Skocz do zawartości
sandoz

svchost zużywa cały procesor

Rekomendowane odpowiedzi

@Picasso od kilku dni jest nieobecna, i nie wiem, za ile dni wróci.

W międzyczasie:

Otwórz Notatnik i wklej w nim:

 

C:\ProgramData\Start.exe

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt - daj go.

Zrób też nowy log z FRST, by @Picasso, gdy wróci, miała aktualny obraz sytuacji.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Temat przenoszę do działu Windows. Oznak czynnej infekcji brak. Usuwany plik C:\ProgramData\Start.exe po samej nazwie pasuje do tej infekcji: KLIK. Niemniej plik miał starą datę sprzed ponad roku, nie było tu żadnego powiązanego wpisu startowego i wątpliwe, by ten plik miał znaczenie w kontekście problemu zasadniczego.

 

I drobne działania nie powiązane w spoilerze.

 

 

 

1. Otwórz Notatnik i wklej w nim:

 

Toolbar: HKLM - StartSearchToolBar - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\StartSearch plugin\ssBarLcher.dll (StartSearch Inc.)
FF Extension: No Name - C:\Users\sandoz\AppData\Roaming\Mozilla\Firefox\Profiles\9adrfnj9.default\Extensions\{dd05fd3d-18df-4ce4-ae53-e795339c5f01}.xpi
HKLM\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages =
Unlock: HKLM\SYSTEM\CurrentControlSet\Services\sptd
R0 75131467; C:\Windows\System32\DRIVERS\75131467.sys [133208 2012-03-05] (Kaspersky Lab ZAO)
S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [x]
U2 wuaserv;
C:\Windows\System32\DRIVERS\75131467.sys

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Po ukończeniu zadania przez SHIFT+DEL skasuj folder C:\FRST.

 

2. Odinstaluj adware LiveVDO plugin 1.3.

 

 

 

 

 

jeden z svchost co chwilę zużywa cały procesor

1. Brak danych który. W procesach jest zestaw kilku instancji, a każda z nich to proces uruchomiony w inny sposób i hostujący inny zestaw usług. Zdefiniuj o które wystąpienie chodzi. Z prawokliku na ten obciążony svchost.exe wybierz opcję "Przejdź do usług" i wypisz wszystkie, które się podświetlą na niebieskim tle.

 

2. Dodatkowo, w Dzienniku zdarzeń są jakieś tajemnicze błędy Harmonogramu zadań:

 

System errors:

=============

 

Error: (10/09/2013 01:05:11 PM) (Source: Microsoft-Windows-TaskScheduler) (User: ZARZĄDZANIE NT)

Description: 2147549183

 

Start > w polu szukania wpisz eventvwr.msc > rozwiń dzienniki Microsoftu i w sekcji System wyszukaj ów błąd. Pobierz jego szczegóły i tu przeklej.

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

sorry za odgrzanie, ale problem dopiero pojawił się ponownie.
1.
CryptSvc

Dnscache

KtmRm

NlaSvc

TapiSrv

TermService

2.

w dzienniku nie ma błędu z danej daty :(

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Witam,

 

zacznij od przygotowania środowiska:

 

1. Pobierz starszą wersję WPT: [KLIK] i zainstaluj ją (możesz także spróbować skorzystać z opisu [KLIK] i zainstalować WPT zgodnie z podanym w pkt 1 instrukcjami, ale niektórzy zgłaszają pewne problemy na Viście, których nie jestem w stanie teraz zweryfikować);

2. Utwórz na dysku katalog xperf (np. c:\xperf);

3. Pobierz zestaw skryptów [KLIK] i wypakuj je do utworzonego w poprzednim punkcie katalogu;

 

Poczekaj, aż pojawi się problem z svchost i wykonaj kolejne kroki:

 

4. Uruchom cmd jako administrator i przejdź do katalogu c:\xperf, wykonując polecenie

cd \xperf

 

5. Będąc dalej w cmd, uruchom "xperf - Collect CPU.cmd" wydając polecenie:

"xperf - Collect CPU.cmd"

 

6. W momencie, gdy pojawi się migający kursor:

Press a key when ready to start...
Aby kontynuować, naciśnij dowolny klawisz . . .

 

naciśnij dowolny klawisz. Powinien pojawić się tekst

.
...Capturing...
.
Press a key when you want to stop...
Aby kontynuować, naciśnij dowolny klawisz . . .

 

i w tym momencie zaczyna się rejestrowanie zdarzeń związanych z obciążeniem CPU. Pozwól, aby przez ok. 1 minutę system zarejestrował to, co się w nim dzieje i następnie wciśnij dowolny klawisz, aby zakończyć zbieranie danych i zapisać wynik. W oknie cmd pojawi się wówczas

.
...Stopping...
.

 

Po pewnym czasie (może to potrwać nawet kilka ładnych minut przy nieco obciążonym systemie) powinien pojawić się komunikat potwierdzający zakończenie zapisywania danych

Merged Etl: cpu.etl
The trace you have just captured "cpu.etl" may contain personally identifiable information, including but not necessarily limited to paths to files accessed, paths to registry accessed and process names. Exact information depends on the events that were logged. Please be aware of this when sharing out this trace with other people.

 

a w katalogu c:\xperf powinien powstać plik cpu.etl. Spakuj ten plik (.zip, .7z) i wrzuć na speedyshare.com, a tu daj link.

 

m.g.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Wygląda niestety tak, jakby coś było nie tak z uprawnieniami - ten błąd pojawia się w momencie, gdy konto nie ma włączonego przywileju profilowania systemu (co jest domyślne, jeśli nie uruchomi się procesu prawa mysz -> 'Uruchom jako administrator', czyli po potwierdzeniu komunikatu UAC). Spróbuj jeszcze raz, a jeśli to nie pomoże, to wykonaj w uruchomionym wierszu polecenia (tym, z którego masz wykonać analizę) polecenie:

whoami /priv

zaznacz prawą myszą wynik i wklej w odpowiedzi.

 

m.g.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Z podesłanego logu wynika, że problem dotyczy NlaSvc, co najprawdopodobniej związane jest z dużą ilością interfejsów isatap. Jeśli nie używasz, to proponuję, żebyś wyłączył IPv6 [KLIK]. Jeśli problem dalej będzie się pojawiał, to poproszę o kolejny log.

 

m.g.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...