KickMyAss Opublikowano 9 Czerwca 2012 Zgłoś Udostępnij Opublikowano 9 Czerwca 2012 Witam. Problem zaobserwowałem ok. dwóch tygodni temu .System postawiony od nowa przedwczoraj .Proces svchost.exe (Komputer/DyskC:/Windows/System32) pare minut po starcie obciąża CPU non-stop w ok. 30% .Reinstalka na wiele się nie zdała teraz szukam winowajcy.Pierwsze co przychodzi mi do głowy to hot-spot utworzony za pomocą "Connectify" po wysłaniu routera do naprawy, ale odinstalowanie nic nie dało.Zastanawiam się czy jego pozostałości mogą mieć z tym coś wspólnego.Drugi problem a może raczej dziwna rzecz to konsola cmd.exe która uruchamia się na dosłownie sekunde po starcie systemu.Głowny podejrzany to sterowniki AMD do GPU które uruchamiają jakąś akceleracje wideo ale nie jestem pewien czy dobrze kombinuje.Wczoraj z braku innych perspektyw system potraktowany ComboFix 'em.Nie wiem czy to coś z systemem czy też jakieś dziadostwo z zewnątrz. Logi z OLT i Combo dołączone.Wszelkie sugestie mile widziane.Pozdrawiam. Usługi powiązane z svchost.exe: -upnphost -SSDPSRV -FrontCache -FDResPub ComboFix.txt Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 10 Czerwca 2012 Zgłoś Udostępnij Opublikowano 10 Czerwca 2012 Proces svchost.exe (Komputer/DyskC:/Windows/System32) pare minut po starcie obciąża CPU non-stop w ok. 30% .Reinstalka na wiele się nie zdała teraz szukam winowajcy. (...) Usługi powiązane z svchost.exe:-upnphost -SSDPSRV -FrontCache -FDResPub Czy sprawdzałeś ewentualny wpływ Norton Internet Security? Ponadto, w Dzienniku zdarzeń są jakieś krypto błędy ze żródłem ipnathlp: Error - 2012-06-09 12:29:56 | Computer Name = Domek-Komputer | Source = ipnathlp | ID = 34001Description = Wejdź do Dziennika zdarzeń, wyszukaj w gałęzi System te rekordy i przeklej pełną treść błędu. Pierwsze co przychodzi mi do głowy to hot-spot utworzony za pomocą "Connectify" po wysłaniu routera do naprawy, ale odinstalowanie nic nie dało.Zastanawiam się czy jego pozostałości mogą mieć z tym coś wspólnego. Czy logi z OTL pochodzą po deinstalacji tego oprogramowania czy może po jego przywróceniu? W systemie na chodzie pełny arsenał tego oprogramowania. Drugi problem a może raczej dziwna rzecz to konsola cmd.exe która uruchamia się na dosłownie sekunde po starcie systemu. Drugi problem a może raczej dziwna rzecz to konsola cmd.exe która uruchamia się na dosłownie sekunde po starcie systemu.Głowny podejrzany to sterowniki AMD do GPU które uruchamiają jakąś akceleracje wideo ale nie jestem pewien czy dobrze kombinuje. Dobrze podejrzewasz, zachowanie pochodzi od tego wpisu startowego AMD: O4 - HKLM..\Run: [AMD AVT] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation) By się tego pozbyć, uruchom menedżer startowy Autoruns i w karcie Logon odznacz ten wpis. Error - 2012-06-09 07:01:43 | Computer Name = Domek-Komputer | Source = Application Error | ID = 1000Description = Nazwa aplikacji powodującej błąd: Fuel.Service.exe, wersja: 1.0.0.0, sygnatura czasowa: 0x4f7e4d8c Nazwa modułu powodującego błąd: Device.dll, wersja: 4.1.0.0, sygnatura czasowa: 0x4f55e10b Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x00000000000033c1 Identyfikator procesu powodującego błąd: 0x6dc Godzina uruchomienia aplikacji powodującej błąd: 0x01cd462ec7d662c0 Ścieżka aplikacji powodującej błąd: C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe Ścieżka modułu powodującego błąd: C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Device.dll Identyfikator raportu: 7eeebb07-b222-11e1-8206-00046170cceb Dodatkowo w Dzienniku zdarzeń są ze dwa nagrania z powyższym błędem oprogramowania AMD. Wczoraj z braku innych perspektyw system potraktowany ComboFix 'em. ComboFix użyty niepotrzebnie, a zwłaszcza po postawieniu systemu na nowo ... Na przyszłość: KLIK. I należy wykonać następujące operacje: 1. Combofix w mało elegancki i niedokładny sposób usuwał adware StartSearch od vShare / LiveVDO. Pozostały brudne preferencje Firefox i IE upstrzone odwołaniami do wyszukiwarki Web Search. Odinstaluj LiveVDO. Popraw przez AdwCleaner z opcji Delete. Swoją drogą, "System postawiony od nowa przedwczoraj" a już syf. 2. Narzędzie należy w prawidłowy sposób odinstalować. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\Domek\Pobrane\ComboFix.exe /uninstall . Odnośnik do komentarza
KickMyAss Opublikowano 10 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 10 Czerwca 2012 Dziekuje za szybką odpowiedź Czy sprawdzałeś ewentualny wpływ Norton Internet Security? Nortona raczej wykluczam , przed reinstalacją pracował Kaspersky a objawy były identyczne. Error - 2012-06-09 12:29:56 | Computer Name = Domek-Komputer | Source = ipnathlp | ID = 34001 Description = Wejdź do Dziennika zdarzeń, wyszukaj w gałęzi System te rekordy i przeklej pełną treść błędu.] Usługa ICS_IPV6 nie mogła skonfigurować stosu IPv6. Szczegóły: - System - Provider [ Name] Microsoft-Windows-SharedAccess_NAT [ Guid] {A6F32731-9A38-4159-A220-3D9B7FC5FE5D} [ EventSourceName] ipnathlp - EventID 34001 [ Qualifiers] 0 Version 0 Level 2 Task 0 Opcode 0 Keywords 0x80000000000000 - TimeCreated [ SystemTime] 2012-06-09T15:28:00.000000000Z EventRecordID 5759 Correlation - Execution [ ProcessID] 0 [ ThreadID] 0 Channel System Computer Domek-Komputer Security EventData Zalazłem jeszcze jeden często powtarzający się błąd z tego samego źródła(SharedAccess_NAT) ale o innym identyfikatorze 31004 : Agent proxy DNS nie może przydzielić 0 bajtów pamięci. Może to wskazywać, że w systemie brakuje pamięci wirtualnej lub że menedżer pamięci napotkał błąd wewnętrzny. Szczegóły: System - Provider [ Name] Microsoft-Windows-SharedAccess_NAT [ Guid] {A6F32731-9A38-4159-A220-3D9B7FC5FE5D} [ EventSourceName] ipnathlp - EventID 31004 [ Qualifiers] 0 Version 0 Level 2 Task 0 Opcode 0 Keywords 0x80000000000000 - TimeCreated [ SystemTime] 2012-06-10T05:16:00.000000000Z EventRecordID 6841 Correlation - Execution [ ProcessID] 0 [ ThreadID] 0 Channel System Computer Domek-Komputer Security - EventData param1 0 Czy logi z OTL pochodzą po deinstalacji tego oprogramowania czy może po jego przywróceniu? W systemie na chodzie pełny arsenał tego oprogramowania. Logi wykonane już po przywróceniu.Nadal nie wykluczyam "Connectify" ale hot-spot startuje razem z systemem ,Svchost natomiast jakieś 10-15min po uruchomieniu bez względu na wszystko.Jeżeli to w czymś pomoże odinastaluje i wrzucę nowe Logi. O4 - HKLM..\Run: [AMD AVT] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation) By się tego pozbyć, uruchom menedżer startowy Autoruns i w karcie Logon odznacz ten wpis. Wykonane Error - 2012-06-09 07:01:43 | Computer Name = Domek-Komputer | Source = Application Error | ID = 1000 Description = Nazwa aplikacji powodującej błąd: Fuel.Service.exe, wersja: 1.0.0.0, sygnatura czasowa: 0x4f7e4d8c Nazwa modułu powodującego błąd: Device.dll, wersja: 4.1.0.0, sygnatura czasowa: 0x4f55e10b Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x00000000000033c1 Identyfikator procesu powodującego błąd: 0x6dc Godzina uruchomienia aplikacji powodującej błąd: 0x01cd462ec7d662c0 Ścieżka aplikacji powodującej błąd: C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe Ścieżka modułu powodującego błąd: C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Device.dll Identyfikator raportu: 7eeebb07-b222-11e1-8206-00046170cceb Dodatkowo w Dzienniku zdarzeń są ze dwa nagrania z powyższym błędem oprogramowania AMD. W sieci nie znalazłem dokładnego opisu tego modułu są tylko przypuszczenia że odpowiada za profile GPU 2d 3d low 3d....Dopuki nic więcej się nie dzieje chyba nie ma sensu tego ruszać. ComboFix użyty niepotrzebnie, a zwłaszcza po postawieniu systemu na nowo ... Na przyszłość: KLIK. I należy wykonać następujące operacje: 1. Combofix w mało elegancki i niedokładny sposób usuwał adware StartSearch od vShare / LiveVDO. Pozostały brudne preferencje Firefox i IE upstrzone odwołaniami do wyszukiwarki Web Search. Odinstaluj LiveVDO. Popraw przez AdwCleaner z opcji Delete. Swoją drogą, "System postawiony od nowa przedwczoraj" a już syf. 2. Narzędzie należy w prawidłowy sposób odinstalować. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\Domek\Pobrane\ComboFix.exe /uninstall ad 1. Adwar usunięty. vShare / LiveVDO to wtyczki do live streaminugu bez którego niestety nie mogę się obejść.Wydają częste aktualizacje i za każym razem dorzucają ten syf gratis. ad 2. Combofix był usunięty zaraz po użyciu. Mam jeszcze pytanie . Czy istnieje możliwość wyłącznia pokolei usług przypisanych do tego konkretnego procesu svchost i sprawdzeniu potencjalnego winowajcy bez szkody dla systemu? Odnośnik do komentarza
picasso Opublikowano 11 Czerwca 2012 Zgłoś Udostępnij Opublikowano 11 Czerwca 2012 Usługa ICS_IPV6 nie mogła skonfigurować stosu IPv6. (...) często powtarzający się błąd z tego samego źródła(SharedAccess_NAT) ale o innym identyfikatorze 31004 Przypuszczalnie to jest przyczyna obciążenia svchost.exe. Usługa Udostępnianie połączenia internetowego (SharedAccess) chodzi na procesie svchost.exe. Problemem może tu być jednak Norton, który deaktywuje Zaporę systemu Windows, a przy jej nieczynności mogą być takie błędy. Do testowego wypróbowania etapami (a nie hurtem): 1. Przywrócenie funkcjonalności Zapory systemu Windows (może być koniecznie ubicie Norton Internet Security, jeśli nie zezwoli na równoległe testowe podłączenie Zapory systemowej). 2. Zakładając nie włączanie Zapory systemowej, deaktywacja współdzielenia: Panel sterowania > Sieć i Internet > Centrum sieci i udostępniania > Zmień ustawienia karty sieciowej > po kolei pobierz Właściwości dla wszystkich aktywnych połączeń i przejdź do karty Udostępnianie > odznacz "Zezwalaj innym użytkownikom sieci na łączenie się poprzez połączenie internetowe tego komputera" (o ile zaznaczone). Start > w polu szukania wpisz services.msc > Uruchom jako Administrator > dwuklik na usługę "Udostępnianie połączenia internetowego (ICS)" i Typ startowy przestaw na Wyłączony (o ile stoi tam aktualnie coś innego). Restart systemu 3. Deaktywacja protokołu IPv6 wg kroków z artykułu: KB929852. Wydają częste aktualizacje i za każym razem dorzucają ten syf gratis. Przy instalacji tych wątpliwych wtyczek powinien być ekran z instalacją "Recommended" = to musi zostać odfajkowane, a wtedy jest możliwość odznaczenia instalacji adware. No chyba, że coś zmienili i są jeszcze bardziej bezczelni niż poprzednio. Te wtyczki robią coraz większy gnój w systemie, rozejrzyj się po dziale diagnostyki malware, dołączone jeszcze lepsze ciekawostki typu "Browsers Protector" blokujący przestawienie stron w przeglądarkach i adware wyszukiwania kontekstowego. Zanotowane skutki uboczne: komuś wyczyściło wszystkie preferencje Firefox i SpeedDial po wstawieniu się adware. . Odnośnik do komentarza
KickMyAss Opublikowano 12 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 12 Czerwca 2012 Ok dziękuje.Wszystkie czynności wykonane pojedyńczo i testowane niestety jedyny efekt to brak tego błędu w dziennniku zdarzeń.Chwilowo Norton ubity w jego miejsce Microsoft Security Essentials zapora przywrócona do wartości domyślnych.Svchost jak hulał tak hula.Dziś trochę pogrzebałem i zidentyfikowałem usługę która to powoduje -upnphost wstępnie została ubita.Narazie nie ma żadnych błędów ani oznak jej niezbędności choć przy routerze podobno nie będzie się można bez niej obyć.Czytałem że malwear może podmieniać upnphost.dll i tu może być pies pogrzebany ale zastanawiam się czy wtedy w Logach nie było by nic podejrzanego. Co o tym sądzisz? Odnośnik do komentarza
picasso Opublikowano 12 Czerwca 2012 Zgłoś Udostępnij Opublikowano 12 Czerwca 2012 Czytałem że malwear może podmieniać upnphost.dll i tu może być pies pogrzebany ale zastanawiam się czy wtedy w Logach nie było by nic podejrzanego. Co o tym sądzisz? Nic tu na to nie wskazuje. Szczerze wątpię w tę koncepcję. Poza tym, po postawieniu systemu na nowo szukasz malware? Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się