Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

proces SVCHOST ma błąd czy wirus? obciążenie 100%

tom1eczek 16 Wrz 2006 14:47 13754 13
  • #1 16 Wrz 2006 14:47
    tom1eczek
    Poziom 20  

    witam.

    Wiem, że wiele osób ma problemy z tymze procesem, ale tematy są bez rozwiązenia albo dotyczy winlogona. Proszę go nie usuwać.

    Włączam komputer, a tu po zalogowaniu obciążenie proca waha się 50-75%. Po chwili takiego wahania, ustala się na poziomie 100% i gdyby mogło to byłoby więcej. W momencie włączenia zajęte jest 80MB ramu. Po załączeniu się owej usługi svchost wzrasta ono do 132 (mam durona 1200 512MB ram GF2 MX400 64mb).

    Nie mogłem sobie z tym poradzić, podczas walki zepsułem rejestr. i koniec, format. Ale tylko dysku C, nie formatowałem D, bo mam tam 11GB cennych danych. I to mógł być błąd, ale to za chwile.

    Nowy windows po pierwszym starcie zrobił dokładnie to samo, z tym że proces svchost włącza się po 5min. Kiedy już się włączy, komputer jest prawie martwy. Wchodze więc w menedzer, (zajmuje to małą chwilke) i zamykam owy proces. I komputer jest wolny na 5min.

    Skanowałem go panda on-line, wysyłam loga hijachthis. Na stronie http://www.hijackthis.de wkleiłem go i wszystko niby ok.

    To jeszcze nie wszystko. Przed forwmatem panoszył się równiez winlogon. Skopiowałem nowego z płyty i przestał. Na nowej windzie wogle go niema.

    Teraz tak, jest to wirus, czy błąd usługi svchost? Wspomne jeszcze o dysku D. Nie formatowałem go, i z tamtąd mógł sie wydostac wirus (jesli oczywiescie nim jest). Bardzo modne jest nazywanie wszyztkiego "wirusem". Microsoft opisywał coś takiego jako błąd, ale chyba to nie to.

    Logfile of HijackThis v1.99.1
    Scan saved at 14:32:34, on 2006-09-16
    Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\taskmgr.exe
    C:\WINDOWS\system32\devldr32.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\wuauclt.exe
    D:\INSTALKI\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.pl/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

    z góry dzięki za odpowiedzi, tomek

    0 13
  • #2 16 Wrz 2006 15:25
    bubu321
    Poziom 24  

    coś ten log bardzo krótki, z niego wynika że wszystko w porządku.
    log powinien miec około 80 wierszy.

    Code:

    Logfile of HijackThis v1.99.1
    Scan saved at 15:17:01, on 2006-09-16
    Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\I386\System32\smss.exe
    C:\I386\system32\winlogon.exe
    C:\I386\system32\services.exe
    C:\I386\system32\lsass.exe
    C:\I386\system32\svchost.exe
    C:\I386\System32\svchost.exe
    C:\I386\Explorer.EXE
    C:\I386\system32\spoolsv.exe
    F:\Program Files 2\NavNT\vptray.exe
    F:\Program Files 2\NetPeeker\NPGUI.exe
    C:\I386\system32\ctfmon.exe
    F:\Program Files 2\GhostSecuritySuite\_gss.exe
    F:\Program Files 2\Spybot - Search & Destroy\TeaTimer.exe
    F:\Program Files 2\GhostSecuritySuite\_gss.exe
    C:\I386\system32\taskmgr.exe
    F:\Program Files 2\DTEMP\DTEMP.EXE
    F:\Program Files 2\LANSTARTPL\LANSTART.EXE
    F:\Program Files 2\DUMETER2\DUMETER.EXE
    F:\Program Files 2\MEM TURBO\MEMTURBO.EXE
    F:\Program Files 2\NavNT\defwatch.exe
    C:\Program Files\Common Files\LightScribe\LSSrvc.exe
    F:\Program Files 2\NavNT\rtvscan.exe
    C:\I386\system32\svchost.exe
    C:\I386\system32\ThreadMaster\ThreadMast.exe
    C:\I386\system32\MsgSys.EXE
    F:\Program Files 1\K-Meleon\k-meleon.exe
    F:\Program Files 1\Shareaza\Shareaza.exe
    C:\I386\system32\HIJACKTHIS.EXE

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
    O1 - Hosts: 127.0.0.1 localhost
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - f:\PROGRA~2\SPYBOT~1\SDHelper.dll
    O4 - HKLM\..\Run: [vptray] F:\Program Files 2\NavNT\vptray.exe
    O4 - HKLM\..\Run: [NetPeeker] f:\Program Files 2\NetPeeker\NPGUI.exe Minimize
    O4 - HKLM\..\Run: [GhostSecuritySuite] "f:\Program Files 2\GhostSecuritySuite\gss.exe" -minimize
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\I386\system32\ctfmon.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] f:\Program Files 2\Spybot - Search & Destroy\TeaTimer.exe
    O4 - Startup: taskmgr.lnk = C:\I386\system32\taskmgr.exe
    O4 - Startup: Skrót do DTEMP.EXE.lnk = F:\Program Files 2\DTEMP\DTEMP.EXE
    O4 - Startup: Skrót do LANSTART.EXE.lnk = F:\Program Files 2\LANSTARTPL\LANSTART.EXE
    O4 - Startup: Skrót do DUMETER.EXE.lnk = F:\Program Files 2\DUMETER2\DUMETER.EXE
    O4 - Startup: MemTurbo.lnk = F:\Program Files 2\MEM TURBO\MEMTURBO.EXE
    O10 - Unknown file in Winsock LSP: c:\i386\system32\mswsock.dll
    O10 - Unknown file in Winsock LSP: c:\i386\system32\winrnr.dll
    O10 - Unknown file in Winsock LSP: c:\i386\system32\mswsock.dll
    O10 - Unknown file in Winsock LSP: c:\i386\system32\mswsock.dll
    ....................................



    chyba brakuje ci przełącznika /ihatewhitelists na skrócie do hijacka.

    C:\I386\system32\HIJACKTHIS.EXE /ihatewhitelists
    ja bym użył jeszcze programu GMER a w nim wybrał opcje uruchomienia w trybie gmer awaryjny.
    z gmera zobacz jak u ciebie wygladaja rootkity .

    powodzenia w walce z binariami.

    0
  • #3 16 Wrz 2006 15:56
    tom1eczek
    Poziom 20  

    Log zrobiłem, jak się dało, czyli już po wyłączeniu svchosta. Jest taki krotki, bo zrobiony jest na śwezym windowsie. Aha zapomniałem dodać, ze internet tam działa (togo posta pisze z innego komputera), a nie działa siec, choc była konfigurowana przy instalacji. Windows robi błędy w grafice, niektore okna są jak w 98. W załączniku kilka screenow z menedzera. 1 włączenie sie i 2 wylaczenie svchota.

    Zauwazylem, ze ilosc procesow svchost przekacza standardowe 4, bo jest ich 6. z czego jeden to własnie omawiamy. Dziwne jest w nim to ze się odnawia, po paru minutach.

    NT. tego przełacznika ihatewhitelists do czego on służy??

    0
  • #5 16 Wrz 2006 19:14
    bubu321
    Poziom 24  

    czasami jest nawet wiecej procesów.

    proces SVCHOST ma błąd czy wirus? obciążenie 100%

    z tego wskazanego tematu wynika ze tylko format dysku pomaga.

    0
  • #6 16 Wrz 2006 20:48
    tom1eczek
    Poziom 20  

    ...tylko nie na duronie 1200. Ja miałem (przed formatem) dosc malo, dlatego xp chodzil dosc zwawo.

    Powiedzmy ze z usuwaniem skutkow sobie poradze, najwyzej bede pytal.

    Dobra teraz mi powiedzcie co zrobic zeby system nie zarazil znowu?? Nie dziala mi firewall w xp ale mam router sprzetowy. Nie formatowałem dysku D bo mam tam kupe danych. Nawet jesli zgram dane sdormatuje dysk i wgram dane spowrotem to wirus wróci. Jak pisalem, panda on-line nic nie wykrywa.

    0
  • #7 16 Wrz 2006 22:28
    bubu321
    Poziom 24  

    wiesz każdy ma swoje sposoby, lepsze, gorsze ale swoje ( czasami działają).

    z logu hijacka można się zorientować jakie to są sposoby

    1. skaner antywirusowy, Norton anty wirus
    2. spy bot S&D 1.4 z modułem Tea timer on-line( bardzo ważne )
    3. Registry defender 2.0 full version
    4. przeglądarka inna niż IE, IE tylko do tranferu pieniędzy do banku.
    5. dodatkowo program GMER dla rootkitów oraz usuwania "problemów" w trybie awaryjnym.

    Zasady bezpieczeństwa:

    a. aktualne bazy danych dla NAV oraz Spybota.
    b. poprawnie zainstalowany spy bot, włączone immunize w tym programie.
    c. hijackiem wyłączone nie potrzebne programy w sekcji run, np. nero check, ctfmon i kilka innych.

    :|

    0
  • #8 17 Wrz 2006 08:41
    jannaszek
    Poziom 39  

    witam
    nie wiem czy się nie wygłupię ,ale coś mi się przypomina podobny problem z przeszłości

    w katalogu windows/system32/drivers/etc>hosts -otwOrz w notatniku i ma być na dol etaki wpis:

    127.0.0.1 localhost

    i tylko to ,pomijając sekcję przykładów i opis

    0
  • #9 17 Wrz 2006 08:56
    bubu321
    Poziom 24  

    dobrze kombinujesz z tym HOSTS

    Code:

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
    O1 - Hosts: 127.0.0.1 localhost
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - f:\PROGRA~2\SPYBOT~1\SDHelper.dll

    dodaj tylko że po edycji ten plik ma mieć atrybut READ ONLY.

    0
  • #10 17 Wrz 2006 16:56
    tom1eczek
    Poziom 20  

    Witam, moj pliczek wyglada prawidlowo.

    # Copyright (c) 1993-1999 Microsoft Corp.
    #
    # To jest przykładowy plik HOSTS używany przez Microsoft TCP/IP
    # w systemie Windows.
    # Ten plik zawiera mapowania adresów IP na nazwy komputerów
    # Każdy wpis powinien być w osobnej linii.
    # W pierwszej kolumnie powinny być umieszczone adresy IP, a następnie
    # odpowiadające im nazwy komputerów. Adres i nazwa powinny być oddzielone
    # co najmniej jedną spacją
    #
    # Dodatkowo, komentarze (takie jak te) można wstawiać w poszczególnych
    # liniach lub po nazwie komputera, oznaczając je symbolem '#'.
    #
    # Na przykład:
    #
    # 102.54.94.97 rhino.acme.com # serwer źródłowy
    # 38.25.63.10 x.acme.com # komputer kliencki x

    127.0.0.1 localhost

    Przesylam w zalaczniku scren z tasklista, pierwszy jak proces jest aktywny, drugi, jak go wyłączylem.

    W pierwszym przypadku podejrzany jest pid840, w drugim (ten drugi moze wywolywac pierwszy po czasie 5min) 1528.

    Co o tym myślicie, jak się usuwa procesy na zawsze a nie do restartu??

    0
  • #11 18 Wrz 2006 19:20
    bubu321
    Poziom 24  

    niektóre procesy są potrzebne, nie można wszystkie stopować.
    daj log z hijaka z wszystkimi procesami.
    po deszyfracji "wroga" mozna uzyć GMER-a w trybie awaryjnym, jest skuteczny.

    proces SVCHOST ma błąd czy wirus? obciążenie 100%

    0
  • #13 22 Wrz 2006 16:40
    tom1eczek
    Poziom 20  

    Witam. ZAinstalowałem aktualizacje, jak radził kolbos i nie zauwazyłem zmiany. W załączniku screen z panelu sterowania dodaj/usun programy i aktualizacje. Nie ma tam dublujących sie aktualizacji.


    jesli chodzi o log, to jest on krotki, bo zrobiony na swiezym windowsie, zainstalowalem kilka programow (załącznik). Kilka postow wyzej taki log zamiescilem, zamieszczalem rowniez wyniki z tasklista, przed i po wylaczeniu proecesu. Ciekawa rzecza jest to, ze ten proces odpowiada za tak wiele rzeczy min za dzwiek (mixer) i internet i resszte mozna przeczytac na screenie wyzej.

    problemu n ie udalo mi sie nadal rozwiazac, dalej prosze o pomoc, tomek

    0
  • #14 22 Wrz 2006 19:27
    paweliw
    Spec od komputerów

    Wszystkie procesy svchost z PID 840 są u Ciebie prawidłowe:
    AudioSrv - Windows Audio
    CryptSvc - Usługi kryptograficzne
    Dhcp - Klient DHCP
    dmserver - Menedżer dysków logicznych
    ERSvc - Usługa raportowania błędów (można wyłączyć na stałe)
    EventSystem - System zdarzeń COM+
    FastUserSwitchingCompatibility - Zgodność szybkiego przełączania użytkowników
    helpsvc - Pomoc i obsługa techniczna
    lanmanserver - Serwer
    lanmanworkstation - Stacja robocza
    Netman - Połączenia sieciowe
    Nla - Rozpoznawanie lokalizacji w sieci (NLA)
    Schedule - Harmonogram zadań (można wyłączyć na stałe)
    seclogon - Logowanie pomocnicze (można wyłączyć na stałe)
    SENS - Zawiadomienie o zdarzeniu systemowym
    SharedAccess - Zapora połączenia internetowego / Udostępnianie połączenia internetowego
    ShellHWDetection - Wykrywanie sprzętu powłoki
    srservice - Usługa przywracania systemu
    Themes - Kompozycje
    TrkWks - Klient śledzenia łączy rozproszonych
    W32Time - Usługa Czas systemu Windows (można wyłączyć na stałe)
    winmgmt - Instrumentacja zarządzania Windows (krytyczna, nie wyłączać !)
    wscsvc - Centrum zabezpieczeń
    wuauserv - Aktualizacje automatyczne
    WZCSVC - Konfiguracja zerowej sieci bezprzewodowej

    Skoro problem nie zniknął proponuję wyłączać po kolei (po jednej) ww. usługi aż trafisz na tą która obciąża procesor.
    Wyłączyć usługę możesz poprzez np.:
    - Polecenie sc, Start->Uruchom cmd i w okno "Dos-owe" sc stop nazwa_usługi
    (włączenie sc start nazwa_usługi)
    - Konsola usług Start->Uruchom services.msc

    Oczywiście podczas operacji na usługach radzę zachować ostrożność i poczytać najpierw http://www.searchengines.pl/phpbb203/index.php?showtopic=7723.
    Ponadto w ww. linku jest wiele informacji np. o tym, które usługi można wyłączyć na stałe co znacznie odciąża system.

    0