Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Wiele procesów svchost.exe

extrimezero

Przez extrimezero
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

extrimezero

extrimezero

Opublikowano
Opublikowano

Witam. Moj problem polega na tym, iż mam bardzo dużo procesów o nazwie "svchost.exe" przez co mój system pracuje strasznie wolno.

Momentami ożycie procesora wynosi 100%.

867353621dc2c07am.jpg

Wyczytałem na internecie, że to może być wina wirusów, ale moj antywirus nic nie wykrywa przy skanowaniu systemu (tj. Kaspersky Internet Security 2011) dlatego zwracam sie do Was.

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

1. Nie dodałeś w ogóle obowiązkowego loga pod kątem rootkitów (GMER), bo OTL to nie sprawdza takich rzeczy. Przy czym, przed uruchomieniem GMER jest niezbędne ściągnięcie emulacji wirtualnych napędów DAEMON Tools (KLIK):

 

DRV - [2010-03-07 13:58:53 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)

2. "Zapomniałeś" i wspomnieć, że w obrotach był ComboFix, a z tego należy się spowiadać i nie ukrywać wyników jego działania. Proszę pokazać log, który zrobił (nie uruchamiać ponownie ComboFix! tylko dać log utworzony wcześniejszym jego działaniem).

 

3. Oceniając zaś OTL, poza crackiem do Office ;), to w raportach nie widać nic specjalnego, żadnych objawów infekcji. Co najwyżej można wykonać kosmetykę polegającą na usunięciu szczątków po adware / sponsorach. Ta operacja nie wpłynie w ogóle na stan systemu. Zamknij przeglądarki. W OTL w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O2 - BHO: (My Global Search Bar BHO) - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL File not found
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O3 - HKLM\..\Toolbar: (My Global Search Bar) - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL File not found
O3 - HKU\S-1-5-21-682003330-329068152-1801674531-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-682003330-329068152-1801674531-1003\..\Toolbar\WebBrowser: (My Global Search Bar) - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL File not found
IE - HKU\S-1-5-21-682003330-329068152-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2790392"
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.defaultthis.engineName: "Conduit Engine Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=ConduitEngine&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.selectedEngine: "Conduit Engine Customized Web Search"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.3.3
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CTXXXX&q="
[2010-11-20 08:49:37 | 000,000,000 | ---D | M] -- C:\Documents and Settings\ksol\Dane aplikacji\Mozilla\Firefox\Profiles\6zoitkuk.default\extensions\engine@conduit.com
[2010-10-21 14:48:17 | 000,002,566 | ---- | M] () -- C:\Documents and Settings\ksol\Dane aplikacji\Mozilla\Firefox\Profiles\6zoitkuk.default\searchplugins\askcom.xml
[2010-11-20 08:49:37 | 000,000,913 | ---- | M] () -- C:\Documents and Settings\ksol\Dane aplikacji\Mozilla\Firefox\Profiles\6zoitkuk.default\searchplugins\conduit.xml
[2010-07-21 13:50:27 | 000,002,059 | ---- | M] () -- C:\Documents and Settings\ksol\Dane aplikacji\Mozilla\Firefox\Profiles\6zoitkuk.default\searchplugins\daemon-search.xml
[2010-04-06 15:18:30 | 000,000,000 | ---D | M] -- C:\Documents and Settings\ksol\Dane aplikacji\OpenCandy

 

Klik w Wykonaj skrypt. Powstanie z tego log. Poza tym, jest w Firefox wstawiony BitTorrentBar Community Toolbar, oparty na podejrzanym reputacją Conduit (który jak widać powyżej bez pytania przekonfigurował preferencje Firefox). Ja to bym całkowicie wycięła z Lisa.

 

Moj problem polega na tym, iż mam bardzo dużo procesów o nazwie "svchost.exe" przez co mój system pracuje strasznie wolno.

 

Wielokrotny proces svchost.exe w Menedżerze procesów jest normalnym zjawiskiem i jest częścią każdego systemu. To jest plik svchost.exe zastartowany na różne sposoby, a owe sposoby to usługi. Każde wystąpienie svchost.exe w Menedżerze odpowiada grupie usług o wspólnych parametrach. Popatrz na listę ile usług odwołuje się do tego samego pliku (i tylko ten plik widać w Menedżerze zadań), one wszczepiają do svchost.exe swój własny moduł DLL, w Menedżerze zadań nie widać ani nazw usług ani ich modułów. Menedżer zadań Windows jest beznadziejny do oglądania takich rzeczy. Dokładniejsze dane jakie usługi są podmontowane na konkretnych instancjach svchost.exe ujrzysz wpisując Start > Uruchom > cmd i polecenie tasklist /svc lub stosując jakiś o wiele lepszy menedżer procesów np. Process Explorer.

 

Momentami ożycie procesora wynosi 100%.

 

Ale na jakim procesie?

 

1. Jeśli miałabym strzelać, to głównym podejrzanym na czkawki systemu może być po prostu KIS 2011. Jest to zaborczy pakiet (podobnie jak każdy inny "zabezpieczający") i jeśli coś w systemie zaczyna się ślimaczyć czy cisnąć procesor, zaczyna się śledztwo od testowej eliminacji pakietu.... Tym bardziej, że tu jest w Dzienniku zdarzeń błąd:

 

Error - 2010-11-24 09:09:24 | Computer Name = KSOL-ECBEE4A58F | Source = Service Control Manager | ID = 7031
Description = Usługa Kaspersky Anti-Virus Service niespodziewanie zakończyła pracę.
 Wystąpiło to razy: 1. W przeciągu 0 milisekund zostanie podjęta następująca czynność
 korekcyjna: Uruchom usługę ponownie.

Dodatkowo: odmontuj systemu z McAfee Security Scan. Po co Ci on.

 

2. Jest i taki błąd zawieszeń usługi Hewlett-Packard (problem znany):

 

Error - 2010-11-24 07:50:08 | Computer Name = KSOL-ECBEE4A58F | Source = Service Control Manager | ID = 7022
Description = Usługa Usługa HP CUE DeviceDiscovery zawiesiła się podczas uruchamiania.

Start > Uruchom > services.msc

 

Na liście wyszukaj tę usługę, dwuklik w nią, Typ startowy przestaw na Wyłączona, a usługę Zatrzymaj.

 

3. W procesach działa ciężarny klient Gadu i jego idiotyzm OpenFM. To także może być nie bez znaczenia dla wydajności w procesach.

 

 

.

Odnośnik do komentarza
extrimezero

extrimezero

Opublikowano
  • Autor
Opublikowano

Przepraszam za nie umieszczenie wszystkich logów, ale to moj pierwszy post i jakoś to przeoczyłem ;) Poniżej umieszczam niezbędne logi.

McAfee Security Scan odinstalowany.

Jeśli chodzi o użycie procesora to jest tak jak napisałaś wina KIS'a.

2. Jest i taki błąd zawieszeń usługi Hewlett-Packard (problem znany):

 

Error - 2010-11-24 07:50:08 | Computer Name = KSOL-ECBEE4A58F | Source = Service Control Manager | ID = 7022

Description = Usługa Usługa HP CUE DeviceDiscovery zawiesiła się podczas uruchamiania.

 

 

Start > Uruchom > services.msc

 

Na liście wyszukaj tę usługę, dwuklik w nią, Typ startowy przestaw na Wyłączona, a usługę Zatrzymaj.

Niestety nie mam na liście tej usługi.

ComboFix.txt

log.txt

log2.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

W logu z GMER nie widać żadnych śladów infekcji. To drobne oczyszczanie w OTL wykonane. ComboFix wycinał folder tego adware MyGlobalSearch, ale jak widać po później robionym logu z OTL uczynił to "na rzeźnika" pozostawiając osierocone wpisy "not found" (które adresowałam skryptem sprzątającym do OTL). Zapewne w rejestrze jest więcej szczątków niż to mogą pokazać logi. Wykonaj skan przez Malwarebytes' Anti-Malware. On powinien wyłowić resztę.

 

Jeśli chodzi o użycie procesora to jest tak jak napisałaś wina KIS'a.

 

Czyli na czym stoisz?

 

Niestety nie mam na liście tej usługi.

 

Powinna być (o ile między robieniem loga z OTL a postowaniem nie odinstalowałeś żadnego oprogramowania HP). Czy na pewne szukasz pod właściwą nazwą? Spróbuj w takim razie w rejestrze:

 

Start > Uruchom > regedit i w kluczu:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hpqddsvc

 

Dwuklik na wartość Start i zamień tam widniejącą liczbę na 4. Po tym reset komputera. Usługa już się nie uruchomi.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...