svchost używa 30-80% mocy procesora po wyłączeniu sam sie włącza

[Maszek]

1.Opis problemu:

Od kilku tygodni mam problem z svhost po włączeniu komputera sam sie załącza i zjada on od 30-80% komputera klonuje sie i jak go zamkne w menadzirze zadan to on znów sie pojawaia po 5 minutach zamkania i pojawiania sie tak jakby dawał za wygraną i znika i mam spokuj na godzinke lub pol po czym znów sie pojawia jak usunąc to cos?

Pytałem o pomoc na forum gry online wysłano mnie tutaj link do tematu: http://www.gry-online.pl/S043.asp?ID=12891376

Komputer to:AMD Phenon II x4 3,4 4G ram GF GTX560SE2 1G DDR5 Zasilacz Chieftec 550W Win 7 64bit

2.Obowiązkowe Logi:

Przeczytałem gdzies nie pamietam gdzie aby uzyc combofix wiec uzyłem przeczytałem na tym forum ,że to błąd ale już było po fakcie.

Addition.txt

OTL.Txt

ComboFix.txt

Extras.Txt

FRST.txt

gmer.txt

[picasso]

Tu owszem była infekcja robakiem Gamarue, ale ComboFix usunął jej pliki (te z katalogu Temp) i w aktualnych raportach widać już tylko pusty nieczynny wpis po infekcji oraz adware. A to wszystko nie może mieć związku z problemami, które ujawniają się już po czyszczeniu ComboFix. Niemniej należy doczyścić. Przy okazji skoryguję i ten błąd usługi połączenia PLAY ONLINE:

 

System errors:

=============

Error: (09/20/2013 06:41:27 PM) (Source: Service Control Manager) (User: )

Description: Nie można uruchomić usługi PLAY ONLINE. OUC z powodu następującego błędu:

%%1053
 

Error: (09/20/2013 06:41:27 PM) (Source: Service Control Manager) (User: )

Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą PLAY ONLINE. OUC.

 

Wszystkie instrukcje w spoilerze.

 

 

 

1. Otwórz Notatnik i wklej w nim:

 

HKLM\...\Policies\Explorer\Run: [57128] - C:\ProgramData\Local Settings\Temp\msaiaiki.scr No File
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://websearch.pur-esult.info/?pid=724&r=2013/08/14&hid=999645584&lg=EN&cc=PL
URLSearchHook: (No Name) - {0F3DC9E0-C459-4a40-BCF8-747BD9322E10} - No File
SearchScopes: HKLM-x32 - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.pur-esult.info/?l=1&q={searchTerms}&pid=724&r=2013/08/14&hid=999645584&lg=EN&cc=PL
SearchScopes: HKCU - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.pur-esult.info/?l=1&q={searchTerms}&pid=724&r=2013/08/14&hid=999645584&lg=EN&cc=PL
SearchScopes: HKCU - {DBD02371-C42C-4b74-BD8D-DD9125E1BE5C} URL = http://www.bing.com/search?q={searchTerms}&form=SPLBR1&pc=SPLH
SearchScopes: HKCU - {F26E41A3-C103-443f-9AC4-A1738C4C8907} URL = http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBDSV
BHO-x32: savensharre - {4E8C55D3-CE03-AD4F-17D7-926BFBBE5A20} - C:\ProgramData\savensharre\yyQBgSn1.dll No File
BHO-x32: Searchh-NewTTaab - {AE21E59C-1411-CD2C-EFE3-0BD70721BA1F} - C:\ProgramData\Searchh-NewTTaab\EV7.dll No File
FF HKLM-x32\...\Firefox\Extensions: [{91c612bf-2a7a-48b8-8c8c-6de28589b7a1}] - C:\Program Files (x86)\Splashtop\Splashtop Connect for Firefox\{91c612bf-2a7a-48b8-8c8c-6de28589b7a1}
FF HKLM-x32\...\Firefox\Extensions: [{91c612bf-2a7a-48b8-8c8c-6de28589b7a0}] - C:\Program Files (x86)\Splashtop\Splashtop Connect for Firefox\{91c612bf-2a7a-48b8-8c8c-6de28589b7a0}
FF HKLM-x32\...\Firefox\Extensions: [{d9284e50-81fc-11da-a72b-0800200c9a66}] - C:\Program Files (x86)\Splashtop\Splashtop Connect for Firefox\{d9284e50-81fc-11da-a72b-0800200c9a66
Task: {8729B8AC-2FC2-473D-9F48-51B71F7F73FA} - System32\Tasks\{2C1C98F2-5563-4C4C-8FEB-71922BF3165D} => C:\Users\Maszek\Downloads\Ted 2012 RMVB Lektor PL\Ted 2012 RMVB Lektor PL\Unpack.exe
Task: {AEA114AB-01B9-4278-9BBD-6C28B5E1369E} - System32\Tasks\{1155CA6F-D9CF-487F-B9F6-DC6E718955E3} => C:\Users\Maszek\Downloads\Ted 2012 RMVB Lektor PL\Ted 2012 RMVB Lektor PL\Unpack.exe
S3 catchme; \??\C:\ComboFix\catchme.sys [x]
C:\Users\Maszek\AppData\Roaming\OpenCandy
CMD: sc config "PLAY ONLINE. RunOuc" start= demand

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware savensharre, SaveShare 1.74, Search Assistant WebSearch 1.74, Searchh-NewTTaab oraz serię Splashtop Connect for Firefox i Splashtop Connect IE. Być może niektóre wpisy są już uszkodzone i pełna deinstalacja nie jest możliwa, bo ComboFix brutalnie ciął niektóre rzeczy.

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

 

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

 

 

Od kilku tygodni mam problem z svhost po włączeniu komputera sam sie załącza i zjada on od 30-80% komputera klonuje sie i jak go zamkne w menadzirze zadan to on znów sie pojawaia po 5 minutach zamkania i pojawiania sie tak jakby dawał za wygraną i znika i mam spokuj na godzinke lub pol po czym znów sie pojawia jak usunąc to cos?

Obawiam się, że sam sobie szkodzisz i zabijasz poprawne wystąpienie svchost.exe, gdyż w Dzienniku zdarzeń widać takie oto awarie usług które właśnie pracują na svchost.exe:

 

System errors:

=============

Error: (09/20/2013 06:10:01 PM) (Source: Service Control Manager) (User: )

Description: Usługa Windows Management Instrumentation niespodziewanie zakończyła pracę. Wystąpiło to razy: 3.
 

Error: (09/20/2013 06:10:01 PM) (Source: Service Control Manager) (User: )

Description: Usługa Themes niespodziewanie zakończyła pracę. Wystąpiło to razy: 3.
 

Error: (09/20/2013 06:10:01 PM) (Source: Service Control Manager) (User: )

Description: Usługa Shell Hardware Detection niespodziewanie zakończyła pracę. Wystąpiło to razy: 3.
 

Error: (09/20/2013 06:10:01 PM) (Source: Service Control Manager) (User: )

Description: Usługa System Event Notification Service niespodziewanie zakończyła pracę. Wystąpiło to razy: 3.
 

Error: (09/20/2013 06:10:01 PM) (Source: Service Control Manager) (User: )

Description: Usługa Secondary Logon niespodziewanie zakończyła pracę. Wystąpiło to razy: 3.
 

Error: (09/20/2013 06:10:01 PM) (Source: Service Control Manager) (User: )

Description: Usługa Task Scheduler niespodziewanie zakończyła pracę. Wystąpiło to razy: 3.
 

Error: (09/20/2013 06:10:01 PM) (Source: Service Control Manager) (User: )

Description: Usługa Remote Access Connection Manager niespodziewanie zakończyła pracę. Wystąpiło to razy: 3.
 

Error: (09/20/2013 06:10:01 PM) (Source: Service Control Manager) (User: )

Description: Usługa User Profile Service niespodziewanie zakończyła pracę. Wystąpiło to razy: 3.

 

Próba zabicia poprawnego procesu = awaria. Jeśli chodzi o wielokrotne wystąpienia svchost.exe, to sam mechanizm jest naturalny, bo to nie takie same procesy (każdy hostuje inną grupę usług systemowych): KLIK. Zamiast więc w ciemno zabijać proces, nie wiedząc co właściwie zabijasz i czy aby nie jest to poprawne wystąpienie, zdiagnozuj jaki zestaw usług się uruchamia na danym svchost.exe (w linku podane metody) i podaj tu nazwy tych usług. Jak mówię, ja już podejrzewam, że sam podcinasz gałąź na której siedzisz i próbujesz katować poprawny proces, który nie powinien być zamykany.

 

 

 

.

[Maszek]

1.Zrobione

2.savensharre,Searchh-NewTTabb nie daja sie usunac pewnie combofix tak jak pisales wyzej

3.Zrobione

4.Zrobione

5.Zrobione

Niestety problem dalej jest svchost zjada mi 60% w tym momencie co mega zmula komputer jesli go nie wylacze no nie idzie normalnie z niego korzystac po wlaczeniu svchost spada z 60% na 0-4% co jest normalne dla win7

Uæyøem programu svchost viver który podales i zalaczam plik txt  z info jakie uslugi sa ,czy format pomoze?bo wczesniej bylo ok

svchost raport usług.txt

FRST.txt

Fixlog.txt

AdwCleanerR0.txt

AdwCleanerS0.txt

[picasso]

Zadania czyszczące wykonane.

 

 

2.savensharre,Searchh-NewTTabb nie daja sie usunac pewnie combofix

Owszem, ComboFix uszkodził zdolności deinstalacyjne. Niemniej AdwCleaner się zajął wpisem Searchh-NewTTaab. Został więc wpis savensharre. Otwórz Notatnik i wklej w nim:

 

Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{62D82EC1-0D3A-DF54-8E3E-07E1337A5311}" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

Niestety problem dalej jest svchost zjada mi 60% w tym momencie co mega zmula komputer jesli go nie wylacze no nie idzie normalnie z niego korzystac po wlaczeniu svchost spada z 60% na 0-4% co jest normalne dla win7

Ale ten raport jest bezużyteczny. Nie o to mi chodzi. Przy każdym restarcie systemu PID (czyli identyfikator procesu) się zmienia, tak więc podanie pełnej listy ze wszystkimi wystąpieniami svchost nic nie wart, bo i układ zmienia się po restarcie, bo i nie wiadomo o który svchost chodzi. Ty mi masz powiedzieć który svchost obciąża, czyli dokładnie spisać jakie usługi są pod niego podczepione. Czyli: w menedżerze zadań prawoklik na ten konkretny proces svchost > Przejdź do usług > otworzy się karta Usługi i wypisać z niej wszystkie pozycje, które się podświetliły na niebiesko.

 

 

 

PS. Ad "pisałeś" / "podałeś" = jestem kobietą.

 

 

.

[Maszek]

Wypisałem oglnie svchost system ciagle je 25-30% a do niego dochodza inne network i local ale one potrafia same sie wyłączyc wiec problem chyba siedzi w svchost system

Niebieskie:

ten jest ciągle--->svchost system 25% zjada--->usługi Nazwa: wuauserv,winmgmt,Themes,ShellHWDetection,SENS,seclogon,Schudle,RasMan,ProfSvc,MMCSS,LanmanServer,iphlpsvc,gpsvc,BITS
te sa czasem czasem ich nie ma:

svchost local 25% --> WwanSvc,MpsSvc,DPS,BFE
Svchost Network 25%--->TapiSrV,NlaSvc,LanmanWorkstation,Dnscache,CryptSvc

Przepraszam ,że mówiłem do Ciebie jak do faceta.

Fixlog.txt

svchost usługi niebieskie.txt

[picasso]

Temat przenoszę do działu Windows, bo wątek główny nie zdaje się być powiązany z infekcją.

 

ten jest ciągle--->svchost system 25% zjada--->usługi Nazwa: wuauserv,winmgmt,Themes,ShellHWDetection,SENS,seclogon,Schudle,RasMan,ProfSvc,MMCSS,LanmanServer,iphlpsvc,gpsvc,BITS

te sa czasem czasem ich nie ma:

 

svchost local 25% --> WwanSvc,MpsSvc,DPS,BFE

Svchost Network 25%--->TapiSrV,NlaSvc,LanmanWorkstation,Dnscache,CryptSvc

Części podanych tu usług nie można wyłączyć, gdyż są niezbędne do poprawnego funkcjonowania Windows. Windows Update też nie powinno się ruszać, gdyż system musi być na bieżąco aktualizowany (jest zbyt dużo zagrożeń). To główne wystąpienie svchost plus dwa pozostałe łączy grupa usług sieciowych.

 

Trudno mi coś z tego wyciągnąć konkretnego. Proponuję wstępnie zrobić następujące operacje:

- Deaktywację interfejsu IPv6: KLIK

- Reset / diagnostykę Windows Update narzędziami: KLIK (zaznacz tryb agresywny) / KLIK

 

Po tych akcjach zresetuj system i podaj co się dzieje, czy są jakieś zmiany w systemie.

 

 

 

.