Skocz do zawartości
Zamknięcie Forum PC LAB

Szanowny Użytkowniku,

Informujemy, że za 30 dni tj. 30 listopada 2024 r. serwis internetowy Forum PC LAB zostanie zamknięty.

Administrator Serwisu Forum PC LAB - Ringier Axel Springer Polska sp. z o.o. z siedzibą w Warszawie: wypowiada całość usług Serwisu Forum PC LAB z zachowaniem miesięcznego okresu wypowiedzenia.

Administrator Serwisu Forum PC LAB informuje, że:

  1. Z dniem 29 listopada 2024 r. zakończy się świadczenie wszystkich usług Serwisu Forum PC LAB. Ważną przyczyną uzasadniającą wypowiedzenie jest zamknięcie Serwisu Forum PC LAB
  2. Dotychczas zamowione przez Użytkownika usługi Serwisu Forum PC LAB będą świadczone w okresie wypowiedzenia tj. do dnia 29 listopada 2024 r.
  3. Po ogłoszeniu zamknięcia Serwisu Forum od dnia 30 października 2024 r. zakładanie nowych kont w serwisie Forum PC LAB nie będzie możliwe
  4. Wraz z zamknięciem Serwisu Forum PC LAB, tj. dnia 29 listopada 2024 r. nie będzie już dostępny katalog treści Forum PC LAB. Do tego czasu Użytkownicy Forum PC LAB mają dostęp do swoich treści w zakładce "Profil", gdzie mają możliwość ich skopiowania lub archiwizowania w formie screenshotów.
  5. Administrator danych osobowych Użytkowników - Ringier Axel Springer Polska sp. z o.o. z siedzibą w Warszawie zapewnia realizację praw podmiotów danych osobowych przez cały okres świadczenia usług Serwisu Forum PC LAB. Szczegółowe informacje znajdziesz w Polityce Prywatności

Administrator informuje, iż wraz z zamknięciem Serwisu Forum PC LAB, dane osobowe Użytkowników Serwisu Forum PC LAB zostaną trwale usunięte ze względu na brak podstawy ich dalszego przetwarzania. Proces trwałego usuwania danych z kopii zapasowych może przekroczyć termin zamknięcia Forum PC LAB o kilka miesięcy. Wyjątek może stanowić przetwarzanie danych użytkownika do czasu zakończenia toczących się postepowań.

Maniek_wr

Svchost.exe zabiera prawie 100% CPU i dużo Ram.

dodany przez Maniek_wr, w Internet, sieci i bezpieczeństwo

Rekomendowane odpowiedzi

Maniek_wr    0

Maniek_wr
Napisano

WItam

Prawdopodobnie posiadam jakieś rootkity, bo svchost zabiera mi na 3 wątkach po 100 procent CPU i duużo RAM.

Możecie rzucić okiem na logi i skriny? Dodam iż, gdy startuję GMER wyskakuje komunikat o rootkitach i  po jakiiejś minucie następuje bluscreen i restart.

FRST http://www.wklejto.pl/912735
Addition http://www.wklejto.pl/912736
Shortcut http://www.wklejto.pl/912737

Skriny:

https://ibb.co/mqB3RPz
https://ibb.co/vY9kMpF
https://ibb.co/jwv4RjP
https://ibb.co/rGS76WT

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Gość   

Gość
Napisano (edytowane)

Zaraz sprawdzę logi... GMER się nie nadaje do używania na win10.

Jest infekcja. Uruchom FRST a następnie (poprzez skrót klawiszowy CTRL + Y) otwórz notatnik systemowy. Wklej w nim poniższą zawartość:

Cytat

CloseProcesses:
FirewallRules: [TCP Query User{4CA66790-567E-4383-97B1-7D2689F06B23}C:\program files\java\jre1.8.0_291\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_291\bin\javaw.exe => Brak pliku
FirewallRules: [UDP Query User{11D51175-2D27-46A7-AE89-4C64F869BD43}C:\program files\java\jre1.8.0_291\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_291\bin\javaw.exe => Brak pliku
FirewallRules: [TCP Query User{24C8A0FD-A217-4EA3-8B19-783488F3497F}C:\Users\CXMKJI34XZ\AppData\Local\InstallShield\instsh.exe] => (Allow) C:\Users\CXMKJI34XZ\AppData\Local\InstallShield\instsh_x64.exe => Brak pliku
FirewallRules: [TCP Query User{24C8A0FD-A217-4EA3-8B19-783488F3497F}C:\Users\CXMKJI34XZ\AppData\Local\InstallShield\instsh_x86.exe] => (Allow) C:\Users\CXMKJI34XZ\AppData\Local\InstallShield\instsh_x86.exe => Brak pliku
FirewallRules: [UDP Query User{EFB7E5A6-6DC9-4DDD-9DE9-55C359633320}C:\users\konstantin\appdata\local\installshield\instsh_x86.exe] => (Allow) C:\Users\CXMKJI34XZ\AppData\Local\InstallShield\instsh_x86.exe => Brak pliku
FirewallRules: [UDP Query User{EFB7E5A6-6DC9-4DDD-9DE9-55C359633320}C:\users\konstantin\appdata\local\installshield\instsh_x64.exe] => (Allow) C:\Users\CXMKJI34XZ\AppData\Local\InstallShield\instsh_x64.exe => Brak pliku
FirewallRules: [TCP Query User{D76FAB6C-6897-4801-9C60-02C946154FF5}C:\games\survivingtheaftermath\aftermath64.exe] => (Allow) C:\games\survivingtheaftermath\aftermath64.exe => Brak pliku
FirewallRules: [UDP Query User{4094A9D6-6378-4C13-A50C-F38DD909CC0F}C:\games\survivingtheaftermath\aftermath64.exe] => (Allow) C:\games\survivingtheaftermath\aftermath64.exe => Brak pliku
FirewallRules: [TCP Query User{824F9EEE-AA96-41E2-98E7-3B2BAE564D4D}C:\users\cxmkji34xz\appdata\local\temp\rar$exa2772.9331\when ski lifts go wrong\when ski lifts go wrong.exe] => (Block) C:\users\cxmkji34xz\appdata\local\temp\rar$exa2772.9331\when ski lifts go wrong\when ski lifts go wrong.exe => Brak pliku
FirewallRules: [UDP Query User{D7B7B844-D1E4-4F83-ABBA-CD7E4BA46F77}C:\users\cxmkji34xz\appdata\local\temp\rar$exa2772.9331\when ski lifts go wrong\when ski lifts go wrong.exe] => (Block) C:\users\cxmkji34xz\appdata\local\temp\rar$exa2772.9331\when ski lifts go wrong\when ski lifts go wrong.exe => Brak pliku
FirewallRules: [{E1B0BA1B-E1E8-40EA-9BDD-50760EFD87F9}] => (Allow) C:\Program Files (x86)\CheckPoint\ZoneAlarm\vsmon.exe => Brak pliku
FirewallRules: [{71E5E9F7-86C6-46E0-847C-C31A5DF1FEFC}] => (Allow) C:\Program Files (x86)\CheckPoint\ZoneAlarm\vsmon.exe => Brak pliku
FirewallRules: [{276DBE84-E584-4C8C-AD76-27F924400F57}] => (Allow) C:\Program Files (x86)\CheckPoint\ZoneAlarm\vsmon.exe => Brak pliku
FirewallRules: [{BCF11D91-09FA-43D6-B5B8-7604F6F64B78}] => (Allow) C:\Program Files (x86)\CheckPoint\ZoneAlarm\vsmon.exe => Brak pliku
(Microsoft Corporation) [Brak podpisu cyfrowego] C:\Users\CXMKJI34XZ\AppData\Roaming\System32\svchost.exe
C:\Users\CXMKJI34XZ\AppData\Roaming\System32
HKU\S-1-5-21-2910795722-655398828-610715120-1001\...\Run: [InstMP_Service] => C:\Users\CXMKJI34XZ\AppData\Local\InstallShield\InstMP.exe
C:\Users\CXMKJI34XZ\AppData\Local\InstallShield\InstMP.exe
GroupPolicy: Ograniczenia ? <==== UWAGA
Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
EmptyTemp:

Poprzez skrót klawiszowy CTRL + S (albo przez Plik -> Zapisz) zapisz zmiany w notatniku a następnie w FRST kliknij na Napraw. Na zakończenie naprawy FRST poprosi o restart systemu.

Edytowane przez Gość

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Maniek_wr    0

Maniek_wr
Napisano

Jak się nazywała infekcja, którą miałem, poczytam o niej i postaram się więcej jej nie załapać oraz co, zamiast GMER na Win10? Czy wystarczy sam FRST do sprawdzania?

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Galvatron    193

Galvatron
Napisano (edytowane)

Jak nie chcesz łapać infekcji, to przede wszystkim aktualizuj system na bieżąco, używaj dobrego antywirusa (polecam Avasta), a także unikaj pirackich gier i programów.

Ja tak robię i nie mam problemów ze złośliwymi programami.

Edytowane przez Galvatron
  • Thanks 1

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Gość   

Gość
Napisano (edytowane)

Sam FRST do wykonania logów systemowych. Infekcja to koparka krypto uruchamiająca szkodliwe procesy w autostarcie:

Cytat

(Microsoft Corporation) [Brak podpisu cyfrowego] C:\Users\CXMKJI34XZ\AppData\Roaming\System32\svchost.exe
HKU\S-1-5-21-2910795722-655398828-610715120-1001\...\Run: [InstMP_Service] => C:\Users\CXMKJI34XZ\AppData\Local\InstallShield\InstMP.exe

 

Edytowane przez Gość

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Galvatron    193

Galvatron
Napisano

Masz zaktualizowany system i zainstalowanego antywirusa? Jesli tak, to jakiego?

Jak wygląda u Ciebie sprawa z piratami, które mogą być źródłem infekcji?

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Maniek_wr    0

Maniek_wr
Napisano (edytowane)

System się sam aktualizuje i używam WIndows Defendera i przyznaję, że ta infekcja, to może być moja wina :(.

Edytowane przez Maniek_wr

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Galvatron    193

Galvatron
Napisano

Wywal wszystkie pirackie programy oraz gry i zrób pełne skanowanie Avastem:

Ochrona > Skanowanie w poszukiwaniu wirusów > Pełny skan antywirusowy > Skanuj teraz

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Gość   

Gość
Napisano (edytowane)
20 godzin temu, Maniek_wr napisał:

Znowu te same objawy.

Zajęty procesor i RAM przez ten sam proces.

 

Shortcut -> http://www.wklejto.pl/915239
Addition -> http://www.wklejto.pl/915241
FRST -> http://www.wklejto.pl/915242

Help :(

Zinfekowałeś system pobierając i uruchamiając 20 września skrakowany plik torrent. Defender wyraźnie o tym alarmował. 

Uruchom FRST a następnie (poprzez skrót klawiszowy CTRL + Y) otwórz notatnik systemowy. Wklej w nim poniższą zawartość:

Cytat

CloseProcesses:
HKU\S-1-5-21-2910795722-655398828-610715120-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize
HKU\S-1-5-21-2910795722-655398828-610715120-1001\...\MountPoints2: {f29828a3-1052-11ec-b7fd-1c6f653fc943} - "H:\setup.exe" 
Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
Task: {309CF734-DEA7-4266-8C12-0DBA6B160F6C} - System32\Tasks\MicrosoftOneDriveStandalone => C:\Users\CXMKJI34XZ\AppData\Roaming\windows\SecurityCryptography.exe [2733056 2021-09-20] (Microsoft Corporation) [Brak podpisu cyfrowego]
Task: {57472C2E-F07F-41D9-8247-E0C2E425D421} - System32\Tasks\SecurityHealthService => C:\Users\CXMKJI34XZ\AppData\Roaming\windows\microsoft.foundation.diagnostics.exe [743424 2021-09-20] () [Brak podpisu cyfrowego]
2021-09-22 22:28 - 2021-09-22 22:28 - 002304512 _____ (Farbar) C:\Users\CXMKJI34XZ\Downloads\FRST64 (1).exe
2021-09-20 06:36 - 2021-09-22 22:25 - 000000000 ____D C:\Users\CXMKJI34XZ\AppData\Roaming\System32
2021-09-20 06:36 - 2021-09-20 06:50 - 000003686 _____ C:\WINDOWS\system32\Tasks\SecurityHealthService
2021-09-20 06:36 - 2021-09-20 06:50 - 000003676 _____ C:\WINDOWS\system32\Tasks\MicrosoftOneDriveStandalone
2021-09-20 06:36 - 2021-09-20 06:36 - 000000000 ____D C:\Program Files (x86)\FoneLab
2021-09-20 06:34 - 2021-09-20 06:34 - 000017408 _____ C:\Users\CXMKJI34XZ\Downloads\[Devil-Torrents.pl] FoneLab Android Data Recovery.v.3.0.60 [x64][PL][Cracked].torrent
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Poprzez skrót klawiszowy CTRL + S (albo przez Plik -> Zapisz) zapisz zmiany w notatniku a następnie w FRST kliknij na Napraw. Na zakończenie naprawy FRST poprosi o restart systemu.

Edytowane przez Gość

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Galvatron    193

Galvatron
Napisano

Jeśli używałeś tego pirackiego Fonelab Android Data Recovery do odzyskiwania plików ze swojego telefonu, to też go przeskanuj Avastem, bo najprawdopodobniej również jest zainfekowany.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Gość   

Gość
Napisano (edytowane)
22 godziny temu, Maniek_wr napisał:

Coś nie pykło, bo dalej ten proces zabiera RAM i CPU prawie na 100 %

Jeśli dalej jest problem, bym sprawdził jaki plik (aplikacja czy usługa) jest odpowiedzialny za to znaczne użycie procesu svchost. Można do tego celu użyć process explorer. Jesteś pewny że to znaczne użycie svchost nie jest związane z działaniem Windows Update?

Edytowane przez Gość

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Maniek_wr    0

Maniek_wr
Napisano

Wcześniejsza infekcja była taka sama i Twój sposób rozwiązał problem, ale potem odpaliłem ten nieszczęsny program wznowił go.

W Process Explorer mam takie cuś.

image.png.ae7af4ebaf4cbde316750c5e07707d1a.png

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Gość   

Gość
Napisano

Jeśli conhost.exe zużywa znaczne zasoby

28 minut temu, Maniek_wr napisał:

Wcześniejsza infekcja była taka sama i Twój sposób rozwiązał problem, ale potem odpaliłem ten nieszczęsny program wznowił go.

Ale w tych nowszych logach nie widać tej infekcji z 1 postu. Jeśli to conhost.exe zużywa znaczne zasoby CPU i ramu, zapoznaj się z tym artykułem. Przeskanuj też plik na virustotal.

 

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Maniek_wr    0

Maniek_wr
Napisano

Nie, po prostu rozwinąłem ten plusik z lewej strony, ale zasoby zużywa svchost.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Gość   

Gość
Napisano

Znowu wrócił szkodliwy folder z svchost. 

W trybie awaryjnym systemu uruchom FRST a następnie (poprzez skrót klawiszowy CTRL + Y) otwórz notatnik systemowy. Wklej w nim poniższą zawartość:

Cytat

CloseProcesses:
(Microsoft Corporation) [Brak podpisu cyfrowego] C:\Users\CXMKJI34XZ\AppData\Roaming\system32\svchost.exe
RemoveDirectory: C:\Users\CXMKJI34XZ\AppData\Roaming\system32
Reboot:

Poprzez skrót klawiszowy CTRL + S (albo przez Plik -> Zapisz) zapisz zmiany w notatniku a następnie w FRST kliknij na Napraw. Na zakończenie naprawy FRST poprosi o restart systemu.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Maniek_wr    0

Maniek_wr
Napisano

Zrobione, folder po restarcie również się nie pojawił i svchost nie zabiera tyle CPU i RAM. Dzięki :)

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się

Komentowanie zawartości tej strony możliwe jest po zalogowaniu



Zaloguj się
Przejdź do listy tematów

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...