Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] svchost, dllhost и загрузка ЦП 80%

< Предыдущая 1 2 3 Следующая >
Ответить
Настройки темы
[решено] svchost, dllhost и загрузка ЦП 80%

Новый участник


Сообщения: 22
Благодарности: 0

Профиль | Отправить PM | Цитировать

Вложения
Тип файла: txt ComboFix.txt
(40.8 Kb, 6 просмотров)
Тип файла: txt mbam-log-2011-03-20 (00-16-31).txt
(1.0 Kb, 1 просмотров)
Тип файла: zip rsit.zip
(32.0 Kb, 0 просмотров)
Доброго времени суток.
После запуска системы в процессах висит процесс svchost, который грузит ЦП на 60-70%, время от времени появляется dllhost с теми же симтомами, svchost за 40 минут наблюдений разросся в использовании оперетивки от 75мб до 760мб, при этом за это время на диск С было записано ~ 3Гб неизвестно чего.
KIS, NIS, Cure it и AVZ ничего не нашли.
Логи прикрепил.

Отправлено: 00:56, 20-03-2011

 

Новый участник


Сообщения: 22
Благодарности: 0

Профиль | Отправить PM | Цитировать

Третья:
читать дальше »

--- Other Services/Drivers In Memory ---
.
*NewlyCreated* - EVERESTDRIVER
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA
LocalServiceAndNoImpersonation REG_MULTI_SZ SSDPSRV upnphost SCardSvr TBS QWAVE wcncsvc
DcomLaunch REG_MULTI_SZ Power PlugPlay DcomLaunch
wcssvc REG_MULTI_SZ WcsPlugInService
.
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
AeLookupSvc
CertPropSvc
SCPolicySvc
lanmanserver
gpsvc
AudioSrv
FastUserSwitchingCompatibility
Nla
NWCWorkstation
SRService
Wmi
WmdmPmSp
TermService
wuauserv
BITS
ShellHWDetection
LogonHours
PCAudit
helpsvc
uploadmgr
iphlpsvc
msiscsi
schedule
SessionEnv
winmgmt
.
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Svchost - LocalService
sppuinotify
.
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Svchost - LocalServiceNetworkRestricted
BthHFSrv
.
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AD SMOverlayIcon1]
@="{A8D448F4-0431-45AC-9F5E-E1B434AB2249}"
[HKEY_CLASSES_ROOT\CLSID\{A8D448F4-0431-45AC-9F5E-E1B434AB2249}]
2007-06-01 13:52 159744 ----a-w- c:\program files (x86)\ASUS\ASUS Data Security Manager\ShlExt\x64\OverlayIconShlExt1_64.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\As usWSShellExt_B]
@="{6D4133E5-0742-4ADC-8A8C-9303440F7190}"
[HKEY_CLASSES_ROOT\CLSID\{6D4133E5-0742-4ADC-8A8C-9303440F7190}]
2009-11-26 05:49 70656 ----a-w- c:\program files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSShellExt64.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\As usWSShellExt_O]
@="{64174815-8D98-4CE6-8646-4C039977D808}"
[HKEY_CLASSES_ROOT\CLSID\{64174815-8D98-4CE6-8646-4C039977D808}]
2009-11-26 05:49 70656 ----a-w- c:\program files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSShellExt64.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\Sh aringPrivate]
@="{08244EE6-92F0-47f2-9FC9-929BAA2E7235}"
[HKEY_CLASSES_ROOT\CLSID\{08244EE6-92F0-47f2-9FC9-929BAA2E7235}]
2010-11-20 02:27 509952 ----a-w- c:\windows\System32\ntshrui.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ETDWare"="c:\program files\Elantech\ETDCtrl.exe" [2009-09-30 621440]
"EeeStorageBackup"="c:\program files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSService.exe" [2009-11-26 1732608]
"SmartAudio"="c:\program files\CONEXANT\SAII\SAIICpl.exe" [2009-11-19 307768]
"EPSON Stylus Photo RX700 Series"="c:\windows\system32\spool\DRIVERS\x64\3\E_FATI9IE.EXE" [2004-11-09 98304]
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
AeLookupSvc
CertPropSvc
SCPolicySvc
lanmanserver
gpsvc
IKEEXT
AudioSrv
FastUserSwitchingCompatibility
Nla
NWCWorkstation
SRService
Wmi
WmdmPmSp
TermService
wuauserv
BITS
ShellHWDetection
LogonHours
PCAudit
helpsvc
uploadmgr
iphlpsvc
seclogon
AppInfo
msiscsi
MMCSS
winmgmt
SessionEnv
browser
EapHost
schedule
hkmsvc
wercplsupport
ProfSvc
Themes
BDESVC
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - LocalSystemNetworkRestricted
homegrouplistener
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - LocalService
WdiServiceHost
sppuinotify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetworkService
lanmanworkstation
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - LocalServiceNetworkRestricted
BthHFSrv
homegroupprovider
.
------- Supplementary Scan -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://asus.msn.com
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = *.local
IE: &Экспорт в Microsoft Excel - c:\progra~2\MICROS~1\Office14\EXCEL.EXE/3000
IE: Добавить в Анти-Баннер - c:\program files (x86)\Kaspersky Lab\Kaspersky Internet Security 2011\ie_banner_deny.htm
IE: Закачать ВСЕ при помощи Download Master - c:\program files (x86)\Download Master\dmieall.htm
IE: Закачать при помощи Download Master - c:\program files (x86)\Download Master\dmie.htm
IE: Отправить изображение на &устройство Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Отправить страницу на &устройство Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
IE: Передать на удаленную закачку DM - c:\program files (x86)\Download Master\remdown.htm
IE: {{7558B7E5-7B26-4201-BEDB-00D5FF534523} - c:\program files (x86)\Mail.Ru\Agent\magent.exe
TCP: {808C1D8C-43A4-4281-BF59-AC5D5F4CA5DC} = 192.168.55.1
Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - c:\program files (x86)\Common Files\microsoft shared\OFFICE14\MSOXMLMF.DLL
FF - ProfilePath - c:\users\ASUS 2\AppData\Roaming\Mozilla\Firefox\Profiles\iucq9v3w.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.yandex.ru/?clid=48995
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files (x86)\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
FF - Ext: Анти-Баннер: KavAntiBanner@Kaspersky.ru - c:\program files (x86)\Mozilla Firefox\extensions\KavAntiBanner@Kaspersky.ru
FF - Ext: Модуль проверки ссылок: linkfilter@kaspersky.ru - c:\program files (x86)\Mozilla Firefox\extensions\linkfilter@kaspersky.ru
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
FF - Ext: Battlefield Play4Free: battlefieldplay4free@ea.com - %profile%\extensions\battlefieldplay4free@ea.com
FF - Ext: Download Master Toolbar: dmbarff@westbyte.com - %profile%\extensions\dmbarff@westbyte.com
FF - Ext: Download Master Plugin: dmpluginff@westbyte.com - %profile%\extensions\dmpluginff@westbyte.com
FF - Ext: Download Master Remote Download: dmremote@westbyte.com - %profile%\extensions\dmremote@westbyte.com
FF - Ext: Яндекс.Бар: yasearch@yandex.ru - %profile%\extensions\yasearch@yandex.ru
.
- - - - ORPHANS REMOVED - - - -
.
Toolbar-Locked - (no file)
.
.
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\EverestDriver]
"ImagePath"="\??\c:\program files (x86)\Lavalys\EVEREST Ultimate Edition\kerneld.amd64"
.
------------------------ Other Running Processes ------------------------
.
c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\ASLDRSrv.exe
c:\program files (x86)\ASUS\ATK Package\ATKGFNEX\GFNEXSrv.exe
c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files (x86)\Bonjour\mDNSResponder.exe
c:\program files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
c:\windows\SysWOW64\PnkBstrA.exe
c:\program files (x86)\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files (x86)\ASUS\ControlDeck\ControlDeckStartUp.exe
c:\program files (x86)\ASUS\SmartLogon\sensorsrv.exe
c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\HControl.exe
c:\program files (x86)\Lavalys\EVEREST Ultimate Edition\everest.exe
c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\ATKOSD.exe
c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\WDC.exe
c:\program files (x86)\ASUS\ASUS Data Security Manager\ADSMSrv.exe
c:\program files (x86)\ASUS\ASUS Data Security Manager\ADSMTray.exe
c:\program files (x86)\Cyberlink\Shared files\RichVideo.exe
c:\windows\AsScrPro.exe
c:\program files (x86)\Cyberlink\Power2Go\CLMLSvc.exe
c:\program files (x86)\PC Connectivity Solution\ServiceLayer.exe
c:\program files (x86)\PC Connectivity Solution\Transports\NclRSSrv.exe
.
**************************************************************************
.
Completion time: 2011-03-20 02:11:12 - machine was rebooted
ComboFix-quarantined-files.txt 2011-03-19 23:11
ComboFix2.txt 2011-03-19 14:37
.
Pre-Run: 30*305*239*040 байт свободно
Post-Run: 30*214*213*632 байт свободно
.
- - End Of File - - 5A9C7C3303B2EC8F9CAD802FB8F3448C

Отправлено: 02:26, 20-03-2011 | #11



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для Katharsis

Ветеран


Сообщения: 553
Благодарности: 124

Профиль | Отправить PM | Цитировать

чисто. кроме этого проверка historyreader.exe интересует.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

что с проблемой?

-------
лентяй

Отправлено: 02:31, 20-03-2011 | #12


Новый участник


Сообщения: 22
Благодарности: 0

Профиль | Отправить PM | Цитировать

Насчет historyreader ничего сказать не могу тк
Цитата:
c:\program files (x86)\total commander\Soft\RnQ\historyreader.exe (Spyware.Banker) -> Quarantined and deleted successfully.
Насчет состояния: как раз сейчас наблюдаю разросшийся до 470мб оперативы svchost

Отправлено: 02:36, 20-03-2011 | #13


Аватара для Katharsis

Ветеран


Сообщения: 553
Благодарности: 124

Профиль | Отправить PM | Цитировать

Цитата Messafan:
как раз сейчас наблюдаю разросшийся до 470мб оперативы svchost »
Не от вирусов он у вас пухнет.

Как определить, является проблема системной или вызвана сторонним приложением/драйвером
Возможно вам поможет отключение части автоматически запускаемых служб.

кроме этого.

Для ускорения загрузки и работы системы выполните следующее:

1. очиска дисков. Пуск - Программы – Стандартные – Служебные – Очистка диска. Очистите временные файлы и корзину. Для очистки ненужных записей в реестре можете использовать Ccleaner в автоматическом режиме, перед удалением чего либо из реестра необходимо создавать резервные копии.

2. проверка дисков. пуск - выплонить - вбить
Цитата:
chkdsk /f /r
нажать enter

3. дефрагментация дисков. Пуск - программы- стандартные - служебные -дефрагментация.

4. очистка автозагрузки. пуск - выплонить - вбить msconfig, перейти на вкладку "автозагрузка" отметить те программы, которыми не пользуетесь постоянно, но только те, которые знаете.

5. откройте папку C:\Windows\prefetch удалите файлы из этой папки, кроме Layout.ini - это немного ускорит загрузку и работу программ.

Добавтье в реестр:
Цитата:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\MemoryManagement\PrefetchParameters]
"EnablePrefetcher"=dword:00000003
Скопируйте этот текст в болкнот, сохраните под любым именем с расширением .reg , дважды кликните по файлу и подтвердите добавление. При этом служба "планировщик заданий" должна быть запущена.

6. настройте работу распределителя памяти. Подберите для себя оптимальное значение SuperFetch.
Для этого найдите в реестре (пуск - выполнить - regedit - ок ) ветку
Цитата:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters
параметр
Цитата:
EnableSuperfetch
значения:
Цитата:
0 полностью отключить Superfetch
1 включить Superfetch тогда, когда запущены программы
2 включить Superfetch при загрузке
3 включить Superfetch везде, где только можно, нужно и не нужно
подберите для себя оптимальное. Вместо ручной правки можете использовать твик, где вместо 1 подставьте нужное значение, ит е должно получиться ...=dword:00000000 ...=dword:00000002 итд
Цитата:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters]
"EnableSuperfetch"=dword:00000001
Скопируйте этот текст в болкнот, сохраните под любым именем с расширением .reg , дважды кликните по файлу и подтвердите добавление.

-------
лентяй

Отправлено: 02:56, 20-03-2011 | #14


Новый участник


Сообщения: 22
Благодарности: 0

Профиль | Отправить PM | Цитировать

Цитата Katharsis:
Цитата Messafan:как раз сейчас наблюдаю разросшийся до 470мб оперативы svchost »
Не от вирусов он у вас пухнет. »
Хорошо, может пухнет и не от вирусов, но почему тогда загружает ЦП на 50-60-70%???

И да, отключение служб не помогло

Отправлено: 03:02, 20-03-2011 | #15


Аватара для Katharsis

Ветеран


Сообщения: 553
Благодарности: 124

Профиль | Отправить PM | Цитировать

Или конфликт ПО или избыток автоматически запускаемых приложений и служб. Что делать - написал выше.

-------
лентяй

Отправлено: 03:04, 20-03-2011 | #16


Новый участник


Сообщения: 22
Благодарности: 0

Профиль | Отправить PM | Цитировать

Конфликта ПО быть не может в принципе т.к. проблему наблюдаю на друх компьютерах (ноутбук и ПК) с абсолютно разным набором ПО. На ПК за последние 3 недели ничего не ставилось (я к нему близко даже не подходил, а пароль от администратора знаю только я)

Отправлено: 03:07, 20-03-2011 | #17


Аватара для Katharsis

Ветеран


Сообщения: 553
Благодарности: 124

Профиль | Отправить PM | Цитировать

Выполните инструкции, дальше посмотрим

-------
лентяй

Отправлено: 03:10, 20-03-2011 | #18


Новый участник


Сообщения: 22
Благодарности: 0

Профиль | Отправить PM | Цитировать

Цитата Katharsis:
MemoryManagement »
или
Цитата Katharsis:
Memory Management »
? что точно то писать?

Отправлено: 03:24, 20-03-2011 | #19


Аватара для Katharsis

Ветеран


Сообщения: 553
Благодарности: 124

Профиль | Отправить PM | Цитировать

Цитата Messafan:
Memory Management »
зачем писать, если можно скопироватьпрошу прощения, опечатка - так правильно.

Цитата:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters]
"EnablePrefetcher"=dword:00000003
Цитата:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters]
"EnableSuperfetch"=dword:00000001

Последний раз редактировалось Katharsis, 20-03-2011 в 03:38.

Отправлено: 03:31, 20-03-2011 | #20

< Предыдущая 1 2 3 Следующая >


Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] svchost, dllhost и загрузка ЦП 80%

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
[решено] Svchost.exe, загрузка системы. emtrek Лечение систем от вредоносных программ 27 29-08-2010 07:17
BSOD - svchost Modesty Лечение систем от вредоносных программ 2 17-05-2010 12:52
вопрос, pxe-загрузка <сервер(Win2003), и 10 с win98. Загрузка с сервера?> _aids Сетевые технологии 1 21-07-2007 10:27
aspnet_wp.exe и dllhost.exe. typus Microsoft Windows 2000/XP 2 14-10-2006 16:04
svchost Dorofej Сетевые технологии 1 08-11-2003 22:17


« Предыдущая тема | Следующая тема »


 
Переход