Svchost.exe zżera procesor i pamięć ram

**Posty:** 250 · przez **tenzin** 07 Maj 2009, 09:30

Witam,
Svchost.exe , zżerał relatywnie dużo procesora (do 60%) i sporo pamięci ram.
Łącznie wśród procesów są 4 pliki svchost.exe, ale tylko jeden pobierał znaczne ilości.
Nie wiem czy to miało jakiś wpływ, ale po uruchomieniu combofixa i hijacjthisa svchost.exe pobiera pamięci 27 768 K i procesora 1%, ale nie zawsze, więc jest lepiej. Na wszelki poniżej wstawiam logi z prośbą o sprawdzenie.

combofix

Kod: Zaznacz wszystko: ComboFix 09-05-06.05 - x 2009-05-07 9:15.15 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.511.290 [GMT 2:00] Uruchomiony z: c:\documents and settings\x\Pulpit\problem\ComboFix.exe * Utworzono nowy punkt przywracania UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !! . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . c:\documents and settings\x\Dane aplikacji\EurekaLog c:\documents and settings\x\Dane aplikacji\EurekaLog\EurekaLog.ini c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013 c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013\ine32.exe c:\windows\cwkbux.eru . ((((((((((((((((((((((((( Pliki utworzone od 2009-04-07 do 2009-05-07 ))))))))))))))))))))))))))))))) . 2009-05-02 16:11 . 2009-05-02 16:11 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\NVIDIA 2009-05-02 16:11 . 2009-05-02 16:11 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\nView_Profiles 2009-05-02 16:07 . 2009-05-02 16:10 -------- d-----w c:\windows\nview 2009-05-02 16:07 . 2006-10-22 10:22 208896 ----a-w c:\windows\system32\nvudisp.exe 2009-05-02 16:07 . 2006-10-22 13:06 208896 ----a-w c:\windows\system32\NVUNINST.EXE 2009-05-02 16:06 . 2009-05-02 16:06 -------- d-----w c:\program files\NVIDIA 2009-05-02 15:55 . 2009-05-02 15:55 -------- d-----w c:\program files\SystemRequirementsLab 2009-04-28 18:25 . 2009-04-28 18:25 249856 ------w c:\windows\Setup1.exe 2009-04-28 18:25 . 2009-04-28 18:25 73216 ----a-w c:\windows\ST6UNST.EXE 2009-04-17 13:11 . 2009-04-17 13:11 -------- d--h--w c:\windows\system32\GroupPolicy . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-03-29 06:48 . 2001-10-26 16:15 49712 ----a-w c:\windows\system32\perfc015.dat 2009-03-29 06:48 . 2001-10-26 16:15 355830 ----a-w c:\windows\system32\perfh015.dat 2009-03-26 11:04 . 2007-05-07 18:11 -------- d--h--w c:\program files\InstallShield Installation Information 2009-03-26 10:47 . 2009-03-26 10:47 -------- d-----w c:\program files\Creative 2009-02-20 15:35 . 2009-02-20 15:35 1084 -c--a-w c:\windows\checkip.dat 2009-02-17 17:25 . 2009-02-05 19:19 40 -c--a-w c:\windows\RSoftInfo.dat 2009-02-15 09:50 . 2002-03-25 18:02 163644 ----a-w c:\windows\system32\drivers\secdrv.sys 2009-02-06 07:32 . 2007-06-22 18:51 45 -c--a-w c:\windows\popcinfo.dat . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AQQ"="d:\program2\Wapster\AQQ\WAPSTE~1\AQQ.exe" [2009-02-25 4879360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WinFast Schedule"="c:\program files\WinFast\WFTVFM\WFWIZ.exe" [2006-07-07 348160] "OSSelectorReinstall"="c:\program files\Common Files\Acronis\Acronis Disk Director\oss_reinstall.exe" [2007-03-09 2223985] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016] "nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-10-22 1622016] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360] HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32 "aux"= ctwdm32.dll [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Exif Launcher.lnk] path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\Exif Launcher.lnk backup=c:\windows\pss\Exif Launcher.lnkCommon Startup [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "d:\\Program2\\Wapster\\AQQ\\AQQ.exe"= "c:\\Program Files\\Gadu-Gadu\\gg.exe"= "c:\\Program Files\\Common Files\\Ahead\\Nero Web\\SetupX.exe"= "d:\\Programy\\Skype\\Phone\\Skype.exe"= "d:\\Program2\\eMule\\EMULE.EXE"= "c:\\WINDOWS\\system32\\sessmgr.exe"= "d:\\Program2\\Wapster\\AQQ\\WapSter AQQ\\AQQ.exe"= R2 NwSapAgent;Agent SAP;c:\windows\system32\svchost.exe -k netsvcs [2001-10-26 14336] R3 WFIOCTL;WFIOCTL;c:\program files\WinFast\WFTVFM\WFIOCTL.sys [2007-09-10 9446] . Zawartość folderu 'Zaplanowane zadania' 2009-05-07 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-842925246-436374069-1957994488-1003.job - c:\documents and settings\x\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [2008-09-03 19:11] . . ------- Skan uzupełniający ------- . uStart Page = about:blank DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} - hxxp://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab FF - ProfilePath - c:\documents and settings\x\Dane aplikacji\Mozilla\Firefox\Profiles\i7g7mm11.default\ FF - plugin: c:\documents and settings\x\Ustawienia lokalne\Dane aplikacji\Google\Update\1.2.141.5\npGoogleOneClick7.dll FF - plugin: d:\programy\adobe\Acrobat 7\Reader\browser\nppdf32.dll . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-05-07 09:18 Windows 5.1.2600 Dodatek Service Pack 2 NTFS skanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** . --------------------- ZABLOKOWANE KLUCZE REJESTRU --------------------- [HKEY_USERS\S-1-5-21-842925246-436374069-1957994488-1003\Software\Microsoft\SystemCertificates\AddressBook*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) . --------------------- Pliki DLL ładowane pod uruchomionymi procesami --------------------- - - - - - - - > 'explorer.exe'(3012) d:\programy\adobe\Acrobat 7\ActiveX\PDFShell.dll . ------------------------ Pozostałe uruchomione procesy ------------------------ . d:\programy\nero\Nero 7\InCD\InCDsrv.exe c:\windows\system32\nvsvc32.exe c:\program files\CyberLink\Shared Files\RichVideo.exe c:\windows\system32\devldr32.exe c:\program files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe c:\windows\system32\wdfmgr.exe c:\program files\Pure Networks\Network Magic\nmsrvc.exe c:\windows\system32\wscntfy.exe . ************************************************************************** . Czas ukończenia: 2009-05-07 9:21 - komputer został uruchomiony ponownie ComboFix-quarantined-files.txt 2009-05-07 07:20 Przed: 1 190 404 096 bajtów wolnych Po: 1 215 913 984 bajtów wolnych 122

hijackthis

Kod: Zaznacz wszystko: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:22:25, on 2009-05-07 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\WinFast\WFTVFM\WFWIZ.exe D:\Programy\nero\Nero 7\InCD\InCDsrv.exe C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\CyberLink\Shared Files\RichVideo.exe C:\WINDOWS\system32\devldr32.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe C:\Program Files\Pure Networks\Network Magic\nmsrvc.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\explorer.exe D:\Programs\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programy\adobe\Acrobat 7\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O4 - HKLM\..\Run: [WinFast Schedule] C:\Program Files\WinFast\WFTVFM\WFWIZ.exe O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Program Files\Common Files\Acronis\Acronis Disk Director\oss_reinstall.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [AQQ] D:\Program2\Wapster\AQQ\WAPSTE~1\AQQ.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Programy\nero\Nero 7\InCD\InCDsrv.exe O23 - Service: Pure Networks Net2Go Service (nmraapache) - Pure Networks, Inc. - C:\Program Files\Pure Networks\Network Magic\WebServer\bin\nmraapache.exe O23 - Service: Pure Networks Network Magic Service (nmservice) - Pure Networks, Inc. - C:\Program Files\Pure Networks\Network Magic\nmsrvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe -- End of file - 3854 bytes

pozdrawiam,

Edit: Nie wiem czy skanowanie hijackhisem i combofixem odniosło poniższy skutek, ale stał się cud- ustąpił problem który nękał mój komputer od ponad tygodnia, mianowie nie mogłem się zalogować na filmweb.pl. W żaden sposób a dzisiaj bez problemu .

**Posty:** 18165 · przez **wojtas** 07 Maj 2009, 11:41

1. Ściągnij OTMoveIt i go włacz i odpal go z opcji CleanUp

oraz skasuj folder C:\Qoobox
2. wykonaj optymalizację windowsa
3.sciagnij ATF_Cleaner
zaznacz
Windows Temp
All users Temp
Temporary internet files
Recycle Bin
i wcisnij EMPTY SELECTED
4.Wyłącz przywracanie systemu ( właściwości mój komputer-zakładka przywracanie - wyłącz przywracanie na wszystkich dyskach). Po chwili włącz je powrotem
5. Wykonaj skan Dr. Web CureIt
6. Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum.

i tym:

FixIEDef.