Duża ilość plików svchost, zmuła systemu

**Posty:** 6403 · przez **Robert** 08 Sie 2012, 20:44

Problemów ciąg dalszy, dzisiaj zacięły mi się przeglądarki, dopiero po 3 resetach komputera odpaliły. MBAM i Eset nic nie wykryło. W menedżerze zadań mam sporo plików svchost, internet chodzi w kratkę(lecz tu może być wina ISP). W dodatku po wyłączeniu zapory w Esecie strony wczytują się nieporównywalnie szybciej.

Na screenie na dole widać też proces lsass.exe. Coś mi w pamięci świta ,że kiedyś miałem wira o podobnej nazwie, ale mogę się mylić.
Załączam też logi.

Prosiłbym o pomoc.

**Posty:** 205 · przez **defacto19** 09 Sie 2012, 15:12

W menedżerze zadań mam sporo plików svchost

To jest normalne, że systemowy proces svchost jest zwielokrotniony, ponieważ to nie jest identyczny process, każde wystąpienie hostuje inną grupę usług.

Na screenie na dole widać też proces lsass.exe. Coś mi w pamięci świta ,że kiedyś miałem wira o podobnej nazwie, ale mogę się mylić.

Proces Lsass.exe to lokalny serwer uwierzytelniania zabezpieczeń. Weryfikuje ważność logowania użytkownika, do komputera. Jeżeli Lsass znajduję się w C:\ Windows\ System32 to wszystko jest ok.

Otwórz Notatnik i wklej w nim:

reg delete HKLM\SYSTEM\CurrentControlSet\Control\Network /v Config /f
ipconfig /flushdns
netsh winsock reset
netsh int ip reset c:\resetlog.txt
pause

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT i uruchom.
Zresetuj system.

Uruchom OTL i w sekcji (Własne opcje skanowania/Skrypt) wklej:

:OTL
O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
O3:64bit: - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
O4 - HKCU..\Run: [] File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O33 - MountPoints2\{3a2582e3-ecfe-11e0-9872-0019dbf418f8}\Shell - "" = AutoRun
O33 - MountPoints2\{3a2582e3-ecfe-11e0-9872-0019dbf418f8}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{3a2582e5-ecfe-11e0-9872-0019dbf418f8}\Shell - "" = Autorun
O33 - MountPoints2\{3a2582e5-ecfe-11e0-9872-0019dbf418f8}\Shell\AutoRun\command - "" = H:\Install_Nokia_Ovi_Suite.exe
O33 - MountPoints2\{5622d291-ed8f-11e0-bd80-0019dbf418f8}\Shell - "" = AutoRun
O33 - MountPoints2\{5622d291-ed8f-11e0-bd80-0019dbf418f8}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{5bcbda19-ecf5-11e0-9ca1-0019dbf418f8}\Shell - "" = AutoRun
O33 - MountPoints2\{5bcbda19-ecf5-11e0-9ca1-0019dbf418f8}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{5bcbda33-ecf5-11e0-9ca1-0019dbf418f8}\Shell - "" = AutoRun
O33 - MountPoints2\{5bcbda33-ecf5-11e0-9ca1-0019dbf418f8}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{5bcbda35-ecf5-11e0-9ca1-0019dbf418f8}\Shell - "" = AutoRun
O33 - MountPoints2\{5bcbda35-ecf5-11e0-9ca1-0019dbf418f8}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{5ed4db4e-7b6e-11df-bdc2-0019dbf418f8}\Shell - "" = AutoRun
O33 - MountPoints2\{5ed4db4e-7b6e-11df-bdc2-0019dbf418f8}\Shell\AutoRun\command - "" = D:\autorun.exe
O33 - MountPoints2\{71456561-ecf9-11e0-8ee4-0019dbf418f8}\Shell - "" = AutoRun
O33 - MountPoints2\{71456561-ecf9-11e0-8ee4-0019dbf418f8}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{93f3ed27-b904-11de-8ff3-0019dbf418f8}\Shell - "" = AutoRun
O33 - MountPoints2\{93f3ed27-b904-11de-8ff3-0019dbf418f8}\Shell\AutoRun\command - "" = D:\setup\rsrc\Autorun.exe
O33 - MountPoints2\{93f3ed27-b904-11de-8ff3-0019dbf418f8}\Shell\dinstall\command - "" = D:\Directx\dxsetup.exe
O33 - MountPoints2\{9d9d8065-ec4f-11e0-8982-0019dbf418f8}\Shell - "" = AutoRun
O33 - MountPoints2\{9d9d8065-ec4f-11e0-8982-0019dbf418f8}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{c47f058e-f2fd-11de-ac71-0019dbf418f8}\Shell\AutoRun\command - "" = H:\installer.exe
O33 - MountPoints2\{c47f058e-f2fd-11de-ac71-0019dbf418f8}\Shell\verb\command - "" = H:\installer.exe
O33 - MountPoints2\{e03fcb75-ec0b-11e0-8432-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{e03fcb75-ec0b-11e0-8432-806e6f6e6963}\Shell\AutoRun\command - "" = H:\AutoRun.exe
O33 - MountPoints2\{e03fcbc0-ec0b-11e0-8432-0019dbf418f8}\Shell - "" = AutoRun
O33 - MountPoints2\{e03fcbc0-ec0b-11e0-8432-0019dbf418f8}\Shell\AutoRun\command - "" = H:\AutoRun.exe
O33 - MountPoints2\{fdd9a084-ecdf-11e0-b3c9-0019dbf418f8}\Shell - "" = AutoRun
O33 - MountPoints2\{fdd9a084-ecdf-11e0-b3c9-0019dbf418f8}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{fdd9a08e-ecdf-11e0-b3c9-0019dbf418f8}\Shell - "" = AutoRun
O33 - MountPoints2\{fdd9a08e-ecdf-11e0-b3c9-0019dbf418f8}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{fdd9a092-ecdf-11e0-b3c9-0019dbf418f8}\Shell - "" = AutoRun
O33 - MountPoints2\{fdd9a092-ecdf-11e0-b3c9-0019dbf418f8}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{fdd9a0b5-ecdf-11e0-b3c9-0019dbf418f8}\Shell - "" = AutoRun
O33 - MountPoints2\{fdd9a0b5-ecdf-11e0-b3c9-0019dbf418f8}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{fdd9a0b7-ecdf-11e0-b3c9-0019dbf418f8}\Shell - "" = AutoRun
O33 - MountPoints2\{fdd9a0b7-ecdf-11e0-b3c9-0019dbf418f8}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\F\Shell - "" = AutoRun
O33 - MountPoints2\F\Shell\AutoRun\command - "" = F:\setup.exe
O33 - MountPoints2\F\Shell\LVIPCAP\command - "" = F:\techsupt\CaptureTest\LVidCap.exe
[2012-08-08 20:34:02 | 000,001,048 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2012-08-08 20:29:28 | 000,001,044 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2012-08-08 20:18:03 | 000,000,930 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

:Commands
[emptytemp]

Kliknij Wykonaj skrypt.Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, i kliknij skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

**Posty:** 6403 · przez **Robert** 09 Sie 2012, 17:02

Załączam pliki

log musiałem zmienić na końcówke TXT gdyż

Kod: Zaznacz wszystko: Rozszerzenie log jest zabronione.

**Posty:** 205 · przez **defacto19** 09 Sie 2012, 17:42

Zastosuj Adwcleaner -> http://general-changelog-team.fr/en/tools/15-adwcleaner z opcji Delete.
Pokaż raport z niego C:\AdwCleaner[S1].txt

Uruchom OTL i w sekcji (Własne opcje skanowania/Skrypt) wklej:

:OTL
IE - HKU\S-1-5-21-2509891365-3541056191-2371149468-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
O15 - HKU\S-1-5-21-2509891365-3541056191-2371149468-1000\..Trusted Domains: com ([www.msi] http in Trusted sites)
O15 - HKU\S-1-5-21-2509891365-3541056191-2371149468-1000\..Trusted Domains: com.tw ([asia.msi] http in Trusted sites)
O15 - HKU\S-1-5-21-2509891365-3541056191-2371149468-1000\..Trusted Domains: com.tw ([global.msi] http in Trusted sites)
O18:64bit: - Protocol\Handler\skype4com - No CLSID value found

:Commands
[resethosts]
[emptytemp]

Kliknij Wykonaj skrypt.Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie, i przedstaw go na forum.

**Posty:** 6403 · przez **Robert** 10 Sie 2012, 00:06

**Posty:** 205 · przez **defacto19** 10 Sie 2012, 10:46

Uruchom OTL i w sekcji (Własne opcje skanowania/Skrypt) wklej:

:OTL
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.3
FF - prefs.js..extensions.enabledItems: {4BBDD651-70CF-4821-84F8-2B918CF89CA3}:6.3.3.2
FF - prefs.js..extensions.enabledItems: {A27F3FEF-1113-4cfb-A032-8E12D7D8EE70}:7.3.3.42
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: personas@christopher.beard:1.6.1
FF - prefs.js..network.proxy.type: 0
[2012-08-03 10:30:11 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Robert\AppData\Roaming\mozilla\Firefox\Profiles\n03w2op5.default\extensions\trash
[2011-03-22 19:19:31 | 000,330,316 | ---- | M] () (No name found) -- C:\USERS\ROBERT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\N03W2OP5.DEFAULT\EXTENSIONS\PERSONAS@CHRISTOPHER.BEARD.XPI

:Commands
[emptytemp]

Kliknij wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchom OTL ponownie, i wybierz opcje sprzątanie.

Zainstaluj aktualizacje do programow wskazanych przez Security Check -> http://screen317.spywareinfoforum.org/
jako out of date.

**Posty:** 6403 · przez **Robert** 10 Sie 2012, 13:41

Security Check wskazał jave jako out of date. Dziwne, wczoraj instalowałem aktualizację.

OTL w trakcie pracy

Ehh, wywaliłeś mi styl dla Firefoxa. Personas to takie graficzki dla FF. Że ja tego nie zauważyłem wcześniej. Zaraz sobie dogram znowu.

Kod: Zaznacz wszystko: All processes killed ========== OTL ========== Prefs.js: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.3 removed from extensions.enabledItems Prefs.js: {4BBDD651-70CF-4821-84F8-2B918CF89CA3}:6.3.3.2 removed from extensions.enabledItems Prefs.js: {A27F3FEF-1113-4cfb-A032-8E12D7D8EE70}:7.3.3.42 removed from extensions.enabledItems Prefs.js: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 removed from extensions.enabledItems Prefs.js: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22 removed from extensions.enabledItems Prefs.js: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23 removed from extensions.enabledItems Prefs.js: personas@christopher.beard:1.6.1 removed from extensions.enabledItems Prefs.js: 0 removed from network.proxy.type C:\Users\Robert\AppData\Roaming\mozilla\Firefox\Profiles\n03w2op5.default\extensions\trash folder moved successfully. C:\USERS\ROBERT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\N03W2OP5.DEFAULT\EXTENSIONS\PERSONAS@CHRISTOPHER.BEARD.XPI moved successfully. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Public User: Robert ->Temp folder emptied: 4832 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 90434592 bytes ->Flash cache emptied: 1655 bytes User: UpdatusUser ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32 (64bit) .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 25554 bytes %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 86,00 mb OTL by OldTimer - Version 3.2.56.0 log created on 08102012_134119 Files\Folders moved on Reboot... C:\Users\Robert\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully. File move failed. C:\Windows\temp\vmware-SYSTEM\vmauthd.log scheduled to be moved on reboot. C:\Windows\temp\vmware-SYSTEM\vmware-usbarb-SYSTEM-2152.log moved successfully. PendingFileRenameOperations files... File C:\Users\Robert\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found! [2012-08-10 13:54:04 | 000,001,964 | ---- | M] () C:\Windows\temp\vmware-SYSTEM\vmauthd.log : Unable to obtain MD5 File C:\Windows\temp\vmware-SYSTEM\vmware-usbarb-SYSTEM-2152.log not found! Registry entries deleted on Reboot...

Sprzątanie wykonane. Coś zapodać jeszcze

?

**Posty:** 205 · przez **defacto19** 10 Sie 2012, 14:15

To już wszystko. W raportach nic podejrzanego już nie widzę.

Autor postu otrzymał pochwałę

**Posty:** 6403 · przez **Robert** 10 Sie 2012, 15:07

Oki. Teraz net działa przy włączonej zaporze ESET'a. Utorrent też się już łączy z zaporą, a system po logowaniu ładuje się zauważalnie szybciej.

Dzięki wielkie

Kto jest na forum