Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Rootkit svchost.exe 50% CPU

grant322

Przez grant322
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

grant322

grant322

Opublikowano
Opublikowano

Witam

Proces svchost.exe zużywa 50% CPU przez co wentylator w komputerze chodzi na wysokich obrotach i komputer się przegrzewa. Po uruchomieniu GMER-a w zakładce rootkit pokazało 2 wpisy jeszcze przed skanowaniem, jeden to właśnie svchost.eve drugi nie pamiętam.

Nie zauważyłem innych niepokojących objawów.

 

Proszę o pomoc w tej sprawie.

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano (edytowane)

Brak oznak infekcji w raportach FRST. Jeśli chodzi o odczyt GMER, to jest jakiś dziwny plik tymczasowy uruchamiany przez Java, nie wiadomo czy to jest infekcja. Natomiast problem mogą tworzyć:

 

- Stary crack AutoKMS do aktywacji przypuszczalnie Office. Obiekty cracka odświeżały się ostatnio. Przy okazji, czy Microsoft Office Professional Plus 2010 jest w ogóle sprawny? Dużo pustych skrótów w Menu Start...

 

2015-12-10 18:34 - 2015-02-08 08:24 - 00002740 _____ C:\Windows\System32\Tasks\AutoKMSDaily

2015-12-10 18:34 - 2012-07-16 11:45 - 00000202 _____ C:\Windows\Tasks\AutoKMSDaily.job

2015-12-10 18:34 - 2012-07-16 11:45 - 00000202 _____ C:\Windows\Tasks\AutoKMS.job

2015-12-10 18:33 - 2012-07-16 11:44 - 00078848 _____ C:\Windows\KMSEmulator.exe

 

- Strasznie stary (z roku 2009) i na dodatek scrackowany ESET. Crack zresztą generuje błędy w Dzienniku zdarzeń:

 

Error: (12/10/2015 06:33:24 PM) (Source: Service Control Manager) (EventID: 7009) (User: )

Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Eset Trial Reset.

 

 

1. Usuń crack Office. W skrypcie FRST i tak załączę jego elementy na wypadek gdyby się okazało, że nie ma go jak wywalić.

 

2. Odinstaluj stare wersje: Adobe AIR, ESET NOD32 Antivirus, Java 7 Update 51, Opera 12.16, MyFreeCodec. Po deinstalacji ESET via Panel sterowania wejdź w Tryb awaryjny i popraw narzędziem ESET Uninstaller.

 

3. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadek Google Update Helper > Dalej.

 

4. Kosmetyka po w/w akcjach. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: {317BA108-DD1F-44B2-A778-80DE223B1A69} - System32\Tasks\{A08FF10D-054F-425C-8B98-657FBB4B649B} => pcalua.exe -a D:\Pobieranie\Setup.exe -d D:\Pobieranie
Task: {3E5CC56E-E0F3-4992-9F28-015E2E3079AE} - System32\Tasks\AutoKMSDaily => C:\Windows\AutoKMS.exe [2012-07-16] ()
Task: {9C0D863B-BB77-44A0-B679-1AE43331CDDB} - System32\Tasks\{067CD6DD-34A0-4421-82F9-7B2152400419} => Firefox.exe hxxp://ui.skype.com/ui/0/6.18.0.106/pl/abandoninstall?page=tsProgressBar
Task: {D3EA5758-9075-43B2-A5CC-3C8ED34229B0} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS.exe [2012-07-16] ()
Task: C:\Windows\Tasks\AutoKMS.job => C:\Windows\AutoKMS.exe
Task: C:\Windows\Tasks\AutoKMSDaily.job => C:\Windows\AutoKMS.exe
FF Plugin-x32: samsung.com/SamsungLinkPCPlugin -> C:\Program Files\Samsung\Samsung Link\utils\npSamsungLinkPCPlugin.dll [brak pliku]
FF HKLM-x32\...\Firefox\Extensions: [{F003DA68-8256-4b37-A6C4-350FA04494DF}] - C:\Program Files\Logitech\SetPointP\LogiSmoothFirefoxExt => nie znaleziono
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gupdate
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gupdatem
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google
C:\Program Files (x86)\Google
C:\Program Files (x86)\Mozilla Firefox\plugins
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SharePoint\Microsoft SharePoint Workspace 2010.lnk
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Office\*.lnk
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Office\Narzędzia pakietu Microsoft Office 2010
C:\Windows\AutoKMS.exe
C:\Windows\KMSEmulator.exe
C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup
CMD: netsh advfirewall
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

5. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się jak działa system po w/w akcjach deinstalacji.

Edytowane przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...