Wmiprvse.exe kuormittaa prosessoria

Discussion in 'Virukset ja haittaohjelmat - HijackThis -logit' started by LeeviB, Nov 26, 2012.

  1. LeeviB

    LeeviB Member

    Joined:
    Nov 26, 2012
    Messages:
    7
    Likes Received:
    0
    Trophy Points:
    11
    Tutkin tytön konetta, joka kuumuu ja lakkaa sitten toimimasta. Ohjelma wmiprvse.exe käyttää aika usein 50-70% prosessorin tehosta. Kyseinen ohjelma liittynee jotenkin verkkoresursseihin. Ajoin anti-malwaren ja cc-cleanerin, ei apuja, sitten ajoin hijackthis:n, tässä loki:

    Nuo servicet vaikuttaa epäillyttäviltä, miten ois hyvä jatkaa?
     
  2. kalminen

    kalminen Regular member

    Joined:
    May 4, 2007
    Messages:
    3,915
    Likes Received:
    0
    Trophy Points:
    46
    .
    Login mukaan sinulla ei koneella olisi => wmiprvse.exe tiedostoa,
    joka olisi pahempi virus. (varmistetaan)

    ---------------------------------------------

    Nuo rivit kuuluvatkin sinulla olla noin =>
    Sieltä ei silti puutu mitään.

    O23 - Service: @%SystemRoot%\.....(file missing)

    O23 - Service: @%SystemRoot%\system32\audiosrv.dll,-200 (Audiosrv) - Unknown owner - C:\

    -------------------------------------------------------

    Lataa SystemLook by. jpshortstuff TÄÄLTÄ. ja tallenna se työpöydälle.

    Tupla-klikkaa SystemLook.exe ajaaksesi sen.

    Kopioi(CTRL+C) alla olevasta laatikosta kaikki teksti, tekstialueeseen.

    Code:
    :regfind
    wmiprvse.exe
    
    :filefind 
    wmiprvse.exe
    
    :dir
    C:\WINDOWS\system32\drivers\etc /s
    
    Klikkaa nappulaa Look aloittaaksesi skannauksen.

    Kun skannaus on valmis avautuu muistio joka sisältää lokitiedot
    Klikkaa lokia hiiren oikealla painikkeella ja valitse "Valitse kaikki"
    Kopio ja liitä se seuraavaan viestiisi.
    (Loki löytyy myös työpöydältäsi nimellä SystemLook.txt)

    :)
     
  3. LeeviB

    LeeviB Member

    Joined:
    Nov 26, 2012
    Messages:
    7
    Likes Received:
    0
    Trophy Points:
    11
    Tässä se systemlookin loki:
    Kokeilin Processexploreillakin ja sekin näyttää WmiPrvSE.exe:n kuormittavan CPU:ta melkein 50% samoin kuin tehtävienhallintakin. ( Meinasin laittaa printsreenillä napatun kuvan tästä, mutta pitäis vissiin panna kuvat ensin johonkin kuvapalveluun )

    Haku antoi sijainniksi C:\\Windows\System32\Wbem\WmiPrvSE.exe ja kyllä siellä näkyi sellainen tiedosto ( ohjelma ) olevankin.
     
  4. LeeviB

    LeeviB Member

    Joined:
    Nov 26, 2012
    Messages:
    7
    Likes Received:
    0
    Trophy Points:
    11
    Sen verran vielä, että tuo WmiPrvSE.exe ei minulla kokeillessa aina kuormita prosessoria, ainoastaan hetkittäin se nousee ylös, vaikkei konetta mitenkään käyttäisi. Ajoin HJT:n tänään, kun WmiPrvSE.exe kuormitti prossua, mutta ei siinäkään lokissa löytynyt tuo ohjelma.
     
  5. kalminen

    kalminen Regular member

    Joined:
    May 4, 2007
    Messages:
    3,915
    Likes Received:
    0
    Trophy Points:
    46
    .
    SystemLook ajo ei onnistunut. Se olisi pitänyt
    ajaa Järjestelmänvalvojana hiiren kakkosnapin kautta. (sri)

    --------------------------------------------

    Tässä hakemistossa => C:\\Windows\System32\Wbem\WmiPrvSE.exe
    tuo tiedosto kuuluu Windowssin järjestelmään.

    Varmistetaan:

    Laita piilotiedostot näkyviin => OHJE

    Klikkaa => TÄNNE

    Paina yläreunassa selaa nappia.
    Etsi koneeltasi ==>> C:\\Windows\System32\Wbem\WmiPrvSE.exe
    Klikkaa tiedostoa ja paina Avaa nappia.
    Painele sitten Upload nappia.
    Scan nappia ja odottelet hetken.
    Kun raportti on valmistunut sivun alareunassa painat
    nappia Copy to clipboard
    Avaa Muistio/Notebad ja kopioit leikepöydältä raportin sinne (Ctlr+V)
    Lähetä sitten raportti tänne viesti ketjuusi.

    :)
     
  6. LeeviB

    LeeviB Member

    Joined:
    Nov 26, 2012
    Messages:
    7
    Likes Received:
    0
    Trophy Points:
    11
    Olin olevinaan adminina koneella, mutta näköjään pitää vielä suorittaa nuo erikseen järjestelmänvalvojana, tässä systemlook:

    Ja tässä virusskannaus:

    Tämä ei löytänyt mitään ainakaan tuosta tiedostosta.
     
  7. LeeviB

    LeeviB Member

    Joined:
    Nov 26, 2012
    Messages:
    7
    Likes Received:
    0
    Trophy Points:
    11
    Scannasin myös tuon ..\sysWOW64\Wbem:ssä olleen WmiPrvSE.exe:n virscanilla, ei mitään.

     
  8. kalminen

    kalminen Regular member

    Joined:
    May 4, 2007
    Messages:
    3,915
    Likes Received:
    0
    Trophy Points:
    46
    .
    Ei se ole virus vaan Windowssin oma tiedosto !!!

    Se ollenee palveluissa manuaalikäynnistyksellä, koska
    ei näy HJT logilla. Sen voisi kokonaan sulkea palvelusta pois
    ohjelmalla servises.msc
    siellä vain ei kannata tehdä mitään jos ei varmasti tiedä mitä tekee.

    -----------------------------------------------------------

    Varmistus:

    Lataa Malwarebytes' Anti-Malware työpöydällesi.

    Jos linkki ei toimi, voit ladata myös seuraavista linkeistä:
    Linkki1
    Linkki2

    * Tuplaklikkaa mbam-setup.exe ja seuraa ohjeita asentaaksesi ohjelman.
    * Lopuksi varmistu, että seuraavat on valittu: Päivitä Malwarebytes' Anti-Malware ja Käynnistä Malwarebytes' Anti-Malware ja sen jälkeen klikkaa Lopeta.
    * Jos päivitys löytyy, ohjelma lataa ja asentaa uusimman version.
    * Jos päivityksien lataaminen ei onnistu, voit ladata päivitykset TÄSTÄ. Tuplaklikkaa mbam-rules.exe asentaaksesi päivitykset.
    * Kun ohjelma on latautunut ja päivitykset tehty, valitse Suorita täysi tarkistus ja klikkaa Tarkista.
    * Kun tarkistus on valmis, klikkaa OK ja sitten Näytä tulokset nähdäksesi tulokset.
    * Varmistu, että kaikki on merkitty ja klikkaa Poista valitut.
    * Tämän jälkeen loki avautuu muistioon. Tallenna se paikkaan, josta löydät sen helposti. Loki löytyy myös täältä: C:\Documents and Settings\Käyttäjänimi\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Logs\log-päiväys.txt
    * Lähetä lokin sisältö seuraavassa viestissäsi.[/list]

    Huom. Jos Mbam ei pystynyt poistamaan tiedostoa, se pyytää sinua käynnistämään koneesi uudelleen. Käynnistä koneesi silloin uudelleen heti. Mbam voi tehdä muutoksia rekisteriisi osana puhdistusta. Jos käytät suojausohjelmaa, joka havaitsee rekisterin muutokset, salli Mbamin tehdä muutokset.

    Lähetä =>
    Kopioi Malwarebytes' Anti-Malwaren Logitiedostot välilehdeltä uusin logi tänne.

    :)
     
  9. LeeviB

    LeeviB Member

    Joined:
    Nov 26, 2012
    Messages:
    7
    Likes Received:
    0
    Trophy Points:
    11
    Ajoin sen ekana viikonloppuna:
     
  10. kalminen

    kalminen Regular member

    Joined:
    May 4, 2007
    Messages:
    3,915
    Likes Received:
    0
    Trophy Points:
    46
    .
    Nuo ovat olleet jo silloin roskakorissa =>
    C:\$Recycle.Bin

    --------------------------------------------

    Sulla on jokin ohjelma joka käyttää sitä
    WMI (Windows Media Information) palvelua ja
    saa samalla aikaan prosessorin kuormituksen.

    :)
     
  11. LeeviB

    LeeviB Member

    Joined:
    Nov 26, 2012
    Messages:
    7
    Likes Received:
    0
    Trophy Points:
    11
    Kiitti avusta, nyt pitää jotenkin selvitellä, mikä sitä noin paljon ja noin usein kuormittaa.
     

Share This Page