1. Este site usa cookies. Ao continuar a usar este site está a concordar com o nosso uso de cookies. Saber Mais.

Problema possivelmente com spyware

Discussão em 'Dúvidas e Suporte Técnico PC' iniciada por nipnip, 24 de Junho de 2007. (Respostas: 6; Visualizações: 1070)

  1. nipnip

    nipnip Power Member

    Desde alguns dias que algum spyware se deve ter alojado no pc sem que eu ou o antivírus e antispyware nos tenhamos apercebido disso.
    O que acontece é que um "System" se encontra com um uso anormalmente elevado do cpu (sempre muito próximo de 100%).
    Com o "Proccess Explorer - Systinternals" analisei o processo "System" e verifiquei que tem uma thread (que ocupa a totalidade do cpu) com Start Address de 0x849a547. O Thread id é 1196 associado a esta thread o programa identifica o seguinte:
    ntkrnlpa.exe!KiUnexpectedInterrupt+0xf0
    ntkrnlpa.exe!ZwYieldExecution+0x1900
    hal.dll!HalClearSoftwareInterrupt+0x341
    ntkrnlpa.exe!ExGetCurrentProcessorCounts+0x208
    ntkrnlpa.exe!NtQuerySystemInformation+0x728
    ntkrnlpa.exe!KeReleaseInStackQueuedSpinLockFromDpcLevel+0xb14
    ntkrnlpa.exe!ZwQuerySystemInformation+0x11
    ntkrnlpa.exe!PsRemoveCreateThreadNotifyRoutine+0x21e
    ntkrnlpa.exe!KiDispatchInterrupt+0x5a2


    através desse programa consigo suspender a execução dessa thread o que coloca o uso do cpu pelo processo System em níveis normais pelo que suponha seja este o problema... contudo não consigo fazer kill nesta thread nem identificar o que lhe dá ínicio...
    já fiz scan ao pc com vários programas e nenhum detectou nada...

    Fico muito agradecido se alguém me poder ajudar.
     
  2. mpssantos

    mpssantos Power Member

    Oi nipnip

    Já tentas-te apagar esse ficheiro? Suspende a thread, entra em safemode, e dps tenta remover quer o ficheiro ntkrnlpa.exe, bem como qq ficheiro com nome parecido com a extenção *.pf. Pode ser que resulte


    (para evitares spyware, evita entrares em sites de cracks que estão sempre carregados de spyware, malware e trojan-horses)

    cumps
    --ms
     
  3. Romani48

    Romani48 Power Member

    ????? mas tas todo tolo???

    o ntkrnlpa.exe não pode ser removido!!

    é um ficheiro essencial ao funcionamento do Windows..

    NT -> versão (base) do SO
    KRNL -> Kernel
    PA -> tem a ver com os dados referentes á kernel que vai ser carregada


    Faz uma reparação do sistema com o CD do Windows
     
  4. nipnip

    nipnip Power Member


    sim de facto ia ser muito engraçado apagar o ntkrnlpa.exe :)

    não quero andar ja a fazer recuperações do sistema... isso implica andar a reinstalar uma série de coisas que eu preciso...
    e de certeza que deve haver outra solução só falta descobri-la

    mesmo assim obrigado pelos conselhos
     
  5. Romani48

    Romani48 Power Member

    lol, com a recuperação do sistema (não restauro do sistema nem reinstalação do sistema) não precisas de reinstalar nada... a não ser algumas actualizações..

    e foi por isso que a sugeri..
     
  6. nipnip

    nipnip Power Member

    visto que nada do que foi sugerido ou que eu me tenha lembrado funcionou só me restou uma hipótese... backups e format
     
  7. luikki

    luikki Power Member

    ou, antes da solução "radical" do format...
    instalas, corres e postas a logfile do hijackthis....
     

Partilhar esta Página