Премини към съдържанието
  • Добре дошли!

    Добре дошли в нашите форуми, пълни с полезна информация. Имате проблем с компютъра или телефона си? Публикувайте нова тема и ще намерите решение на всичките си проблеми. Общувайте свободно и открийте безброй нови приятели.

    Моля, регистрирайте се за да публикувате тема и да получите пълен достъп до всички функции.

     

Архивирана тема

Темата е твърде стара и е архивирана. Не можете да добавяте нови отговори в нея, но винаги можете да публикувате нова тема, в която да продължи дискусията. Регистрирайте се или влезте във вашия профил за да публикувате нова тема.

kraskoval

100% CPU load от lsmass.exe

Препоръчан отговор

Здравейте,

 

Вярно ли сте написали името на процеса? - lsmass.exe или е lsass.exe?

Ако е втория, то той е легитимен процес и може да става въпрос за конфликт с някоя от програмите за защита.

 

Изтеглете Process Explorer.Разархивирайте инструмента и стартирайте файла procexp.exeНамерете и кликнете върху процеса на lsass.exe.Отидете до секцията ThreadsРазпънете графата така че да се виждат по-възможност всички обекти/нишки.Направете снимка на прозореца.Докато сте в менюто Threads, кликнете с двукратек клик на мишката върху даден обект и направете снимка на Stack прозореца.За финал...от Process Explorer => View => сложете отметки пред Show Lower Pane, а на Lower Pane View => сложете отметка пред DLLs.Сега кликнете пак на svchost.exe (който товари най-много) и отидете в Process Explorer на File => Save as.Запазете документа на десктопа и след това го прикачете в следващия си коментар.Направените снимки (screenshots) ги качете тук .Публикувайте линкове към снимките за да ги разгледамe в следващия си пост.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Здравейте,

 

Вярно ли сте написали името на процеса? - lsmass.exe или е lsass.exe?

Ако е втория, то той е легитимен процес и може да става въпрос за конфликт с някоя от програмите за защита.

 

Изтеглете Process Explorer.Разархивирайте инструмента и стартирайте файла procexp.exeНамерете и кликнете върху процеса на lsass.exe.Отидете до секцията ThreadsРазпънете графата така че да се виждат по-възможност всички обекти/нишки.Направете снимка на прозореца.Докато сте в менюто Threads, кликнете с двукратек клик на мишката върху даден обект и направете снимка на Stack прозореца.За финал...от Process Explorer => View => сложете отметки пред Show Lower Pane, а на Lower Pane View => сложете отметка пред DLLs.Сега кликнете пак на svchost.exe (който товари най-много) и отидете в Process Explorer на File => Save as.Запазете документа на десктопа и след това го прикачете в следващия си коментар.Направените снимки (screenshots) ги качете тук .Публикувайте линкове към снимките за да ги разгледамe в следващия си пост.

 

 

Процеса е lsmass.exe.

В такъв случай да изпълнявам горните действия? 

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Ами засега не...искам да направите една друга проверка:

 

  • [*]
Публикувано изображение Моля, изтеглете SystemLook_x64.exe и запазете програмата на десктопа. [*]Кликнете два пъти върху SystemLook_x64.exe, за да стартирате програмата. [*]Копирайте съдържанието на следния код в текстовото поле на програматa:

Цитат

:filefind
*lsmass.exe*
:regfind
*lsmass.exe*

 

[*]Кликнете на бутона Look, за да започне сканирането. [*]Когато сканирането завърши ще Ви се отвори Notepad с резултата от сканирането. [*]Моля, прикачете лог файла в следващия си коментар.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

 

Ами засега не...искам да направите една друга проверка:

 

[*]Публикувано изображение Моля, изтеглете SystemLook_x64.exe и запазете програмата на десктопа.

[*]Кликнете два пъти върху SystemLook_x64.exe, за да стартирате програмата.

[*]Копирайте съдържанието на следния код в текстовото поле на програматa:

Цитат

 

[*]Кликнете на бутона Look, за да започне сканирането.

[*]Когато сканирането завърши ще Ви се отвори Notepad с резултата от сканирането.

[*]Моля, прикачете лог файла в следващия си коментар.

 

Здравейте,

Слагам директно лога, защото е кратък - процеса не е засечен: 

 

SystemLook 30.07.11 by jpshortstuff

Log created at 23:24 on 01/03/2014 by KIM

Administrator - Elevation successful

========== filefind ==========

Searching for " *lsmass.exe*"

No files found.

Searching for " :regfind"

No files found.

Searching for " *lsmass.exe*"

No files found.

-= EOF =-

 

Просто в момента в който размърдам мишката и процеса се терминира(както беше казал един юзър тук - ' много умен вирус' ). 

 

Успях обаче да направя един скрииншот за да не изглеждам съвсем като луд :) - вижте в атача.

 

Поздрави, очаквам следващи препоръки.

post-139722-0-45712400-1393712510_thumb.


Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Не сте изпълнили последната стъпка правилно. Всяка команда трябва да е на нов ред. Скрипта трябва да изглежда така:

 

Публикувано изображение

 

Бихте ли я повторили?

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Не сте изпълнили последната стъпка правилно. Всяка команда трябва да е на нов ред. Скрипта трябва да изглежда така:

 

Публикувано изображение

 

Бихте ли я повторили?

 

Да, след директен копи/пейст от темата е имало по един интервал на редове 2-4.

Прикачвам лога.

 

Поздрави.

SystemLook.txt

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Това е друго нещо... :)

 

Моля качете файловете:

 

C:UsersKIMAppDataRoaming.ankiWmiPrvWmiPrvSE.exe

C:UsersKIMAppDataRoaming.ankiWmiPrvlsmass.exe

 

на следния адрес => http://file.bg/ и публикувайте линк за теглене на файловете в следващия си коментар.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Здравейте,

Ето го линка с файловете:

 

 

 

Поздрави!

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Мда...както си и мислех...BitcoinMiner-че...Сега ще го оправим и него....След 2 мин. ще напиша скрипт за премахването му.

Изтеглете следния файл и го запазете в папката от която стартирахте FRST.exe.

Стартирайте FRST.exe и натиснете бутона Fix веднъж!

След като приключи, ако ви поиска рестарт - съгласете се. След рестарта публикувайте лог файла - fixlog.txt, който ще се създаде след работата.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Здравейте,

 

Не ми поиска рестарт.

Между другото ми се появи и следното съобщение за липсавщ lsmass.exe  - погледнете атача.

 

Ето го и лога:

 

 

Fixlog.txt

post-139722-0-34203100-1393777341_thumb.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Интересно, защото го нямаше закачен в регистрите...да проверим нещо:

 

Публикувано изображение

Изтеглете Autoruns и:

  • [*]Стартирайте програмата; [*]Изберете
Options => Filter Options => сложете отметки пред Verify Code Signature и Hide Microsoft Entries; [*]От менюто File -> Refresh; [*]От менюто File -> Save...; [*]Запазете файла някъде с желано от вас име (във формат arn), архивирайте го с програма по желание и го прикачете към темата.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Хмм..няма нищо нередно в лога на Autoruns. Направете нова проверка с FRST и прикачете новия лог.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Мисля, че го пипнах:

 

Изтеглете следния файл и го запазете в папката от която стартирахте FRST.exe.

Стартирайте FRST.exe и натиснете бутона Fix веднъж!

След като приключи, ако ви поиска рестарт - съгласете се. След рестарта публикувайте лог файла - fixlog.txt, който ще се създаде след работата.

 

След това рестартирайте (ако не сте) и пишете дали проблема остава.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Здравейте,

 

Прикачвам лога и ще рестартирам. Принципно проблема не се появява винаги щом оставя машината в покой.

Затова ще изчакам до утре преди да ви отговоря дали проблема е изчезнал.

 

Ще наблюдавам темата и ако има нещо допълнително за правене, базирано на лога който качвам сега, ще ъпдейтвам своевременно.

 

Поздрави!

Fixlog.txt

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Аз говорих по-скоро дали се появи проблема при стартиране на Windows от прикачената снимка...

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Здравейте,

Изглежда проблемът е решен  - благодаря много за помощта.

 

За 5 месеца откак съм с Нортън това е трети проблем, въпреки че по някое време се оборудвах и с МБАМ.

Явно ще се връщам към Аваст, която въпреки че е по дразнеща(по-често напомня за себе си), изглежда работи по-добре при моя профил на потребител... това е просто за протокола.

 

Поздрави и приятен ден!

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Супер радвам се...но нека да направим няколко финални проверки за остатъци:

 

 

СТЪПКА 1

 

 

Публикувано изображение Изтеглете Malwarebytes' Anti-Malware

  • [*]Кликнете два пъти върху
mbam-setup.exe, за да инсталирате програмата. [*]Уверете се, че са поставени отметки на Update Malwarebytes' Anti-Malware и Launch Malwarebytes' Anti-Malware. След това кликнете на Finish. [*]Ако има намерени обновявания, тя ще ги изтегли и инсталира. [*]Стартирайте програмата и изберете "Perform Quick Scan", след това кликнете на Scan. [*]Сканирането ще отнеме малко време, затова моля да бъдете търпеливи. [*]Когато сканирането завърши, кликнете на OK, след това Show Results, за да видите резултата. [*]Уверете се, че на всички редове има отметки (ако няма на някои обекти ги поставете ръчно), и кликнете на Remove Selected. [*]Когато всичко бъде премахнато, в Notepad ще бъде отворен лог. [*]Прикачете този лог в следващия си коментар в темата.

Забележка: Ако MalwareBytes'Anti-Malware се затрудни в премахването на откритите вируси/заплахи, той ще поискада рестартира компютъра Ви и по време на рестартирането да премахне проблемните вируси/заплахи. Ако бъдете попитани, потвърдете че желаете вашия компютър да бъде рестартиран.

 

 

 

СТЪПКА 2

 

 

1.Изтеглете Hitman Pro.

 

  • [*]За
32-битова система - Публикувано изображение. [*]За 64-битова система - Публикувано изображение

2.Стартирайте програмата.
3.След като сте стартирали програмата като кликнете върху иконата Публикувано изображение и натиснете бутона „Напред“ като се съгласите с лицензионното споразумение (EULA).
4.Сложете отметка пред "Не, искам да завърша еднократно сканиране на компютъра".

5.Натиснете бутона „Напред“.

6.Програмата ще започне да сканира. Времето за сканиране е около 2 минути.

7.След завършване на сканирането от списъка с намерените неща (ако има такива) изберете Apply to all => Ignore.

8.Натиснете "Next" и след това натиснете "Изнеси резултата в XML file" и запазете лог файла на десктопа.

9.Архивирайте файла и го прикачете в следващия си коментар или копирайте съдържанието му в следващия си коментар.

 

Забележка: Ако няма падащо меню, където да изберете ignore както на снимката:

 

Публикувано изображение

 

тогава просто затворете програмата след края на проверката (без да премахвате нищо)...след това отворете C:ProgramdataHitmanProLogs, отворете и публикувайте съдържанието на лог файла в следващия си коментар.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Здравейте,

 

МБАМ не откри нищо.

Ето ги и логовете:

HitmanPro 3.7.9.212www.hitmanpro.com   Computer name . . . . : KIM-PC   Windows . . . . . . . : 6.1.1.7601.X64/4   User name . . . . . . : KIM-PCKIM   UAC . . . . . . . . . : Disabled   License . . . . . . . : Trial (Expired)   Scan date . . . . . . : 2014-03-03 11:09:42   Scan mode . . . . . . : Normal   Scan duration . . . . : 8m 25s   Disk access mode  . . : Direct disk access (SRB)   Cloud . . . . . . . . : Internet   Reboot  . . . . . . . : No   Threats . . . . . . . : 3   Traces  . . . . . . . : 40   Objects scanned . . . : 1,925,865   Files scanned . . . . : 36,823   Remnants scanned  . . : 372,923 files / 1,516,119 keysMalware _____________________________________________________________________   C:ProgramDataMicrosoftBingDesktopBingCoretemptmp1BAB.exe	  Size . . . . . . . : 112,682 bytes	  Age  . . . . . . . : 21.7 days (2014-02-09 18:11:05)	  Entropy  . . . . . : 7.7	  SHA-256  . . . . . : DAEE20622AA40A51E1AAF58B84B5F8FFD43728A12E4EF7B4C764BAA0C18D4743    > Bitdefender  . . . : Dropped:Trojan.GenericKD.1566115    > Kaspersky  . . . . : Trojan.Win32.Miuref.b	  Fuzzy  . . . . . . : 106.0	  Forensic Cluster		 -0.6s C:ProgramDataMicrosoftBingDesktopBingCoretemptmp1BAB.tmp		  0.0s C:ProgramDataMicrosoftBingDesktopBingCoretemptmp1BAB.exe   C:ProgramDataMicrosoftBingDesktopBingCoretemptmpB00E.exe	  Size . . . . . . . : 390,887 bytes	  Age  . . . . . . . : 11.6 days (2014-02-19 21:51:01)	  Entropy  . . . . . : 7.8	  SHA-256  . . . . . : DC7603A2C9ADEDC5A4F959EA9FD846049068B40FF9CAD8C95BF04155CA66CB8C    > Bitdefender  . . . : Gen:Variant.Kazy.339345    > Kaspersky  . . . . : not-a-virus:RiskTool.Win32.BitCoinMiner.mye	  Fuzzy  . . . . . . : 107.0	  Forensic Cluster		 -1.5s C:ProgramDataMicrosoftBingDesktopBingCoretemptmpB00E.tmp		  0.0s C:ProgramDataMicrosoftBingDesktopBingCoretemptmpB00E.exe		  1.3s C:FRSTQuarantinewincrt02-03-2014_17-14-26		  1.3s C:FRSTQuarantinewincrt02-03-2014_17-14-26m_bin		  3.6s C:FRSTQuarantinewincrt02-03-2014_17-14-26m_binpthreadGC2.dll		  3.7s C:FRSTQuarantinewincrt02-03-2014_17-14-26m_binzlib1.dll   C:ProgramDataMicrosoftBingDesktopBingCoretemptmpE36E.exe	  Size . . . . . . . : 102,243 bytes	  Age  . . . . . . . : 48.5 days (2014-01-13 22:07:28)	  Entropy  . . . . . : 7.7	  SHA-256  . . . . . : 50C0139420CBEE66B374CF5995B3EA2692CC25067EEB0343D0FCD20F945D49C1    > Bitdefender  . . . : Gen:Variant.Symmi.37806    > Kaspersky  . . . . : Trojan.Win32.Inject.hfpx	  Fuzzy  . . . . . . : 106.0Cookies _____________________________________________________________________   C:UsersKIMAppDataLocalGoogleChromeUser DataDefaultCookies:ad.360yield.com   C:UsersKIMAppDataLocalGoogleChromeUser DataDefaultCookies:doubleclick.net   C:UsersKIMAppDataLocalGoogleChromeUser DataDefaultCookies:revsci.net   C:UsersKIMAppDataLocalGoogleChromeUser DataDefaultCookies:track.adform.net   C:UsersKIMAppDataRoamingMicrosoftWindowsCookiesJ5XWQ90A.txt   C:UsersKIMAppDataRoamingMicrosoftWindowsCookiesQX7U6ZD5.txt   C:UsersKIMAppDataRoamingMicrosoftWindowsCookiesZG3UY0L6.txt   C:UsersKIMAppDataRoamingMozillaFirefoxProfilesos9u0rq6.defaultcookies.sqlite:ad.360yield.com   C:UsersKIMAppDataRoamingMozillaFirefoxProfilesos9u0rq6.defaultcookies.sqlite:ad.ad-srv.net   C:UsersKIMAppDataRoamingMozillaFirefoxProfilesos9u0rq6.defaultcookies.sqlite:ad.adc-serv.net   C:UsersKIMAppDataRoamingMozillaFirefoxProfilesos9u0rq6.defaultcookies.sqlite:ad.adnet.de   C:UsersKIMAppDataRoamingMozillaFirefoxProfilesos9u0rq6.defaultcookies.sqlite:ads.kaldata.com   C:UsersKIMAppDataRoamingMozillaFirefoxProfilesos9u0rq6.defaultcookies.sqlite:ads.p161.net   C:UsersKIMAppDataRoamingMozillaFirefoxProfilesos9u0rq6.defaultcookies.sqlite:ads.pubmatic.com   C:UsersKIMAppDataRoamingMozillaFirefoxProfilesos9u0rq6.defaultcookies.sqlite:ads.yahoo.com   C:UsersKIMAppDataRoamingMozillaFirefoxProfilesos9u0rq6.defaultcookies.sqlite:adserver.abv.bg   C:UsersKIMAppDataRoamingMozillaFirefoxProfilesos9u0rq6.defaultcookies.sqlite:adtech.de   C:UsersKIMAppDataRoamingMozillaFirefoxProfilesos9u0rq6.defaultcookies.sqlite:advertising.com   C:UsersKIMAppDataRoamingMozillaFirefoxProfilesos9u0rq6.defaultcookies.sqlite:atdmt.com   C:UsersKIMAppDataRoamingMozillaFirefoxProfilesos9u0rq6.defaultcookies.sqlite:doubleclick.net   C:UsersKIMAppDataRoamingMozillaFirefoxProfilesos9u0rq6.defaultcookies.sqlite:eas.apm.emediate.eu   C:UsersKIMAppDataRoamingMozillaFirefoxProfilesos9u0rq6.defaultcookies.sqlite:eas21.emediate.eu   C:UsersKIMAppDataRoamingMozillaFirefoxProfilesos9u0rq6.defaultcookies.sqlite:fastclick.net   C:UsersKIMAppDataRoamingMozillaFirefoxProfilesos9u0rq6.defaultcookies.sqlite:homesexland.com   C:UsersKIMAppDataRoamingMozillaFirefoxProfilesos9u0rq6.defaultcookies.sqlite:invitemedia.com   C:UsersKIMAppDataRoamingMozillaFirefoxProfilesos9u0rq6.defaultcookies.sqlite:largeporntube.com   C:UsersKIMAppDataRoamingMozillaFirefoxProfilesos9u0rq6.defaultcookies.sqlite:media6degrees.com   C:UsersKIMAppDataRoamingMozillaFirefoxProfilesos9u0rq6.defaultcookies.sqlite:mediaplex.com   C:UsersKIMAppDataRoamingMozillaFirefoxProfilesos9u0rq6.defaultcookies.sqlite:pcworldcommunication.122.2o7.net   C:UsersKIMAppDataRoamingMozillaFirefoxProfilesos9u0rq6.defaultcookies.sqlite:pool-eu-ie.creative-serving.com   C:UsersKIMAppDataRoamingMozillaFirefoxProfilesos9u0rq6.defaultcookies.sqlite:ru4.com   C:UsersKIMAppDataRoamingMozillaFirefoxProfilesos9u0rq6.defaultcookies.sqlite:serving-sys.com   C:UsersKIMAppDataRoamingMozillaFirefoxProfilesos9u0rq6.defaultcookies.sqlite:smartadserver.com   C:UsersKIMAppDataRoamingMozillaFirefoxProfilesos9u0rq6.defaultcookies.sqlite:track.adform.net   C:UsersKIMAppDataRoamingMozillaFirefoxProfilesos9u0rq6.defaultcookies.sqlite:tradedoubler.com   C:UsersKIMAppDataRoamingMozillaFirefoxProfilesos9u0rq6.defaultcookies.sqlite:www.googleadservices.com   C:UsersKIMAppDataRoamingMozillaFirefoxProfilesos9u0rq6.defaultcookies.sqlite:yadro.ru

mbam-log-2014-03-03 (10-41-08).txt

HitmanPro_20140303_1122.xml

post-139722-0-16970300-1393841903_thumb.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Здравейте,

 

Изтеглете следния файл и го запазете в папката от която стартирахте FRST.exe.

Стартирайте FRST.exe и натиснете бутона Fix веднъж!

След като приключи, ако ви поиска рестарт - съгласете се. След рестарта публикувайте лог файла - fixlog.txt, който ще се създаде след работата.

След това моля архивирайте папката C:FRSTQuarantine и качете архива на следния адрес => http://file.bg/ и публикувайте линк за теглене в следващия си коментар...След това изтрийте архива, но не трийте папката...нея ще я изтрием по-специален начин.

 

После пишете как е положението.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Здравейте,

 

FRST.exe не ми поиска рестарт.

Между другото, Нортъна сигнализира за вирус(не знам дали е свързано с нашите действия по чистенето на системата) - прикачвам снимка също за ваша информация.

Ето ги и изисканите логове:

 

http://file.bg/c277858McXgd

 

 

Здравейте,

 

FRST.exe не ми поиска рестарт.

Между другото, Нортъна сигнализира за вирус(не знам дали е свързано с нашите действия по чистенето на системата) - прикачвам снимка също за ваша информация.

Ето ги и изисканите логове:

 

http://file.bg/c277858McXgd

 

 

Fixlog.txt

post-139722-0-09506500-1393858105_thumb.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Това е защото премахнахме бацилите и вече Norton е прогледнал. Направете финална проверка с Hitmanpro и публикувайте резултатите.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

×
×
  • Добави ново...