Zużycie procesora 100%

[Aragorn160]

Witam. Mój kolega ma laptopa na którym zużycie procesora utrzymuje się na poziomie 100% pomimo tego, że żaden program nie jest włączony. W procesach czasami pojawia się PING.exe w liczbie kilkunastu. Dodatkowo nie posiadał od dłuższego czasu żadnego antywirusa więc domyślam się co tam u niego może siedzieć... Gdy włożyłem swojego pendrive'a do jego laptopa to od razu stworzyły mi się na nim jakieś pliki których nie można normalnie usunąć więc prawdopodobnie jego dysk jest zasiedlony trojanami i innym syfem.
W razie czego proszę pytać, podam wszelkie informacje.
Logi z OTL i Extras umieszczam w załączniku, log z Gmera wklejam tutaj ponieważ ma rozszerzenie .log

Gmer:

Kod: Zaznacz wszystko

GMER 2.1.19357 - http://www.gmer.net
Rootkit scan 2015-05-18 21:21:41
Windows 6.1.7601 Service Pack 1 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-1 ST9160821AS rev.3.CDD 149,05GB
Running: hrkditmn.exe; Driver: C:\Users\Waldek\AppData\Local\Temp\kwrdqpog.sys


---- Kernel code sections - GMER 2.1 ----

.text                                                                                           ntkrnlpa.exe!ZwRequestWaitReplyPort + 1495                                                                              82C549E5 1 Byte  [06]
.text                                                                                           ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                                                  82C8E312 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text                                                                                           C:\Windows\system32\DRIVERS\nvlddmkm.sys                                                                                section is writeable [0x9601D340, 0x3E9407, 0xE8000020]

---- User code sections - GMER 2.1 ----

ŇuŰŠëÔ˙˙˙˙winlogonentry point in "ŇuŰŠëÔ˙˙˙˙winlogonentry point in "" section [0x0043071E]  C:\Users\Waldek\AppData\Local\winlogon.exe[2356] C:\Users\Waldek\AppData\Local\winlogon.exe                             entry point in "ŇuŰŠëÔ˙˙˙˙winlogonentry point in "" section [0x0043071E]
ŇuŰŠëÔ˙˙˙˙winlogonunknown last code section [0x00426000, 0x19000, 0xC00000E0]                 C:\Users\Waldek\AppData\Local\winlogon.exe[2356] C:\Users\Waldek\AppData\Local\winlogon.exe                             unknown last code section [0x00426000, 0x19000, 0xC00000E0]
ŇuŰŠëÔ˙˙˙˙servicesentry point in "ŇuŰŠëÔ˙˙˙˙servicesentry point in "" section [0x0043071E]  C:\Users\Waldek\AppData\Local\services.exe[2724] C:\Users\Waldek\AppData\Local\services.exe                             entry point in "ŇuŰŠëÔ˙˙˙˙servicesentry point in "" section [0x0043071E]
ŇuŰŠëÔ˙˙˙˙servicesunknown last code section [0x00426000, 0x19000, 0xC00000E0]                 C:\Users\Waldek\AppData\Local\services.exe[2724] C:\Users\Waldek\AppData\Local\services.exe                             unknown last code section [0x00426000, 0x19000, 0xC00000E0]
ŇuŰŠëÔ˙˙˙˙csrss.exentry point in "ŇuŰŠëÔ˙˙˙˙csrss.exentry point in "" section [0x0043071E]  C:\Users\Waldek\AppData\Local\csrss.exe[3468] C:\Users\Waldek\AppData\Local\csrss.exe                                   entry point in "ŇuŰŠëÔ˙˙˙˙csrss.exentry point in "" section [0x0043071E]
ŇuŰŠëÔ˙˙˙˙csrss.exunknown last code section [0x00426000, 0x19000, 0xC00000E0]                 C:\Users\Waldek\AppData\Local\csrss.exe[3468] C:\Users\Waldek\AppData\Local\csrss.exe                                   unknown last code section [0x00426000, 0x19000, 0xC00000E0]
.text                                                                                           E:\Mozilla Firefox\firefox.exe[3784] ntdll.dll!NtCreateFile                                                             77B25608 5 Bytes  JMP 6A4F9C03 E:\Mozilla Firefox\xul.dll
.text                                                                                           E:\Mozilla Firefox\firefox.exe[3784] ntdll.dll!NtFlushBuffersFile                                                       77B25998 5 Bytes  JMP 6A4F990B E:\Mozilla Firefox\xul.dll
.text                                                                                           E:\Mozilla Firefox\firefox.exe[3784] ntdll.dll!NtQueryFullAttributesFile                                                77B26028 5 Bytes  JMP 6A4F99C0 E:\Mozilla Firefox\xul.dll
.text                                                                                           E:\Mozilla Firefox\firefox.exe[3784] ntdll.dll!NtReadFile                                                               77B262F8 5 Bytes  JMP 6A4F9ACD E:\Mozilla Firefox\xul.dll
.text                                                                                           E:\Mozilla Firefox\firefox.exe[3784] ntdll.dll!NtReadFileScatter                                                        77B26308 5 Bytes  JMP 6A8C8C27 E:\Mozilla Firefox\xul.dll
.text                                                                                           E:\Mozilla Firefox\firefox.exe[3784] ntdll.dll!NtWriteFile                                                              77B26AA8 5 Bytes  JMP 6A4F9DA7 E:\Mozilla Firefox\xul.dll
.text                                                                                           E:\Mozilla Firefox\firefox.exe[3784] ntdll.dll!NtWriteFileGather                                                        77B26AB8 5 Bytes  JMP 6A8C8C77 E:\Mozilla Firefox\xul.dll
.text                                                                                           E:\Mozilla Firefox\firefox.exe[3784] ntdll.dll!LdrLoadDll                                                               77B422AE 5 Bytes  JMP 6EA4902C E:\Mozilla Firefox\mozglue.dll
.text                                                                                           E:\Mozilla Firefox\firefox.exe[3784] kernel32.dll!K32GetDeviceDriverBaseNameW + 5D                                      77A494E6 7 Bytes  JMP 6A8B2714 E:\Mozilla Firefox\xul.dll
.text                                                                                           E:\Mozilla Firefox\firefox.exe[3784] kernel32.dll!QueryPerformanceCounter + 13                                          77A4C4E5 7 Bytes  JMP 6A8B4641 E:\Mozilla Firefox\xul.dll
.text                                                                                           E:\Mozilla Firefox\firefox.exe[3784] kernel32.dll!LoadAppInitDlls + 355                                                 77A4F5A6 7 Bytes  JMP 6A654050 E:\Mozilla Firefox\xul.dll
.text                                                                                           E:\Mozilla Firefox\firefox.exe[3784] USER32.dll!GetWindowInfo                                                           76076A82 5 Bytes  JMP 6B29C048 E:\Mozilla Firefox\xul.dll
.text                                                                                           E:\Mozilla Firefox\firefox.exe[3784] GDI32.dll!GetViewportOrgEx + 26C                                                   75E0884B 7 Bytes  JMP 6A8B0C8F E:\Mozilla Firefox\xul.dll

---- Devices - GMER 2.1 ----

Device                                                                                          \Driver\BTHUSB \Device\00000073                                                                                         bthport.sys
Device                                                                                          \Driver\BTHUSB \Device\00000075                                                                                         bthport.sys

AttachedDevice                                                                                  \FileSystem\fastfat \Fat                                                                                                fltmgr.sys

---- Registry - GMER 2.1 ----

Reg                                                                                             HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\001c26f102b0                                             
Reg                                                                                             HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\001c26f102b0 (not active ControlSet)                         
Reg                                                                                             HKLM\SOFTWARE\Microsoft\Windows Search\UsnNotifier\Windows\Catalogs\SystemIndex@{52F569AF-F914-11E3-B098-806E6F6E6963}  38387840648
Reg                                                                                             HKLM\SOFTWARE\Microsoft\Windows Search\UsnNotifier\Windows\Catalogs\SystemIndex@{52F569B1-F914-11E3-B098-806E6F6E6963}  60312096

---- EOF - GMER 2.1 ----


[ordynat]

1) Użyj Adw-Cleaner http://www.programosy.pl/program,adwcleaner.html
najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

2) Użyj > MBAM http://www.programosy.pl/program,malwarebytes-anti-malware.html
Podczas instalacji usuń zaznaczenie z okienka przy "Uruchom okres testowy Malwarebytes Anti-Malware Premium".
Na końcu kliknij na Usuń zaznaczone.
Podaj z tego raport.

3) Zrób logi z FRST > http://forum.programosy.pl/frst-otl-zoek-vt139692.html
Przed skanem zaznacz "Additional" oraz "Shortcut"
.

[Aragorn160]

Zgodnie z życzeniem zamieszczam logi

[ordynat]

1) Odinstaluj

Search App by Ask (HKLM\...\{4F524A2D-5350-4500-76A7-A758B70C1C01}) (Version: 12.28.1.169 - APN, LLC) <==== ATTENTION

2) Nie został użyty MBAM - jego użycie jest konieczne, bo masz infekcję BRONTOK.
Użyj go i daj z tego raport.

3) Potem zrób nowe logi FRST.
.