wszystkie działania:

1. Odinstaluj stare wersje: Adobe AIR, Java 7 Update 75 (64-bit), Java 8 Update 31 (64-bit), Java 8 Update 31.

2. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
HKLM\...\Run: [Chew7Hale] => C:\Windows\System32\hale.exe [2169856 2015-08-16] ()
HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1
HKLM\...\Policies\Explorer: [HideSCAHealth] 1
Task: {00422730-84D2-4034-920D-67B8EBF36AC9} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe
Task: {093558AF-7E48-482D-B22B-2CB01F76FAD7} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku 
Task: {0B165BAC-DC9F-48D9-9A1A-A68D1B198BBC} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {1671BF30-82F5-4DD4-8EFC-36571DA4022C} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe
Task: {177EC48C-DF30-4EA1-BC72-8732671B3DB1} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe
Task: {1F3E5816-D215-4D3C-9FD5-D6ACDBA82DB6} - System32\Tasks\{7329FD3A-203E-4964-AED1-C849C00224CA} => pcalua.exe -a J:\OnePlus_setup.exe -d J:\
Task: {28CDD071-8675-480A-B212-3351B37424F2} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {2A53593F-187E-4F3C-9188-A286251BF9CC} - System32\Tasks\Menedżer sesji Menedżera okien pulpitu32 => C:\Windows\system32\config\systemprofile\AppData\Local\Menedersesji\menedżer.exe
Task: {3334DE27-60E2-4027-9D8C-20BAAB17BA85} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {359FAAA6-B9FB-401E-9427-C019EFC23616} - System32\Tasks\Norton Security\Norton Error Analyzer => C:\Program Files (x86)\Norton Security\Engine\22.5.0.124\SymErr.exe
Task: {3697C7FC-CD7D-40B5-BE04-B1BBFDC0074F} - System32\Tasks\Norton Security\Norton Error Processor => C:\Program Files (x86)\Norton Security\Engine\22.5.0.124\SymErr.exe
Task: {369B424A-0DAA-4D6E-9372-35EBF5AF2592} - System32\Tasks\Microsoft Office 15 Sync Maintenance for Komputer-gtx Komputer => C:\Program Files\Microsoft Office\Office15\MsoSync.exe
Task: {3A1E67A5-C051-4BDC-90C3-4899AE6CB494} - System32\Tasks\{892A11B0-57D5-4B18-9812-39CD55322CF3} => pcalua.exe -a "F:\Instalki Win 7\Camtasia\MadTracksDemoInstall.exe" -d "F:\Instalki Win 7\Camtasia"
Task: {3A204890-1571-4496-BF7F-9D3B828D89D7} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe
Task: {3DDA5664-D7C9-4205-9625-AEA1F9550AF5} - System32\Tasks\{5FFBD848-C2AE-42A6-B6D3-898D6E53C8E8} => pcalua.exe -a F:\Eksperymenty\Win10\VMware-player-7.1.0-2496824.exe -d F:\Eksperymenty\Win10
Task: {41D6C1C5-DAE6-4FC2-BAA4-2B42C90ABE17} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku 
Task: {510FE605-C218-49A8-B13B-C0423451AAA7} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe
Task: {5616208D-0107-4288-A7C1-D368B08220CA} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe
Task: {587CDE86-6FB1-4D0F-8C6A-FA1D3D342B67} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe
Task: {5A01BB55-EC2E-45DA-B67D-B776C808D8D4} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {68A14978-A112-498C-80AD-486EC841ED48} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe
Task: {6A3F8826-29EE-4621-9938-01B5417189BC} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {70894714-1B09-40BC-8180-B4F58036828D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {7D33DD1B-D93E-4213-ABCD-A6CF90F2CD7C} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe
Task: {7D98692B-BBCD-4A43-B55C-B355871E1C88} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe
Task: {8B489E42-105D-4C30-A771-447398833C49} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe
Task: {8CC49613-1BDF-4D2A-B4E5-64F4CAE19FEB} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe
Task: {9205ADA1-3B9C-4F60-BF99-8EC990A20B96} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {93F3B933-A6B3-4C26-B2E7-6EC8DD649210} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe
Task: {A87F07C0-A4C8-47A2-AA45-B63ECC9B41FC} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe
Task: {AA098C43-A2E1-4925-BC4B-2EA4DB3647B1} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe
Task: {AD72055E-B387-414B-8399-DFADBBBF867B} - System32\Tasks\{E27720A9-0F6D-4CAB-B7FE-ABA1899BE7BB} => pcalua.exe -a H:\Dokumenty\Downloads\WinRAR_3.80_PL\setup.exe -d H:\Dokumenty\Downloads\WinRAR_3.80_PL
Task: {B1FBDC29-6B10-4ACF-AAD4-7445DF39B1EC} - System32\Tasks\AutoPico Daily Restart => C:\Users\gtx\AppData\Local\Temp\RarSFX0\AutoPico.exe 
Task: {C48C9972-A042-4829-B4C6-CF3393AEED73} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {CF98016A-8B88-467B-B820-7DD19183A335} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe
Task: {D48E5CE1-1F5E-4FF1-9666-F0FE0134521E} - System32\Tasks\Norton WSC Integration => C:\Program Files (x86)\Norton Security\Engine\22.5.0.124\WSCStub.exe
Task: {E73BD091-D836-4363-8E66-8E1EA887E35A} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {F10B09FD-8459-43D3-8CFA-7ADF1CA26451} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe
Task: {F7599025-DEC6-4E45-B646-A6F51EDACD37} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe
S3 hamachi; C:\Windows\system32\DRIVERS\Hamdrv.sys [45680 2015-11-12] (LogMeIn Inc.)
U3 idsvc; Brak ImagePath
U3 wpcsvc; Brak ImagePath
GroupPolicyUsers\S-1-5-21-2592313924-3969202158-3244188748-1004\User: Ograniczenia 
GroupPolicyScripts: Ograniczenia 
GroupPolicyScripts\User: Ograniczenia 
ShellIconOverlayIdentifiers: [  OverlayExcluded] -> {4433A54A-1AC8-432F-90FC-85F045CF383C} =>  Brak pliku
ShellIconOverlayIdentifiers: [  OverlayPending] -> {F17C0B1E-EF8E-4AD4-8E1B-7D7E8CB23225} =>  Brak pliku
ShellIconOverlayIdentifiers: [  OverlayProtected] -> {476D0EA3-80F9-48B5-B70B-05E677C9C148} =>  Brak pliku
CustomCLSID: HKU\S-1-5-21-2592313924-3969202158-3244188748-1001_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\gtx\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => Brak pliku
CHR HKU\S-1-5-21-2592313924-3969202158-3244188748-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crxx
CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://safesearch.avira.com/#web/result?source=art&q=
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://safesearch.avira.com/#web/result?source=art&q=
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://safesearch.avira.com/#web/result?source=art&q=
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxps://safesearch.avira.com/#web/result?source=art&q=
HKU\S-1-5-21-2592313924-3969202158-3244188748-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://safesearch.avira.com/#web/result?source=art&q=
HKU\S-1-5-21-2592313924-3969202158-3244188748-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://safesearch.avira.com/#web/result?source=art&q=
HKU\S-1-5-21-2592313924-3969202158-3244188748-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://safesearch.avira.com/#web/result?source=art&q=
HKU\S-1-5-21-2592313924-3969202158-3244188748-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxps://safesearch.avira.com/#web/result?source=art&q=
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-2592313924-3969202158-3244188748-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxps://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SSUService
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Security
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Chew7Hale /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v Chew7Hale /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "Splashtop Wired XDisplay Agent.lnk" /f
C:\Program Files\*.exe
C:\Users\gtx\AppData\Local\ACCCx2_8_0_447.zip.aamdownload
C:\Users\gtx\AppData\Local\ACCCx2_8_0_447.zip.aamdownload.aamd
C:\Users\gtx\AppData\Local\Mozilla
C:\Users\gtx\AppData\Local\Splashtop
C:\Users\gtx\AppData\Roaming\Mozilla
C:\Users\gtx\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Bamboo Dock.lnk
C:\Users\gtx\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\FTB Launcher.lnk
C:\Users\gtx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FTB Launcher.lnk
C:\Windows\pss\Wysyłanie do programu OneNote.lnk.Startup
C:\Windows\ehome
C:\Windows\System32\hale.exe
C:\Windows\System32\Drivers\Hamdrv.sys
C:\Windows\System32\Tasks\Norton Security
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center
CMD: netsh advfirewall reset
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Zresetuj cache wtyczek Google Chrome, by usunąć martwe wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, już bez Shortcut. Dołącz też plik fixlog.txt.

kubixmaster3009 · 16 Maja 2016

Wszystko zrobione wg. instrukcji, logi poniżej.

Addition.txt

Fixlog.txt

FRST.txt

picasso · 18 Maja 2016

Czy są jeszcze jakieś problemy? Wszystko wykonane. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

kubixmaster3009 · 18 Maja 2016

Nie ma już żadnych problemów. Bardzo dziękuję za pomoc

To już jest wszystko?

Niestety, loga nie mogę wrzucić. Długa historia jak, ale zdołałem przez pomyłkę uruchomić dwukrotnie delfix, nowy log zastąpił stary...

picasso · 18 Maja 2016

Tak, to już wszystko. Temat rozwiązany. Zamykam.

Zaloguj się

Windows Command Processor

Rekomendowane odpowiedzi

kubixmaster3009

Odnośnik do komentarza

picasso

Odnośnik do komentarza

kubixmaster3009

Odnośnik do komentarza

picasso

Odnośnik do komentarza

kubixmaster3009

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność