Preventívka - ventilátor

[Conder]

To spadnutie vytazenia CPU sa deje vzdy po otvoreni spravcu uloh?

Urob v Malwarebytes uplny sken

• Stiahni a nainstaluj Malwarebytes (MB/MBAM): https://www.malwarebytes.com/mwb-download/thankyou/
• Ovor Malwarebytes a klikni na "Skener"
• Klikni na "Rozsirene skenery" a potom na "Nakonfigurovat skenovanie"
• Vpravo oznac vsetky disky v PC a vlavo oznac moznost "Vyhladavat rootkity"
• Klikni na "Skenovat" a pockaj na dokoncenie
• Po dokonceni klikni na "Zobrazit spravu" -> "Exportovat" -> "Skopirovat do schranky"
• Skopirovany log vloz do dalsej odpovede

[eXtenZ]

Áno, to spadnutie sa deje po otvorení task managera.

Tu je log:

Malwarebytes
www.malwarebytes.com

-Podrobnosti denníka-
Dátum skenovania: 3. 7. 2020
Čas skenovania: 14:26
Súbor denníka: 5ac769de-bd28-11ea-b3c3-b4b52f8ae36e.json

-Údaje o softvéri-
Verzia: 4.1.2.73
Verzia súčastí: 1.0.972
Aktualizovať verziu balíka: 1.0.26353
Licencia: Skúšobná verzia

-Systémové informácie-
OS: Windows 10 (Build 19041.329)
Procesor: x64
Systém súborov: NTFS
Používateľ: DESKTOP-RVH7CI1\Tom

-Zhrnutie skenovania-
Typ skenovania: Vlastné skenovanie
Skenovanie bolo spustené: Manuálne
Výsledok: Dokončené
Preskenované objekty: 315693
Zistené hrozby: 0
Hrozby umiestnené do karantény: 0
Uplynulý čas: 54 min, 55 s

-Možnosti skenovania-
Pamäť: Povolené
Spúšťanie: Povolené
Systém súborov: Povolené
Archívy: Povolené
Rootkity: Povolené
Heuristika: Povolené
PUP: Zistiť
PUM: Zistiť

-Podrobnosti skenovania-
Proces: 0
(Nezistili sa nijaké škodlivé položky)

Modul: 0
(Nezistili sa nijaké škodlivé položky)

Kľúč databázy Registry: 0
(Nezistili sa nijaké škodlivé položky)

Hodnota databázy Registry: 0
(Nezistili sa nijaké škodlivé položky)

Údaje databázy Registry: 0
(Nezistili sa nijaké škodlivé položky)

Prúd údajov: 0
(Nezistili sa nijaké škodlivé položky)

Priečinok: 0
(Nezistili sa nijaké škodlivé položky)

Súbor: 0
(Nezistili sa nijaké škodlivé položky)

Fyzický sektor: 0
(Nezistili sa nijaké škodlivé položky)

WMI: 0
(Nezistili sa nijaké škodlivé položky)


(end)

[Conder]

Sprav este sken cez ESET Online Scanner:

• Stiahni z tohto odkazu: https://download.eset.com/com/eset/tool ... canner.exe
• Vyber jazyk (cestina alebo slovencina) a klikni na Spustit
• Odsuhlas licencne podmienky a klikni na Spustit
• Mozes povolit posielanie anonymnych dat, zapni system spatnej vazby a klikni na Pokracovat
• Klikni na Uplna kontrola
• Povol detekciu potencialne nechcenych aplikacii (PUP) a klikni na Spustit kontrolu
• Pockaj na dokoncenie skenu
• Po dokonceni kontroly klikni na Ulozit protokol kontroly, napis nazov suboru napr. esetlog.txt a uloz na plochu
• Tento subor otvor a jeho obsah skopiruj a vloz do dalsej odpovede

[eXtenZ]

3. 7. 2020 21:44:55
Skontrolované súbory: 176378
Zachytené súbory: 2
Vyliečené súbory: 2
Celkový čas kontroly 00:35:29
Stav kontroly: Dokončené


C:\Users\Tom\AppData\Roaming\uTorrent\utorrent.exe variant Win32/uTorrent.D potenciálne nechcená aplikácia vyliečený zmazaním
D:\Stiahnuté súbory\uTorrent221.exe variant Win32/uTorrent.D potenciálne nechcená aplikácia vyliečený zmazaním

[Conder]

Poprosim o obidva nove logy z FRST.

[eXtenZ]

Moc sa mi nepáči, že mi ESET zmazal uTorrent, bez môjho súhlasu.

[Conder]

Subory, ktore zmazal ESET sa daju obnovit cez moznost O aplikacii ESET Online Scanner -> Zobrazit subory v karantene -> oznacit potrebne subory -> Obnovit subory.

Podla vsetkeho je PC cisty co sa tyka malware. Ak namiesto Spravcu uloh spustis ProcessExplorer, deje sa to iste? Ak nie, tak v nom zorad procesy od najvacsieho vytazenia CPU a skus pozorovat, ktore to su.

[eXtenZ]

Ale veď v prvom poste som písal, že som preinštaloval načisto nový win plus bol v servise na vyčistenie od prachu a prepastovanie. Keď spustím process explorer, tak sa nedeje to isté. Deje sa to iba pri správcovi úloh. Skúšal som si dávno zoradiť tie procesy a vôbec nič sa nedeje, žiadne procesy tam nebežia moc.

Čo som vypozoroval, tak sa ventilátor roztočí keď pozerám youtube/alebo viac stránok v Chrome (mám ale i5, celkom ešte obstojný nb, tak neviem či to môže robiť), druhá vec čo som vypozoroval je, že na pozadí mi beží Windows Defender(MsMpEng.exe) a skenuje to na pozadí furt niečo. Ten som ale vypol a skúsil nainštalovať nejaký náhradný, ale to bolo z kaluže do blata.

Inak mi nič nenapadá, jedine HW problém.

[Conder]

To je mi jasne, ale toto co opisujes, teda ze vysoke vytazenie CPU aj zvysene otacky ventilatora pominu vzdy po otvoreni Spravcu uloh (ale uz nie po otvoreni Process Explorer), stale vyvolava podozrenie skor na malware, resp. coinminer.

Ked sa opat spusti ventilator na vyssie otazky, este raz spusti Process Explorer, zorad procesy od najvacsieho vytazenia CPU a posli screenshot - tak, aby boli viditelne procesy na zaciatku zoznamu (na zaciatok zoznamu sa najrychlejsie dostanes klavesou Home) a tiez tak, aby bola viditelna aj dolna lista v okne Process Exploreru, ktora zobrazuje udaje o celkovom vyuziti CPU a pamate.

Process Explorer je pritom potrebne spustit ako spravca (pravy klik -> Spustit ako spravca -> potvrdit), aby zobrazil detaily vsetkych procesov a je potrebne pouzit 64-bitovu verziu (procexp64.exe), ak si ju nepouzival predtym. A tiez skontroluj, ci pouzivas aktualnu verziu Process Exploreru (momentalne v16.32) dostupnu na oficialnej stranke: https://docs.microsoft.com/en-us/sysint ... s-explorer

[eXtenZ]

Tu je screen. Zatvoril som úplne Chrome, bežal mi na pozadí len vlc (pauznutý) a processExplorer:
https://imgur.com/0LadwT2

[Conder]

V tomto pripade je vyuzitie CPU len 28 % (a z toho 23 % je prave Process Explorer), ventilator teda bezi aj pri takomto vyuziti CPU?

[eXtenZ]

Áno ventilátor beží aj pri taktomto vyťažení. Skúšal som zistiť či processExplorer robí po otvorení to, čo prieskumník a zistil som že to robí rovnako. Čiže otvorím PE a mám tam cez 70% vyťaženie CPU a potom to klesá až k minimu.

Ešte pridávam screeny, ktoré sa mi podarili zachytiť pri náhodnom roztočení ventilátora:
https://imgur.com/kK1OhBv
https://imgur.com/elXa0nq
https://imgur.com/rIPqzlG

[Diallix]

Dobry den.

Prosim, urobte sken z tochto nastroja: https://forum.viry.cz/viewtopic.php?f=24&t=155685

Log, prosim, vlozte sem.

[eXtenZ]

Ahoj, tu je log:
.
.
----------- Inline Hook Scanner --------[3.6]---
Written by Diallix (C)
www.diallix.net
------------------------------------------------
.
.
...[Time/Date]: 15:41/14.6 2020
...[Running as Admin.]: Yes
.
.
=== Running Executable objects and their loaded modules ===


C:\Program Files (x86)\Hewlett-Packard\HP Hotkey Support\HPHotkeyMonitor.exe
C:\WINDOWS\System32\win32u.dll
C:\WINDOWS\System32\gdi32full.dll
C:\WINDOWS\SYSTEM32\UMPDC.dll
C:\WINDOWS\SYSTEM32\amsi.dll
C:\ProgramData\Microsoft\Windows Defender\platform\4.18.2006.10-0\X86\MpOav.dll
C:\WINDOWS\SYSTEM32\DSPARSE.dll
C:\WINDOWS\SYSTEM32\Wldp.dll
C:\Program Files (x86)\Hewlett-Packard\Shared\hputils.dll
C:\WINDOWS\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.19041.329_none_429dd8008a8f1a3f\gdiplus.dll

C:\Program Files (x86)\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\System32\win32u.dll
C:\WINDOWS\System32\gdi32full.dll
C:\WINDOWS\SYSTEM32\amsi.dll
C:\ProgramData\Microsoft\Windows Defender\platform\4.18.2006.10-0\X86\MpOav.dll

D:\Stiahnuté súbory\inlinehookscanner.exe
C:\WINDOWS\System32\win32u.dll
C:\WINDOWS\System32\gdi32full.dll
C:\Program Files (x86)\AMD\ATI.ACE\Core-Static\MSVCP100.dll
C:\Program Files (x86)\AMD\ATI.ACE\Core-Static\MSVCR100.dll
C:\WINDOWS\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_5.82.19041.1_none_92e69152510a8cb1\COMCTL32.dll
C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscoreei.dll
C:\Windows\Microsoft.NET\Framework\v4.0.30319\clr.dll
C:\WINDOWS\SYSTEM32\VCRUNTIME140_CLR0400.dll
C:\WINDOWS\SYSTEM32\ucrtbase_clr0400.dll
C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\mscorlib\33ddd1d414c8f8d6deceff1a62363c2e\mscorlib.ni.dll
C:\Windows\Microsoft.NET\Framework\v4.0.30319\clrjit.dll
C:\WINDOWS\SYSTEM32\Wldp.dll
.
.
[Total scanned objects]: 137.
.
.
[EOF]

[Diallix]

Logy su v poriadku.

Co mozem povedat, tak malwarom to evidentne nebude.

Skusal si meriat teplotu na cpu ci nieje vysoka?