Problema possivelmente com spyware

N

nipnip

Power Member
Desde alguns dias que algum spyware se deve ter alojado no pc sem que eu ou o antivírus e antispyware nos tenhamos apercebido disso.
O que acontece é que um "System" se encontra com um uso anormalmente elevado do cpu (sempre muito próximo de 100%).
Com o "Proccess Explorer - Systinternals" analisei o processo "System" e verifiquei que tem uma thread (que ocupa a totalidade do cpu) com Start Address de 0x849a547. O Thread id é 1196 associado a esta thread o programa identifica o seguinte:
ntkrnlpa.exe!KiUnexpectedInterrupt+0xf0
ntkrnlpa.exe!ZwYieldExecution+0x1900
hal.dll!HalClearSoftwareInterrupt+0x341
ntkrnlpa.exe!ExGetCurrentProcessorCounts+0x208
ntkrnlpa.exe!NtQuerySystemInformation+0x728
ntkrnlpa.exe!KeReleaseInStackQueuedSpinLockFromDpcLevel+0xb14
ntkrnlpa.exe!ZwQuerySystemInformation+0x11
ntkrnlpa.exe!PsRemoveCreateThreadNotifyRoutine+0x21e
ntkrnlpa.exe!KiDispatchInterrupt+0x5a2


através desse programa consigo suspender a execução dessa thread o que coloca o uso do cpu pelo processo System em níveis normais pelo que suponha seja este o problema... contudo não consigo fazer kill nesta thread nem identificar o que lhe dá ínicio...
já fiz scan ao pc com vários programas e nenhum detectou nada...

Fico muito agradecido se alguém me poder ajudar.
 
Oi nipnip

Já tentas-te apagar esse ficheiro? Suspende a thread, entra em safemode, e dps tenta remover quer o ficheiro ntkrnlpa.exe, bem como qq ficheiro com nome parecido com a extenção *.pf. Pode ser que resulte


(para evitares spyware, evita entrares em sites de cracks que estão sempre carregados de spyware, malware e trojan-horses)

cumps
--ms
 
????? mas tas todo tolo???

o ntkrnlpa.exe não pode ser removido!!

é um ficheiro essencial ao funcionamento do Windows..

NT -> versão (base) do SO
KRNL -> Kernel
PA -> tem a ver com os dados referentes á kernel que vai ser carregada


Faz uma reparação do sistema com o CD do Windows
 
Romani48 disse:
????? mas tas todo tolo???

o ntkrnlpa.exe não pode ser removido!!

é um ficheiro essencial ao funcionamento do Windows..

NT -> versão (base) do SO
KRNL -> Kernel
PA -> tem a ver com os dados referentes á kernel que vai ser carregada


Faz uma reparação do sistema com o CD do Windows
Clicar para expandir...


sim de facto ia ser muito engraçado apagar o ntkrnlpa.exe :)

não quero andar ja a fazer recuperações do sistema... isso implica andar a reinstalar uma série de coisas que eu preciso...
e de certeza que deve haver outra solução só falta descobri-la

mesmo assim obrigado pelos conselhos
 
nipnip disse:
sim de facto ia ser muito engraçado apagar o ntkrnlpa.exe :)

não quero andar ja a fazer recuperações do sistema... isso implica andar a reinstalar uma série de coisas que eu preciso...
e de certeza que deve haver outra solução só falta descobri-la

mesmo assim obrigado pelos conselhos
Clicar para expandir...

lol, com a recuperação do sistema (não restauro do sistema nem reinstalação do sistema) não precisas de reinstalar nada... a não ser algumas actualizações..

e foi por isso que a sugeri..
 
Inicie sessão ou registe-se para poder participar.
Back
Topo