Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

SVCHOST Muli cały pc windows 7

savickas21 08 Kwi 2017 18:00 540 9
  • #1 08 Kwi 2017 18:00
    savickas21
    Poziom 8  

    Czesc, od jakiegoś czasu ma problem z procesem "svchost" potwornie zżera mi pamięć i nie można tego zamknąć, jestem niemal na 100% pewien że to wirus. Próbowałem już rouge killerem, combofixem adwcleanerem i nic nie pomogło, tzn coś tam niby poszło ale po dniu spokoju znowu pc muli. Wklejam logi z FRST

    0 9
  • #2 08 Kwi 2017 18:05
    Kolobos
    Spec od komputerów

    Watpie, ze to wirus. Raczej zepsuty Windows Update.
    Uruchom services.msc zatrzymaj usluge aktualizacji automatycznych. Nastepnie zainstaluj aktualizacje podane tutaj:
    https://superuser.com/questions/951960/window...sp1-windows-update-stuck-checking-for-updates

    W logach widac, ze infekcje tez masz.


    Zrob kopie zakladek z Chrome, skrypt usunie katalog profilu utworzony przez infekcje.
    W ustawieniach Chrome zmien profil na swoj profil zamiast ChromeDefaultData.

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    Traffic Exchange (x32 Version: 2.1.0 - Microleaves) Hidden <==== UWAGA

    W FRST wybierz Napraw.

    Odinstaluj Traffic Exchange

    Wykonaj nowy Fixlist.txt dla FRST:
    Task: {2FD65710-8F06-40DC-9330-37EC99AB1FE5} - System32\Tasks\Plenerle Manager => C:\Program Files (x86)\Qejisyfank\xckodcult.exe
    Task: {3C48C20A-EB0D-4FFF-9BA8-27A70E392F6F} - System32\Tasks\{13723011-6905-43CC-AF04-35AABE30B1F1} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Geokaying\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\Geokaying\uninstall.dat" -a uninstallme E516FD98-33FE-4B32-956C-3D2D49F404DC DeviceId=8920ef4e-8857-8e0a-801a-cc4eebdf380b BarcodeId=51198003 ChannelId=3 DistributerName=APSFWakeNet
    Task: {72DDC778-2989-437D-BECC-84F0E4302C73} - System32\Tasks\{7ECE223F-E07D-4BDB-86E7-CFCEEC83E3A8} => pcalua.exe -a C:\Users\Wicek\Downloads\sp52330.exe -d C:\Users\Wicek\Downloads
    Task: {8ECE0233-E767-4E3E-92B6-701A44A86881} - System32\Tasks\{6EEA1929-C63B-49F6-89DC-91515C3DB938} => pcalua.exe -a "C:\Program Files (x86)\Common Files\InstallShield\Driver\8\Intel 32\IDriver.exe" -c /M{1632FD86-1BA4-4FC4-8B25-A8C655D63F68} /l1033
    Task: {A959F368-3CAF-4C91-8476-8866962399F2} - System32\Tasks\Opera scheduled Autoupdate 1404812854 => C:\Program Files (x86)\Opera\launcher.exe [2017-02-27] (Opera Software)
    Task: {E4DA69C4-B3BD-425B-8C5D-8D1D2A486437} - System32\Tasks\{F0D00CA1-EC3D-428B-8B4A-AC198E2ACBFA} => E:\wow 1\VanillaGaming_1121_Pack\1\WoW.exe
    Task: {E7DAF8DF-746A-42A2-BBA5-506293808C80} - System32\Tasks\{D05FBD48-4B8D-4A12-956D-D49C1C2F75DA} => E:\wow 1\VanillaGaming_1121_Pack\1\WoW.exe
    ShortcutWithArgument: C:\Users\Wicek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Tor Browser.lnk -> E:\torbrwsedr\Browser\firefox.exe (Mozilla Corporation) -> hxxp://qtipr.com/
    HKLM\...\Providers\1lz6mg5x: C:\Program Files (x86)\Plenerle Manager\local64spl.dll
    ShellExecuteHooks: Brak nazwy - {C4BA2F42-0D5B-11E7-8BF9-64006A5CFC23} - -> Brak pliku
    ShellIconOverlayIdentifiers: [ SkyDrivePro1 (ErrorConflict)] -> {8BA85C75-763B-4103-94EB-9470F12FE0F7} => -> Brak pliku




    ShellIconOverlayIdentifiers: [ SkyDrivePro2 (SyncInProgress)] -> {CD55129A-B1A1-438E-A425-CEBC7DC684EE} => -> Brak pliku
    ShellIconOverlayIdentifiers: [ SkyDrivePro3 (InSync)] -> {E768CD3B-BDDC-436D-9C13-E1B39CA257B1} => -> Brak pliku
    GroupPolicy: Ograniczenia - Chrome <======= UWAGA
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKU\S-1-5-21-3304642073-312915303-1023826651-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
    BHO-x32: Brak nazwy -> {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} -> Brak pliku
    BHO-x32: Brak nazwy -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> Brak pliku
    BHO-x32: Brak nazwy -> {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} -> Brak pliku
    Handler: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - Brak pliku
    FF SearchPlugin: C:\Users\Wicek\AppData\Roaming\Mozilla\Firefox\Profiles\1cr4u670.default\searchplugins\1lz6mg5x.xml [2017-03-26]
    FF HKLM-x32\...\Firefox\Extensions: [ff-bmboc@bytemobile.com] - C:\Program Files\T-Mobile\InternetManager_H\OCx64\addon => nie znaleziono
    CHR Profile: C:\Users\Wicek\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-03-28] <==== UWAGA
    C:\Users\Wicek\AppData\Local\Google\Chrome\User Data\ChromeDefaultData
    CHR HKU\S-1-5-21-3304642073-312915303-1023826651-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
    S2 Cyfrowy Polsat E3131. RunOuc; C:\Program Files (x86)\Cyfrowy Polsat E3131\UpdateDog\ouc.exe [X]
    S2 Internet Manager. RunOuc; C:\Program Files (x86)\T-Mobile\InternetManager_H\UpdateDog\ouc.exe [X]
    U3 a0woxvhp; C:\Windows\System32\Drivers\a0woxvhp.sys [0 ] (Microsoft Corporation) <==== UWAGA (zerobajtowy plik/folder)
    U3 a7izn7r8; C:\Windows\System32\Drivers\a7izn7r8.sys [0 ] (Microsoft Corporation) <==== UWAGA (zerobajtowy plik/folder)
    S3 catchme; \??\C:\ComboFix\catchme.sys [X]
    S3 RimUsb; System32\Drivers\RimUsb_AMD64.sys [X]
    2017-03-26 08:52 - 2017-03-26 08:52 - 00000951 _____ C:\Users\Wicek\Desktop\Reset Browser Setting.lnk
    2017-03-26 08:52 - 2017-03-26 08:52 - 00000865 _____ C:\Users\Wicek\Desktop\Trojan Killer.lnk
    2017-03-26 08:51 - 2017-03-26 08:51 - 01835472 _____ (GridinSoft LLC) C:\Users\Wicek\Downloads\TrojanKiller-Setup.exe
    2017-03-26 08:29 - 2017-03-26 08:29 - 00000000 ____D C:\TDSSKiller_Quarantine
    2017-03-26 01:25 - 2017-03-26 01:26 - 05659269 ____R (Swearware) C:\Users\Wicek\Downloads\ComboFix.exe
    2017-03-26 01:23 - 2017-03-26 10:32 - 00000000 ____D C:\Program Files (x86)\Grerght
    2017-03-26 01:16 - 2017-03-26 01:16 - 00000000 ____H C:\Windows\system32\BITA8C.tmp
    2017-03-26 01:15 - 2017-03-26 01:36 - 00000000 ____D C:\Program Files\IKPE7GT0E9
    2017-03-26 01:15 - 2017-03-26 01:24 - 00000000 ____D C:\Users\Wicek\AppData\Local\Chuverly
    2017-03-26 01:12 - 2017-03-26 01:36 - 00000000 ____D C:\Program Files\NS0I5E9AX1
    2017-03-26 01:09 - 2017-03-26 10:34 - 00000000 ____D C:\Program Files (x86)\Plenerle Manager
    2017-03-26 01:09 - 2017-03-26 08:34 - 00000000 ____D C:\Users\Wicek\AppData\Roaming\Cecupy
    2017-03-26 01:09 - 2017-03-26 01:09 - 00006004 _____ C:\Windows\System32\Tasks\Plenerle Manager
    2017-03-26 01:08 - 2017-03-26 01:36 - 00000000 ____D C:\Program Files\PZ2XFICG0W
    2017-03-26 01:07 - 2017-03-26 01:07 - 04031440 _____ C:\Users\Wicek\Downloads\AdwCleaner (2).exe
    2017-03-26 01:07 - 2017-03-26 01:07 - 04031440 _____ C:\Users\Wicek\Downloads\AdwCleaner (1).exe
    2017-03-26 01:04 - 2017-03-26 01:36 - 00000000 ____D C:\Program Files\PRISTEHL5P
    2017-03-26 01:03 - 2017-03-26 01:36 - 00000000 ____D C:\Program Files\EQZ92UOYCQ
    2017-03-26 00:59 - 2017-03-26 01:00 - 00000000 ____D C:\Users\Default\AppData\Local\AdvinstAnalytics
    2017-03-26 00:59 - 2017-03-26 01:00 - 00000000 ____D C:\Users\Default User\AppData\Local\AdvinstAnalytics
    2017-04-02 15:47 - 2014-06-04 20:20 - 00000000 ____D C:\AdwCleaner
    2017-03-26 18:31 - 2014-06-04 20:10 - 00000000 ____D C:\Qoobox
    EmptyTemp:

    Po wykonaniu zamiesc nowe logi z FRST, ze skanowania.



    Ps. Nie uzywaj wiecej combofix!

    0
  • #3 08 Kwi 2017 18:06
    safbot1st
    Poziom 43  

    Jeśli to wirus, może czekać Cię format EDIT, ewentualnie spróbuj przywracanie systemu.
    Na 100% pomogłoby przywrócenie tzw. "oprogramowania układowego" (tabula rasa systemu).
    Ale to w razie jeśli wirus.
    Jeśli nie, zacznij od naprawy (m.in. wyłączenia) zakleszczonej usługi Windows Update.
    Czy wyłączenie widoku miniatur i zabicie procesu pomaga na stałe z obciążeniem?
    SVCHOST Muli cały pc windows 7

    0
  • #4 08 Kwi 2017 18:14
    savickas21
    Poziom 8  

    możliwe że też źle opisałem problem, to nie jest tak że pc cały czas muli, tylko w losowych momentach i przy opisie usługi svchost pole pozostaje puste gdy normalnie jest napisane "proces hosta dla usług systemu windows", dodam jeszcze podczas występowania problemu w menadżerze zadań występuje kilka procesów svchost w tym jeden bez opisu

    0
  • #5 08 Kwi 2017 18:14
    Kolobos
    Spec od komputerów

    W takim razie zostaw Windows Update w spokoju i usun na poczatek infekcje tak jak podalem.

    0
  • #7 08 Kwi 2017 18:53
    Kolobos
    Spec od komputerów

    Czy svchost nadal obciaza?

    0
  • #8 09 Kwi 2017 13:02
    savickas21
    Poziom 8  

    aktualnie nie

    Dodano po 17 [godziny] 59 [minuty]:

    SVCHOST Muli cały pc windows 7
    problem znowu wrócił, nadmienię jeszcze że niedawno miałem infekcję związana z wirusem? "kuaizip drive"

    0
  • #9 09 Kwi 2017 14:29
    safbot1st
    Poziom 43  

    Wykonaj, co zaleciłem na końcu posta #3 i podaj rezultat działania.
    Spotkałem robala, który włącza 100% CPU natychmiast przy konieczności generowania miniatur.
    W tym momencie zacznij się zastanawiać, czy reinstall systemu zajmie Ci mniej czasu niż dłubanie w nim.
    Możesz spędzić na dezynfekcji wiele dni, a gwarancja sukcesu ...żadna.

    Dodano po 3 [minuty]:

    ps. Popraw wklejanie, bo tylko miniatura jest. Zero szans na przeczytanie czegokolwiek.

    0
  • #10 09 Kwi 2017 14:34
    Kolobos
    Spec od komputerów

    @savickas21 sprawdziles czy Windows Update dziala? Jezeli nie to wykonaj to co podalem wczesniej.

    0