Šta je novo?
Od:
Filteri

Rastura me cmd.exe

SuperStarr

SuperStarr

Moderator
Super Moderator
Učlanjen(a)
25.07.2002
Poruke
9,612
Poena
1,105
Moja oprema  
CPU & Cooler
Xeon 5650 (6c/12t) @ 3,7Ghz
Matična ploča
MSI X58
RAM
48Gb HyperX DDR3 @ 1666Mhz
GPU
Gigabyte 1060 6Gb
Storage
256Gb 850Pro + couple of AliExpress SSD's
Zvuk
Creative
PSU
Zalman ZM600-HP (Heat-Pipe :) )
Kućište
Alexander Weiss (glass front + glass side)
Monitor
AOC 32" IPS
Miš & tastatura
G602 & Drevo 87 key (Red Switch)
Ostale periferije
MX Master 2 & K380
Mobilni telefon
Moto G9 Plus
Pristup internetu
  1. Kablovski internet
Svež Win10 Pro.
Pobijen bloat koliko je moglo sa različitim alataima.

Sad imam cmd.exe koji gomila "hendlove" a ne mogu da otkrijem uzrok.
Malo sam ispao iz štosa za Windows, ima 2 godine da sebi nisam odradio svežu instalaciju, a Google mi ne pomaže osim što mi nudi objašnjena šta su "Handles"...
Sa alatom sa kojim sam sve do sada uspešno motrio na procese - TaskInfo - ne mogu da ulovim šta je krivac pa mi treba vaša pomoć.
Sa kojim još alatom mogu da probam da dođem do uzroka šta to "aktivira" cmd.exe i zašto se "proces ne zatvara" već gomila "hendlove"?
 

Prilozi

  • TaskInfo_09GHbYKSNB.png
    TaskInfo_09GHbYKSNB.png
    618.2 KB · Pregleda: 140
Svestan sam toga. :)
Samo pokušavam da "provalim" šta je pokretač / uzrok ovog čudnog problema. Tj. da sad počistim te repove / zaostatke.
Imam jednu mašinu kući sa 10-om, mislim da je verzija 1083, radi "godinama", sve sam isto i tada uradio.
Ova sad instalacija na oko deluje gotovo savršeno sem ovog problema a kako bi ipak trebalo da bude privatni računar i kako firewall verovatno neće moći sve da zaustavi, bojim se da ne dođe ili već sada dolazi u pokušaju do nekog leak-a.

Gde da tražim, da li u registry-u ili TaskScheduler-u nekog mogućeg krivca?
 
Ne znam koji alati su bili u pitanju tj. da li je moguć rollback nekako bilo putem uninstall ili neke restore metode unutar alata ili samog windowsa.

btw ja koristim stock instalaciju, ništa nisam dirao, osim vizuelnog izgleda tu i tamo, radi kao sat.
Jedini dodatak koji sam stavio je O&O ShutUp10++, pokrenuo jedanput samo nakon instalacije (apply only recommended settings), on recimo ima "undo settings", da vrati na factory podešavanja, nisam ga ni updejtovao mesecima, on se čak i ne instalira.
 
Što se tiče cmd.exe procesa explorer koliko znam može da ti kaže command line ili nešto slično pa da znaš koji je tačno proces startovan kroz taj cmd.exe.
 
RazbojNick je napisao(la):
Koristi Process Explorer
Kliknite za proširenje...
Dobra stvar!

Ovo, u slici dodatoj uz ovaj post, je problem:
EDIT: Taj thread, "cmd+0x16b20" je stalno aktivan.
E sad ovi pod-"thread"-ovi : guglam jedan po jedan ali u pitanju su raznovsni problemi vezano za te podatke sa kojima ja nemam veze.
Kod mene ne skače zauzeće memorije - zakucano je konstantno. Takođe, ni procesor ga ne oseća osim što raste broj "hendlova" neprestano. Jednostavno ne smeta u radu sem što TaskInfo prijavljuje nenormalan / rastući broj "hendlova".
Kao da je nešto u "loop"-u i kako nema odgovarajući odgovor - kao da pokušava iznova...
EDIT2: Tipa da je ovo pisano za Linux, u Bash-u, kao da je neko dodao samo "if" a zaboravio "else". :)
 

Prilozi

  • PROCEXP64_IQ3ueukpOS.png
    PROCEXP64_IQ3ueukpOS.png
    48.9 KB · Pregleda: 99
Poslednja izmena:
SuperStarr je napisao(la):
Svež Win10 Pro.
Pobijen bloat koliko je moglo sa različitim alataima.

Sad imam cmd.exe koji gomila "hendlove" a ne mogu da otkrijem uzrok.
Malo sam ispao iz štosa za Windows, ima 2 godine da sebi nisam odradio svežu instalaciju, a Google mi ne pomaže osim što mi nudi objašnjena šta su "Handles"...
Sa alatom sa kojim sam sve do sada uspešno motrio na procese - TaskInfo - ne mogu da ulovim šta je krivac pa mi treba vaša pomoć.
Sa kojim još alatom mogu da probam da dođem do uzroka šta to "aktivira" cmd.exe i zašto se "proces ne zatvara" već gomila "hendlove"?
Kliknite za proširenje...
Rekao bih da je taj cmd.exe lazni ili se neki virus zamaskirao tim imenom...
 
bmaxa je napisao(la):
Rekao bih da je taj cmd.exe lazni ili se neki virus zamaskirao tim imenom...
Kliknite za proširenje...
Evo slika gore. ^
Kroz njega "ide" 19 "thread-ova.
E sad šta je od toga (ako sam uopšte na dobrom tragu)...
 
Momentalno se pojavljuje / aktivira ponovo.
Ne mogu da lociram šta ga pokreće inače bi sve to poobrisao / onemogućio...
EDIT: VirusTotal rezultat:
 

Prilozi

  • chrome_e2qOb9PqYY.png
    chrome_e2qOb9PqYY.png
    41.9 KB · Pregleda: 103
Ja pre verujem da ti je alat obrisao i više nego što je trebalo pa sada OS traži načina kako da poveže repove.
 
bmaxa je napisao(la):
startovanje cmd.exe bi trebalo da otvori shell prozor. Skini neki bolji AV da ti to ocisti...
Kliknite za proširenje...
Daj preporuku?
Nisam instalirao AV bukvalno godinama, oslanjam se na Firewall i ADblocker-er. (verovatno glupo zvuči)
Tu i tamo proverim po nešto na VirusTotal kao gore, kad skinem nešto sumnjivo i nisam se do sada ni jednom zeznuo.
Analayzer je napisao(la):
Ja pre verujem da ti je alat obrisao i više nego što je trebalo pa sada OS traži načina kako da poveže repove.
Kliknite za proširenje...
To bi trebalo da znači da ako onemogućim taj proces / servis ili tu komandu izbrišem od negde iz registry-a ili TaskScheduler-a da bi trebalo da rešim problem.
Isto razmišljamo?
 
Malwarebytes i ocisti to
 
Probaj da uključiš search indexing ako je ugašen. Slične simptome sam imao kad ga je ugasio neki debloater. Do duše, ispoljavalo se tek u stremiu kad krene da traži biblioteke po disku.
 
Koji je uopšte commandline za cmd.exe kad pogledaš u process explorer?
Probaj Autoruns da skineš i sačuvaj report pa mi pošalji na PM ili okači ovde ako nisi paranoičan što se tiče privatnosti :)
 
U koliko da se kladimo da nije virus? ;)
 
bmaxa je napisao(la):
Znas kako razni programi pokrecu konzolne programe preko cmd shell-a, pogotovo prilikom instalacije, ali to se svaki put vidi preko otvaranja prozora, potom
zatvaranja. Rezidentni cmd koji nema prozor i otvara hiljade soketa/fajlova sta god je vise nego sumnjiv...
Kliknite za proširenje...
Svako ko ima AMD drajvere ima CMD proces bez prozora, tako da losa ti je teorija
 

Prilozi

  • Screenshot 2023-01-09 035950.png
    Screenshot 2023-01-09 035950.png
    13.2 KB · Pregleda: 76
@sammy je pitao šta je korišćeno:
DoNotSpy11
O&O ShutUp10++
The Ultimate Windows Utility
Chocolatey kao package manager pa potom sve instalirano preko njega, svaki program.

Stiže izveštaj Autoruns-a (na PM) za par minuta.

BTW, odgovorio mi je pisac TaskInfo-a, samo je trebalo da restartujem program kao Admin, isto kao Process Explorer. :)
^ Kopam po podatcima da vidim ima li neki registry entry sumnjiv...
 

Prilozi

  • Autoruns_Oa4YjAoJtM.png
    Autoruns_Oa4YjAoJtM.png
    49.8 KB · Pregleda: 55
Poslednja izmena:
Evo sličnog da ne kažem istog problema:

SafeBoot Entry Showing in Autoruns - Windows 10 Help Forums

I happened to run Autoruns and noticed the first entry showing as: "HKLM\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\AlternateShell" "" "" "" "6/17/2017 1:07
www.tenforums.com www.tenforums.com
Na ovom linku je naznačeno da Win možda neće uspeti da se digne ako se promeni ova vrednost u reg-iju:
technet.microsoft.com

AlternateShell

technet.microsoft.com

Moraću da napravim sliku (Clonezilla) celog sistema za backup pa da eksperimentišem dalje, osim ako neko od vas ne da bolji savet.
 
A što ne instaliraš svjež Windows bez korišćenja pomenutih alata koje su vjerovatno i prouzrokovale tvoj problem?
 
I šta mislite, da li je @danilo989 uspeo da pronađe i ulovi krivca?

Radi se o nečemu podešenom u TaskManager-u, vezanom za aktivaciju / nadogradnju / telemetriju Office paketa. Jedan mali "java.exe" iz Windows direktorijuma podešen da se pokreće na svakih 5 minuta.
Meni ostaje nepoznat uzrok podešavanja ovog Task-a ali bitno je da sa istim onemogućenim uopšte više nema "cmd.exe"-a u procesima!
EDIT: @Nidzo , odradio bi ponovo sve to (izgubio pola dana), opet u nekom koraku napravio istu stvar i ništa ne bi naučili. ;)

Hvala @danilo989 !
 

Prilozi

  • mmc_TiXniDeqAS.png
    mmc_TiXniDeqAS.png
    32.8 KB · Pregleda: 49
@SuperStarr
Možeš li okačiti taj java.exe na VirusTotal? S obzirom na lokaciju, miriši na malware.
 

VirusTotal

VirusTotal
www.virustotal.com www.virustotal.com
Odradili smo i taj deo. Postoji mogućnost da je legit java.exe korišćen sa određenim command line koji radi koješta u pozadini ali nisam video ništa takvo kod njega. Preporučio sam mu da preskenira sa KVRT za svaki slučaj
 
Morate se prijaviti ili registrovati da odgovorite ovde.
Vrh Dno