Skocz do zawartości

Pojawiający się proces rthdcpl.exe *32 który obciąża procesor


Rekomendowane odpowiedzi

Witam. 

Mam problem jak w tytule.

Wcześniej pojawiał się proces który po sprawdzeniu okazał się powiązany z net framework ( niestety nie mam zapisanej nazwy tego procesu. ) po zaktualizowanie net framework komputer działał 1 dzień dobrze.

I ponownie pojawił się proces tym razem o nazwie " rthdcpl.exe* 32 " opis Realtek HD Audio. całkowicie obciąża jeden z rdzeni procesora zazwyczaj 1 ale zdarza się ze 2. 

Moje próby walki z tym to aktualizacja sterowników od Realtek-a czyszczenie Rejestrów CCliner Free v5.20.5668 oraz skanowanie adwcleaner_5.201 który nic nie znalazł. z tego nie pomogło.

Proces uruchamia się ok 3-5 minut po starcie systemu.

Po ręcznym zatrzymaniu procesu komputer działa normalnie wraz z dźwiękiem. I nie uruchamia się ponownie do czasu restartu komputera. 

 

Skany robione po pojawieniu się procesu. przy skanowaniu przez GMER wyskoczył komunikat z avasta mimo wyłączenia go Print Screen-a załączam w załączniku.  

 

Proszę o pomoc.

Addition.txt

FRST.txt

post-18104-0-50260000-1470330027_thumb.jpg

Log GMER.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Ten proces o którym mówisz to podróbka Realtek, uruchamia się via Harmonogram z folderu ... Avast:

 

Task: {E30BE303-0ECD-48AC-881F-8D574C73610A} - System32\Tasks\Realtek HD Audio => C:\Users\Fig\AppData\Roaming\AVAST Software\Realtek HD\rthdcpl.exe [2016-07-23] (Realtek)

 

2016-07-23 21:07 - 2016-07-23 21:07 - 00279955 _____ () C:\Users\Fig\AppData\Roaming\AVAST Software\Realtek HD\libidn-11.dll

2016-07-23 21:07 - 2016-07-23 21:07 - 00113166 _____ () C:\Users\Fig\AppData\Roaming\AVAST Software\Realtek HD\zlib1.dll

 

Konstrukcja wpisu i objawy sugerują typ Bitcoin miner. Przypuszczalna droga nabycia to jakiś crack. Działania do przeprowadzenia:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: {E30BE303-0ECD-48AC-881F-8D574C73610A} - System32\Tasks\Realtek HD Audio => C:\Users\Fig\AppData\Roaming\AVAST Software\Realtek HD\rthdcpl.exe [2016-07-23] (Realtek)
S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X]
S3 EverestDriver; \??\F:\Potrzebne\Instalki\Programy\ewerest\kerneld.amd64 [X]
S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
HKU\S-1-5-19\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-20\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-21-1636404970-671201596-126257068-1000\...\MountPoints2: {f7e90b9f-a1b7-11e5-9a82-f0795990e8cb} - K:\Startme.exe
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Program Files (x86)\Temp
Folder: C:\Users\Fig\AppData\Roaming\AVAST Software
C:\Users\Fig\AppData\Roaming\AVAST Software\Realtek HD
C:\Windows\SysWOW64\*.tmp
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Poszło w 5 minut wszystko.

 

czy jakieś szkody mogło to wyrządzić?? Mam się czegoś obawiać ?

 

dziękuje tez za podpowiedz skąd to się wzięło ( nie pytam jak się ochronić to chyba oczywiste ) czas zakupy zrobić.  

 

 

P.S. dodam ze kolega polecił mi to forum był zadowolony z profesjonalnej pomocy, jak i ja jestem.

Dotacja na rzecz forum jak najbardziej będzie.

 

 

 

P.S. 2 wyczytałem ze to coś pojawia się tez przez Skype. I tak mi się skojarzyło ze parę razy sam mi się Skype uruchomił na PC mimo ze nie ma go w auto starcie

Addition.txt

Fixlog.txt

FRST.txt

Odnośnik do komentarza

Prawie kończymy:

 

1. Zastosuj DelFix, by usunął wszystkie komponenty FRST.

 

2. Na wszelki wypadek zrób jeszcze skan Hitman Pro. Jeśli cokolwiek wykryje, dostarcz log z wynikami.

 

 

 

czy jakieś szkody mogło to wyrządzić?? Mam się czegoś obawiać ?

To wysokie obciążenie zasobów oraz określone pliki w folderze dziada wskazują, że był to Bitcoin miner nastawiony na zbieranie waluty Decred. Czyli raczej "potencjalnie niepożądana aplikacja" (PUP), aniżeli coś groźniejszego.

 

 

P.S. 2 wyczytałem ze to coś pojawia się tez przez Skype. I tak mi się skojarzyło ze parę razy sam mi się Skype uruchomił na PC mimo ze nie ma go w auto starcie

Trudno się zorientować po Twoim raporcie z czym konkretnie ten obiekt powstawał. Gdzie widziałeś tę informację o Skype? Pytaniem jest też co konkretnie się uruchomiło, czy aby nie był to aktualizator Skype? Domyślnie (o ile nie zostanie to ręcznie zmienione) Skype wprowadza usługę Skype Updater ustawioną na start Automatyczny - do wglądu services.msc.

 

 

Dotacja na rzecz forum jak najbardziej będzie.

Wielkie dzięki za wsparcie!

Odnośnik do komentarza

Co do skype to w załączniku jest kawałek artykułu i link do strony gdzie to znalazłem.

A w ustawieniach faktycznie była automatyczna aktualizacja. Zdziwiło mnie to ze gdy się uruchamia skype to odrazy do strony logowania i nie było nic o procesie aktualizacji. 

 

Co do skanu z hitmanPro... wykazało ze plik "...Documents\BFBC2\pb\pbcl.dll " wykryto jako Malware i chciało osunąć. Zmieniłem na ignoruj ponieważ są to pliko od punk bustera, gra nabyta oczywiście oryginalnie jak i inne Battlefield. program tez z strony producenta, a bez tego programu nie mogę grac na serwerach Multiplayer. Wiec czy mogę to zignorować??

 

 

 

 

Pewnie to wiesz ale,  mega pomocne forum jak i Twoja osoba dzieki wielkie

Artykul.txt

DelFix.txt

Hitmanpro.txt

Odnośnik do komentarza

Co do skype to w załączniku jest kawałek artykułu i link do strony gdzie to znalazłem.

 

A w ustawieniach faktycznie była automatyczna aktualizacja. Zdziwiło mnie to ze gdy się uruchamia skype to odrazy do strony logowania i nie było nic o procesie aktualizacji.

Strona usunwirusa.pl to niewiarygodne źródło informacji! To jedna z owych stron nastawionych na wmanipulowanie w instalację lewych programów jako "cudownego środka" na wszystkie infekcje jak leci. Z tego co widzę wcześniej był to SpyHunter, teraz kolejne niepożądane softy ReImage oraz Plumbytes Anti-Malware, a przy okazji wycierają sobie gębę MBAM. Tego typu strony, a jest ich znacznie więcej, to prawdziwa plaga Google. Są one wysoko pozycjonowane i użytkownik szukając informacji o usuwaniu infekcji niestety trafia na nie w pierwszej kolejności. To jeden z powodów dla którego w co drugim logu tutaj jest widoczny SpyHunter lub ślady po jego pobycie.

 

Ze Skype nie wiem o co chodzi, w jakich warunkach samodzielnie się uruchamiał. Niemniej ten Bitcoin miner to mi jednak wygląda na zainstalowany ręcznie, z jakiegoś "setupu". Nawet znalazłam w jednym z wirtualnych sandboxów taki plik aplikujący podobną wersję (tylko inna ścieżka dostępu, nie folder AVAST): KLIK.

 

 

Co do skanu z hitmanPro... wykazało ze plik "...Documents\BFBC2\pb\pbcl.dll " wykryto jako Malware i chciało osunąć. Zmieniłem na ignoruj ponieważ są to pliko od punk bustera, gra nabyta oczywiście oryginalnie jak i inne Battlefield. program tez z strony producenta, a bez tego programu nie mogę grac na serwerach Multiplayer. Wiec czy mogę to zignorować??

Tak, wyniki PunkBuster to typowy widok w skanie Hitman i do zignorowania. Wykryta kopia FRST w Tymczasowych plikach internetowych to także fałszywy alarm, ale to można dla porządku usunąć, podobnie jak drobny wynik związany z ciastkami.

 

 

 

DelFix wykonał zadanie, skasuj z dysku plik C:\delfix.txt. To wszystko.

Odnośnik do komentarza

wiec dobrze ze zwróciłem się do Ciebie :) na w/w stronie tylko sprawdzałem opis  Bitcoin miner co to takiego. ( oczywiście tez nie mam zaufania do tego typu stron wiec bez klikania gdziekolwiek dalej) 

 

nie mogę usunąć FRST64 oraz logów z niego komunikat " nie można znaleźć tego elementu"

 

 

 

edit 2 restart pomógł

 

dzięki temat chyba do zamknięcia

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...