Proces dllhost.exe

[Arrive]

Od kilku dni borykam się z tym że co jakiś czas komputer odmawia posłuszeństwa. Zachowuje się tak jak by działało kilkanaście programów na raz. Nie sądziłem że mam jakieś paskudztwo do momentu jak przeskanowałem system za pomocą ArcaVir online. Niestety nie zapamiętałem jakiego rodzaju był to mallware ale miał na początku Win32. i końcówke AAD. Postanowiłem dalej szukać w internecie jak uzdrowić system i trafiłem do Was. Dlaczego napisałem w temacie Dllhost.exe otóż gdy następują wariacje nie można NIC zrobić otworzyć czegokolwiek. Sprawdzając otwarte usługi znajduje się właściwy Dllhost. ( podpisany Surogates) oraz szybko włączał się i wyłączał taki sam identyczny wpis. Szybko znikał po to by zaraz znowu się pojawić. Na otwarcie samego explorera/ okna katalogu czekałem 10 min. Miałem problem także z wyskakującym oknem Explorer.EXE prosił o pozwolenie wykonać jakieś zmiany.

 

Dołączam logi

 

Liczę że ktoś mi pomoże wygrzebać się z tego bagna. Z góry dziękuję.

Exktras.txt

OTL.Txt

[picasso]

Bez dokładnych danych gdzie ArcaBit się dopatrzył infekcji nie można ocenić co to było i czy aby nie jest to jakiś fałszywy alarm. W raportach z OTL nie widać oznak infekcji. Temat przenoszę do działu Windows 7.

 

 

Od kilku dni borykam się z tym że co jakiś czas komputer odmawia posłuszeństwa. Zachowuje się tak jak by działało kilkanaście programów na raz.

 

1. Poważnie przesadziłeś z antywirusami. Są zainstalowane i działają równolegle aż trzy (!): Ad-aware, Avast i Avira. Koniecznie pozbądź się nadwyżki, by odciążyć system. Proponuję wstępnie wywalić wszystkie trzy. Avast wygląda na aktualizowany nakładkowo ze starszej wersji i przyda mu się ewentualna instalacja "na czysto", dwa pozostałe chyba dodałeś co dopiero w ramach "diagnostyki".

 

2. Kolejna sprawa to zmodyfikowany przez Spybot - Search & Destroy plik HOSTS, który przetwarza ponad 15 tysięcy wpisów:

 

O1 HOSTS File: ([2012/05/10 21:00:38 | 000,443,446 | R--- | M]) - C:\Windows\SysNative\drivers\etc\hosts
(...)
O1 - Hosts: 127.0.0.1	www.007guard.com
O1 - Hosts: 127.0.0.1	007guard.com
O1 - Hosts: 127.0.0.1	008i.com
O1 - Hosts: 127.0.0.1	www.008k.com
O1 - Hosts: 127.0.0.1	008k.com
O1 - Hosts: 127.0.0.1	www.00hq.com
O1 - Hosts: 15233 more lines...

 

To nie jest zdrowe, skutek uboczny to obciążenie svchost.exe hostującego usługę Klient DNS. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034.

 

3. Przy okazji odinstaluj też zbędny Akamai NetSession Interface Service oraz cudotwórcę Uniblue SpeedUpMyPC.

 

 

Dlaczego napisałem w temacie Dllhost.exe otóż gdy następują wariacje nie można NIC zrobić otworzyć czegokolwiek. Sprawdzając otwarte usługi znajduje się właściwy Dllhost. ( podpisany Surogates) oraz szybko włączał się i wyłączał taki sam identyczny wpis. Szybko znikał po to by zaraz znowu się pojawić. Na otwarcie samego explorera/ okna katalogu czekałem 10 min. Miałem problem także z wyskakującym oknem Explorer.EXE prosił o pozwolenie wykonać jakieś zmiany.

 

Przy niskiej reakcyjności dllhost.exe można podejrzewać dwie sfery: rozszerzenia powłoki oraz kodeki. Poglądowo grubszy esej: KLIK. Wg listy zainstalowanych np. posiadasz pakiet Nero, tenże wprowadza i własne rozszerzenia i kodeki. Na razie jednak nie zadaję żadnej diagnostyki, Ty też powstrzymaj sioę od akcji na własną rękę. Pierwszy krok to redukcja przeinwestowanego oprogramowania zabezpieczającego i ocena jaki to ma wpływ na Windows.

 

 

 

 

PS. I usuń sobie drobne odpadki, ale to realizacja aspektu "kosmetycznego" i nie będzie mieć żadnych skutków dla problemów zasadniczych. Skok do spoilera.

 

 

 

Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O2:64bit: - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No CLSID value found.
O2:64bit: - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
IE - HKU\S-1-5-21-640910136-900881898-1062532648-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = my.daemon-search.com
IE - HKU\S-1-5-21-640910136-900881898-1062532648-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}"
IE - HKU\S-1-5-21-640910136-900881898-1062532648-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;

 

Klik w Wykonaj skrypt.

 

 

 

 

 

 

 

 

.

[Arrive]

Wykonałem wszystko zgodnie z instrukcją. Pozostawiłem zainstalowany na świeżo Avast. Pousuwałem zbędne oprogramowania. Jednak coś mi nie daje spokoju mianowicie w nocy pozostawiłem skanowanie za pomocą Avira, która wykazała że zainfekowane pliki znajdujące się na komputerze w lokacji C:/users/..../downloads/OTL.exe jak również pliki od tego cudotwórcy są zainfekowane Trojan.Sieggen3.62492 oraz jego opis $R4ATC4F.exe a także SpeedFan.exe Pliki rzekomo zostały przeniesione do kwarantanny nie mogły zostać uleczone a przy kolejnym uruchomieniu pozostały usunięte. Niestety wykonałem to skanowanie w nocy więc nie miałem możliwości zrobić pozostałych czynności przed tym co mi zaleciłaś.

 

Oto wynik po wykonaniu skryptu:

 

========== OTL ==========
64bit-Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\ not found.
64bit-Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DBC80044-A445-435b-BC74-9C25C1C588A9}\ not found.
64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{32099AAC-C132-4136-9E9A-4E364A424E17} deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{32099AAC-C132-4136-9E9A-4E364A424E17}\ not found.
HKU\S-1-5-21-640910136-900881898-1062532648-1000\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
Registry key HKEY_USERS\S-1-5-21-640910136-900881898-1062532648-1000\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}\ not found.
HKU\S-1-5-21-640910136-900881898-1062532648-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride| /E : value set successfully!

OTL by OldTimer - Version 3.2.42.3 log created on 05132012_103933

 

 

 

A jeszcze w całym tym ferworze zapomniałem napisać że te dodatki zacząłem instalować od momentu jak procesor zaczynał pracować na 100% oraz pamięć była pożerana mimo że nie było włączonych żadnych programów z wyżej wymienionych oprócz. Avast. Jako że lubie grać online moge otworzyć kilka aplikacji na niskich detalach ok 4. Jednak np wczoraj włączyłem tylko jedną i wtedy zaczął ten dllhost.exe wariować nie dało się nic zrobić. Ekran sie zamroził na czas 20-30 min. Już nie wiem co mam o tym myśleć skoro nie widać w logach żadego zagrożenia. Jeszcze jedna sprawa ważna dla mnie co uważacie za słuszne jako dodatkowy program do osłony sieci oprócz Avast którego zostawie jako głównego stróża. Oraz co sądzicie o wspomagaczach auslogic do optymalizacji systemu. Jeszcze raz dziękuję i liczę na pomoc. Pozdrawiam

 

Dołączam logi wykonane na zakończenie.

Mallware po skanowaniu wykrył:

 

Uploaded with ImageShack.us

 

Niestety po próbie usunięcia przez mallwarre ponowne uruchomienie komputera wywołało WYŁĄCZENIE WSZYSTKICH uSŁUG. Nic nie działa po prostu coś popsułem to by było chyuba na tyle. Teraz piszę z komputera żony ;/

Dziękuję i oczekuję na odpowiedź.

OTL.Txt

Extras.Txt

[picasso]

Wykonałem wszystko zgodnie z instrukcją. Pozostawiłem zainstalowany na świeżo Avast. Pousuwałem zbędne oprogramowania.

 

No tak, ale czy dałeś szansę na weryfikację stanu systemu bez żadnego oprogramowania zabezpieczającego? Od razu rzuciłeś się w instalację Avast, rozumiem, że nawet nie sprawdziłeś jak system chodzi bez niego.

 

 

Już nie wiem co mam o tym myśleć skoro nie widać w logach żadego zagrożenia.

 

Nie wiem dlaczego widzisz tylko jedną możliwość, czyli infekcję. Nie potwierdzam tego. Jest multum możliwości z zakresu software i hardware. Apropos:

 

Jednak coś mi nie daje spokoju mianowicie w nocy pozostawiłem skanowanie za pomocą Avira, która wykazała że zainfekowane pliki znajdujące się na komputerze w lokacji C:/users/..../downloads/OTL.exe jak również pliki od tego cudotwórcy są zainfekowane Trojan.Sieggen3.62492 oraz jego opis $R4ATC4F.exe a także SpeedFan.exe Pliki rzekomo zostały przeniesione do kwarantanny nie mogły zostać uleczone a przy kolejnym uruchomieniu pozostały usunięte. Niestety wykonałem to skanowanie w nocy więc nie miałem możliwości zrobić pozostałych czynności przed tym co mi zaleciłaś.

 

Czy na pewno to pokazała Avira? Nazwy wyników pasują do skanera Doctor Web (widzę ślady jego stosowania) a nie Avira. To produkty Dr. Web (mini skaner, pełny antywirus oraz Dr. Web LiveCD) są znane z fałszywych alarmów na OTL, określają go niesłusznie jako "Trojan.Sieggen". Skoro pozostałe pliki programów dostały tę samą etykietkę, przypuszczam że to również fałszywe alarmy.

 

Skoro przy skanerach jesteśmy, usuń sobie foldery odpadkowe i kopie pliku HOSTS wytworzone przez Spybota:

 

[2012/05/13 01:20:59 | 000,000,000 | ---D | C] -- C:\Users\JWMC\DoctorWeb
[2012/05/11 13:52:20 | 000,000,000 | ---D | C] -- C:\Users\JWMC\AppData\Roaming\ArcaBit
[2012/05/11 01:48:46 | 000,000,000 | ---D | C] -- C:\Users\JWMC\AppData\Roaming\ArcaVirMicroScan
[2012/05/10 17:58:07 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy
[2012/05/10 17:58:07 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Spybot - Search & Destroy
[2012/04/13 23:39:47 | 000,000,000 | ---D | C] -- C:\Users\JWMC\AppData\Local\adawarebp
[2012/05/10 21:00:38 | 000,443,446 | ---- | M] () -- C:\Windows\SysNative\drivers\etc\hosts.old
[2012/05/10 20:06:53 | 000,443,446 | R--- | M] () -- C:\Windows\SysNative\drivers\etc\hosts.20120510-210037.backup

 

C:\Windows\SysNative = C:\Windows\system32. SysNative to wirtualny alias za pomocą którego 32-bitowe programy (a takim jest OTL) uzyskują dostęp do 64-bitowego system32.

 

 

Mallware po skanowaniu wykrył:

 

To również nie jest infekcja w ścisłym rozumieniu. MBAM wykrył wyłączone Usługi kryptograficzne, a to mogło nastąpić np. poprzez używanie tweakera lub ręcznie (widzę że wertowałeś stronę BlackViper, bo masz do tego skrót na Pulpicie). "Usunięcie" tego wyniku przez MBAM jest równoznaczne z rekonfiguracją w rejestrze wartości Start z 4 (Wyłączone) na 2 (Automatyczne). I coś tu musiało pójść nie tak skoro skutek to:

 

 

Niestety po próbie usunięcia przez mallwarre ponowne uruchomienie komputera wywołało WYŁĄCZENIE WSZYSTKICH USŁUG. Nic nie działa po prostu coś popsułem to by było chyba na tyle. Teraz piszę z komputera żony ;/

 

Pobierz plik z domyślnymi wartościami usług dopasowany do Twojego systemu: KLIK. Rozpakuj, z prawokliku na plik REG wybierz Scal, zresetuj system.

 

 

Jeszcze jedna sprawa ważna dla mnie co uważacie za słuszne jako dodatkowy program do osłony sieci oprócz Avast którego zostawie jako głównego stróża. Oraz co sądzicie o wspomagaczach auslogic do optymalizacji systemu.

 

O ile coś tu miałoby być dodane do Avasta, to prędzej rozbudowana zapora, ale z drugiej strony system ma już własną wbudowaną i może nie należy przesadzać. Zważ też na to, że masz aktualnie problem z wydajnością systemu. Na chwilę obecną zamiast dokładać to redukować.

Optymalizacje systemu Auslogic: nie widzę w nich nic szczególnego. Tzn. defragmentacja dysku i rejestru, usuwanie "zbędnych plików", czyszczenie rejestru. Do wszystkiego są również alternatywne programy, zaś czyszczenie rejestru to ostrożny teren, ogólnie może nie mieć benefitów "w przyśpieszaniu", a usunięcie na ślepo zbyt dużo (programy nie są perfekcyjne i mogą źle ocenić określone wyniki) może mieć negatywne skutki.

 

Przy okazji, w logu są ślady używania Sunrise Seven (folder na dysku, program jednak wygląda już na odinstalowany). Trzymaj się z daleka od opcji czyszczenia FileRepository, którą dysponuje ta aplikacja. Mam nadzieję, że tego nie przeprowadziłeś. Ta opcja to błąd, tego folderu nie wolno wyczyścić, po tej akcji są liczne i trudne do odwrócenia skutki uboczne w postaci niemożności instalacji nowych urządzeń czy błędy Windows Update. Na forum tutaj było wiele tematów, w których trzeba było niestety naprawiać szkody po Sunrise Seven.

 

 

 

 

 

.

[Arrive]

A więc tak masz rację to był DrWeb nie Avira pisałem to zbyt przejęty i nie zwróciłem uwagi. Przywróciłem dzięki Tobie usługi i piszę już z własnej maszyny. Usunąłem odpadki które wykazałaś. Jeśli chodzi o używanie Sunrise Seven raczej używałem tylko do zmieniania wyglądu. Obecnie wygenerowałem nowy plik OTL dołączam do postu. Nie wiem tylko dlaczego mi system sie zamrażał na tak długi okres ale być może to była wina tego SpyBota. Dziękuję serdecznie jak znajdziesz chwilkę przejrzyj log pewnie będzie czysto ale wole dmuchać na zimno może jeszcze jakaś kosmetykę mi doradzisz. A tym czasem będę testował i w razie kłopotów liczę na pomoc. Jeszcze raz dziękuję za poświęcony czas.

Edit:

Na ekranie monitora dochodzi do zamrażania akcji. Nie mogłem poruszyć nawet myszką czekałem tak 30 minut dałem sobie spokój i zresetowałem

 

Edit:

W dniu dzisiejszym sprawdziłem jakie usługi działają i nie wiem czy to jest normalne czy nie ale przeglądarka Google Chrome ma uruchomione 9 Usług

-chrome.exe*32 mimo że mam otwarte tylko jedno okno exploratora. Oraz 13 usług svchost.exe.

OTL.Txt

Extras.txt

[picasso]

Na ekranie monitora dochodzi do zamrażania akcji. Nie mogłem poruszyć nawet myszką czekałem tak 30 minut dałem sobie spokój i zresetowałem

 

Otwórz Dziennik zdarzeń i przewertuj sekcje Aplikacji oraz Systemu, czy nie ma nagranego określonego zdarzenia zazębiającego się czasowo z wystąpieniem objawów.

 

 

W dniu dzisiejszym sprawdziłem jakie usługi działają i nie wiem czy to jest normalne czy nie ale przeglądarka Google Chrome ma uruchomione 9 Usług

-chrome.exe*32 mimo że mam otwarte tylko jedno okno exploratora. Oraz 13 usług svchost.exe.

 

1. Przeglądarka Google Chrome posiada mechanizm separacji kart do osobnych procesów w celu zapobiegnięcia awarii całej przeglądarki przy wadzie tylko jednej z kart. Otwarte jedno okno ale wiele kart i dodane rozszerzenia = wiele procesów.

 

 

2. Liczebność svchost.exe naturalna. To jest proces uruchomiony na różne sposoby, każde wystąpienie nosi inną grupę usług. Więcej wyjaśnień tu: KLIK.

 

 

Obecnie wygenerowałem nowy plik OTL dołączam do postu.

 

Logi nic nowego nie mówią i nawet o nie nie prosiłam. Tylko skomentuję na wyrywki z Dziennika zdarzeń:

 

Error - 13/05/2012 16:27:21 | Computer Name = JWMC_shadow | Source = Service Control Manager | ID = 7026
Description = Nie można załadować następujących sterowników startu rozruchowego 
lub systemowego:   mfehidk  SBRE

 

+

 

DRV:64bit: - [2009/04/09 23:23:02 | 000,176,144 | ---- | M] (McAfee, Inc.) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\Mpfp.sys -- (MPFP)

 

Błędy ładowania szczątkowych sterowników McAfee i Ad-aware. Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator. W menu Widok włącz pokazywanie ukrytych urządzeń, rozwiń gałąź "Sterowniki niezgodne z Plug and Play", wyszukaj podane wyżej pozycje tych aplikacji, odinstaluj i zresetuj system. Ewentualnie dodatkowo zastosowanie McAfee Consumer Product Removal Tool, choć nie mam pewności czy narzędzie jest zgodne z x64 i widzi natywnie 64-bitowe sterowniki.

 

 

Error - 13/05/2012 16:21:32 | Computer Name = JWMC_shadow | Source = Service Control Manager | ID = 7001
Description = Usługa Usługa listy sieci zależy od usługi Rozpoznawanie lokalizacji
 w sieci, której nie można uruchomić z powodu następującego błędu:   %%1058
 
Error - 13/05/2012 16:27:16 | Computer Name = JWMC_shadow | Source = Service Control Manager | ID = 7001
Description = Usługa Serwer zależy od usługi Menedżer kont zabezpieczeń, której 
nie można uruchomić z powodu następującego błędu:   %%1058

 

Błędy uruchomienia systemowych usług. Czy nie przesadziłeś lub nie dopracowałeś (w znaczeniu pominięcia podzależności wyłączanych usług) optymalizacji BlackViper?

 

 

 

.

[Arrive]

A więc w okresie gdy następowały te zdarzenia wykazuje mi błędy w usługach - Telefonia -wyłączony. Najwięcej błędów w ciągu 24 godzin 24719 razy.

 

Pokazuje mi błędy również

Nie można zainicjować nowego serwera multimediów, ponieważ funkcja CoCreateInstance(CLSID_UPnPRegistrar) napotkała błąd "0x80070422". Sprawdź, czy usługa UPnPHost jest uruchomiona i czy składnik UPnPHost systemu Windows jest zainstalowany właściwie.

Ale czy te usługi są potrzebne aby były włączone jeśli jest opcja by były wyłączone to by było super. Nie wykazuje natomiast żadnych krytycznych błędów.

Pozostałe zalecenia wykonałem związane z McAfee. Sterowniki również usunąłem. Ale znowu nasuwa mi się pytanie związane z tymi sterownikami niezgodnymi z "Plug and Play". Mianowicie w drzewie jest tego mnóstwo ale pewnie tak ma pozostać więc nie wnikam. Zrobiłem co mi poleciłaś. Po za tym uaktualniłem flashplayer do najnowszej wersji bo skorzystałem z Programu Secunia*, który wynalazłem przeglądając inne Twoje tematy. Na razie nie widzę problemów w komputerze system pracuje normalnie gdy zacznie coś złego się dziać nie omieszkam wspomnieć. Dziękuję jeszcze raz za poświęcony czas i pomoc.

 

Edit:

Zapomniałem wspomnieć że ze trony BlackViper nie korzystałem jedynie co zerkałem na usługi, Ale w usługach grzebałem na własną rękę przy pomocy auslogic* o którym wspominałem wyżej. I to zapewne z tego wynikają te problemy z usługami.

[picasso]

A więc w okresie gdy następowały te zdarzenia wykazuje mi błędy w usługach - Telefonia -wyłączony. (...) Pokazuje mi błędy również (...)

Zapomniałem wspomnieć że ze trony BlackViper nie korzystałem jedynie co zerkałem na usługi, Ale w usługach grzebałem na własną rękę przy pomocy auslogic* o którym wspominałem wyżej.

 

W związku z tym, że ujawniają się jednak błędy (czyli istnieją odwołania do tych usług), w services.msc należałoby zrekonfigurować Typ uruchomienia obu usług - Telefonia i Host urządzenia UPnP - na Ręczny. Aczkolwiek sądzę, że już tak jest, gdyż wykonałeś to:

 

Pobierz plik z domyślnymi wartościami usług dopasowany do Twojego systemu: KLIK. Rozpakuj, z prawokliku na plik REG wybierz Scal, zresetuj system.

 

O ile oczywiście nie prowadziłeś post factum kolejnych "optymalizacji".

 

 

Ale znowu nasuwa mi się pytanie związane z tymi sterownikami niezgodnymi z "Plug and Play". Mianowicie w drzewie jest tego mnóstwo ale pewnie tak ma pozostać więc nie wnikam.

 

Przeczucie mi mówiło , że zainteresowanie liczebnością wystąpień svchost.exe i chrome.exe "przeskoczy" na ten wątek. W standardzie jest tam spora liczba pozycji, grupująca określone sterowniki Windows, zaraz po instalacji Windows lista długa. Listę tę poszerzają programy operujące na sterownikach, takie jak antywirusy / zapory / diagnostyki sprzętowe etc. Szczątkami jednakże już się zająłeś.

 

 

 

.

[Arrive]

W takim razie więc jednak nie była to infekcja jak stwierdziłaś na początku. W obecnej chwili system zachowuje się normalnie nie ma żadnych zamrożeń. Serdecznie dziękuję za poświęcony czas i oby więcej szczęśliwych zakończeń bez formatowania ^^. Pozdrawiam gorąco cały team a w szczególności Ciebie Picasso. Temat można zamknąć.