Skocz do zawartości
Maniek_wr

Svchost.exe zabiera prawie 100% CPU i dużo Ram.

Rekomendowane odpowiedzi

WItam

Prawdopodobnie posiadam jakieś rootkity, bo svchost zabiera mi na 3 wątkach po 100 procent CPU i duużo RAM.

Możecie rzucić okiem na logi i skriny? Dodam iż, gdy startuję GMER wyskakuje komunikat o rootkitach i  po jakiiejś minucie następuje bluscreen i restart.

FRST http://www.wklejto.pl/912735
Addition http://www.wklejto.pl/912736
Shortcut http://www.wklejto.pl/912737

Skriny:

https://ibb.co/mqB3RPz
https://ibb.co/vY9kMpF
https://ibb.co/jwv4RjP
https://ibb.co/rGS76WT

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Napisano (edytowane)

Zaraz sprawdzę logi... GMER się nie nadaje do używania na win10.

Jest infekcja. Uruchom FRST a następnie (poprzez skrót klawiszowy CTRL + Y) otwórz notatnik systemowy. Wklej w nim poniższą zawartość:

Cytat

CloseProcesses:
FirewallRules: [TCP Query User{4CA66790-567E-4383-97B1-7D2689F06B23}C:\program files\java\jre1.8.0_291\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_291\bin\javaw.exe => Brak pliku
FirewallRules: [UDP Query User{11D51175-2D27-46A7-AE89-4C64F869BD43}C:\program files\java\jre1.8.0_291\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_291\bin\javaw.exe => Brak pliku
FirewallRules: [TCP Query User{24C8A0FD-A217-4EA3-8B19-783488F3497F}C:\Users\CXMKJI34XZ\AppData\Local\InstallShield\instsh.exe] => (Allow) C:\Users\CXMKJI34XZ\AppData\Local\InstallShield\instsh_x64.exe => Brak pliku
FirewallRules: [TCP Query User{24C8A0FD-A217-4EA3-8B19-783488F3497F}C:\Users\CXMKJI34XZ\AppData\Local\InstallShield\instsh_x86.exe] => (Allow) C:\Users\CXMKJI34XZ\AppData\Local\InstallShield\instsh_x86.exe => Brak pliku
FirewallRules: [UDP Query User{EFB7E5A6-6DC9-4DDD-9DE9-55C359633320}C:\users\konstantin\appdata\local\installshield\instsh_x86.exe] => (Allow) C:\Users\CXMKJI34XZ\AppData\Local\InstallShield\instsh_x86.exe => Brak pliku
FirewallRules: [UDP Query User{EFB7E5A6-6DC9-4DDD-9DE9-55C359633320}C:\users\konstantin\appdata\local\installshield\instsh_x64.exe] => (Allow) C:\Users\CXMKJI34XZ\AppData\Local\InstallShield\instsh_x64.exe => Brak pliku
FirewallRules: [TCP Query User{D76FAB6C-6897-4801-9C60-02C946154FF5}C:\games\survivingtheaftermath\aftermath64.exe] => (Allow) C:\games\survivingtheaftermath\aftermath64.exe => Brak pliku
FirewallRules: [UDP Query User{4094A9D6-6378-4C13-A50C-F38DD909CC0F}C:\games\survivingtheaftermath\aftermath64.exe] => (Allow) C:\games\survivingtheaftermath\aftermath64.exe => Brak pliku
FirewallRules: [TCP Query User{824F9EEE-AA96-41E2-98E7-3B2BAE564D4D}C:\users\cxmkji34xz\appdata\local\temp\rar$exa2772.9331\when ski lifts go wrong\when ski lifts go wrong.exe] => (Block) C:\users\cxmkji34xz\appdata\local\temp\rar$exa2772.9331\when ski lifts go wrong\when ski lifts go wrong.exe => Brak pliku
FirewallRules: [UDP Query User{D7B7B844-D1E4-4F83-ABBA-CD7E4BA46F77}C:\users\cxmkji34xz\appdata\local\temp\rar$exa2772.9331\when ski lifts go wrong\when ski lifts go wrong.exe] => (Block) C:\users\cxmkji34xz\appdata\local\temp\rar$exa2772.9331\when ski lifts go wrong\when ski lifts go wrong.exe => Brak pliku
FirewallRules: [{E1B0BA1B-E1E8-40EA-9BDD-50760EFD87F9}] => (Allow) C:\Program Files (x86)\CheckPoint\ZoneAlarm\vsmon.exe => Brak pliku
FirewallRules: [{71E5E9F7-86C6-46E0-847C-C31A5DF1FEFC}] => (Allow) C:\Program Files (x86)\CheckPoint\ZoneAlarm\vsmon.exe => Brak pliku
FirewallRules: [{276DBE84-E584-4C8C-AD76-27F924400F57}] => (Allow) C:\Program Files (x86)\CheckPoint\ZoneAlarm\vsmon.exe => Brak pliku
FirewallRules: [{BCF11D91-09FA-43D6-B5B8-7604F6F64B78}] => (Allow) C:\Program Files (x86)\CheckPoint\ZoneAlarm\vsmon.exe => Brak pliku
(Microsoft Corporation) [Brak podpisu cyfrowego] C:\Users\CXMKJI34XZ\AppData\Roaming\System32\svchost.exe
C:\Users\CXMKJI34XZ\AppData\Roaming\System32
HKU\S-1-5-21-2910795722-655398828-610715120-1001\...\Run: [InstMP_Service] => C:\Users\CXMKJI34XZ\AppData\Local\InstallShield\InstMP.exe
C:\Users\CXMKJI34XZ\AppData\Local\InstallShield\InstMP.exe
GroupPolicy: Ograniczenia ? <==== UWAGA
Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
EmptyTemp:

Poprzez skrót klawiszowy CTRL + S (albo przez Plik -> Zapisz) zapisz zmiany w notatniku a następnie w FRST kliknij na Napraw. Na zakończenie naprawy FRST poprosi o restart systemu.

Edytowane przez toska78
  • Thanks 1

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jak się nazywała infekcja, którą miałem, poczytam o niej i postaram się więcej jej nie załapać oraz co, zamiast GMER na Win10? Czy wystarczy sam FRST do sprawdzania?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Napisano (edytowane)

Jak nie chcesz łapać infekcji, to przede wszystkim aktualizuj system na bieżąco, używaj dobrego antywirusa (polecam Avasta), a także unikaj pirackich gier i programów.

Ja tak robię i nie mam problemów ze złośliwymi programami.

Edytowane przez Galvatron
  • Thanks 1

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Napisano (edytowane)

Sam FRST do wykonania logów systemowych. Infekcja to koparka krypto uruchamiająca szkodliwe procesy w autostarcie:

Cytat

(Microsoft Corporation) [Brak podpisu cyfrowego] C:\Users\CXMKJI34XZ\AppData\Roaming\System32\svchost.exe
HKU\S-1-5-21-2910795722-655398828-610715120-1001\...\Run: [InstMP_Service] => C:\Users\CXMKJI34XZ\AppData\Local\InstallShield\InstMP.exe

 

Edytowane przez toska78
  • Thanks 1

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Masz zaktualizowany system i zainstalowanego antywirusa? Jesli tak, to jakiego?

Jak wygląda u Ciebie sprawa z piratami, które mogą być źródłem infekcji?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Napisano (edytowane)

System się sam aktualizuje i używam WIndows Defendera i przyznaję, że ta infekcja, to może być moja wina :(.

Edytowane przez Maniek_wr

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Wywal wszystkie pirackie programy oraz gry i zrób pełne skanowanie Avastem:

Ochrona > Skanowanie w poszukiwaniu wirusów > Pełny skan antywirusowy > Skanuj teraz

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Napisano (edytowane)
20 godzin temu, Maniek_wr napisał:

Znowu te same objawy.

Zajęty procesor i RAM przez ten sam proces.

 

Shortcut -> http://www.wklejto.pl/915239
Addition -> http://www.wklejto.pl/915241
FRST -> http://www.wklejto.pl/915242

Help :(

Zinfekowałeś system pobierając i uruchamiając 20 września skrakowany plik torrent. Defender wyraźnie o tym alarmował. 

Uruchom FRST a następnie (poprzez skrót klawiszowy CTRL + Y) otwórz notatnik systemowy. Wklej w nim poniższą zawartość:

Cytat

CloseProcesses:
HKU\S-1-5-21-2910795722-655398828-610715120-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize
HKU\S-1-5-21-2910795722-655398828-610715120-1001\...\MountPoints2: {f29828a3-1052-11ec-b7fd-1c6f653fc943} - "H:\setup.exe" 
Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
Task: {309CF734-DEA7-4266-8C12-0DBA6B160F6C} - System32\Tasks\MicrosoftOneDriveStandalone => C:\Users\CXMKJI34XZ\AppData\Roaming\windows\SecurityCryptography.exe [2733056 2021-09-20] (Microsoft Corporation) [Brak podpisu cyfrowego]
Task: {57472C2E-F07F-41D9-8247-E0C2E425D421} - System32\Tasks\SecurityHealthService => C:\Users\CXMKJI34XZ\AppData\Roaming\windows\microsoft.foundation.diagnostics.exe [743424 2021-09-20] () [Brak podpisu cyfrowego]
2021-09-22 22:28 - 2021-09-22 22:28 - 002304512 _____ (Farbar) C:\Users\CXMKJI34XZ\Downloads\FRST64 (1).exe
2021-09-20 06:36 - 2021-09-22 22:25 - 000000000 ____D C:\Users\CXMKJI34XZ\AppData\Roaming\System32
2021-09-20 06:36 - 2021-09-20 06:50 - 000003686 _____ C:\WINDOWS\system32\Tasks\SecurityHealthService
2021-09-20 06:36 - 2021-09-20 06:50 - 000003676 _____ C:\WINDOWS\system32\Tasks\MicrosoftOneDriveStandalone
2021-09-20 06:36 - 2021-09-20 06:36 - 000000000 ____D C:\Program Files (x86)\FoneLab
2021-09-20 06:34 - 2021-09-20 06:34 - 000017408 _____ C:\Users\CXMKJI34XZ\Downloads\[Devil-Torrents.pl] FoneLab Android Data Recovery.v.3.0.60 [x64][PL][Cracked].torrent
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Poprzez skrót klawiszowy CTRL + S (albo przez Plik -> Zapisz) zapisz zmiany w notatniku a następnie w FRST kliknij na Napraw. Na zakończenie naprawy FRST poprosi o restart systemu.

Edytowane przez toska78

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli używałeś tego pirackiego Fonelab Android Data Recovery do odzyskiwania plików ze swojego telefonu, to też go przeskanuj Avastem, bo najprawdopodobniej również jest zainfekowany.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Napisano (edytowane)
22 godziny temu, Maniek_wr napisał:

Coś nie pykło, bo dalej ten proces zabiera RAM i CPU prawie na 100 %

Jeśli dalej jest problem, bym sprawdził jaki plik (aplikacja czy usługa) jest odpowiedzialny za to znaczne użycie procesu svchost. Można do tego celu użyć process explorer. Jesteś pewny że to znaczne użycie svchost nie jest związane z działaniem Windows Update?

Edytowane przez toska78

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Wcześniejsza infekcja była taka sama i Twój sposób rozwiązał problem, ale potem odpaliłem ten nieszczęsny program wznowił go.

W Process Explorer mam takie cuś.

image.png.ae7af4ebaf4cbde316750c5e07707d1a.png

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli conhost.exe zużywa znaczne zasoby

28 minut temu, Maniek_wr napisał:

Wcześniejsza infekcja była taka sama i Twój sposób rozwiązał problem, ale potem odpaliłem ten nieszczęsny program wznowił go.

Ale w tych nowszych logach nie widać tej infekcji z 1 postu. Jeśli to conhost.exe zużywa znaczne zasoby CPU i ramu, zapoznaj się z tym artykułem. Przeskanuj też plik na virustotal.

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Nie, po prostu rozwinąłem ten plusik z lewej strony, ale zasoby zużywa svchost.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Znowu wrócił szkodliwy folder z svchost. 

W trybie awaryjnym systemu uruchom FRST a następnie (poprzez skrót klawiszowy CTRL + Y) otwórz notatnik systemowy. Wklej w nim poniższą zawartość:

Cytat

CloseProcesses:
(Microsoft Corporation) [Brak podpisu cyfrowego] C:\Users\CXMKJI34XZ\AppData\Roaming\system32\svchost.exe
RemoveDirectory: C:\Users\CXMKJI34XZ\AppData\Roaming\system32
Reboot:

Poprzez skrót klawiszowy CTRL + S (albo przez Plik -> Zapisz) zapisz zmiany w notatniku a następnie w FRST kliknij na Napraw. Na zakończenie naprawy FRST poprosi o restart systemu.

  • Thanks 1

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Zrobione, folder po restarcie również się nie pojawił i svchost nie zabiera tyle CPU i RAM. Dzięki :)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...