Skocz do zawartości
Zakładanie tematu: pomocne raporty i informacje
Nadchodzące zmiany w logowaniu

svchost zużywa cały procesor

sandoz

Przez sandoz
w Windows Vista

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
jessica

jessica

Opublikowano
Opublikowano

@Picasso od kilku dni jest nieobecna, i nie wiem, za ile dni wróci.

W międzyczasie:

Otwórz Notatnik i wklej w nim:

 

C:\ProgramData\Start.exe

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt - daj go.

Zrób też nowy log z FRST, by @Picasso, gdy wróci, miała aktualny obraz sytuacji.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Temat przenoszę do działu Windows. Oznak czynnej infekcji brak. Usuwany plik C:\ProgramData\Start.exe po samej nazwie pasuje do tej infekcji: KLIK. Niemniej plik miał starą datę sprzed ponad roku, nie było tu żadnego powiązanego wpisu startowego i wątpliwe, by ten plik miał znaczenie w kontekście problemu zasadniczego.

 

I drobne działania nie powiązane w spoilerze.

 

 

 

1. Otwórz Notatnik i wklej w nim:

 

Toolbar: HKLM - StartSearchToolBar - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\StartSearch plugin\ssBarLcher.dll (StartSearch Inc.)
FF Extension: No Name - C:\Users\sandoz\AppData\Roaming\Mozilla\Firefox\Profiles\9adrfnj9.default\Extensions\{dd05fd3d-18df-4ce4-ae53-e795339c5f01}.xpi
HKLM\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages =
Unlock: HKLM\SYSTEM\CurrentControlSet\Services\sptd
R0 75131467; C:\Windows\System32\DRIVERS\75131467.sys [133208 2012-03-05] (Kaspersky Lab ZAO)
S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [x]
U2 wuaserv;
C:\Windows\System32\DRIVERS\75131467.sys

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Po ukończeniu zadania przez SHIFT+DEL skasuj folder C:\FRST.

 

2. Odinstaluj adware LiveVDO plugin 1.3.

 

 

 

 

 

jeden z svchost co chwilę zużywa cały procesor

1. Brak danych który. W procesach jest zestaw kilku instancji, a każda z nich to proces uruchomiony w inny sposób i hostujący inny zestaw usług. Zdefiniuj o które wystąpienie chodzi. Z prawokliku na ten obciążony svchost.exe wybierz opcję "Przejdź do usług" i wypisz wszystkie, które się podświetlą na niebieskim tle.

 

2. Dodatkowo, w Dzienniku zdarzeń są jakieś tajemnicze błędy Harmonogramu zadań:

 

System errors:

=============
 

Error: (10/09/2013 01:05:11 PM) (Source: Microsoft-Windows-TaskScheduler) (User: ZARZĄDZANIE NT)

Description: 2147549183

 

Start > w polu szukania wpisz eventvwr.msc > rozwiń dzienniki Microsoftu i w sekcji System wyszukaj ów błąd. Pobierz jego szczegóły i tu przeklej.

 

 

.

Odnośnik do komentarza
  • 2 tygodnie później...
mgrzeg

mgrzeg

Opublikowano
Opublikowano

Witam,

 

zacznij od przygotowania środowiska:

 

1. Pobierz starszą wersję WPT: [KLIK] i zainstaluj ją (możesz także spróbować skorzystać z opisu [KLIK] i zainstalować WPT zgodnie z podanym w pkt 1 instrukcjami, ale niektórzy zgłaszają pewne problemy na Viście, których nie jestem w stanie teraz zweryfikować);

2. Utwórz na dysku katalog xperf (np. c:\xperf);

3. Pobierz zestaw skryptów [KLIK] i wypakuj je do utworzonego w poprzednim punkcie katalogu;

 

Poczekaj, aż pojawi się problem z svchost i wykonaj kolejne kroki:

 

4. Uruchom cmd jako administrator i przejdź do katalogu c:\xperf, wykonując polecenie

cd \xperf

 

5. Będąc dalej w cmd, uruchom "xperf - Collect CPU.cmd" wydając polecenie:

"xperf - Collect CPU.cmd"

 

6. W momencie, gdy pojawi się migający kursor:

Press a key when ready to start...
Aby kontynuować, naciśnij dowolny klawisz . . .

 

naciśnij dowolny klawisz. Powinien pojawić się tekst

.
...Capturing...
.
Press a key when you want to stop...
Aby kontynuować, naciśnij dowolny klawisz . . .

 

i w tym momencie zaczyna się rejestrowanie zdarzeń związanych z obciążeniem CPU. Pozwól, aby przez ok. 1 minutę system zarejestrował to, co się w nim dzieje i następnie wciśnij dowolny klawisz, aby zakończyć zbieranie danych i zapisać wynik. W oknie cmd pojawi się wówczas

.
...Stopping...
.

 

Po pewnym czasie (może to potrwać nawet kilka ładnych minut przy nieco obciążonym systemie) powinien pojawić się komunikat potwierdzający zakończenie zapisywania danych

Merged Etl: cpu.etl
The trace you have just captured "cpu.etl" may contain personally identifiable information, including but not necessarily limited to paths to files accessed, paths to registry accessed and process names. Exact information depends on the events that were logged. Please be aware of this when sharing out this trace with other people.

 

a w katalogu c:\xperf powinien powstać plik cpu.etl. Spakuj ten plik (.zip, .7z) i wrzuć na speedyshare.com, a tu daj link.

 

m.g.

Odnośnik do komentarza
mgrzeg

mgrzeg

Opublikowano
Opublikowano

Wygląda niestety tak, jakby coś było nie tak z uprawnieniami - ten błąd pojawia się w momencie, gdy konto nie ma włączonego przywileju profilowania systemu (co jest domyślne, jeśli nie uruchomi się procesu prawa mysz -> 'Uruchom jako administrator', czyli po potwierdzeniu komunikatu UAC). Spróbuj jeszcze raz, a jeśli to nie pomoże, to wykonaj w uruchomionym wierszu polecenia (tym, z którego masz wykonać analizę) polecenie:

whoami /priv

zaznacz prawą myszą wynik i wklej w odpowiedzi.

 

m.g.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...