SVCHOST.EXE zajmuje RAM i obciąża PC

[vivio]

Dzień dobry.

Mam problem z pamięciożernym, fałszywym chyba plikiem 'svchost.exe'. Pożera on ok. 1GB RAM-u oraz powoduje od czasu do czasu zawieszenie/zacięcie się przeglądarki internetowej lub całego laptopa na dobre kilkanaście lub więcej sekund. Procesor też jest obciążony, ale nie w 100%. Przeglądałem na forum podobne przypadki, ale rozwiązanie zawsze było dedykowane konkretnej sprawie, więc również proszę o pomoc w tej sprawie. W załączeniu dołączam pliki ze skanów.

 

Z góry dziękuję,

A.K.

Addition.txt

FRST.txt

Gmer.txt

Shortcut.txt

[picasso]

Tytuł koryguję, temat przenoszę do działu Windows. W raportach żadnych śladów "fałszywego svchost", ani czynnej infekcji. W spoilerze drobne czyszczenie wpisów szczątkowych (resztówki adware, wpisy puste), co nie ma znaczenia w kontekście zgłaszanego problemu.

 

 

 

1. Odinstaluj stare wersje Acrobat.com, Adobe AIR, Adobe Flash Player 16 ActiveX, Adobe Flash Player 16 NPAPI, Java 7 Update 65 i sponsorowaną instalację McAfee Security Scan Plus.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
S2 HPSLPSVC; C:\Users\Krysia\AppData\Local\Temp\7zS0F66\hpslpsvc64.dll [X]
S2 Service Mgr PositiveFinds; "C:\ProgramData\d2d4a9d3-f3f1-4c52-8d3f-dddc91fe0602\PluginContainer.exe" [X]
S3 StarOpen; No ImagePath
U3 tmlwf; No ImagePath
U3 tmwfp; No ImagePath
Task: {877E1290-806C-4017-84B8-7E779D8CF25B} - System32\Tasks\{5C104336-0DAA-4166-A9AA-4E6A388C405F} => pcalua.exe -a D:\Adam\Programy\avira_antivir_personal_en.exe -d D:\Adam\Programy
Task: {8CC22F46-8586-4144-BC4D-0B004F78B28E} - System32\Tasks\JetBoost_AutoUpdate => C:\Program Files (x86)\BlueSprig\JetBoost\AutoUpdate.exe
Task: {D5B17105-B639-4645-8F15-0848678D91AD} - System32\Tasks\{3C6E8C32-1F53-401A-965B-30100CE931A0} => pcalua.exe -a E:\SetupAssistant.exe -d E:\
Task: {EDF1B179-C774-4FBF-BBCA-294C90A2B1A2} - System32\Tasks\{0A7A824C-9DD4-4930-8D4B-77ED7CD39E11} => C:\Program Files (x86)\CDBurnerXP\cdbxpp.exe
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
BHO-x32: No Name -> {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} -> No File
Toolbar: HKU\S-1-5-21-1150648413-3391347023-1303782150-1001 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
StartMenuInternet: (HKLM) Opera - C:\Program Files (x86)\Opera\Opera.exe http://www.istartsurf.com/?type=sc&ts=1408138895&from=smt&uid=3219913727_67194_14338EF1
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - https://clients2.google.com/service/update2/crx
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
C:\ProgramData\Temp
C:\Users\Krysia\AppData\Local\Google\Chrome\User Data\Default\Preferences
C:\Users\Krysia\AppData\Roaming\Opera Software
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Positive Finds" /f
CMD: sc config "PLAY ONLINE. RunOuc" start= disabled
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

3. W Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

4. Ustaw wybraną przeglądarkę jako domyślną , aktualne brak jakiejkolwiek:

 

Internet Explorer Version 11 (Default browser not detected!)

 

 

 

 

Mam problem z pamięciożernym, fałszywym chyba plikiem 'svchost.exe'. Pożera on ok. 1GB RAM-u oraz powoduje od czasu do czasu zawieszenie/zacięcie się przeglądarki internetowej lub całego laptopa na dobre kilkanaście lub więcej sekund. Procesor też jest obciążony, ale nie w 100%.

Z logów nic kompletnie nie wynika. W menedżerze zadań prawoklik na wystąpienie tego procesu > Przejdź do usług > wypisz te które zostaną podświetlone.

 

A w Dzienniku błędy sugerujące, że zabijałeś poprawne wystąpienia svchost.exe generując błędy ważnych usług:

 

System errors:

=============

Error: (04/16/2015 00:25:23 PM) (Source: Service Control Manager) (EventID: 7032) (User: )

Description: Menedżer sterowania usługami próbował podjąć akcję korekcyjną (Uruchom usługę ponownie) po nieoczekiwanym zakończeniu usługi Instrumentacja zarządzania Windows, ale ta akcja nie powiodła się przy następującym błędzie:

%%1056.
 

Error: (04/16/2015 00:25:23 PM) (Source: Service Control Manager) (EventID: 7032) (User: )

Description: Menedżer sterowania usługami próbował podjąć akcję korekcyjną (Uruchom usługę ponownie) po nieoczekiwanym zakończeniu usługi Przeglądarka komputera, ale ta akcja nie powiodła się przy następującym błędzie:

%%1056.
 

Error: (04/16/2015 00:25:23 PM) (Source: Service Control Manager) (EventID: 7032) (User: )

Description: Menedżer sterowania usługami próbował podjąć akcję korekcyjną (Uruchom usługę ponownie) po nieoczekiwanym zakończeniu usługi Harmonogram klas multimediów, ale ta akcja nie powiodła się przy następującym błędzie:

%%1056.
 

Error: (04/16/2015 00:22:23 PM) (Source: Service Control Manager) (EventID: 7032) (User: )

Description: Menedżer sterowania usługami próbował podjąć akcję korekcyjną (Uruchom usługę ponownie) po nieoczekiwanym zakończeniu usługi Serwer, ale ta akcja nie powiodła się przy następującym błędzie:

%%1056.
 

Error: (04/16/2015 00:20:23 PM) (Source: Service Control Manager) (EventID: 7034) (User: )

Description: Usługa Windows Update niespodziewanie zakończyła pracę. Wystąpiło to razy: 2.
 

Error: (04/16/2015 00:20:23 PM) (Source: Service Control Manager) (EventID: 7031) (User: )

Description: Usługa Instrumentacja zarządzania Windows niespodziewanie zakończyła pracę. Wystąpiło to razy: 2. W przeciągu 300000 milisekund zostanie podjęta następująca czynność korekcyjna: Uruchom usługę ponownie.
 

Error: (04/16/2015 00:20:23 PM) (Source: Service Control Manager) (EventID: 7031) (User: )

Description: Usługa Kompozycje niespodziewanie zakończyła pracę. Wystąpiło to razy: 2. W przeciągu 60000 milisekund zostanie podjęta następująca czynność korekcyjna: Uruchom usługę ponownie.
 

Error: (04/16/2015 00:20:23 PM) (Source: Service Control Manager) (EventID: 7031) (User: )

Description: Usługa Wykrywanie sprzętu powłoki niespodziewanie zakończyła pracę. Wystąpiło to razy: 2. W przeciągu 60000 milisekund zostanie podjęta następująca czynność korekcyjna: Uruchom usługę ponownie.
 

Error: (04/16/2015 00:20:23 PM) (Source: Service Control Manager) (EventID: 7031) (User: )

Description: Usługa Usługa powiadamiania o zdarzeniach systemowych niespodziewanie zakończyła pracę. Wystąpiło to razy: 2. W przeciągu 300000 milisekund zostanie podjęta następująca czynność korekcyjna: Uruchom usługę ponownie.
 

Error: (04/16/2015 00:20:23 PM) (Source: Service Control Manager) (EventID: 7031) (User: )

Description: Usługa Harmonogram zadań niespodziewanie zakończyła pracę. Wystąpiło to razy: 2. W przeciągu 60000 milisekund zostanie podjęta następująca czynność korekcyjna: Uruchom usługę ponownie.

[vivio]

Oto lista usług procesu 'svchost.exe':

1.AudioEndpointBuilder;

2.HomeGroupListener;

3.Netman;

4.PcaSvc;

5.SysMain;

6.TrkWks;

7.UxSms;

8.WdiSystemHost;Wlansvc;

 

       Chciałbym zauważyć, że w tej chwili po kolejnym uruchomieniu systemu oraz wcześniejszym wyłączeniu automatycznej aktualizacji Win7, obecnie nie pojawia się na liście procesów w menadżerze zadań "dodatkowy" 'svchost.exe', który to w pewnym momencie po uruchomieniu laptopa zaczynał pożerać pamięć RAM w postępie geometrycznym. A właśnie to ten "dodatkowy" 'svchost.exe' powodował tak wielkie zużycie RAM-u. Być może był to kolejny na liście 'svchost.exe', a nie jakiś dodatkowy. Bowiem na liście procesów jest wiele takich zadań, które nazywają się tak samo (nie znam się na tym). Ale kiedy sortowanie ustawiłem pod względem ilości zużywanej pamięci, to na początku listy były dwa procesy 'svchost.exe' - jeden stabilny pod względem RAM-u (który aktualnie też jest), drugi "wariował" i pochłaniał coraz więcej RAM-u. Daltego próbowałem wyłączyć ten proces i stąd błędy innych usług.

 

Bardzo proszę o jakąś podpowiedź w tej materii.

A.K.