Proces svchost.exe zajmuje 99% CPU po starcie systemu

[hermesowy]

Witam,

od dnia wczorajszego mam problem z komputerem, a polega on na tym, że po uruchomieniu systemu i wyswietleniu pulpitu po jakieś 1-2 minutach proces: svchost.exe "system" pożera 99%procka. Trwa to ok.5 minut. Mam takie wrażenie, że może to być spowodowane aktualizacjami windowsa. W logach dorzucam także ten z combofix'a, ponieważ byłem ciekawy czy coś poradzi.

 

1) FRST :

http://wklej.org/id/1147560/ FRST.txt

http://wklej.org/id/1147555/ Addition.txt

 

2) OTL :

http://wklej.org/id/1147552/ OTL.txt

http://wklej.org/id/1147554/ Extras.Txt

 

3) Combofix :

http://wklej.org/id/1147557/ ComboFix.txt

 

PS. Wiem, że powinien być jeszcze skan z GMER'a jednak podczas skanowania wywkakuje mi bluescreen ( a mam wyłączonego avasta i odinstalowane Deamon-Tool's )

 

Pozdrawiam

[picasso]

Temat przenoszę do działu Windows XP, pod bardziej adekwatnym tytułem. Brak oznak infekcji. ComboFix uruchomiony niepotrzebnie. Tylko drobne działania na wpisy puste i szczątki adware w spoilerze. Brak związku ze zgłaszanymi problemami.

 

 

 

1. Otwórz Notatnik i wklej w nim:

 

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearch.pur-esult.info/?pid=724&r=2013/09/08&hid=16950115565789947178&lg=EN&cc=PL
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearch.pur-esult.info/?pid=724&r=2013/09/08&hid=16950115565789947178&lg=EN&cc=PL
SearchScopes: HKLM - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.pur-esult.info/?l=1&q={searchTerms}&pid=724&r=2013/09/08&hid=16950115565789947178&lg=EN&cc=PL
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=0C1500142A8C0FC7&affID=119357&tsp=4937
SearchScopes: HKCU - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.pur-esult.info/?l=1&q={searchTerms}&pid=724&r=2013/09/08&hid=16950115565789947178&lg=EN&cc=PL
BHO: IEPluginBHO Class - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\Mama\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll No File
S4 hpdj; C:\DOCUME~1\Mama\USTAWI~1\Temp\hpdj.exe -servicerunning=true -uninstall=hp deskjet 3600 series -product= [x]
S4 WPFFontCache_v0400; C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [x]
S3 catchme; \??\C:\DOCUME~1\Mama\USTAWI~1\Temp\catchme.sys [x]
S3 cpuz130; \??\C:\DOCUME~1\Mama\USTAWI~1\Temp\cpuz130\cpuz_x32.sys [x]
R4 d347bus; system32\DRIVERS\d347bus.sys [x]
R4 d347prt; System32\Drivers\d347prt.sys [x]
S0 DwProt; system32\drivers\dwprot.sys [x]
S3 h647906; system32\drivers\h647906.sys [x]
S3 h648101; system32\drivers\h648101.sys [x]
S3 h648103; system32\drivers\h648103.sys [x]
S1 SASDIFSV; \??\C:\DOCUME~1\Mama\USTAWI~1\Temp\SuperAntiSpyware\SASDIFSV.SYS [x]
S1 SASKUTIL; \??\C:\DOCUME~1\Mama\USTAWI~1\Temp\SuperAntiSpyware\SASKUTIL.SYS [x]
S3 upperdev; system32\DRIVERS\usbser_lowerflt.sys [x]
S3 Vitality; \??\C:\DOCUME~1\Mama\USTAWI~1\Temp\vitality.sys [x]
C:\Documents and Settings\All Users\Dane aplikacji\Babylon
C:\Documents and Settings\All Users\Dane aplikacji\coinntIInnUetoosave
C:\Documents and Settings\All Users\Dane aplikacji\InstallMate
C:\Documents and Settings\All Users\Dane aplikacji\savenshare
C:\Documents and Settings\All Users\Dane aplikacji\SoftSafe
C:\Documents and Settings\All Users\Dane aplikacji\StarApp
C:\Documents and Settings\Mama\Dane aplikacji\0D1F1S1C1P0P1C1F1N1C1T1H2UtF1E1I
C:\Documents and Settings\Mama\Dane aplikacji\Babylon
C:\Documents and Settings\Mama\Dane aplikacji\SendSpace

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

2. Google Chrome ma uszkodzone preferencje, a także są w nim szczątki adware. Do wykonania w przeglądarce:

• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz.
• Ustawienia > karta Ustawienia > Po uruchomieniu > usuń strony tam otwierane (o ile będą), przestaw na "Otwórz stronę nowej karty"
• Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń strony tam otwierane (o ile będą)
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > kilka razy poprzestawiaj domyślną wyszukiwarkę, aż ustawisz na końcu Google, skasuj z listy śmieci (o ile będą)
• Ustawienia > karta Rozszerzenia > odinstaluj Delta Toolbar, iVidi Chrome Toolbar
• Ustawienia > karta Historia > wyczyść

3. Wyczyść lokalizacje tymczasowe za pomocą TFC - Temp Cleaner.

 

 

 

 

 

od dnia wczorajszego mam problem z komputerem, a polega on na tym, że po uruchomieniu systemu i wyswietleniu pulpitu po jakieś 1-2 minutach proces: svchost.exe "system" pożera 99%procka. Trwa to ok.5 minut. Mam takie wrażenie, że może to być spowodowane aktualizacjami windowsa.

To dopiero należy zdiagnozować o który svchost.exe chodzi, jakie usługi są pod nim podczepione. Po starcie systemu uruchom:

- Menedżer zadań, a w nim: Widok > Wybierz kolumny > zaznacz PID procesu

- Linię komend: Start > Uruchom > cmd

W momencie gdy pojawi się ten obciążający svchost.exe zanotuj jego PID w Menedżerze zadań, a następnie w linii komend wpisz polecenie tasklist /svc, wyszukaj na liście proces o zgodnym PID i przeklej z okna do posta jakie obiekty są uruchomione pod tym procesem.

 

 

 

 

.

[hermesowy]

Niestety opcja tasklist /svc nie działa na win xp home edition

 

@ EDIT:

 

z tasklist sobie poradziłem ściągając ze stronyt majkrosoftu pliczek tastlist.exe  teraz tylko czekam aż się pojawi, aż svchost osiągnie 99% użycia cpu. 

 

Mam już ten proces ;]. Jednak po tym jak wcześniej użyłem combofix'a musiałem windowsowe aktualizacje zrobić i po ich przeprowadzeniu proces svchost.exe osiąga 99% CPU, ale trwa to znacznie krócej, a mianowicie ok 30sekund. Wynik z tasklist /svc :

 

svchost.exe 1188 AudioSrv, CryptSvc, Dhcp, ERSvc,
EventSystem, FastUserSwitchingCompatibility,
helpsvc, lanmanserver, lanmanworkstation,
Netman, Nla, RasMan, Schedule, seclogon,
SENS, SharedAccess, ShellHWDetection,
TapiSrv, Themes, TrkWks, W32Time, winmgmt,
wscsvc, wuauserv, WZCSVC

 

Co do spoilera :

 

1) zrobione fixlog : http://wklej.org/id/1148235/

2) Google Chrome odinstalowałem

3) Temp wyczyszczony

[hermesowy]

@ EDIT: 

 

stwierdzam, że problemu już nie ma. Jednak proszę o sprawdzenie UP postu

 

Dziękuje za pomoc

[hermesowy]

@upp problem powrócił zaraz wkleje logi z frst i otl. mógłby ktos poprzedni post obejrzec ?

 

wykonałem to i pomogło :

Start -> Uruchom -> services.msc

 

Na liście odnajdź następujące usługi i zmień ich "Typ uruchomienia" na Wyłączony:

Usługa raportowania błędów

Zgodność szybkiego przełączania użytkowników

Pomoc i obsługa techniczna

Serwer

Telefonia

Centrum Zabezpieczeń

Aktualizacje automatyczne

Następnie wejdź w Panel Sterowania -> Połączenia sieciowe -> prawoklik na twoje Połączenie -> Właściwości -> odznacz "Udostępnianie plików i drukarek w sieciach Microsoft Network" ->OK