Orzelek303 Opublikowano 8 Stycznia 2016 Zgłoś Udostępnij Opublikowano 8 Stycznia 2016 Od pewnego czasu po uruchomieniu systemu jeden z procesów svchost.exe osiąga praktycznie 100% zużycie procesora. Po zatrzymaniu procesu przez jakiś czas jest spokój lecz po pewnym czasie odnawia się on i sytuacja się powtarza. W chwili obecnej nie można na tym komputerze połączyć się z Internetem, mimo, że inne komputery w sieci domowej mają do niego dostęp. Na komputerze działał Avira Free Antivirus lecz nie zgłaszał żadnych nieprawidłowości. Usunąłem go. Logi zostały sporządzone gdy wspomniany proces obciążał procesor w opisany wyżej sposób. FRST.txt Addition.txt Shortcut.txt GMER.txt Odnośnik do komentarza
jessica Opublikowano 9 Stycznia 2016 Zgłoś Udostępnij Opublikowano 9 Stycznia 2016 Infekcji brak. Kosmetyka: Otwórz Notatnik i wklej w nim: HKLM\...\Policies\Explorer: [] CHR Plugin: (Widevine Content Decryption Module) - C:\Users\JUREK\AppData\Local\Google\Chrome\User Data\WidevineCDM\1.4.8.824\_platform_specific\win_x86\widevinecdmadapter.dll => Brak pliku S3 VGPU; System32\drivers\rdvgkmd.sys [X] EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe Uruchom FRST i kliknij przycisk Fix (NAPRAW). UWAGA: Przywracanie systemu jest wyłączone Sprawdź usługę "winmgmt" lub napraw WMI. Do Notatnika wklej: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt] "DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204" "ObjectName"="localSystem" "ErrorControl"=dword:00000000 "Start"=dword:00000002 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00 "ServiceSidType"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 "ServiceMain"="ServiceMain"Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Microsoft Windows Embedded Standard Z nagłówka wynika, że to jest komputer przemysłowy, a nie domowy, więc nawet nie wiem, czy taki komputer posiada usługę "winmgmt" - dałam naprawę "w ciemno". jessi Odnośnik do komentarza
Orzelek303 Opublikowano 9 Stycznia 2016 Autor Zgłoś Udostępnij Opublikowano 9 Stycznia 2016 Nie jest to komputer przemysłowy tylko domowy, ale z zainstalowanym systemem Windows ThinPC który jest oficjalną dystrubucją Microsoftu (stąd wpis Microsoft Windows Embedded Standard). Jest to mocno okrojony Windows więc wielu funkcji i usług nie posiada. Polecenia wykonałem, ale problem z procesem niestety nadal występuje a dostępu do Internetu dalej nie posiadam choć przez modem 3G łączę się bezproblemowo. Fixlog.txt Odnośnik do komentarza
jessica Opublikowano 9 Stycznia 2016 Zgłoś Udostępnij Opublikowano 9 Stycznia 2016 Zrób log z Farbar Service Scanner (do skanowania zaznacz wszystko). Jak zauważysz, że @Picasso już pomaga na forum, to wyślij do Niej na PW prośbę o przesunięcie tematu do jakiegoś innego, bardziej odpowiedniego działu forum. jessi Odnośnik do komentarza
Orzelek303 Opublikowano 9 Stycznia 2016 Autor Zgłoś Udostępnij Opublikowano 9 Stycznia 2016 Skan FSS zrobiony. Temat umieściłem w tym dziale bo wydał mi się najodpowiedniejszy dla tego przypadku a dziwne zachowanie tego procesu wskazywało wg mnie na infekcję. FSS.txt Odnośnik do komentarza
jessica Opublikowano 9 Stycznia 2016 Zgłoś Udostępnij Opublikowano 9 Stycznia 2016 Connection Status: ============== Localhost is accessible. WAN connected Attempt to access Google IP returned error. Google IP is unreachable Google.com is accessible. Yahoo.com is accessible. Połączenie z netem jest. Unable to open SDRSVC registry key. The service key does not exist. Unable to open WinDefend registry key. The service key does not exist. Pobierz ServicesRepair. Kliknij prawym na pliku ServicesRepair i wybierz Uruchom jako administrator. jessi Odnośnik do komentarza
Orzelek303 Opublikowano 9 Stycznia 2016 Autor Zgłoś Udostępnij Opublikowano 9 Stycznia 2016 W momencie skanowania FSS miałem połączenie, ale z Internetem mobilnym przez modem - przecież wspominałem o tym. Proces svchost.exe dawał się we znaki już wcześniej natomiast z domową siecią WiFi nie mogę się połączyć dopiero od wczoraj. Dodam, że nie jest to mój komputer a od czasu kiedy był Internet w usługach ani w konfiguracji systemu nic nie było grzebane dlatego byłem prawie pewien, że to infekcja. Użyłem narzędzia ESET ServicesRepair wg zaleceń. Po zatwierdzeniu ponownego uruchomienia na chwilę wyświetlił się jakiś błąd jednak nie zdążyłem go przeczytać. Po restarcie z Internetem nadal nie można się połączyć a proces svchost.exe znów mocno obciąża komputer. Odnośnik do komentarza
jessica Opublikowano 9 Stycznia 2016 Zgłoś Udostępnij Opublikowano 9 Stycznia 2016 Teraz czekaj na @Picasso (nie wiem, kiedy zacznie pomagać na forum) - ja tu nic nie wymyślę. jessi Odnośnik do komentarza
Orzelek303 Opublikowano 22 Stycznia 2016 Autor Zgłoś Udostępnij Opublikowano 22 Stycznia 2016 Dysk już po formacie więc problem nieaktualny. Odnośnik do komentarza
Rekomendowane odpowiedzi