Новый процесс svchost.exe время от времени неожиданно начинает потреблять от 1 до 2 Гб, пока я не убью его. Поиск в Google говорит, что он также регистрирует подозрительную активность на моем IP-адресе

[JJA]

3дравствуйте

У меня проблема.

Новый процесс svchost.exe время от времени неожиданно начинает потреблять от 1 до 2 Гб памяти, пока я не убью его.

Возможно, этот процесс может остановить себя через некоторое время. Я часто вижу сообщение о том, что у меня нехватка памяти, и я часто вижу характерные всплески памяти на графике, если оставить компьютер без присмотра.

Google говорит, что он также регистрирует подозрительную активность на моем IP-адресе. Часто. И запрашивает ввод CAPTURE.

В последнее время странные вещи происходят с памятью. Я мог одновременно запускать Skype, браузер и 3ds max. Но теперь даже один запущеннй 3ds max сбоит из-за нехватки памяти в тех же сценах, где он работал нормально раньше.

Я запускал ваш скрипт, когда этот странный svchost.exe не был активным. Это ошибка с моей стороны?

Спасибо за вашу помощь.

[Info_bot]

Уважаемый(ая) JJA, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[SQ]

Здравствуйте,

Сами прописывал прокси-сервер?

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = 54.160.108.87:3128 (disabled)

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

Код:

O2-32 - HKLM\..\BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - HKLM\..\Toolbar: avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - (no file)
O4 - MSConfig\startupreg: AdobeBridge [command] = (HKCU) (2018/07/30) (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\text/xml: [CLSID] = {807553E5-5146-11D5-A672-00B0D022E945} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\livecall: [CLSID] = {828030A1-22C1-4009-854F-8E305202313F} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\ms-help: [CLSID] = {314111C7-A502-11D2-BBCA-00C04F8EC294} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\msdaipp\0x00000001: [CLSID] = {E1D2BF42-A96B-11D1-9C6B-0000F875AC61} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\msdaipp\oledb: [CLSID] = {E1D2BF40-A96B-11D1-9C6B-0000F875AC61} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\msnim: [CLSID] = {828030A1-22C1-4009-854F-8E305202313F} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\mso-offdap11: [CLSID] = {32505114-5902-49B2-880A-1F7738E5A384} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00avast: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

- Подготовьте лог AdwCleaner и приложите его в теме.

[JJA]

Большое спасибо за инструкции и помощь. Есть вероятность что прокси давным-давно прописывал сам, но не вспомнить когда и зачем. Точно могу сказать что не пользуюсь ими в повседневной жизни и эксплорером тоже.

Пофиксил. Лог AdwCleaner прикрепляю.

[SQ]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[JJA]

Готово. Отметил все.

[SQ]

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[JJA]

Сделано. Защита электронной почты Avira прекратила работу с тех пор, как мы начали эти действия по исправлению. Я не могу включить ee. Это связано или совпадение?

[SQ]

Насколько я вижу предыдущие логи мы не затрагивали комопненты антивируса AVira.

Удалите пожалуйста остатки антивруса Avast

Зднакома ли Вам следующая настройка в FireFox?

Код:

FF NetworkProxy: Mozilla\Firefox\Profiles\37dm9bq2.default-1456420097356 -> autoconfig_url", "data:text/plain, function FindProxyForURL(url, host) {if(isInNet(host, '192.168.0.0', '255.255.0.0')) return 'DIRECT'; \nif(host == 'us1-base.cd-n.net') return 'DIRECT'; \nif(host == 'us2-base.cd-n.net') return 'DIRECT'; \nif(host == 'us3-base.cd-n.net') return 'DIRECT'; \nif(host == 'jp1-base.cd-n.net') return 'DIRECT'; \nif(host == 'de-base.cd-n.net') return 'DIRECT'; \nif(host == 'au1-base.cd-n.net') return 'DIRECT'; \nif(host == 'ir1-base.cd-n.net') return 'DIRECT'; \nif(host == 'sg1-base.cd-n.net') return 'DIRECT'; \nif(host == 'kr1-base.cd-n.net') return 'DIRECT'; \nif(host == 'us0-base.cd-n.net') return 'DIRECT'; \nif(host == '127.0.0.1') return 'DIRECT'; \nif(host == 'localhost') return 'DIRECT'; \nif(host == 'us1-base.cd-n.net') return 'DIRECT'; \nreturn 'HTTPS host-45-32-248-127-jp.trlone.com:443';}"

Замечен у Вас еще антиврус Norton, сколько у Вас антивирусов в системе? Рекомендуется использовать только один, иначе каждый из антивирусов будет конфликтовать с другим.

Код:

S2 Norton Internet Security; "C:\Program Files (x86)\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe" /s "Norton Internet Security" /m "C:\Program Files (x86)\Norton Internet Security\Engine\16.0.0.125\diMaster.dll" /prefetch:1

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  File: C:\Program Files (x86)\SMINST\BLService.exe
  File: C:\Program Files\Autodesk\3ds Max Design 2014\NVIDIA\Satellite\raysat_3dsmax2014_64server.exe
  BHO: avast! Online Security -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll => No File
  Handler: msdaipp - No CLSID Value
  FF Plugin-x32: @wacom.com/wtPlugin,version=2.1.0.3 -> C:\Program Files (x86)\TabletPlugins\npWacomTabletPlugin.dll [No File]
  FF Plugin-x32: @wacom.com/wtPlugin,version=2.1.0.7 -> C:\Program Files (x86)\TabletPlugins\npWacomTabletPlugin.dll [No File]
  FF Plugin-x32: wacom.com/WacomTabletPlugin -> C:\Program Files (x86)\TabletPlugins\npWacomTabletPlugin.dll [No File]
  U0 aswVmm; no ImagePath
  U4 eabfiltr; no ImagePath
  2016-03-14 01:46 - 2016-03-14 01:46 - 000000016 ____H () C:\Program Files (x86)\Common Files\cld1-astg
  2016-03-13 23:07 - 2016-03-13 23:07 - 000000016 ____H () C:\Program Files (x86)\Common Files\dw1-astg
  2016-03-14 00:15 - 2016-03-14 00:15 - 000000016 ____H () C:\Program Files (x86)\Common Files\dys1-astg
  2016-03-13 23:32 - 2016-03-13 23:32 - 000000016 ____H () C:\Program Files (x86)\Common Files\ins1-astg
  2016-03-14 01:47 - 2016-03-14 01:47 - 000000016 ____H () C:\Program Files (x86)\Common Files\mir1-astg
  2016-03-13 22:28 - 2016-03-13 22:28 - 000000016 ____H () C:\Program Files (x86)\Common Files\pcs2-astg
  2016-03-13 23:40 - 2016-03-13 23:40 - 000000016 ____H () C:\Program Files (x86)\Common Files\vs1-astg
  2016-03-14 01:27 - 2016-03-14 01:27 - 000000016 ____H () C:\Program Files (x86)\Common Files\ws1-astg
  ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
  HKLM\...\cmdfile\DefaultIcon: %SystemRoot%\System32\shell32.dll,-153 <==== ATTENTION
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[JJA]

Еще раз большое спасибо за рекомендации.

Удалите пожалуйста остатки антивруса Avast

Сделано.

Зднакома ли Вам следующая настройка в FireFox?

Похоже ее прописывает плагин лисы для прокси Hoxx VPN Proxy. Удаляю эту строку из настроек, но после его активации все возвращается.

По поводу антивирусов. Norton шел предустановленным к ноутбуку и был сразу же удален. Видимо это его остатки. Постоянно активен Avira, а Malwarebytes иногда запускается вручную.

Запрошенный файл во вложении. Я вспомнил еще один момент. Время от времени переключение языков ввода стало отключаться совсем, и до следующей перезагрузки. Не знаю важно ли это.

[SQ]

По поводу антивирусов. Norton шел предустановленным к ноутбуку и был сразу же удален. Видимо это его остатки.

Пробуйте удалить остатки Norton.

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

[JJA]

Нортон почистил, спасибо. К сожалению я превысил лимит для вложений, так что загрузил в облако.

https://cloud.mail.ru/public/KvoP/cH338EsZg

[SQ]

Выполните скрипт в uVS:

Код:

;uVS v4.0.11 [http://dsrt.dyndns.org]
;Target OS: NTv6.0
v400c
OFFSGNSAVE
BREG
zoo %SystemDrive%\PROGRAM FILES\DASSAULT SYSTEMES\DS LICENSE SERVER\WIN_B64\CODE\BIN\DSLICSRV.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
restart

[JJA]

Сделано. Я правильно понял что нужно папку ZOO архивировать и отправить сюда?

[SQ]

Не все ок, отправили в карантин, куда необходимо. Отправил карантин на исследование, но возможно это ложное срабатывание у сторонних антивирусов.

Сообщите, что с проблемой?

[JJA]

Хорошо, спасибо большое. За памятью и гуглом понаблюдаю какое-то время чтобы понять исчезла проблема или нет. Не сразу проявляется, особенно тревожные сообщения гугла.

[SQ]

Пришел ответ, файл не предоствляет угрозы. По наблюдайте и сообщите если проблема решилась.

[JJA]

Здравствуйте. Рад что файл чистый.

К сожалению скачки потребления памяти у svchost.exe и предупреждения гугла о подозрительной активности никуда не делись. Возможно ли что пики потребления памяти вызваны службой обновления windows? Я замечаю Trustedinstaller.exe работающий когда начинается жор памяти.

Еще вспомнил одну вещь. При работе торрент-клиента Avira выдает сообщение: The adapter "Беспроводное соединение" is ICMP flooded. В интернете читал не обращать на него внимания, но может это важно.

[SQ]

Скорее всего Windows Update, пробуйте временно отключить обновления и понаблюдать.

[CyberHelper]

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

• =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
• =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 2
• =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=
  =E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB =E2 =EA=E0=F0=E0=ED=F2=E8=ED=E0=F5 =ED=
  =E5 =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB