luq92 Opublikowano 4 Lutego 2015 Zgłoś Udostępnij Opublikowano 4 Lutego 2015 Witajcie. Mam problem jak w tytule. Proces ten potrafi zabierać nawet 700 MB pamięci, przeważnie 100-200. Posiadam Win 7 64-bit na bieżąco aktualizowany. Dorzucam log z GMER'a. Walczę z FRST, ale przy odpalaniu programu pojawia się kilka okienek z informacją, że nie ma dostępu do jakichś plików i po wykonaniu skanowania pojawiają się logi, ale nie widzę ich na pulpicie. Gdy klikam "zapisz jako" w okienku widać, że logi są na pulpicie, ale na głównym pulpicie ich nie ma. [edit] Dorzucam logi z FRST w postaci linków, bo inaczej nie dam rady ich dołączyć. http://wklej.org/id/1624514/ http://wklej.org/id/1624517/ http://wklej.org/id/1624519/ gmer.txt Odnośnik do komentarza
Zappa Opublikowano 5 Lutego 2015 Zgłoś Udostępnij Opublikowano 5 Lutego 2015 Zacznij od całkowitej deinstalacji Comodo. Odnośnik do komentarza
luq92 Opublikowano 5 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 5 Lutego 2015 Co polecasz zamiast COMODO? Mam go od kilku lat i bardzo sobie chwalę. Odnośnik do komentarza
Zappa Opublikowano 5 Lutego 2015 Zgłoś Udostępnij Opublikowano 5 Lutego 2015 Chodzi mi o test. Odinstaluj i sprawdź czy objawy ustąpiły. Jest kilka rzeczy do usuwania skryptem, ale często Comodo przeszkadza. Potem zajmiemy się co zamiast Comodo. Odnośnik do komentarza
luq92 Opublikowano 5 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 5 Lutego 2015 Jak na razie wygląda, że jest lepiej, ale nada svhost ma około 130MB. Odnośnik do komentarza
Zappa Opublikowano 5 Lutego 2015 Zgłoś Udostępnij Opublikowano 5 Lutego 2015 (edytowane) Teraz musze wyskoczyć. Za niedługo podam skrypt. Będę edytował post. Zagladaj. Otwórz notatnik i wklej CloseProcesses:HKU\S-1-5-21-235181466-226106737-571907301-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://www.msn.com/pl-pl/?ocid=iehpSearchScopes: HKU\S-1-5-21-235181466-226106737-571907301-1000 -> {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodoCHR HKU\S-1-5-21-235181466-226106737-571907301-1000\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - No PathU3 ALSysIO; \??\C:\Users\luq92\AppData\Local\Temp\ALSysIO64.sys [X]U3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X]Task: {A8884416-DC46-4ED5-91B5-4CD4EBF6B306} - System32\Tasks\QTFXEQ => C:\Users\luq92\AppData\Roaming\QTFXEQ.exe <==== ATTENTIONTask: C:\Windows\Tasks\QTFXEQ.job => C:\Users\luq92\AppData\Roaming\QTFXEQ.exe <==== ATTENTIONAlternateDataStreams: C:\Windows\system32\ieUnatt.exe:$CmdTcIDAlternateDataStreams: C:\Windows\system32\MRT.exe:$CmdTcIDAlternateDataStreams: C:\Windows\system32\nlasvc.dll:$CmdTcIDAlternateDataStreams: C:\Windows\system32\ntoskrnl.exe:$CmdTcIDAlternateDataStreams: C:\Windows\system32\profsvc.dll:$CmdTcIDAlternateDataStreams: C:\Windows\system32\rstrui.exe:$CmdTcIDAlternateDataStreams: C:\Windows\system32\srclient.dll:$CmdTcIDAlternateDataStreams: C:\Windows\system32\srcore.dll:$CmdTcIDAlternateDataStreams: C:\Windows\system32\TSWbPrxy.exe:$CmdTcIDAlternateDataStreams: C:\Windows\system32\WinUSBCoInstaller2.dll:$CmdTcIDAlternateDataStreams: C:\Windows\SysWOW64\FlashPlayerApp.exe:$CmdTcIDAlternateDataStreams: C:\Windows\SysWOW64\ieUnatt.exe:$CmdTcIDAlternateDataStreams: C:\Windows\SysWOW64\ncsi.dll:$CmdTcIDAlternateDataStreams: C:\Windows\SysWOW64\nlaapi.dll:$CmdTcIDAlternateDataStreams: C:\Windows\SysWOW64\ntkrnlpa.exe:$CmdTcIDAlternateDataStreams: C:\Windows\SysWOW64\ntoskrnl.exe:$CmdTcIDAlternateDataStreams: C:\Windows\SysWOW64\srclient.dll:$CmdTcIDAlternateDataStreams: C:\Windows\SysWOW64\WISPTIS.EXE:$CmdTcIDAlternateDataStreams: C:\Windows\system32\Drivers\mbam.sys:$CmdTcIDAlternateDataStreams: C:\Windows\system32\Drivers\mbamchameleon.sys:$CmdTcIDAlternateDataStreams: C:\Windows\system32\Drivers\mrxdav.sys:$CmdTcIDAlternateDataStreams: C:\Windows\system32\Drivers\mwac.sys:$CmdTcIDAlternateDataStreams: C:\Users\luq92\Desktop\10861044_782117995204720_6149239789094780025_o.jpg:$CmdZnIDAlternateDataStreams: C:\Users\luq92\Desktop\10946028_624249037704845_150336688_o.jpg:$CmdZnIDAlternateDataStreams: C:\Users\luq92\Desktop\10947389_782118111871375_4508626304324061168_o.jpg:$CmdZnIDAlternateDataStreams: C:\Users\luq92\Desktop\10953945_624248977704851_41166513_o.jpg:$CmdZnIDAlternateDataStreams: C:\Users\luq92\Desktop\2v7d8gkc.exe:$CmdTcIDAlternateDataStreams: C:\Users\luq92\Desktop\2v7d8gkc.exe:$CmdZnIDAlternateDataStreams: C:\Users\luq92\Desktop\AdwCleaner.exe:$CmdTcIDAlternateDataStreams: C:\Users\luq92\Desktop\AdwCleaner.exe:$CmdZnIDAlternateDataStreams: C:\Users\luq92\Desktop\DSC_4667.JPG:$CmdZnIDAlternateDataStreams: C:\Users\luq92\Desktop\FRST64.exe:$CmdTcIDAlternateDataStreams: C:\Users\luq92\Desktop\FRST64.exe:$CmdZnIDAlternateDataStreams: C:\Users\luq92\Desktop\giphy.gif:$CmdZnIDAlternateDataStreams: C:\Users\luq92\Desktop\Metody i techniki sztucznej inteligencji - L.Rutkowski.pdf:$CmdZnIDAlternateDataStreams: C:\Users\luq92\Desktop\netia_25803300.pdf:$CmdZnIDAlternateDataStreams: C:\Users\luq92\Desktop\novamod33.zip:$CmdZnIDAlternateDataStreams: C:\Users\luq92\Desktop\odpre.zip:$CmdZnIDAlternateDataStreams: C:\Users\luq92\Desktop\st_www.xls:$CmdZnIDAlternateDataStreams: C:\Users\luq92\Desktop\TR_DETAILS_20150121175227.pdf:$CmdZnIDAlternateDataStreams: C:\Users\luq92\Desktop\zal_L_1b_deklaracja_2015.docx:$CmdZnIDEmptyTemp: Plik zapisz jako fixlist.txt i umieść na pulpicie. Uruchom FRST i kliknij w Fix. Przedstaw raport fixlog.txt i zrób nowy skan FRST. Opcji Adition i Shortcut nie zaznaczaj. Edytowane 5 Lutego 2015 przez Zappa Odnośnik do komentarza
picasso Opublikowano 5 Lutego 2015 Zgłoś Udostępnij Opublikowano 5 Lutego 2015 luq92Proszę pokaż nowe raporty FRST po deinstalacji COMODO (włącznie z Addition). Poprzednio w Addition był notowany błąd dostępu do WMI (przypuszczalnie blokada folderu C:\Windows\System32\LogFiles\WMI\RtBackup): ==================== Restore Points =========================Could not list restore points.Check "winmgmt" service or repair WMI. ==================== Faulty Device Manager Devices =============Could not list Devices. Check "winmgmt" service or repair WMI.==================== Event log errors: =========================Could not start eventlog service, could not read events.Wystąpił błąd systemu 123.Nazwa pliku, nazwa katalogu lub składnia etykiety woluminu jest niepoprawna. To mogą lecz nie muszą być błędy prowokowane przez COMODO.Zappa$CmdZnID to strumienie COMODO. Przed jakimkolwiek Fix wypada sprawdzić stan po deinstalacji programu, czy ADS zostało usunięte przez instalator programu. Dane z pierwszych raportów FRST mogą być nieaktualne. Odnośnik do komentarza
luq92 Opublikowano 5 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 5 Lutego 2015 Skrypt wykonany. Dorzucam logi. Addition.txt Fixlog.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Zappa Opublikowano 5 Lutego 2015 Zgłoś Udostępnij Opublikowano 5 Lutego 2015 Poprzednio w Addition był notowany błąd dostępu do WMI Widziałem ten błąd. Obecnie nie występuje w logu Addition. Przyjąłem załozenie że Comodo jest powodem. W razie czego miałem zająć sie tym problemem osobno. Masz w dzienniku błedy Name: Teredo Tunneling Pseudo-Interface Description: Karta tunelowania Teredo firmy Microsoft Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318} Manufacturer: Microsoft Service: tunnel Problem: : This device cannot start. (Code10) Resolution: Device failed to start. Click "Update Driver" to update the drivers for this device. On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard. sprawdź w menedżerze urządzeń czy w kartach sieciowych wystepuje Teredo Tunneling Pseudo-Interface. Ten wynalazek trzeba bedzie usunąć kolejny bład Error: (02/05/2015 00:58:29 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi lirsgt z powodu następującego błędu: %%577 Error: (02/05/2015 00:58:29 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi atksgt z powodu następującego błędu: %%577 Usuń sterowniki Tages posługując się paczką instalacyjną Tages: KLIK. Odnośnik do komentarza
picasso Opublikowano 5 Lutego 2015 Zgłoś Udostępnij Opublikowano 5 Lutego 2015 Jak na razie wygląda, że jest lepiej, ale nada svhost ma około 130MB. Zdefiniuj o którym svchost.exe mowa. W menedżerze zadań prawoklik na to wystąpienie > Przejdź do usług > Wpisz jakie się podświetliły. Skrypt wykonany. Jeszcze drobne poprawki w spoilerze: 1. Zrób i uruchom w ten sam sposób nowy fixlist.txt o postaci: CHR DefaultSearchURL: Default -> http://isearch.omigaweb/?type=dspp&q={searchTerms} Task: {5AB42E5F-2931-4F39-A6CB-A29207EC09B1} - System32\Tasks\{9E60B1A7-F228-4185-AF60-615F3BCF49F2} => pcalua.exe -a "C:\Program Files (x86)\YouTube Accelerator\YTAUninstall.exe" StartMenuInternet: IEXPLORE.EXE - iexplore.exe AlternateDataStreams: C:\Windows\unins000.exe:$CmdTcID C:\Users\luq92\AppData\Roaming\QTFXEQ Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f 2. W Google Chrome: Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > sprawdź czy jest obiekt isearch.omigaweb. Jeśli tak, to skasuj. 3. Czyszczenie AdwCleaner niepoprawnie przywróciło specjalny skrót IE. Przejdź do ścieżki: C:\Users\luq92\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff Należy jednak zwrócić uwagę, że te Fixy FRST nie są powiązane z problemem zasadniczym. To tylko "kosmetyka" i nic poza tym. Odnośnik do komentarza
luq92 Opublikowano 5 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 5 Lutego 2015 Zrobiłem co trzeba. Co co svchosta, to jest ten podświetlony na screenie i dalej dorzucam jego usługi. Odnośnik do komentarza
Zappa Opublikowano 5 Lutego 2015 Zgłoś Udostępnij Opublikowano 5 Lutego 2015 Rozsuń te okna by było widać skąd dany proces pochodzi. Jest to systemowy proces i występuje w bardzo wielu konfiguracjach choć oznaczenie ma to samo. Odnośnik do komentarza
luq92 Opublikowano 5 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 5 Lutego 2015 Poprawka PS. Nie wiem czy mam dobre spostrzeżenia, ale ten svchost pożera dużo pamięci jeśli np. oglądam streamy na twitchu czy oglądam coś na ipli. [edit] Na obrazku Przechwytywanie_2 w takiej konfiguracji svchost zżera prawie 1GB pamięci przy odpalonym twitchu + facebook, jedno forum i airdroid. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się