Skocz do zawartości

Nieuzasadnione zużycie procesora, niemożność usunięcia BrowseFox-GY [PUP]


Beinmynum

Rekomendowane odpowiedzi

Witam,

mój problem polega na tym, że procesor podczas bezczynności jest cały czas obciążony w granicach 25-27% mocy, co przekłada się na wyraźny spadek wydajności komputera przy bardziej skomplikowanych operacjach. Oczywiście, Menedżer Zadań nie wskazuje źródła obciążenia, co sugeruje, że w systemie działa jakaś ukryta aplikacja.

Skanowałem system Avastem i wykrył on kilka pomniejszych zagrożeń oraz jednego malware. Avast przeniósł wszystkie zagrożenia do kwarantanny, z wyjątkiem BrowseFox-GY [PUP]. Nie wiem, czy to ten wirus jest przyczyną obciążenia procesora, czy coś innego, ale po zeskanowaniu problem nie znikł.

Oprócz obciążenia procesora żadnych innych defektów nie zauważyłem.

Zapomniałem dodać, że na komputerze miałem zainstalowane Daeomon Tools, ale bardzo dawno go nie używałem. Odinstalowałem je, a następnie pobrałem i uruchomiłem program do odinstalowywania oprogramowania emulującego napędy, ale ku mojemu zdziwieniu ten program nie wykrył żadnego oprogramowania, dlatego stwierdziłem, że musiało zostać już usunięte.

 

Bardzo proszę o pomoc i z góry za nią dziękuję.

FRST.txt

Addition.txt

Shortcut.txt

GMER.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Nie widzę w raportach jawnej infekcji powiązanej z objawami. Jedyne co mnie zastanawia, to te zadania w Harmonogramie jakoby od instalacji Mashed, gdyż pierwsze z nich jest opisane ni w pięć ni w dziesięć jako "DELL". Nie mam jednak instalacji Mashed do porównania czy to poprawne obiekty.

 

 

 

 

Task: {2AB6CBD3-6F5D-428A-8D2B-36804562C06C} - System32\Tasks\{F6DB9864-A15B-45A5-970B-B702F9D74B30} => D:\Program Files (x86)\Steam\SteamApps\common\Mashed\launch.exe [2015-02-18] (DELL Computer Corporation)

Task: {A5C8B19E-F098-4CE7-B62E-70D5601F83C0} - System32\Tasks\{35CC3810-D684-4CCF-BB9F-72F867C178CF} => D:\Program Files (x86)\Steam\SteamApps\common\Mashed\MASHED.exe [2015-02-18] ()

 

 

 

 

 

procesor podczas bezczynności jest cały czas obciążony w granicach 25-27% mocy, co przekłada się na wyraźny spadek wydajności komputera przy bardziej skomplikowanych operacjach. Oczywiście, Menedżer Zadań nie wskazuje źródła obciążenia, co sugeruje, że w systemie działa jakaś ukryta aplikacja.

Czy na pewno zaznaczyłeś opcję Pokaż procesy wszystkich użytkowników?

 

 

Skanowałem system Avastem i wykrył on kilka pomniejszych zagrożeń oraz jednego malware. Avast przeniósł wszystkie zagrożenia do kwarantanny, z wyjątkiem BrowseFox-GY [PUP]. Nie wiem, czy to ten wirus jest przyczyną obciążenia procesora, czy coś innego, ale po zeskanowaniu problem nie znikł.

Podaj wyciąg ze skanera gdzie on widzi to zagrożenie, w jakiej ścieżce dostępu. Do detekcji BrowseFox pasuje poniższy obiekt, ale to już martwa usługa (nie uruchamia się i na 100% nie ma związku z objawami).

 

S2 Update SourceApp; "C:\Program Files (x86)\SourceApp\updateSourceApp.exe" [X]

 

 

 

Póki co, zadaję tylko doczyszczanie szczątków adware oraz wpisów pustych (w tym puste skróty z Shortcut.txt). Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
S2 Update SourceApp; "C:\Program Files (x86)\SourceApp\updateSourceApp.exe" [X]
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
Task: {02094454-8734-4B26-8AFA-19742FD12F6A} - System32\Tasks\QtraxPlayer => 797711452.portal.qtrax.com
Task: {32E22547-BAB7-4DB1-9955-83EAEEFE1ED4} - System32\Tasks\{989A7028-98D9-43A8-83B5-E15CFB182410} => pcalua.exe -a "D:\Program Files (x86)\The Vanishing of Ethan Carter\Binaries\Launcher.exe" -d "D:\Program Files (x86)\The Vanishing of Ethan Carter\Binaries"
Task: {5CB4B241-4A96-4F3D-8418-02A2187A3F3A} - System32\Tasks\{E70AC7E4-7968-43A2-867E-70FB0B0C2061} => pcalua.exe -a C:\Users\user\AppData\Local\Temp\jre-8u77-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 
Task: {E64CF221-96CD-40FF-94ED-E025906E2067} - System32\Tasks\{19AC2C04-E99E-41AD-833E-7E375430D87E} => pcalua.exe -a D:\Flak\InstallFilter.exe -d D:\Flak
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
SearchScopes: HKU\.DEFAULT -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL =
FF Plugin: @esn/npbattlelog,version=2.6.2 -> C:\Program Files (x86)\Battlelog Web Plugins\2.6.2\npbattlelogx64.dll [brak pliku]
FF Plugin-x32: @esn/npbattlelog,version=2.4.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.4.0\npbattlelog.dll [brak pliku]
FF Plugin-x32: @esn/npbattlelog,version=2.6.2 -> C:\Program Files (x86)\Battlelog Web Plugins\2.6.2\npbattlelog.dll [brak pliku]
FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku]
FF user.js: detected! => C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\19zl9cwy.default-1410599145989\user.js [2014-12-01]
FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF
FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
C:\Program Files (x86)\mozilla firefox\plugins
C:\ProgramData\mntemp
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Aspyr Media, Inc
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Battlefield 4
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bound By Flame
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Desura
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FTL Faster Than Light
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gone Home PL [bDIP]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Haali Media Splitter
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kerbal Space Program
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NSR-Stage 1
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outlast PL [bDIP]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\State of Decay
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\thechineseroom
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TmUnitedForever
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TrackMania 2
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ubisoft\Blue Byte
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Zombie Studios
C:\Users\user\AppData\Local\{737D343D-1987-4303-98C9-611F85351516}
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\1-click run
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Duel of Champions Launcher
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ElcomSoft
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Miner Wars 2081
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PlagueInc 1.0
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Spelunky HD 1.0
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\The Binding of Isaac
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\The Swapper 1.0
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Thomas Was Alone
C:\Users\user\Desktop\Nazwa nie wymagana\Banished 64-bit.lnk
C:\Users\user\Desktop\Nazwa nie wymagana\Battlefield 4(64 bit).lnk
C:\Users\user\Desktop\Nazwa nie wymagana\Battlefield 4.lnk
C:\Users\user\Desktop\Nazwa nie wymagana\Dead Space.lnk
C:\Users\user\Desktop\Nazwa nie wymagana\Death Track Resurrection.lnk
C:\Users\user\Desktop\Nazwa nie wymagana\Duel of Champions Launcher.lnk
C:\Users\user\Desktop\Nazwa nie wymagana\Miasmata.lnk
C:\Users\user\Desktop\Nazwa nie wymagana\PIT Projekt 2013.lnk
C:\Users\user\Desktop\Nazwa nie wymagana\Play Outlast.lnk
C:\Users\user\Desktop\Nazwa nie wymagana\Play Thief.lnk
C:\Users\user\Desktop\Nazwa nie wymagana\Reus.lnk
C:\Users\user\Desktop\Nazwa nie wymagana\Sir, You Are Being Hunted.lnk
C:\Users\user\Desktop\Nazwa nie wymagana\The Darkness II.lnk
C:\Users\user\Desktop\Nazwa nie wymagana\The Evil Within.lnk
C:\Users\user\Desktop\Nazwa nie wymagana\The Forest.lnk
C:\Users\user\Desktop\Nazwa nie wymagana\The Last Door.lnk
C:\Users\user\Desktop\Resztki\TrackMania 2.lnk
C:\Users\user\Desktop\Resztki\mcdungeon-v0.14.0-win64\Battlefield 4(64 bit).lnk
C:\Users\user\Links\bmp.lnk
C:\Users\Iwona\Desktop\dokumenty\Skrót do Iwona.lnk
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik.

Odnośnik do komentarza

Dziękuję za szybką odpowiedź.

 

FRST wykonał wszystkie działania poprawnie. Załączam log.

 

Faktycznie, zapomniałem zaznaczyć opcję Pokaż procesy wszystkich użytkowników, mój błąd. Winowajcą obciążenia procesora jest jeden z procesów svchost.exe. Obserwowałem chwilę ten proces i uruchamia się on dopiero po starcie systemu. Początkowo jego wartość "skacze", by po chwili ustabilizować się dokładnie na 25%. Da się to jakoś wyłączyć?

 

Jeżeli chodzi o program Mashed, jest to gra pierwotnie wydana na Windowsie XP. Próbowałem ją uruchomić na obecnym systemie, ale zamiast całego programu włączał się tylko sam proces, który musiałem wyłączać ręcznie Menedżerem Zadań. Być może dlatego pozostał jakiś ślad.

 

Załączam też wyciąg ze skanera: hxxp://scr.hu/40sq/5asop

 

 

Fixlog.txt

Odnośnik do komentarza

Fix FRST pomyślnie wykonany.

 

 

Załączam też wyciąg ze skanera: hxxp://scr.hu/40sq/5asop

Wykryte zostały sterowniki (*}Gw64.sys od SourceApp. Ich rzeczywiście nie ma w systemie, w raporcie FRST zero śladu po nich.

 

 

Faktycznie, zapomniałem zaznaczyć opcję Pokaż procesy wszystkich użytkowników, mój błąd. Winowajcą obciążenia procesora jest jeden z procesów svchost.exe. Obserwowałem chwilę ten proces i uruchamia się on dopiero po starcie systemu. Początkowo jego wartość "skacze", by po chwili ustabilizować się dokładnie na 25%. Da się to jakoś wyłączyć?

Proces svchost.exe to host dla wielu usług, występuje wielokrotnie zgodnie z podziałem usług na grupy. Zdefiniuj o którym svchost tu mowa. Prawoklik na proces > Przejdź do usług > wypisz podświetlone. Jeśli będzie wśród usług Windows Update, to jest przypuszczalny delikwent.

 

 

Jeżeli chodzi o program Mashed, jest to gra pierwotnie wydana na Windowsie XP. Próbowałem ją uruchomić na obecnym systemie, ale zamiast całego programu włączał się tylko sam proces, który musiałem wyłączać ręcznie Menedżerem Zadań. Być może dlatego pozostał jakiś ślad.

 

Mashed jest także na liście zainstalowanych programów. Skoro gra nie działa, odinstaluj ją. Następnie zrób nowy log FRST Addition.txt (główny log zbędny). Jeśli on wykaże że zadania się nie usunęły samodzielnie, dokończę je skryptem FRST.

Odnośnik do komentarza

Mashed odinstalowany; załączam log Addition.

Zadania nie usunęły się, choć są obecnie martwe. Zrób nowy skrypt fixlist.txt do FRST o następującej treści:

 

Task: {2AB6CBD3-6F5D-428A-8D2B-36804562C06C} - System32\Tasks\{F6DB9864-A15B-45A5-970B-B702F9D74B30} => D:\Program Files (x86)\Steam\SteamApps\common\Mashed\launch.exe
Task: {A5C8B19E-F098-4CE7-B62E-70D5601F83C0} - System32\Tasks\{35CC3810-D684-4CCF-BB9F-72F867C178CF} => D:\Program Files (x86)\Steam\SteamApps\common\Mashed\MASHED.exe

 

 

Faktycznie, jednym z procesów jest wuauserv opisany jako Windows Update.

Przetestuj czy tymczasowe wyłączenie usługi (włącznie z zakończeniem procesu) obniża obciążenie zasobów. Jeśli wyjdzie na jaw, że to WU, to raczej tu nic nie da się zrobić. Czy masz zainstalowane wszystkie aktualizacje? Na wszelki wypadek zacytuję jeszcze z innego tematu:

 

To znany i "standardowy" problem już od dłuższego czasu. Od końca 2015 są problemy z usługą na starszych systemach, skan aktualizacji trwa znacznie dłużej oraz obciąża zasoby. Problem ponoć rozwiązuje aktualizacja KB3161608 (aplikuje nową wersję Windows Update Client), którą zastąpiono nowszą aktualizacją KB3172605 (zawiera wszystko co poprzednia plus nowe fiksy).

Odnośnik do komentarza

FRST wykonał zadany skrypt.

 

Zakończenie usługi wuauserv (wyłączenie całego procesu svchost.exe nie było konieczne) w pełni rozwiązało problem. Procesor już pracuje normalnie, bez zbędnego obciążenia. Usługa wuauserv nie uruchamia się ponownie, jedynym skutkiem ubocznym jest wyświetlanie przez Powiadomienia, że automatyczne aktualizacje zostały wyłączone.

 

Jestem prawie pewien, że mam najnowszą wersję Windowsa 7, ponieważ cały czas miałem włączone automatyczne aktualizacje. Problem z obciążeniem procesora pojawił się niespodziewanie, a zanim wystąpił, nie było żadnej aktualizacji, no chyba że była jakaś niejawna, której nie zauważyłem.

 

Czy to oznacza, że teraz za każdym razem po uruchomieniu komputera mam wyłączać tą usługę?

 

Edycja: rozumiem, że to już wszystko. Bardzo dziękuję za udzieloną pomoc, znając źródło obciążenia procesora mogę je kontrolować, więc problem w zasadzie rozwiązany.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...