Msinfo32.exe 50% CPU.

Proskenuj systém ještě tímto: https://www.malwarebytes.com/adwcleaner/ a https://www.malwarebytes.com/

Vyhodilo mi to pouze tento log.

# AdwCleaner 7.0.8.0 - Logfile created on Sat Mar 31 05:37:59 2018
# Updated on 2018/08/02 by Malwarebytes 
# Database: 2018-03-30.1
# Running on Windows 10 Pro (X64)
# Mode: scan
# Support: https://www.malwarebytes.com/support

***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

PUP.Optional.VLCUpdaterDE, C:\ProgramData\VLC UPDATER
PUP.Optional.VLCUpdaterDE, C:\Users\All Users\VLC UPDATER
PUP.Optional.VLCUpdaterDE, C:\Users\denisa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VLC UPDATER
PUP.Optional.Qweb, C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Qweb Symbol


***** [ Files ] *****

PUP.Optional.Legacy, C:\Users\denisa\Favorites\Mail.Ru.url
PUP.Optional.Legacy, C:\Users\denisa\Favorites\Mail.Ru Агент - используй для общения!.url
PUP.Optional.Qweb, C:\ProgramData\Microsoft\Windows\Start Menu\Qweb Converter installieren.lnk
PUP.Optional.Qweb, C:\Users\denisa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Qweb Converter installieren.lnk
PUP.Optional.Qweb, C:\Users\denisa\Favorites\Qweb Converter installieren.lnk
PUP.Optional.Qweb, C:\Users\denisa\Favorites\Links\Qweb Converter installieren.lnk
PUP.Optional.Qweb, C:\Users\denisa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Qweb Symbol.lnk


***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

PUP.Optional.Legacy, [Key] - HKLM\SOFTWARE\Classes\CLSID\{8BF0126F-A5B7-4720-ABB2-2414A0AF5474}
PUP.Optional.Legacy, [Key] - HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application
PUP.Optional.Legacy, [Key] - HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application
PUP.Optional.VLCUpdaterDE, [Key] - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VLC Updater
PUP.Optional.VLCUpdaterDE, [Value] - HKCU\Software\AM | VLC Updater


***** [ Firefox (and derivatives) ] *****

PUP.Optional.Legacy, Plugin found: Ant Video downloader - Ant.com


***** [ Chromium (and derivatives) ] *****

PUP.Optional.Legacy, SearchProvider found: Slunečnice - slunecnice.cz

/!\ Please Reset the Chrome Synchronization before cleaning the Chrome Preferences: https://support.google.com/chrome/answer/3097271 


*************************



########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt ##########

Jo sorry, ještě mi to nabídlo na smazání 18 souborů. Jsou to všechny ty uvedeny v logu. Můžu potvrdit smazání?

Smelo do toho, maž s reštartom.

Máš v systéme a browseri hodne škodnej, "popupíkov".

Stiahni si pre istotu AV: MBAM a prebehni znovu hĺbkovo dáta na logickom oddiele, aj a na zavádzač a rootkity.

Ešte je tu vynikajúci AV: RougeKiller x64 - stiahni ho v portable verzii

Jasně, určitě potvrď smazání a restartuj PC. Potom nainstaluj MBAM z toho druhého odkazu a taky to proskenuj.

To jsou sice pěkny programy ale všechny po mně chtějí prachy, zadat licenční číslo atd. Takže ve finále k ničemu protože je tam spousta (skoro všechny) voleb dostupných pouze v premium verzi. Spustila jsem to tak jak to šlo a uvidím co se stane.

ADWCLEANER určitě licenční číslo nechce a MBAM jde použít plnohodnotně na skenování ve free verzi. Placená verze má navíc jen ochranu v reálném čase.

Takže ve finále k ničemu

Mrkni, kolik ti jen ADWCLEANER našel adwaru a potom říkej, že je to k ničemu.

JJ máš pravdu. MBAM šel spustit jako premium na 14 dní. Našel to samé co jsem adwcleanerem smazala. Čekám teď na restart protože dobíhá kontrola Roguekillerem a ta jde strašně pomalu. Ale moc tomu nerozumím. Rouge Killer mi zatím 2x detekoval PUP.Gen1 v ProgramData\Simplitec ale když jsem se v průběhu testu koukala tak ten adresář tam je ale je prázdnej.

No uvidíš. Každopádně ten systém nebyl čistý, tak snad to pomůže. Můžeš se zatím podívat jaké programy se ti spouštějí po zapnutí PC a nepotřebné zakázat.

To jsem udělala a zakázala skoro vše krom antiviru, zvuku a stardocku. Ale. Po provedení kontroly Malwarebytem jsem vše dala do karantény a potom z karantény smazala. Po restartu jsem spustila test znovu a Mbam mi našel opět všechny položky jako bych dělala ten sken poprvé. Co jsem udělala špatně? Jo a další problém. Nalezeno 12 souborů, všechny jsem označila do karantény, potvrdila a ve výslednym oznámení mám, že do karantény byly dány jen 4 z 12 nalezených.

V první řadě bych odinstaloval ten antivir a spustil sken v nouzovém režimu. Potom si ten antivir dej klidně zpátky, ale jak vidíš, je k ničemu.

A ktorý? Však žiaden nespomína.

zakázala skoro vše krom antiviru

Takže Lukáši, toto je postup kterej jsem dělala.
1) Odinstalovala Avast
2)Odinstalovala Comodo Firewall
3)Nastartovala do nouzovyho režimu
4)V nouzovym režimu spustila MBAM

Ten mi našel opět 12 stejných potvor ktery jsem dala do karanteny a potom jsem karanténu smazala

5)Nastartovala jsem do normálního režimu
6)Spustila opět MBAM který mi našel opět 12 stejných potvor a při pokusu je šupnout do karantény jsem dostala opět hlášku , že byly smazány pouze 4 z 12 potvor. Tak co se to se mnou děje?

To je mi záhadou, proč to nefunguje. Spouštíš to jako správce?

Ano a i v tom nouzáku jsem to spouštěla jako správce.

Ostava to tam asi furt aktivne, pouzi iny antivir, skus eset online scanner, byval na eset.sk dole
Ten exe stale vytazuje 50% CPU? Ked das hladat na disku ten msinfo32.exe tak je kde presne? Ked ho vlozis na virustotal.com a analyzujes tak napise co?

Skusím ten eset ale ten soubor msinfo32.exe mám na 29 místech v pc. Nevím kterej mám vybrat.

OL Eset zkus, ale najde prd. Co nezruší MBAM, je mimo mísu (nebo spíš v míse) a doporučím reinstall. Ty máš fakt devětadvacetkrát msinfo? Bože...

U mňa 34 krát, a vírus to nie je. Zamysli sa kým niečo šplechneš.

Nema byt ani 34 krat ani 29 krat. Mas mat zapnute ukazovanie pripon a nepytal som sa na .mui ani na blbosti v SXS ale na ciste exe. Bude parkrat v program files a parkrat v system. V spravci procesov sa da ukazat KTORY je spusteny ten co vytazuje 50% a ten si dat do virustotal. Ak to neukazuje spravca procesov tak to urcite bude vidiet v procexp od sysinternals, ze odkial je ten konkretny exe spusteny. (aha uz si to pisal dole. Ano tak.)

No mne to netreba vysvetľovať. V činnej podobe sa tam má nachádzať presne dva krát, v system32 a syswow64.
To bola len poznámka k tomu výsmechu vyššie.

eset nenašel vůbec nic.

Když uděláš sken v MBAM nebo ADWCLEANER, tak ti to ukáže cestu k těm infikovaným souborům, mělo by to být vidět v logu. Potom bude potřeba je smazat ručně. Buď v nouzovém režimu nebo v live Linuxu.

Musíš rozlišovať AV podľa škodnej.

Ak máš skutočne zašitý vírus (tie dnes takmer vymizli), musíš vykonať kontrolu systémového oddielu výhradne pri uspatom OS na disku, lebo na skryté oddiely je každý AV za behu OS, krátky:

Dr.Web live cd (ISO) pre cd / dvd je momentálne jednička na trhu, kontroluje aj Registre, rootkit, zavádzače ak ho nastavíš pred skenom.
https://free.drweb.ru/aid_admin/

Ak spravíš hĺbkovú kontrolu dát aj na archívy s Dr.Web live z flešky, potom až uvidíš, či máš vírus s ktorým si neporadí MBAM.

Potom je tu obdobný AV: Eset SysRescue Live cd / ISO /

Bútovačku na USB fleške si sprav z Yumi nástroja (dokáže multiboot viac AV) nasúkať na jednej fleške.
https://www.pendrivelinux.com/yumi-multiboot-usb-creator/

Když všechno selže, zkus tohle:

Rebuild your Windows Management Instrumentation (WMI) Repositiory where the system information is stored.
On the Desktop, right-click My Computer, and then click Manage.
Under Services and Applications, click Services, and then stop the Windows Management Instrumentation service.
If asked about stopping other services (Windows Firewall/Internet Connection Sharing (ICS)), respond in the affirmative. You can consider disconnecting from the Internet before stopping the Windows firewall.
Delete all of the files and folder that are in this folder:
c:\Windows\System32\Wbem\Repository
(or %SystemRoot%System32\Wbem\Repository)
They will be recreated shortly after rebooting.
Immediately restart the computer so the Firewall will be restarted.
Verify the WMI Service has been restarted
After the system restarts, click Start, Run and in the box enter:
rundll32 wbemupgd, UpgradeRepository
Click OK to rebuild the contents of the Repository folder.
This will repopulate the Repository folder with fresh information.
Try your msinfo32 operation now.

zdroj

V českých Windows by se to mělo jmenovat Služba WMI.

Asi by už bolo načase prestať sa hrať s antivírmi, pustiť si ProcessExplorer a pozrieť sa čo ti to presne beží. Zistiť cestu a ako a odkiaľ sa spúšťa, a pozrieť sa bližšie čo presne tvorí tých 50% (aspoň v záložke threads).