Najpierw wuauclt.exe 100% zużycia procka, potem svchost.exe 100% zużycia przez okres 1h !

[Zajec]

Witam!

Mam nietypowy problem, otóż wiem co znaczą te dwa poszczególne procesy jednak coś z nimi jest nie tak. Zawsze gdy uruchamiam komputer przez godzinę od włączenia (czasem kilkadziesiąt minut) dosłownie nic nie da się zrobić ! Wszystko muli jak cholera, komputer dosłownie tonie w "muleniu".

 

Na początek proces wuauclt.exe nastawia zużycie 100% procka przez okres powiedzmy paru minut, i tak jakby później załącza proces svchost.exe 100% który przez okres ok. godziny drastycznie muli mi komputer ! Strasznie to denerwujące, wcześniej tak nie było.. Chciałem zrobić format jednak zbyt wiele ważnych rzeczy posiadam na komputerze.

 

Wiem że czasem svchost.exe może być wirusem jeśli znajduje się w katalogu C:/Windows jednak sprawdziłem i nie posiadam tam takiego pliku.

 

Mój PC to:

Pentium® D CPU 3.00 GHz

512 MB Ram DDR2

Windows XP Service Pack 3

 

Załączam log z Combofix'a.

log.txt

[Landuss]

Zacznijmy od tego, że ComboFix w ogóle nie powinieneś tykać w domu na start. To potężne narzędzie i wcale nie służy tylko do robienia loga. Program usuwał składniki infekcji ZeroAccess (folder numeryczny w Installer):

 

(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

C:\data

c:\documents and settings\All Users\Dane aplikacji\TEMP

c:\windows\Installer\{b0ca8efd-5cf3-b5ad-fd8e-83f08a05f23b}\@

c:\windows\Installer\{b0ca8efd-5cf3-b5ad-fd8e-83f08a05f23b}\n

c:\windows\Installer\{b0ca8efd-5cf3-b5ad-fd8e-83f08a05f23b}\U\00000001.@

c:\windows\system32\SET25E.tmp

 

Na początek zacznij od zaprezentowania logów z OTL + Gmer

[Zajec]

Skany zostały wykonane. Przepraszam że tak długo ale miałem problemy z internetem.

 

Czekam na dalsze instrukcje.

OTL.Txt

Extras.Txt

GMER.txt

[Landuss]

Tu nie widzę aktywnej infekcji (poza drobnymi odpadkami którymi zajmę się później), ale jeszcze jeden raport dodatkowy wykonasz. Uruchom SystemLook, w oknie wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look. Przedstaw wynikowy raport.

[Zajec]

Raport z programu SystemLook.

 

SystemLook 30.07.11 by jpshortstuff

Log created at 00:03 on 21/07/2012 by Mateusz

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(Unable to open key - key not found)

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="%systemroot%\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shdocvw.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\WINDOWS\$hf_mig$\KB956572\SP3QFE\services.exe --a--c- 111104 bytes [13:13 17/04/2011] [11:19 09/02/2009] 8816E60BF654353E8E0D35ED98875445

C:\WINDOWS\ERDNT\cache\services.exe --a--c- 111104 bytes [15:38 20/06/2011] [11:25 09/02/2009] 02A467E27AF55F7064C5B251E587315F

C:\WINDOWS\system32\services.exe --a---- 111104 bytes [16:51 14/04/2008] [11:25 09/02/2009] 02A467E27AF55F7064C5B251E587315F

C:\WINDOWS\system32\dllcache\services.exe --a--c- 111104 bytes [16:51 14/04/2008] [11:25 09/02/2009] 02A467E27AF55F7064C5B251E587315F

 

-= EOF =-

[Landuss]

Wygląda na to, że nie masz aktywnego ZeroAccess więc pozostaje zająć się tymi odpadkami, o których wspominałem.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://pl.v9.com/?utm_source=b&utm_medium=vlt"
IE - HKU\S-1-5-21-1606980848-220523388-2146935855-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://pl.v9.com/?utm_source=b&utm_medium=vlt"
IE - HKU\S-1-5-21-1606980848-220523388-2146935855-1003\..\SearchScopes\{245B4D98-E44A-40A5-801E-CC880789F776}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=FF&o=14594&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=FV&apn_dtid=YYYYYYYYPL&apn_uid=91d3aba8-3b89-460a-b07d-64e232630fb0&apn_sauid=92AE45EC-9B64-42E6-97CC-4B9147D243ED"
IE - HKU\S-1-5-21-1606980848-220523388-2146935855-1003\..\SearchScopes\{AB79D3B4-AEDB-428a-B504-BAC00521A1C7}: "URL" = "http://www.smartwebsearch.net/index.php?from=4&q={searchTerms}"
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.selectedEngine: "Ask.com"
FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=FF&o=14594&locale=en_US&apn_uid=91d3aba8-3b89-460a-b07d-64e232630fb0&apn_ptnrs=FV&apn_sauid=92AE45EC-9B64-42E6-97CC-4B9147D243ED&apn_dtid=YYYYYYYYPL&&q="
[2012-05-12 17:38:39 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml
 
:Files
C:\Documents and Settings\Mateusz\Dane aplikacji\hellomoto
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: Ask Toolbar Updater

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras). Daj też znać czy nadal masz te problemy.

[Zajec]

Zauwazylem pewna ciekawą rzecz, że gdy nie mam aktywnego internetu procesy wuauclt.exe i svchost.exe podczas ladowania systemu (pulpitu) nie wkraczaja w tak "dramatyczne" rozmiary uzycia pamieci co powoduje zamulenie mojego komputera.

Gdy natomiast podlacze swoja neostrade sytuacja znowu sie powtarza, tzn najpierw wuauclt.exe wpada w szał użycia pamięci, później tak jakby odpuszcza a zastepuje go w tej roli svchost.exe.

 

Zauwazylem takze przez przypadek ze najwieksze zuzycie pamieci przez 2 wyzej wymienione procesy następuje gdy korzystam z przeglądarki Firefox Aurora przez okres kilkunastu minut, czasem kilkudziesięciu, natomiast gdy zakończę proces firefox.exe, procesy wuaulct.exe i svchost.exe "uspokajaja" sie ze wzgledu na uzycie pamieci. Moze tak powinno byc i po prostu mam za malo pamieci w swoim PC?:> Jednak nie pamietam aby wczesniej takie opcje zachodzily.

 

Przed wykonaniem skanowania itd, co napisales mi Landuss zauwazylem ze pewien proces (z odlaczonym internetem) zaczal zzerac mi masakrycznie pamiec - zalaczam ponizej screen z tym procesem o nazwie sf.bin. Jednak jak zauwazylem wystapil tylko raz, po wykonanym skanowaniu nie widze go.

 

AdwCleanerS1.txt

OTL.Txt

07242012_231845.log.txt

[Landuss]

Skrypt poprawnie wykonany i nie ma się już do czego w logach przyczepić. Zakończ sprawę poniższymi krokami:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij folder przywracania systemu: KLIK

 

3. Zaktualizuj wymienione programy do najnowszych wersji:

 

"{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java 7 Update 4

"Mozilla Firefox 11.0 (x86 pl)" = Mozilla Firefox 11.0 (x86 pl)

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

 

Zauwazylem pewna ciekawą rzecz, że gdy nie mam aktywnego internetu procesy wuauclt.exe i svchost.exe podczas ladowania systemu (pulpitu) nie wkraczaja w tak "dramatyczne" rozmiary uzycia pamieci co powoduje zamulenie mojego komputera.

Gdy natomiast podlacze swoja neostrade sytuacja znowu sie powtarza, tzn najpierw wuauclt.exe wpada w szał użycia pamięci, później tak jakby odpuszcza a zastepuje go w tej roli svchost.exe.

 

To jakby sugeruje, że to kwestia aktualizacji automatycznych. Spróbuj wejść w Start > Uruchom > services.msc i odszukaj usługę Aktualizacje automatyczne. Zatrzymaj ją a następnie ustaw tryb uruchamiania na "Wyłączony". Zrestartuj komputer i sprawdź efekty.

[Zajec]

Miałeś rację Landuss, jednak to była kwestii aktualizacji automatycznych. Przypomniało mi się że na początku gdy chodził komputer normalnie, nie miałem takich problemów bo miałem aktualizacje wyłączone

 

Jeszcze raz dzięki za pomoc + za wyczyszczenia PC ze śmieci