Skocz do zawartości
Maniek_wr

Svchost.exe zabiera prawie 100% CPU i dużo Ram.

Rekomendowane odpowiedzi

WItam

Prawdopodobnie posiadam jakieś rootkity, bo svchost zabiera mi na 3 wątkach po 100 procent CPU i duużo RAM.

Możecie rzucić okiem na logi i skriny? Dodam iż, gdy startuję GMER wyskakuje komunikat o rootkitach i  po jakiiejś minucie następuje bluscreen i restart.

FRST http://www.wklejto.pl/912735
Addition http://www.wklejto.pl/912736
Shortcut http://www.wklejto.pl/912737

Skriny:

https://ibb.co/mqB3RPz
https://ibb.co/vY9kMpF
https://ibb.co/jwv4RjP
https://ibb.co/rGS76WT

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Zaraz sprawdzę logi... GMER się nie nadaje do używania na win10.

Jest infekcja. Uruchom FRST a następnie (poprzez skrót klawiszowy CTRL + Y) otwórz notatnik systemowy. Wklej w nim poniższą zawartość:

Cytat

CloseProcesses:
FirewallRules: [TCP Query User{4CA66790-567E-4383-97B1-7D2689F06B23}C:\program files\java\jre1.8.0_291\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_291\bin\javaw.exe => Brak pliku
FirewallRules: [UDP Query User{11D51175-2D27-46A7-AE89-4C64F869BD43}C:\program files\java\jre1.8.0_291\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_291\bin\javaw.exe => Brak pliku
FirewallRules: [TCP Query User{24C8A0FD-A217-4EA3-8B19-783488F3497F}C:\Users\CXMKJI34XZ\AppData\Local\InstallShield\instsh.exe] => (Allow) C:\Users\CXMKJI34XZ\AppData\Local\InstallShield\instsh_x64.exe => Brak pliku
FirewallRules: [TCP Query User{24C8A0FD-A217-4EA3-8B19-783488F3497F}C:\Users\CXMKJI34XZ\AppData\Local\InstallShield\instsh_x86.exe] => (Allow) C:\Users\CXMKJI34XZ\AppData\Local\InstallShield\instsh_x86.exe => Brak pliku
FirewallRules: [UDP Query User{EFB7E5A6-6DC9-4DDD-9DE9-55C359633320}C:\users\konstantin\appdata\local\installshield\instsh_x86.exe] => (Allow) C:\Users\CXMKJI34XZ\AppData\Local\InstallShield\instsh_x86.exe => Brak pliku
FirewallRules: [UDP Query User{EFB7E5A6-6DC9-4DDD-9DE9-55C359633320}C:\users\konstantin\appdata\local\installshield\instsh_x64.exe] => (Allow) C:\Users\CXMKJI34XZ\AppData\Local\InstallShield\instsh_x64.exe => Brak pliku
FirewallRules: [TCP Query User{D76FAB6C-6897-4801-9C60-02C946154FF5}C:\games\survivingtheaftermath\aftermath64.exe] => (Allow) C:\games\survivingtheaftermath\aftermath64.exe => Brak pliku
FirewallRules: [UDP Query User{4094A9D6-6378-4C13-A50C-F38DD909CC0F}C:\games\survivingtheaftermath\aftermath64.exe] => (Allow) C:\games\survivingtheaftermath\aftermath64.exe => Brak pliku
FirewallRules: [TCP Query User{824F9EEE-AA96-41E2-98E7-3B2BAE564D4D}C:\users\cxmkji34xz\appdata\local\temp\rar$exa2772.9331\when ski lifts go wrong\when ski lifts go wrong.exe] => (Block) C:\users\cxmkji34xz\appdata\local\temp\rar$exa2772.9331\when ski lifts go wrong\when ski lifts go wrong.exe => Brak pliku
FirewallRules: [UDP Query User{D7B7B844-D1E4-4F83-ABBA-CD7E4BA46F77}C:\users\cxmkji34xz\appdata\local\temp\rar$exa2772.9331\when ski lifts go wrong\when ski lifts go wrong.exe] => (Block) C:\users\cxmkji34xz\appdata\local\temp\rar$exa2772.9331\when ski lifts go wrong\when ski lifts go wrong.exe => Brak pliku
FirewallRules: [{E1B0BA1B-E1E8-40EA-9BDD-50760EFD87F9}] => (Allow) C:\Program Files (x86)\CheckPoint\ZoneAlarm\vsmon.exe => Brak pliku
FirewallRules: [{71E5E9F7-86C6-46E0-847C-C31A5DF1FEFC}] => (Allow) C:\Program Files (x86)\CheckPoint\ZoneAlarm\vsmon.exe => Brak pliku
FirewallRules: [{276DBE84-E584-4C8C-AD76-27F924400F57}] => (Allow) C:\Program Files (x86)\CheckPoint\ZoneAlarm\vsmon.exe => Brak pliku
FirewallRules: [{BCF11D91-09FA-43D6-B5B8-7604F6F64B78}] => (Allow) C:\Program Files (x86)\CheckPoint\ZoneAlarm\vsmon.exe => Brak pliku
(Microsoft Corporation) [Brak podpisu cyfrowego] C:\Users\CXMKJI34XZ\AppData\Roaming\System32\svchost.exe
C:\Users\CXMKJI34XZ\AppData\Roaming\System32
HKU\S-1-5-21-2910795722-655398828-610715120-1001\...\Run: [InstMP_Service] => C:\Users\CXMKJI34XZ\AppData\Local\InstallShield\InstMP.exe
C:\Users\CXMKJI34XZ\AppData\Local\InstallShield\InstMP.exe
GroupPolicy: Ograniczenia ? <==== UWAGA
Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
EmptyTemp:

Poprzez skrót klawiszowy CTRL + S (albo przez Plik -> Zapisz) zapisz zmiany w notatniku a następnie w FRST kliknij na Napraw. Na zakończenie naprawy FRST poprosi o restart systemu.

Edytowane przez toska78
  • Thanks 1

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jak się nazywała infekcja, którą miałem, poczytam o niej i postaram się więcej jej nie załapać oraz co, zamiast GMER na Win10? Czy wystarczy sam FRST do sprawdzania?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jak nie chcesz łapać infekcji, to przede wszystkim aktualizuj system na bieżąco, używaj dobrego antywirusa (polecam Avasta), a także unikaj pirackich gier i programów.

Ja tak robię i nie mam problemów ze złośliwymi programami.

Edytowane przez Galvatron
  • Thanks 1

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Sam FRST do wykonania logów systemowych. Infekcja to koparka krypto uruchamiająca szkodliwe procesy w autostarcie:

Cytat

(Microsoft Corporation) [Brak podpisu cyfrowego] C:\Users\CXMKJI34XZ\AppData\Roaming\System32\svchost.exe
HKU\S-1-5-21-2910795722-655398828-610715120-1001\...\Run: [InstMP_Service] => C:\Users\CXMKJI34XZ\AppData\Local\InstallShield\InstMP.exe

 

Edytowane przez toska78
  • Thanks 1

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Masz zaktualizowany system i zainstalowanego antywirusa? Jesli tak, to jakiego?

Jak wygląda u Ciebie sprawa z piratami, które mogą być źródłem infekcji?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

System się sam aktualizuje i używam WIndows Defendera i przyznaję, że ta infekcja, to może być moja wina :(.

Edytowane przez Maniek_wr

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Wywal wszystkie pirackie programy oraz gry i zrób pełne skanowanie Avastem:

Ochrona > Skanowanie w poszukiwaniu wirusów > Pełny skan antywirusowy > Skanuj teraz

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
20 godzin temu, Maniek_wr napisał:

Znowu te same objawy.

Zajęty procesor i RAM przez ten sam proces.

 

Shortcut -> http://www.wklejto.pl/915239
Addition -> http://www.wklejto.pl/915241
FRST -> http://www.wklejto.pl/915242

Help :(

Zinfekowałeś system pobierając i uruchamiając 20 września skrakowany plik torrent. Defender wyraźnie o tym alarmował. 

Uruchom FRST a następnie (poprzez skrót klawiszowy CTRL + Y) otwórz notatnik systemowy. Wklej w nim poniższą zawartość:

Cytat

CloseProcesses:
HKU\S-1-5-21-2910795722-655398828-610715120-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize
HKU\S-1-5-21-2910795722-655398828-610715120-1001\...\MountPoints2: {f29828a3-1052-11ec-b7fd-1c6f653fc943} - "H:\setup.exe" 
Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
Task: {309CF734-DEA7-4266-8C12-0DBA6B160F6C} - System32\Tasks\MicrosoftOneDriveStandalone => C:\Users\CXMKJI34XZ\AppData\Roaming\windows\SecurityCryptography.exe [2733056 2021-09-20] (Microsoft Corporation) [Brak podpisu cyfrowego]
Task: {57472C2E-F07F-41D9-8247-E0C2E425D421} - System32\Tasks\SecurityHealthService => C:\Users\CXMKJI34XZ\AppData\Roaming\windows\microsoft.foundation.diagnostics.exe [743424 2021-09-20] () [Brak podpisu cyfrowego]
2021-09-22 22:28 - 2021-09-22 22:28 - 002304512 _____ (Farbar) C:\Users\CXMKJI34XZ\Downloads\FRST64 (1).exe
2021-09-20 06:36 - 2021-09-22 22:25 - 000000000 ____D C:\Users\CXMKJI34XZ\AppData\Roaming\System32
2021-09-20 06:36 - 2021-09-20 06:50 - 000003686 _____ C:\WINDOWS\system32\Tasks\SecurityHealthService
2021-09-20 06:36 - 2021-09-20 06:50 - 000003676 _____ C:\WINDOWS\system32\Tasks\MicrosoftOneDriveStandalone
2021-09-20 06:36 - 2021-09-20 06:36 - 000000000 ____D C:\Program Files (x86)\FoneLab
2021-09-20 06:34 - 2021-09-20 06:34 - 000017408 _____ C:\Users\CXMKJI34XZ\Downloads\[Devil-Torrents.pl] FoneLab Android Data Recovery.v.3.0.60 [x64][PL][Cracked].torrent
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Poprzez skrót klawiszowy CTRL + S (albo przez Plik -> Zapisz) zapisz zmiany w notatniku a następnie w FRST kliknij na Napraw. Na zakończenie naprawy FRST poprosi o restart systemu.

Edytowane przez toska78

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli używałeś tego pirackiego Fonelab Android Data Recovery do odzyskiwania plików ze swojego telefonu, to też go przeskanuj Avastem, bo najprawdopodobniej również jest zainfekowany.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
22 godziny temu, Maniek_wr napisał:

Coś nie pykło, bo dalej ten proces zabiera RAM i CPU prawie na 100 %

Jeśli dalej jest problem, bym sprawdził jaki plik (aplikacja czy usługa) jest odpowiedzialny za to znaczne użycie procesu svchost. Można do tego celu użyć process explorer. Jesteś pewny że to znaczne użycie svchost nie jest związane z działaniem Windows Update?

Edytowane przez toska78

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Wcześniejsza infekcja była taka sama i Twój sposób rozwiązał problem, ale potem odpaliłem ten nieszczęsny program wznowił go.

W Process Explorer mam takie cuś.

image.png.ae7af4ebaf4cbde316750c5e07707d1a.png

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli conhost.exe zużywa znaczne zasoby

28 minut temu, Maniek_wr napisał:

Wcześniejsza infekcja była taka sama i Twój sposób rozwiązał problem, ale potem odpaliłem ten nieszczęsny program wznowił go.

Ale w tych nowszych logach nie widać tej infekcji z 1 postu. Jeśli to conhost.exe zużywa znaczne zasoby CPU i ramu, zapoznaj się z tym artykułem. Przeskanuj też plik na virustotal.

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Nie, po prostu rozwinąłem ten plusik z lewej strony, ale zasoby zużywa svchost.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Znowu wrócił szkodliwy folder z svchost. 

W trybie awaryjnym systemu uruchom FRST a następnie (poprzez skrót klawiszowy CTRL + Y) otwórz notatnik systemowy. Wklej w nim poniższą zawartość:

Cytat

CloseProcesses:
(Microsoft Corporation) [Brak podpisu cyfrowego] C:\Users\CXMKJI34XZ\AppData\Roaming\system32\svchost.exe
RemoveDirectory: C:\Users\CXMKJI34XZ\AppData\Roaming\system32
Reboot:

Poprzez skrót klawiszowy CTRL + S (albo przez Plik -> Zapisz) zapisz zmiany w notatniku a następnie w FRST kliknij na Napraw. Na zakończenie naprawy FRST poprosi o restart systemu.

  • Thanks 1

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Zrobione, folder po restarcie również się nie pojawił i svchost nie zabiera tyle CPU i RAM. Dzięki :)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

  • Tematy

  • Odpowiedzi

    • Witam serdecznie. Po długiej rozłące z PC nadszedł moment kiedy mogę do niego wrócić. A dokładniej to moja żona  Po ponad 10 latach rozłąki będę musiał złożyć zestaw, który będzie wykorzystywany przy projektowaniu wnętrz (czyli renderowanie itp.). Efektem ubocznym złożenia takiego PC będzie moja możliwość pogrania w nowe tytuły  Tutaj przychodzę z prośbą o pomoc w dobraniu konkretnych podzespołów. Mój świat zatrzymał się na GTX295, zasilaczach Tagana i Phenomach…Przeglądając obecne zestawy oraz testy i recenzje ciężko mi się zdecydować co wrzucić do nowej maszyny. Budżet jakim będę dysponował to +- 13k. Wybrałem kilka podzespołów które chce na pewno wykorzystać m.in.  Grafika – RTX 3080 nie wiem jeszcze od kogo. Obserwuje ceny. Procek – Tutaj nie wiem jeszcze czy i7-12700K czy i9-12900k  Płyta – Tu tez nie wiem. Wziąłem pod uwagę : MSI MAG Z690 TOMAHAWK WIFI DDR4, Gigabyte Z690 Aourus Elite, ASUS TUF Gaming Z690 Ram – patrząc po dostępnością DDR5 pozostanę przy DDR4. Tu tez bardzo nie wiem co wrzucić. Corsair 32GB (2x16) 3600 CL18 ? Coś szybszego?  Dyski są Cooler – MSI MAGCORE 360R ? Może coś podobnego?  Obudowa – raczej Lian Li Dynamic PC-011  Zasilacz – Tutaj już proszę o pomoc w doborze  Mam nadzieje ze ww kwocie uda mi się dorwać tego rtxa. Nie spieszy mi się bardzo na złożeniu tego zestawu. Chętnie zaczekam aż ceny kart spadną do akceptowalnego poziomuale tez będę potrzebował złożyć PC do czerwca.    Proszę o wyrozumiałość jeśli coś nie trzyma się kupy Pozdrawiam       
    • https://planetagracza.pl/god-of-war-pc-skip-intro-mod-usuwanie-playstation/ Hahaha.  
    • @Spl97 powinien to sprawdzić
    • https://energetyka24.com/gaz/wiadomosci/rosja-testuje-awaryjne-dostawy-gazu-do-kaliningradu-analitycy-to-dziwny-ruch   Co oni kombinują?. 
  • Aktywni użytkownicy

×
×
  • Dodaj nową pozycję...