Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 31.

Разбушевавшийся svchost.exe (заявка № 7533)

  1. #1
    Junior Member Репутация
    Регистрация
    05.05.2006
    Адрес
    Германия
    Сообщений
    43
    Вес репутации
    66

    Question Разбушевавшийся svchost.exe

    С недавнего времени начинают постепенно беспокоить тормоза системы, которые в последнее время становятся все выраженнее. Загрузка процессора 97 процентов, процентов 50-70 из которых - это один из svchost.exe... при этом сетевой трафик не наблюдается. Если одновременно включается рутинная проверка Касперского - работать на компе становится невозможно.. Прибить этот ресурсоемкий процесс svchost.exe иногда получается, иногда нет...
    На компе стоит Windows XP Home Edition SP2, работа производится из-под аккаунта обычного пользователя. В качестве антивируса стоит KIS 6.0 с максимальными настройками (до недавнего времени это практически не напрягало - то есть комп даже с максимальными настройками не тормозил - теперь пришлось многие настройки КИСа оптимизировать).
    Проверка CureIt дала следы вируса Win32.HLLW.Gavir.ini в виде _desktop.ini, самого тела вируса нигде не обнаружено. Касперский ничего не видит
    Очень надеюсь на вашу помощь.
    Последний раз редактировалось Hawker; 15.05.2007 в 21:28.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Многовато у вас неизвестных.
    Выполнить лог в AVZ :

    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
      QuarantineFile('C:\Programme\Logitech\SetPoint\lgscroll.dll','');
     QuarantineFile('C:\WINDOWS\system32\winspool.drv','');
     QuarantineFile('C:\WINDOWS\Installer\{AA11000A-C75E-487C-88FC-37AA1AACFB67}\ICON_Lingvo.exe','');
     QuarantineFile('C:\WINDOWS\Installer\{AA11000A-C75E-487C-88FC-37AA1AACFB67}\ARPPRODUCTICON.exe','');
     QuarantineFile('C:\LV11SL\ABBYY Lingvo 11 Six Languages.msi/{MS-OLE}/\75','');
     QuarantineFile('C:\LV11SL\ABBYY Lingvo 11 Six Languages.msi/{MS-OLE}/\54',''); 
     QuarantineFile('DkService.exe','');
     QuarantineFile('ACPI.sys','');
     QuarantineFile('\WINDOWS\system32\hal.dll','');
     QuarantineFile('schedul2.exe','');
     QuarantineFile('SAService.exe','');
     QuarantineFile('LSSrvc.exe','');
    RebootWindows(true);
    end.
    и прислать полученные файлы по правилам
    Последний раз редактировалось drongo; 17.01.2007 в 15:11.

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Ничего особенного в протоколах не заметил. Пусть посмотрят другие.

    Видно только SiteAdvisor от McAfee. Не может ли он конфликтовать с KIS.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  5. #4
    Junior Member Репутация
    Регистрация
    05.05.2006
    Адрес
    Германия
    Сообщений
    43
    Вес репутации
    66
    Еще есть пара странностей - как я уже упоминал, CureIt нашел следы Win32.HLLW.Gavir.ini (http://info.drweb.com/show/2890/ru)в виде вирусной метки _desktop.ini, самое интересное что только в одной директории (насколько я помню - она просто была скачана с другого компьютера - на том компе уже давно стоит чистая система,я просто бэкапил нужную инфу с него) - почти все _desktop.ini были удалены, кроме двух - их я пытался удалить отложенным удалением через AVZ - они так и остались...
    Вторая странность - Pinnacle Studio 10 при инсталляции установил так же Microsoft SQL Server, не указывая это явно при инсталляции продукта. Не знаю насколько он нужен Pinnacle, хотел проверить работоспособность программы без него, но убирая ключ "Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - C:\Programme\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe" в HijackThis, он появляется странным образом опять...
    может есть какая то взаимосвязь с описанной мною проблемой?
    карантинные файлы скоро вышлю...

  6. #5
    Junior Member Репутация
    Регистрация
    05.05.2006
    Адрес
    Германия
    Сообщений
    43
    Вес репутации
    66
    Хм... после минут 10 загрузки вот что получил
    Результат загрузки
    Unknown error. File not uploaded
    Может есть альтернативный вариант загрузки карантинных файлов?.. Архив получился 8 Мб
    Последний раз редактировалось Hawker; 17.01.2007 в 18:16. Причина: Дополнение

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2292

  8. #7
    Junior Member Репутация
    Регистрация
    05.05.2006
    Адрес
    Германия
    Сообщений
    43
    Вес репутации
    66
    залил на альтернативный адрес:
    http://webfile.ru/1285598
    не запароленный файл так же показал virustotal.com:
    Код HTML:
    [ scan result ]
     AntiVir        7.3.0.21/20070117       found nothing
    Authentium      4.93.8/20070116 found nothing
    Avast   4.7.936.0/20070117      found nothing
    AVG     386/20070117    found nothing
    BitDefender     7.2/20070117    found nothing
    CAT-QuickHeal   9.00/20070117   found nothing
    ClamAV  devel-20060426/20070117 found nothing
    DrWeb   4.33/20070117   found nothing
    eSafe   7.0.14.0/20070117       found nothing
    eTrust-InoculateIT      23.73.115/20070117      found nothing
    eTrust-Vet      30.3.3332/20070117      found nothing
    Ewido   4.0/20070117    found nothing
    F-Prot  3.16f/20070116  found nothing
    F-Prot4 4.2.1.29/20070116       found nothing
    Fortinet        2.82.0.0/20070117       found [suspicious]
    Ikarus  T3.1.0.27/20070109      found nothing
    Kaspersky       4.0.2.24/20070117       found nothing
    McAfee  4941/20070117   found nothing
    Microsoft       1.1904/20070117 found nothing
    NOD32v2 1985/20070117   found nothing
    Norman  5.80.02/20070117        found nothing
    Panda   9.0.0.4/20070117        found nothing
    Prevx1  V2/20070117     found nothing
    Sophos  4.13.0/20070116 found nothing
    Sunbelt 2.2.907.0/20070112      found [VIPRE.Suspicious]
    TheHacker       6.0.3.148/20070114      found nothing
    UNA     1.83/20070116   found nothing
    VBA32   3.11.2/20070116 found nothing
    VirusBuster     4.3.19:9/20070117       found nothing
    
    [ notes ]
    packers: embedded
    Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

  9. #8
    Junior Member Репутация
    Регистрация
    05.05.2006
    Адрес
    Германия
    Сообщений
    43
    Вес репутации
    66
    выяснил еще две интересные вещи: во первых сам по себе пропал звук, точнее он как бы есть (АсикьюРадио, например можно слушать или RealTek SoundManager - родная прога которая шла к матери - проигрывает сэмпл), зато система в настройках считает, что ничего нет, хотя в диспетчере устройств все девайсы видны и функционируют без ошибок и не идет ничего другого - Скайп, видеофайлы - все считают, что в системе нет звука...и это при том, что системные звуки слышны (например выскакивающее окошко Касперского о сетевой атаке Helkern)
    Второй момент -если у иконки текущего соединения с Инетом (АДСЛ) в трее вызвать контекстного меню и попытаться или разорвать соединение или просмотреть его статус - ничего не происходит. Отключаться от Инета приходится выключая АДСЛмодем....
    Ну и вышеупомянутая 100 процентная загрузка компа

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Попробуем еще один заход.
    Код:
    O4 - HKLM\..\Run: [UMonit] C:\WINDOWS\System32\umonit.exe
    Нужно запустить программу HijackThis,
    запустить проверку системы, в открывшемся логе сканирования
    поставить галочки напротив указанной выше строки и
    нажать кнопку "Fix Checked".
    Перезагрузиться
    Попробовать в AVZ найти C:\WINDOWS\System32\umonit.exe, поместить в карантин и прислать на проверку.
    О результатах доложить.
    Странно, почему-то в логах AVZ этой программы не видно.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    05.05.2006
    Адрес
    Германия
    Сообщений
    43
    Вес репутации
    66
    самое интересное, что я именно эту прогу, методом научного тыка и изучив гугл, вчера из системной загрузки снес... сразу появился звук и все залетало... описанная проблема с ДСЛ соединением тоже исчезла... svchost.exe ни один из них не стал грузить систему.. все начало летать, как и раньше... буквально часов через 20 (я не отключал комп) ситуация начала повторяться хотя, справедливости ради, надо сказать, что указанные разбушевашийся svchost.exe теперь систему все равно так не грузит, а тепершние тормоза системы могли быть связаны,на мой взгляд, с перекачкой тяжелых файлов на другой комп по Wi-Fi..
    umonit.exe я проверил через viruslist.com - чистый, но все равно пришлю..
    а что с предыдущем карантином? там есть что то зловредное?

    PS
    Файл сохранён как 070119_052246_2007-01-19_45b0aa0676cd6.rar
    Размер файла 17085
    MD5 374b592ebac8edce00354484a327b298

    Спасибо вам за ваше содействие
    Последний раз редактировалось Hawker; 19.01.2007 в 14:33. Причина: Дополнение

  12. #11
    Junior Member Репутация
    Регистрация
    05.05.2006
    Адрес
    Германия
    Сообщений
    43
    Вес репутации
    66
    Первый раз вижу такое - написал мессагу , которая выше, качаю почту Батом и вдруг вылетает сообщение "Серверная часть Касперского выгружена" и значок становится соответственно сереньким.. вот перезапустил... Терзают меня смутные сомнения...
    Самое обидное - AVZPM не ставится - система при загрузке уходит в стабильный БДОС 0*0..С2 BAD_POOL_CALLER... хотелось бы на скрытые процессы посмотреть...

  13. #12
    Junior Member Репутация
    Регистрация
    05.05.2006
    Адрес
    Германия
    Сообщений
    43
    Вес репутации
    66
    Вот актуальные логи... Не углядел одну программу (не закрыл перед исследованием) Process Explorer рано радовался - процесс svchost.exe активничает дальше, хотя несколько меньше - теперь в пределах 30-50 процентов
    Последний раз редактировалось Hawker; 15.05.2007 в 21:28.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Не вижу...

  15. #14
    Junior Member Репутация
    Регистрация
    05.05.2006
    Адрес
    Германия
    Сообщений
    43
    Вес репутации
    66
    Подытожу итоги наблюдения - снос umonit.exe заметно пребавил активности системе, несколько уменьшив ( с 70 до 50) активность одного из svchost.exe. Из вновь замеченных глюков - описанное выше исчезновение "на ровном месте" звука и, с недавнего времени, проблемы компьютера с принтером, тоже, так сказать, на ровном месте, ибо всегда все работало... причем комп "видит" принтер - его статус - онлайн, оффлайн и т.д., но считает, что связи нет ;(
    Следующий момент - система ощутимо тормозит, несмотря на то, что иногда диспетчере задач ни одной ресурсоемкой программы не видно, и загрузка процессора может быть всего 10 процентов... из чего делаю вывод о возможности присутствия чего то ресурсоемкого, но скрытого.... Установка в систему AVZPM к сожалению не удалась..
    Наряду с тормозами (это было вообще единственное, что меня тревожило) системы, начали появляться всякие глюки системы (чего собственно никогда не было).
    Прошелся еще RootkitReveal, насколько получилось ( ибо оба раза зависало это приложение), лог файл прилагаю... может кто-нибудь его может объяснить/прокомментировать?..
    Последний раз редактировалось Hawker; 15.05.2007 в 21:28.

  16. #15
    Junior Member Репутация
    Регистрация
    05.05.2006
    Адрес
    Германия
    Сообщений
    43
    Вес репутации
    66
    Стала повляться еще одна странность - отключается беспроводная мышь... такого с ней еще никогда не было.... просто странно все это - включаешь компьютер - вроде все нормально, начинаешь работать - исчезает звук, мышь, компьютер перестает видеть мышь...

  17. #16
    Junior Member Репутация
    Регистрация
    05.05.2006
    Адрес
    Германия
    Сообщений
    43
    Вес репутации
    66
    Набрел на "интересный" сайт,в том числе про ботсети - http://cyberlords.net/
    как бы узнать - есть бот в системе или нет? не зря же svchost.exe такой гиперактивный... Снес, кстати, SiteAdvisor - ничего не изменилось.. Причем последний очень сопротивлялся удалению, стандартным своим анинсталлом не захотел удаляться, а папку свою не давал снести...

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация
    Регистрация
    08.04.2005
    Сообщений
    129
    Вес репутации
    73
    Правильно ли я понимаю, что основная проблема - необъяснимая активность svchost.exe? Если да, то предлагаю сосредоточиться на проблеме, отступив от использования стандартного алгоритма (все равно из-за немецкой версии Windows почти все файлы отстутствуют в базе безопасных).

    Предлагаю сначала в диспетчере задач запомнить идентификатор того svchost.exe, который нагружает систему. Потом в командной строке выполнить команду tasklist /svc, и найти строку с этим идентификатором процесса. Тогда будет видно, какие сервисы запущены именно этим svchost-ом, и можно будет сосредоточить свое внимание на них.

    Еще, хоть это и не относится к основной проблеме, меня смущает Hard Drive Inspector. Он точно нужен и с ним все в порядке?

  19. #18
    Junior Member Репутация
    Регистрация
    05.05.2006
    Адрес
    Германия
    Сообщений
    43
    Вес репутации
    66
    Цитата Сообщение от RobinFood Посмотреть сообщение
    Правильно ли я понимаю, что основная проблема - необъяснимая активность svchost.exe?
    Думаю, что да... Основная проблема - тормозит комп, в этот же отрезок времени выявляется большая активность svchost.exe, который отжирает почти 2 Гб памяти.
    Предлагаю сначала в диспетчере задач запомнить идентификатор того svchost.exe, который нагружает систему. Потом в командной строке выполнить команду tasklist /svc, и найти строку с этим идентификатором процесса. Тогда будет видно, какие сервисы запущены именно этим svchost-ом, и можно будет сосредоточить свое внимание на них.
    Windows Home Edition у меня, не пускается означенная команда... но сервисы видны из под Process Explorer


    Еще, хоть это и не относится к основной проблеме, меня смущает Hard Drive Inspector. Он точно нужен и с ним все в порядке?
    Насколько он нужен - сложный вопрос.. на мой взгляд - да; контролирует СМАРТ параметры винтов и их температуру, дабы вовремя заметить их намечающуюся гибель... Точно ли с ним все в порядке - сказть не могу, функционирует как и всегда, без проблем, в диспетчере задач - сильно процессор не грузит - периодически что-то около 0,7 процента.. А с чем связан ваш вопрос?
    Очень хочется вылечиться

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация
    Регистрация
    08.04.2005
    Сообщений
    129
    Вес репутации
    73
    Цитата Сообщение от Hawker Посмотреть сообщение
    но сервисы видны из под Process Explorer
    Да уж, час от часу не легче Проблематично выбрать подозрительный сервис из почти трех десятков сервисов, тем более если их названия написаны на немецком. Вариант "в лоб" - останавливать перечисленные сервисы по одному и следить за тем, не исчезнет ли проблема.

    Вариант "немножко получше" - то же самое, что и в лоб, но в первую очередь остановить сервисы Automatische Updates, Server и Windows-Zeutgeber - с большой вероятностью первый может проверять необходимость установки обновлений, второй может быть использован для удаленного подбора локальных паролей, а про третий до меня неоднократно доходили слухи, что его может заглючить, и тогда он непрерывно шлет запросы в интернет, пытаясь получить точное время.

    Хотя, по идее, ни то, ни другое, ни третье не должно приводить к увеличению Virtual Size до 1,97 ГБ - я подозреваю, что оно бы и больше сожрало, но уперлось в двухгиговый лимит. Вот если бы сделать дамп памяти процесса и попытаться поискать в нем часто встречающиеся одинаковые или похожие куски... может быть, это и натолкнуло бы на мысль, но я пока плохо себе представляю, как это сделать.

    Цитата Сообщение от Hawker Посмотреть сообщение
    Точно ли с ним все в порядке - сказть не могу, функционирует как и всегда, без проблем, в диспетчере задач - сильно процессор не грузит - периодически что-то около 0,7 процента.. А с чем связан ваш вопрос?
    Меня смущает вот это
    создан: 30.06.2006 04:22:38,
    изменен: 08.07.2007 04:07:44

  21. #20
    Junior Member Репутация
    Регистрация
    05.05.2006
    Адрес
    Германия
    Сообщений
    43
    Вес репутации
    66
    Цитата Сообщение от RobinFood Посмотреть сообщение
    Меня смущает вот это

    создан: 30.06.2006 04:22:38,
    изменен: 08.07.2007 04:07:44
    И действительно - как то это некрасиво - снесу его пока для проверки... хотя сама программа из подобных ей мне очень нравится.
    Кстати, снос SiteAdvisor ничего не изменил....
    С остановкой сервисов поэксперементирую,о результатах доложу... Интересно, что мои проблемы появляются не сразу после включения компа... Скажем так - в пределах часа или даже более - все вроде бы нормально - нет загрузки, работается нормально. Через какое то время - активируется сабж и начинается все вышеописанное - пропадает звук, комп перестает видеть принтер, периодически отрубается мышь, интернет АДСЛ соединение в трее не позволяет себя закрыть ну и 100 процентная загрузка процессора...
    Насчет дампа памяти - может подойдет который из AVZ - модули пространства ядра - дамп памяти модуля.... знать бы только какой

    Спасибо вам за ваше содействие

  • Уважаемый(ая) Hawker, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Trojan-PSW.Win32.Agent.mzh в svchost.exe/svchost.exe
      От Geonov в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 09.09.2009, 18:51
    2. Ответов: 6
      Последнее сообщение: 30.06.2009, 21:22
    3. Ответов: 11
      Последнее сообщение: 22.02.2009, 06:47
    4. Help! Маскировка процесса "svchost.exe" \HarddiskVolume1\~\svchost.exe
      От Кабанчик в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 03:03
    5. svchost.exe
      От Fantastish в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 08.01.2009, 20:57

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01086 seconds with 19 queries