-
Junior Member
- Вес репутации
- 66
Разбушевавшийся svchost.exe
С недавнего времени начинают постепенно беспокоить тормоза системы, которые в последнее время становятся все выраженнее. Загрузка процессора 97 процентов, процентов 50-70 из которых - это один из svchost.exe... при этом сетевой трафик не наблюдается. Если одновременно включается рутинная проверка Касперского - работать на компе становится невозможно.. Прибить этот ресурсоемкий процесс svchost.exe иногда получается, иногда нет...
На компе стоит Windows XP Home Edition SP2, работа производится из-под аккаунта обычного пользователя. В качестве антивируса стоит KIS 6.0 с максимальными настройками (до недавнего времени это практически не напрягало - то есть комп даже с максимальными настройками не тормозил - теперь пришлось многие настройки КИСа оптимизировать).
Проверка CureIt дала следы вируса Win32.HLLW.Gavir.ini в виде _desktop.ini, самого тела вируса нигде не обнаружено. Касперский ничего не видит
Очень надеюсь на вашу помощь.
Последний раз редактировалось Hawker; 15.05.2007 в 21:28.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Многовато у вас неизвестных.
Выполнить лог в AVZ :
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\Programme\Logitech\SetPoint\lgscroll.dll','');
QuarantineFile('C:\WINDOWS\system32\winspool.drv','');
QuarantineFile('C:\WINDOWS\Installer\{AA11000A-C75E-487C-88FC-37AA1AACFB67}\ICON_Lingvo.exe','');
QuarantineFile('C:\WINDOWS\Installer\{AA11000A-C75E-487C-88FC-37AA1AACFB67}\ARPPRODUCTICON.exe','');
QuarantineFile('C:\LV11SL\ABBYY Lingvo 11 Six Languages.msi/{MS-OLE}/\75','');
QuarantineFile('C:\LV11SL\ABBYY Lingvo 11 Six Languages.msi/{MS-OLE}/\54','');
QuarantineFile('DkService.exe','');
QuarantineFile('ACPI.sys','');
QuarantineFile('\WINDOWS\system32\hal.dll','');
QuarantineFile('schedul2.exe','');
QuarantineFile('SAService.exe','');
QuarantineFile('LSSrvc.exe','');
RebootWindows(true);
end.
и прислать полученные файлы по правилам
Последний раз редактировалось drongo; 17.01.2007 в 15:11.
-
-
Ничего особенного в протоколах не заметил. Пусть посмотрят другие.
Видно только SiteAdvisor от McAfee. Не может ли он конфликтовать с KIS.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 66
Еще есть пара странностей - как я уже упоминал, CureIt нашел следы Win32.HLLW.Gavir.ini (http://info.drweb.com/show/2890/ru)в виде вирусной метки _desktop.ini, самое интересное что только в одной директории (насколько я помню - она просто была скачана с другого компьютера - на том компе уже давно стоит чистая система,я просто бэкапил нужную инфу с него) - почти все _desktop.ini были удалены, кроме двух - их я пытался удалить отложенным удалением через AVZ - они так и остались...
Вторая странность - Pinnacle Studio 10 при инсталляции установил так же Microsoft SQL Server, не указывая это явно при инсталляции продукта. Не знаю насколько он нужен Pinnacle, хотел проверить работоспособность программы без него, но убирая ключ "Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - C:\Programme\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe" в HijackThis, он появляется странным образом опять...
может есть какая то взаимосвязь с описанной мною проблемой?
карантинные файлы скоро вышлю...
-
Junior Member
- Вес репутации
- 66
Хм... после минут 10 загрузки вот что получил
Результат загрузки
Unknown error. File not uploaded
Может есть альтернативный вариант загрузки карантинных файлов?.. Архив получился 8 Мб
Последний раз редактировалось Hawker; 17.01.2007 в 18:16.
Причина: Дополнение
-
-
-
Junior Member
- Вес репутации
- 66
залил на альтернативный адрес:
http://webfile.ru/1285598
не запароленный файл так же показал virustotal.com:
Код HTML:
[ scan result ]
AntiVir 7.3.0.21/20070117 found nothing
Authentium 4.93.8/20070116 found nothing
Avast 4.7.936.0/20070117 found nothing
AVG 386/20070117 found nothing
BitDefender 7.2/20070117 found nothing
CAT-QuickHeal 9.00/20070117 found nothing
ClamAV devel-20060426/20070117 found nothing
DrWeb 4.33/20070117 found nothing
eSafe 7.0.14.0/20070117 found nothing
eTrust-InoculateIT 23.73.115/20070117 found nothing
eTrust-Vet 30.3.3332/20070117 found nothing
Ewido 4.0/20070117 found nothing
F-Prot 3.16f/20070116 found nothing
F-Prot4 4.2.1.29/20070116 found nothing
Fortinet 2.82.0.0/20070117 found [suspicious]
Ikarus T3.1.0.27/20070109 found nothing
Kaspersky 4.0.2.24/20070117 found nothing
McAfee 4941/20070117 found nothing
Microsoft 1.1904/20070117 found nothing
NOD32v2 1985/20070117 found nothing
Norman 5.80.02/20070117 found nothing
Panda 9.0.0.4/20070117 found nothing
Prevx1 V2/20070117 found nothing
Sophos 4.13.0/20070116 found nothing
Sunbelt 2.2.907.0/20070112 found [VIPRE.Suspicious]
TheHacker 6.0.3.148/20070114 found nothing
UNA 1.83/20070116 found nothing
VBA32 3.11.2/20070116 found nothing
VirusBuster 4.3.19:9/20070117 found nothing
[ notes ]
packers: embedded
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.
-
Junior Member
- Вес репутации
- 66
выяснил еще две интересные вещи: во первых сам по себе пропал звук, точнее он как бы есть (АсикьюРадио, например можно слушать или RealTek SoundManager - родная прога которая шла к матери - проигрывает сэмпл), зато система в настройках считает, что ничего нет, хотя в диспетчере устройств все девайсы видны и функционируют без ошибок и не идет ничего другого - Скайп, видеофайлы - все считают, что в системе нет звука...и это при том, что системные звуки слышны (например выскакивающее окошко Касперского о сетевой атаке Helkern)
Второй момент -если у иконки текущего соединения с Инетом (АДСЛ) в трее вызвать контекстного меню и попытаться или разорвать соединение или просмотреть его статус - ничего не происходит. Отключаться от Инета приходится выключая АДСЛмодем....
Ну и вышеупомянутая 100 процентная загрузка компа
-
Попробуем еще один заход.
Код:
O4 - HKLM\..\Run: [UMonit] C:\WINDOWS\System32\umonit.exe
Нужно запустить программу HijackThis,
запустить проверку системы, в открывшемся логе сканирования
поставить галочки напротив указанной выше строки и
нажать кнопку "Fix Checked".
Перезагрузиться
Попробовать в AVZ найти C:\WINDOWS\System32\umonit.exe, поместить в карантин и прислать на проверку.
О результатах доложить.
Странно, почему-то в логах AVZ этой программы не видно.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 66
самое интересное, что я именно эту прогу, методом научного тыка и изучив гугл, вчера из системной загрузки снес... сразу появился звук и все залетало... описанная проблема с ДСЛ соединением тоже исчезла... svchost.exe ни один из них не стал грузить систему.. все начало летать, как и раньше... буквально часов через 20 (я не отключал комп) ситуация начала повторяться хотя, справедливости ради, надо сказать, что указанные разбушевашийся svchost.exe теперь систему все равно так не грузит, а тепершние тормоза системы могли быть связаны,на мой взгляд, с перекачкой тяжелых файлов на другой комп по Wi-Fi..
umonit.exe я проверил через viruslist.com - чистый, но все равно пришлю..
а что с предыдущем карантином? там есть что то зловредное?
PS
Файл сохранён как 070119_052246_2007-01-19_45b0aa0676cd6.rar
Размер файла 17085
MD5 374b592ebac8edce00354484a327b298
Спасибо вам за ваше содействие
Последний раз редактировалось Hawker; 19.01.2007 в 14:33.
Причина: Дополнение
-
Junior Member
- Вес репутации
- 66
Первый раз вижу такое - написал мессагу , которая выше, качаю почту Батом и вдруг вылетает сообщение "Серверная часть Касперского выгружена" и значок становится соответственно сереньким.. вот перезапустил... Терзают меня смутные сомнения...
Самое обидное - AVZPM не ставится - система при загрузке уходит в стабильный БДОС 0*0..С2 BAD_POOL_CALLER... хотелось бы на скрытые процессы посмотреть...
-
Junior Member
- Вес репутации
- 66
Вот актуальные логи... Не углядел одну программу (не закрыл перед исследованием) Process Explorer рано радовался - процесс svchost.exe активничает дальше, хотя несколько меньше - теперь в пределах 30-50 процентов
Последний раз редактировалось Hawker; 15.05.2007 в 21:28.
-
Не вижу...
-
-
Junior Member
- Вес репутации
- 66
Подытожу итоги наблюдения - снос umonit.exe заметно пребавил активности системе, несколько уменьшив ( с 70 до 50) активность одного из svchost.exe. Из вновь замеченных глюков - описанное выше исчезновение "на ровном месте" звука и, с недавнего времени, проблемы компьютера с принтером, тоже, так сказать, на ровном месте, ибо всегда все работало... причем комп "видит" принтер - его статус - онлайн, оффлайн и т.д., но считает, что связи нет ;(
Следующий момент - система ощутимо тормозит, несмотря на то, что иногда диспетчере задач ни одной ресурсоемкой программы не видно, и загрузка процессора может быть всего 10 процентов... из чего делаю вывод о возможности присутствия чего то ресурсоемкого, но скрытого.... Установка в систему AVZPM к сожалению не удалась..
Наряду с тормозами (это было вообще единственное, что меня тревожило) системы, начали появляться всякие глюки системы (чего собственно никогда не было).
Прошелся еще RootkitReveal, насколько получилось ( ибо оба раза зависало это приложение), лог файл прилагаю... может кто-нибудь его может объяснить/прокомментировать?..
Последний раз редактировалось Hawker; 15.05.2007 в 21:28.
-
Junior Member
- Вес репутации
- 66
Стала повляться еще одна странность - отключается беспроводная мышь... такого с ней еще никогда не было.... просто странно все это - включаешь компьютер - вроде все нормально, начинаешь работать - исчезает звук, мышь, компьютер перестает видеть мышь...
-
Junior Member
- Вес репутации
- 66
Набрел на "интересный" сайт,в том числе про ботсети - http://cyberlords.net/
как бы узнать - есть бот в системе или нет? не зря же svchost.exe такой гиперактивный... Снес, кстати, SiteAdvisor - ничего не изменилось.. Причем последний очень сопротивлялся удалению, стандартным своим анинсталлом не захотел удаляться, а папку свою не давал снести...
-
Правильно ли я понимаю, что основная проблема - необъяснимая активность svchost.exe? Если да, то предлагаю сосредоточиться на проблеме, отступив от использования стандартного алгоритма (все равно из-за немецкой версии Windows почти все файлы отстутствуют в базе безопасных).
Предлагаю сначала в диспетчере задач запомнить идентификатор того svchost.exe, который нагружает систему. Потом в командной строке выполнить команду tasklist /svc, и найти строку с этим идентификатором процесса. Тогда будет видно, какие сервисы запущены именно этим svchost-ом, и можно будет сосредоточить свое внимание на них.
Еще, хоть это и не относится к основной проблеме, меня смущает Hard Drive Inspector. Он точно нужен и с ним все в порядке?
-
-
Junior Member
- Вес репутации
- 66
Сообщение от
RobinFood
Правильно ли я понимаю, что основная проблема - необъяснимая активность svchost.exe?
Думаю, что да... Основная проблема - тормозит комп, в этот же отрезок времени выявляется большая активность svchost.exe, который отжирает почти 2 Гб памяти.
Предлагаю сначала в диспетчере задач запомнить идентификатор того svchost.exe, который нагружает систему. Потом в командной строке выполнить команду
tasklist /svc, и найти строку с этим идентификатором процесса. Тогда будет видно, какие сервисы запущены именно этим svchost-ом, и можно будет сосредоточить свое внимание на них.
Windows Home Edition у меня, не пускается означенная команда... но сервисы видны из под Process Explorer
Еще, хоть это и не относится к основной проблеме, меня смущает
Hard Drive Inspector. Он точно нужен и с ним все в порядке?
Насколько он нужен - сложный вопрос.. на мой взгляд - да; контролирует СМАРТ параметры винтов и их температуру, дабы вовремя заметить их намечающуюся гибель... Точно ли с ним все в порядке - сказть не могу, функционирует как и всегда, без проблем, в диспетчере задач - сильно процессор не грузит - периодически что-то около 0,7 процента.. А с чем связан ваш вопрос?
Очень хочется вылечиться
-
Сообщение от
Hawker
но сервисы видны из под Process Explorer
Да уж, час от часу не легче Проблематично выбрать подозрительный сервис из почти трех десятков сервисов, тем более если их названия написаны на немецком. Вариант "в лоб" - останавливать перечисленные сервисы по одному и следить за тем, не исчезнет ли проблема.
Вариант "немножко получше" - то же самое, что и в лоб, но в первую очередь остановить сервисы Automatische Updates, Server и Windows-Zeutgeber - с большой вероятностью первый может проверять необходимость установки обновлений, второй может быть использован для удаленного подбора локальных паролей, а про третий до меня неоднократно доходили слухи, что его может заглючить, и тогда он непрерывно шлет запросы в интернет, пытаясь получить точное время.
Хотя, по идее, ни то, ни другое, ни третье не должно приводить к увеличению Virtual Size до 1,97 ГБ - я подозреваю, что оно бы и больше сожрало, но уперлось в двухгиговый лимит. Вот если бы сделать дамп памяти процесса и попытаться поискать в нем часто встречающиеся одинаковые или похожие куски... может быть, это и натолкнуло бы на мысль, но я пока плохо себе представляю, как это сделать.
Сообщение от
Hawker
Точно ли с ним все в порядке - сказть не могу, функционирует как и всегда, без проблем, в диспетчере задач - сильно процессор не грузит - периодически что-то около 0,7 процента.. А с чем связан ваш вопрос?
Меня смущает вот это
создан: 30.06.2006 04:22:38,
изменен: 08.07.2007 04:07:44
-
-
Junior Member
- Вес репутации
- 66
Сообщение от
RobinFood
Меня смущает вот это
создан: 30.06.2006 04:22:38,
изменен: 08.07.2007 04:07:44
И действительно - как то это некрасиво - снесу его пока для проверки... хотя сама программа из подобных ей мне очень нравится.
Кстати, снос SiteAdvisor ничего не изменил....
С остановкой сервисов поэксперементирую,о результатах доложу... Интересно, что мои проблемы появляются не сразу после включения компа... Скажем так - в пределах часа или даже более - все вроде бы нормально - нет загрузки, работается нормально. Через какое то время - активируется сабж и начинается все вышеописанное - пропадает звук, комп перестает видеть принтер, периодически отрубается мышь, интернет АДСЛ соединение в трее не позволяет себя закрыть ну и 100 процентная загрузка процессора...
Насчет дампа памяти - может подойдет который из AVZ - модули пространства ядра - дамп памяти модуля.... знать бы только какой
Спасибо вам за ваше содействие