winlog.exe zatěžuje GPU na 100% (graf. kartu)

[Bono]

Zdravím,

již druhý den bojuju s tím, že mi něco vytěžuje GPU na 100%. Postupným hledáním a zkoušením jsem přišel na to, že to dělá proces winlog.exe*32. Mám přes soft. AIDA64 vytaženou miniaplikaci a tak si nemůžu nevšimnout, že aktivita při pouhém přihlášení naskočí na 100% což zároveň zvyší teplotu grafické karty. Když se přihlásím na jiný profil na stejném PC (mám profil pro bratra, nemá admin práva), vytížení GPU je 0%, s otevřeným FF 2% max. Tento profil v Správci úloh nemá winlog.exe*32 vůbec zobrazen (nevím, jesti jen není skrytý kvůli tomu, že nemá admin práva). Když však přejdu na svůj profil, automaticky naskočí winlog.exe a zároveň i vytížení GPU na 100%. Když winlog.exe*32 manuálně vypnu, skočí vytížení na 0% (s FF 2%). Avšak proces winlog.exe*32 po chvíli zase naskočí. Před pár dny (max týden zpět) jsem dělal přes Eset Smart Security v 4.2.64.12 kontrolu celého PC a nebyl zaznamenán vir (avšak bylo to před tím, než mi to začalo zatěžovat GPU), nyní dělám scan přes Spybot Search&Destroy. Rád bych se zeptal, zda nemáte někdo radu, co s tím (vytížení GPU - graf. karta ATI Radeon HD5770).

Děkuji.

S pozdravem
Míra

[vyosek]

Zdravim

Spybot - Search & Destroy odinstalujte - program ma uz nejlepsi leta davno za sebou a posledni cca 3 roky neni schopen celit aktualnim hrozbam

Dejte log z FRST http://forum.viry.cz/viewtopic.php?f=13&t=133100

[Bono]

Á byl jste rychlejší než můj update prvního postu . Zde je log, ale je z RSIT dle návodu, jestli nevadí. pokud ano, přehodím to na ten druhý (už jsem scanoval během toho, než jste stihl odepsat).

http://pastebin.com/UNBnsKGX

osobně se mi nelíbí řádek 244

Kód: Vybrat vše

"C:\Windows\System32\cmd.exe" /c setx GPU_MAX_ALLOC_PERCENT 100 &&setx GPU_USE_SYNC_OBJECTS 1 &&C:\Users\Mirek\AppData\Roaming\WinUpdate\g/winlog.exe ....

jen nevím co s tím

[vyosek]

Je tam toho hoooodne, co taky cekat kdyz si cracknete bezpecnostni SW

Dle pravidel fora se tu vsak PC s nelegalnim zabezpecenim nezabyvame!

Pred pokracovanim, vas musim pozadat o odstraneni NELEGALNIHO ESETu. Tento muj "pozadavek" vychazi z platnych pravidel fora http://forum.viry.cz/viewtopic.php?f=12&t=115512, ktere jste vy i ja povinnen dodrzovat

Pomáhat NELZE:
2) Pokud stroj uživatele prokazatelně obsahuje nelegální hostitelský čí ochranný software
(operační systém, antivir, firewall, atd.), je nutné navést uživatele k nápravě, např. skrze neplacený software,
a začít řešit, až v době kdy je PC "v pořádku". V případě že uživatel nechce na pravidla přistoupit,
je nutné jej vyzvat ať fórum opustí, a vrátí se až je splní.

Takze pokud chcete pomoci, tak jej odinstalujte, nainstalujte free reseni (napr. Avast), napiste a budeme pokracovat

[Bono]

S tím nemám nejmenší problém, počítač postupně "odbordelovávám" . Když byl člověk ještě chudý student, tak si nechal rád poradit od kamarádů kde co sehnat zadarmo. Nicméně, mám v plánu esety koupit příští měsíc, takže zatím jej odinstaluji, dám tam avast a ozvu se .

[vyosek]

Pak odinstalujte i Spybot - Search & Destroy - program ma uz nejlepsi leta davno za sebou a posledni cca 3 roky neni schopen celit aktualnim hrozbam

Dejte mi pak log z FRST a budem cistit

[Bono]

Tak jsem pročistil nějakou neplechu (x let nepoužité programy) co jsem měl v PC + stáhl jsem si 30ti denní Eset, abych ho pak na konci jen pozvedl na placenou verzi, čili budu mít už přímo tento antivir.

Zasílám log: http://pastebin.com/YHw0Jfnf

[vyosek]

A proc jej nepozvednete na placeny uz ted?? Jelikoz trial tam uz mit nemuze, opakovne pouzivani trial licenci je v rozporu s licencnimi podminkami ESETu

Navic ja jsem podminky pomoci napsal a vy jste psal, ze Avast tam date, takze az tam bude, budeme pokracovat

[Bono]

A proc jej nepozvednete na placeny uz ted??

No tento měsíc musím koupit mobil, jelikož současný dosluhuje velice rychle. Další měsíc mám v plánu právě koupit celý eset včetně antiviru do mobilu a té anti-theft vychytávce (jeslti je to teda i na mobily). Bohužel, finančně obojí v jeden měsíc neutáhnu . Nicméně, poslechl jsem Vás a nyní funguji na Avastu (free). Pokud máte jinou radu, kterou byste mi mohl při této přiležitosti poskytnout ohledně zabezpečení PC + chytrého telefonu, budu velmi rád .

Nějaký člen fora zde psal (moderátory smazáno), že mám vypnout v task manageru proces a odstranit soubor. To samosebou jde, ale není to dle mě správné řešení problému, navrátil jsem to do původního stavu. Jelikož přecházím na "softwarovou" světlou stranu síly, chci mít PC vyčištěné. Ale je to dlouhodobější proces. Vir je možná součástí nějaké z her, co teď běží, ale poslední, co jsem stahoval byl zadarmo official Sniper Elite (dneska už hry pouze ze steamu, originu apod.). Dlouho jsem se k pročištění PC neměl, ale toto mě k tomu donutilo. Když si člověk za xlet udělá pracovní prostředí, nechce se mu měnit, dokud se něco nepokazí .

Nicméně, tady je nový log. C-rack na Eset odinstalován, Eset trial také, nainstalován Avast (free).

http://pastebin.com/vDch6J98

[vyosek]

Omlouvam se za zdrzeni, pracovni povinnosti

Bezni uzivatele nemaji v sekci s logy co radit - mame mezinaordni akreditaci a dle toho se k reseni problemu i stavime

Tvorba fixlistu pro FRST

• Spustte poznamkovy blok (Start-spustit-notepad)
• Zkopirujte skript nize

• Kód: Vybrat vše

  Start
  HKLM\...\Run: [AdobeAAMUpdater-1.0] => C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe [500208 2010-03-06] (Adobe Systems Incorporated)
  HKLM\...\Run: [pdfFactory Pro Dispatcher v3] => C:\Windows\system32\spool\DRIVERS\x64\3\fppdis3a.exe [745984 2009-03-24] (FinePrint Software, LLC)
  HKLM-x32\...\Run: [PWRISOVM.EXE] => C:\Program Files (x86)\PowerISO\PWRISOVM.EXE [180224 2009-03-15] (PowerISO Computing, Inc.)
  HKLM-x32\...\Run: [SwitchBoard] => C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [517096 2010-02-19] (Adobe Systems Incorporated)
  HKLM-x32\...\Run: [GrooveMonitor] => C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe [30040 2009-02-26] (Microsoft Corporation)
  HKLM-x32\...\Run: [NBAgent] => C:\Program Files (x86)\Nero\Nero 10\Nero BackItUp\NBAgent.exe [1406248 2010-09-28] (Nero AG)
  HKLM-x32\...\Run: [QuickTime Task] => C:\Program Files (x86)\QuickTime\QTTask.exe [421888 2012-10-25] (Apple Inc.)
  HKLM-x32\...\Run: [Adobe ARM] => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959904 2013-11-21] (Adobe Systems Incorporated)
  HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [254336 2013-07-02] (Oracle Corporation)
  HKLM-x32\...\Run: [ISUSScheduler] => C:\Program Files (x86)\Common Files\InstallShield\UpdateService\issch.exe [69632 2004-04-13] (InstallShield Software Corporation)
  HKLM-x32\...\Run: [LogMeIn Hamachi Ui] => C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe [3814736 2014-05-13] (LogMeIn Inc.)
  HKU\S-1-5-21-2266085179-2647867742-1255884541-1000\...\Run: [AdobeBridge] => [X]
  HKU\S-1-5-21-2266085179-2647867742-1255884541-1000\...\Run: [Akamai NetSession Interface] => C:\Users\Mirek\AppData\Local\Akamai\netsession_win.exe [4672920 2014-04-17] (Akamai Technologies, Inc.)
  HKU\S-1-5-21-2266085179-2647867742-1255884541-1000\...\Run: [Steam] => C:\Program Files (x86)\Steam\steam.exe [1753280 2014-06-10] (Valve Corporation)
  HKU\S-1-5-21-2266085179-2647867742-1255884541-1000\...\Run: [DAEMON Tools Lite] => C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe [3673184 2013-07-03] (Disc Soft Ltd)
  HKU\S-1-5-21-2266085179-2647867742-1255884541-1000\...\Run: [ISUSPM Startup] => C:\Program Files (x86)\Common Files\InstallShield\UpdateService\ISUSPM.exe [196608 2004-04-17] (InstallShield Software Corporation)
  HKU\S-1-5-21-2266085179-2647867742-1255884541-1000\...\Run: [Windows Drivers] => C:\Users\Mirek\AppData\Roaming\WinUpdate\g\windrv.exe [6656 2014-06-03] (Microsoft)
  HKU\S-1-5-21-2266085179-2647867742-1255884541-1000\...\Policies\system: [LogonHoursAction] 2
  HKU\S-1-5-21-2266085179-2647867742-1255884541-1000\...\Policies\system: [DontDisplayLogonHoursWarnings] 1
  HKU\S-1-5-21-2266085179-2647867742-1255884541-1000\...\MountPoints2: {a4eace5c-5d19-11e0-a72c-002421299aa7} - G:\autorun.exe
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Actualizar la licencia de ESET.lnk
  ShortcutTarget: Actualizar la licencia de ESET.lnk -> C:\Program Files (x86)\ESET\MiNODLogin\launcher.exe (No File)
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Aktualizovat ESET licenci.lnk
  ShortcutTarget: Aktualizovat ESET licenci.lnk -> C:\Program Files (x86)\ESET\MiNODLogin\MiNODLogin.exe (No File)
  
  GroupPolicyUsers\S-1-5-21-2266085179-2647867742-1255884541-1004\User: Group Policy restriction detected <======= ATTENTION
  
  HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.qip.ru
  HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qip.ru
  HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.qip.ru
  HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.qip.ru/ie
  SearchScopes: HKLM-x32 - DefaultScope {7F4EFF06-7032-458e-AE16-1C1D8255C28A} URL = http://go.speedbit.com/search.aspx?s=E69aCNET&q={searchTerms}
  SearchScopes: HKLM-x32 - {7F4EFF06-7032-458e-AE16-1C1D8255C28A} URL = http://go.speedbit.com/search.aspx?s=E69aCNET&q={searchTerms}
  SearchScopes: HKLM-x32 - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} URL = http://search.qip.ru/?query={searchTerms}
  SearchScopes: HKCU - DefaultScope {32C354EF-BD00-4F89-A141-F26A71E2D022} URL = http://search.centrum.cz/index.php?q={searchTerms}&toolbar=centrum-1.0.0
  SearchScopes: HKCU - {32C354EF-BD00-4F89-A141-F26A71E2D022} URL = http://search.centrum.cz/index.php?q={searchTerms}&toolbar=centrum-1.0.0
  SearchScopes: HKCU - {7F4EFF06-7032-458e-AE16-1C1D8255C28A} URL = http://go.speedbit.com/search.aspx?s=E69aCNET&q={searchTerms}
  SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={50B076C5-3A9E-4D17-A009-7F706B895690}&mid=4fcfdcbf9b0a47d083c9d16d67cd7354-fa219210feba9dc582493c76a833608073c39361&lang=en&ds=yu012&pr=sa&d=2012-05-23 18:56:02&v=11.1.0.7&sap=dsp&q={searchTerms}
  SearchScopes: HKCU - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} URL = http://search.qip.ru/?query={searchTerms}
  BHO-x32: QIPBHO Class - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Users\Mirek\AppData\Roaming\Microsoft\Internet Explorer\qipsearchbar.dll (qip.ru)
  Toolbar: HKLM - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll ()
  Toolbar: HKLM-x32 - No Name - {D5D47440-0750-463D-BAEF-A47D02414806} -  No File
  Toolbar: HKLM-x32 - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar.dll ()
  Toolbar: HKCU - No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} -  No File
  Toolbar: HKCU - No Name - {D5D47440-0750-463D-BAEF-A47D02414806} -  No File
  Toolbar: HKCU - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll ()
  Toolbar: HKCU - No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} -  No File
  
  FF DefaultSearchEngine: Search the web (Babylon)
  FF SearchEngineOrder.1: Search the web (Babylon)
  FF Keyword.URL: hxxp://isearch.babylon.com/?affID=112555&tt=031012_ccp_4012_4&babsrc=KW_ss&mntrId=84f77b0b00000000000000fffbb1b2fb&q=
  FF SearchPlugin: C:\Users\Mirek\AppData\Roaming\Mozilla\Firefox\Profiles\w4b8pg3t.default\searchplugins\daemon-search.xml
  FF SearchPlugin: C:\Users\Mirek\AppData\Roaming\Mozilla\Firefox\Profiles\w4b8pg3t.default\searchplugins\speedbit.xml
  FF Extension: New Tab Homepage - C:\Users\Mirek\AppData\Roaming\Mozilla\Firefox\Profiles\w4b8pg3t.default\Extensions\{66E978CD-981F-47DF-AC42-E3CF417C1467}.xpi [2012-10-05]
  FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird
  FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird
  
  R2 QipGuard; C:\Program Files (x86)\QipGuard\QipGuard.exe [187776 2011-02-01] (QIP.ru) [File not signed]
  S2 iisrftfddvbsws; c:\windows\SysWOW64\ifjbioh.exe [X]
  
  c:\windows\SysWOW64\ifjbioh.exe
  C:\Program Files (x86)\DAEMON Tools Toolbar
  C:\Program Files (x86)\ESET
  C:\Users\Mirek\AppData\Roaming\WinUpdate
  C:\Program Files (x86)\QipGuard
  2014-06-13 17:11 - 2014-06-13 17:13 - 00112640 _____ (forum.viry.cz) C:\Users\Mirek\Desktop\FRSTLauncher.exe
  2014-06-13 16:43 - 2014-06-13 16:43 - 04796856 _____ (AVAST Software) C:\Users\Mirek\Downloads\avast_free_antivirus_setup_online.exe
  2014-06-13 00:10 - 2014-06-13 00:10 - 01595776 _____ (ESET) C:\Users\Mirek\Downloads\eset_smart_security_live_installer_.exe
  2014-06-12 22:30 - 2014-06-12 22:36 - 00000000 ____D () C:\Program Files\trend micro
  2014-06-12 22:30 - 2014-06-12 22:30 - 00000000 ____D () C:\rsit
  2014-06-12 22:29 - 2014-06-12 22:29 - 01222144 _____ () C:\Users\Mirek\Downloads\RSITx64.exe
  2014-06-12 20:50 - 2014-06-12 20:51 - 46392680 _____ (Safer-Networking Ltd. ) C:\Users\Mirek\Downloads\spybot-2.3.exe
  2014-06-12 20:48 - 2014-06-12 23:55 - 00000311 _____ () C:\Windows\wininit.ini
  2014-06-12 18:21 - 2014-06-12 18:21 - 04748896 _____ (Piriform Ltd) C:\Users\Mirek\Downloads\ccsetup414.exe
  2014-06-12 21:05 - 2013-11-21 17:31 - 00000000 ____D () C:\ProgramData\Spybot - Search & Destroy
  C:\Users\Mirek\{58C482E3-0C46-43EC-8EE5-C7230FFBC3D6}.dat
  
  Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
  Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
  Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
  
  AlternateDataStreams: C:\ProgramData\TEMP:05EE1EEF
  AlternateDataStreams: C:\ProgramData\TEMP:56E2E879
  AlternateDataStreams: C:\ProgramData\TEMP:8927A071
  AlternateDataStreams: C:\ProgramData\TEMP:B468194E
  AlternateDataStreams: C:\Users\Mirek\AppData\Local\82IbESixG4H3mX:ISoxXMrHuFBis5lGoMeo940
  AlternateDataStreams: C:\Users\Mirek\AppData\Local\Temp:eBxmoDGhjHawYotWPBp3GUE
  
  Hosts:
  End
  

• Ulozte vytvoreny TXT jako fixlist.txt
• Presunte vytvoreny fixlist vedle FRST

Spustte znovu FRST.exe

• Kliknete na Fix
• Probehne oprava a vytvori log Fixlog.txt

Restart PC a dejte mi sem fixlog.txt

[Bono]

Omlouvam se za zdrzeni, pracovni povinnosti

Nic se neděje, každý máme nějaké povinnosti. Také jsem hned nemohl reagovat. Jsem rád za Vaši pomoc a vážím si Vašeho času, který do toho dáváte. Ještě k tomu takto pomáhat a užívat své know-how ve prospěch ostatních uživatelů defacto zadarmo (pochopitelně to zdarma nebude a rád přispěji )

PS: všiml jsem si, že mi avast sám při spuštění PC zablokoval spuštění winlog.exe spouštění, nevím, jestli to ovlivnilo ten fix. Nyní mi windows občas hlásí error, že chybí nějaká knihovna .dll.

přikládám fixlog.
http://pastebin.com/QsfdxZ0M

[vyosek]

Proc mi ty logy odmazavate?? jak se mam ted zorientovat a porovnat co kde a jak proc se treba obnovuje

Dejte novy log z FRST

[Bono]

Omlouvám, se, ale nemám rád shromažďování informací by Google a jim podobných a občas tady dole vidím v "Kdo je online" Google bota a Spider bota, což, prostě nemám rád . Nedošlo mi to, že je budete potřebovat zpětně, omlouvám se.

http://pastebin.com/3scyRtxH

[vyosek]

Stahnete Malwarebytes' Anti-Malware (zkracene MBAM)

• Odkaz ke stazeni http://www.bleepingcomputer.com/downloa ... re/dl/241/
• Navod http://forum.viry.cz/viewtopic.php?f=29&t=115222
• Provedte aktualizaci
• Provedte uplny sken - nic nemazte
• MBAM miva obcas falesne detekce, proto vlozte log do prispevku a pockejte na posouzeni

[Bono]

zasílám log z Malwarebytes' Anti-Malware.
http://pastebin.com/gXSNkUH1