Po uruchomieniu komputera zużycie procesora podskakuje do 100% z powodu svchost.exe. Komputer trochę muli, styl okienek zmienia się na chwilę na te rodem z Windowsa 98, są problemy z połączeniem internetowym. Po zabiciu svchost.exe i odczekaniu kilku minut wszystko wraca do normy.
Log z Hijackthis: http://wklejto.pl/37560
Silent Runners: http://www.wklejto.pl/37563
OTL: http://www.wklejto.pl/37591
Po uruchomieniu Gmera pojawił się taki komunikat:
“Gmer odnalazł modyfikacje systemu, które mogły zostać dokonane przez ROOTKIT’a. Czy chcesz dokładnie przeszukać system?”
Kliknąłem tak, skanuje już jakieś dwie godziny, jak skończy, to wkleję log.
Dodam, że problemy zaczęły się dwa dni temu po ściągnięciu jednego pliku z internetu. U mnie ESET nic nie znalazł, kiedy jednak przeniosłem plik na komputer kolegi avast wykrył trojana. W internecie nie znalazłem jednak żadnych konkretnych informacji na jego temat, jedynie wzmiankę, że coś takiego istnieje. Przeskanowałem plik mks-virem, kasperskym, esetem, żaden nie zgłosił ostrzeżenia.
Następnego dnia przeskanowałem cały komputer dwoma antywirusami - jeden (zainstalowany na kompie - ESET Nod 32) nic nie znalazł, natomiast przez neta uruchomiłem mks-vir i znalazł: wirusa, trojana, backdoora, z których wszystkie usunął. Kiedy jednak szukałem informacji na ich temat w internecie okazało się, że wszystkie trzy wykryte przez mks-vira pliki niekoniecznie muszą stanowić zagrożenie i mogą być fałszywymi alarmami.
Przeczytałem gdzieś, że powinien być tylko jeden plik svchost.exe. U siebie znalazłem:
svchost.exe - C:\WINDOWS$NtServicePackUninstall$
SVCHOST.EXE-3530F672.pf - C:\WINDOWS\Prefetch
svchost.exe - C:\WINDOWS\system32
svchost.exe - C:\WINDOWS\ServicePackFiles\i386
svchost.exe - C:\WINDOWS\SoftwareDistribution\Download\51fc2b55c6deef38fc801319336cdbc7
To normalne?
//EDIT:
Gmer skończył, na końcu pojawił się komunikat:
“Gmer odnalazł modyfikacje wskazujące na obecność ROOTKIT’a”.
To co pokazał gmer tym razem to sterownik od VirtualCD. W tamtym roku w podobny sposób gmer wykrywał u mnie składniki nTune.
Wszystkie lokalizacje ze svchost które podałeś są poprawne.
Widzę poza tym, że stosowałeś Combofix’a. Wklej log jaki wyprodukował.
Log: http://www.wklejto.pl/37561
Teraz po włączeniu komputera nie mam głosu, po kilku minutach styl okienek zmienił się na ten z Windowsa 98 i taki pozostał.
Nie wiem co to dokładnie jest. Sam to instalowałeś? Wg loga ma wpływ na shella stąd i na kompozycje, może to on tak psuje
Tutaj to wirusów ja nie widzę, był jeden ale już usunięty. Tyle, że on takich atrakcji nie dostarczał.
Może problem w kodekach, masz AllPlayer’a, a gdzieś czytałem, że po pobraniu jego kodeków coś się z systemem niedobrego działo.
Przeskanuj jeszcze Dr.WEB CureIt i pokaż log
Nigdy tego nie instalowałem, na bieżąco aktualizowałem tylko Tortoise’a.
Uruchomiłem kompa, przez moment wszystko było ok, po chwili odezwał się svchost (zyżywał 100% cpu). Gdy wszedłem do Panelu Sterowania na moment miał on stary styl, po chwili się zmienił na normalny. Usunąłem bazaara (na wszelki wypadek), TortoiseOverlays. Z ALlPlayerem ostatnio nic nie robiłem, żadnych kodeków nie ściągałem (chyba, że robił to automatycznie; miałem problemy z AllUpdate, po uruchomieniu kompa zachowywał się często jak svchost, tj. zużywał 100% cpu; usunąłem go z autostartu), ale na wszelki wypadek też usunąłem.
Przeglądając internet w pewnym momencie Firefox zmienił na chwilę styl na stary. Otworzyłem Notepada, to samo.
W ciągu 20 minut svchost odezwał się jeszcze trzy razy.
Usunąłem dodatkowo skanery online: mks-vir oraz kaspersky.
Po restarcie komputera styl domyślnie był ustawiony na stary. Po wejściu do Panelu Sterowania i próbie zmiany kompozycji na Windows XP dostałem informację, że usługa kompozycji nie jest uruchomiona. Na jakimś forum polecili, aby w takim wypadku ściągnąć jakiś patch, już miałem zamiar go instalować, ale z ciekawości zrestartowałem komputer. Styl znów był stary, ale mogłem go już bez problemu zmienić w Panelu sterowania. Po kilku minutach na moment zmienił się znów na stary i powrócił do nowego.
Firefox nie zapamiętał zakładek…
Po drodze trzy razy musiałem zabić svchosta.
Szybkie skanowanie w Dr. Web niczego nie wykryło, robię teraz pełne skanowanie.
Jak przeskanujesz Dr.WEB to wklej jeszcze log z OTL robiony przy zaznaczeniu wszystkich opcji oprócz Skip Microsoft Files , bo akurat chcę się przyjrzeć plikom Microsoftu.
Dr. Web walczył długo i w końcu coś takiego wykrył: http://www.wklejto.pl/37629
OTL: http://www.wklejto.pl/37631
EDIT: BTW po przeskanowaniu kompa przez Dr. Web i restarcie nic niepokojącego się nie działo przez 15 minut. Nie zmieniał się styl okienek, działał internet (wcześniej czasami działał, czasami nie, mimo, że windows informował, że jest połączenie, a siła sygnału znakomita; ba, nawet nie mogłem wyłączyć włączonej karty sieciowej ani włączyć wyłączonej…), svchost.exe się nie odezwał… Po 15 minutach z ciekawości zrestartowałem kompa i znów wszystko jest póki co w porządku. Nawet firefox zapamiętał zakładki. Czyżby po problemie?
Tylko firefox ma od czasu do czasu jakieś fazy i nagle zaczyna na kilkanaście sekund zużywać 100% cpu, ale nie wygląda to na problem z wirusem.
EDIT2: Svchost jednak ruszył do akcji :P. Na chwilę zmienił się styl w menedżerze zadań.
Chciałem sprawdzić czy czoś się nie stało z kompozycjami, może OTL to pokaże, ale musisz do skanu zaznaczyć pod Services => All. Zastosuj WWDC
OTL z zaznaczonym services -> all: http://www.wklejto.pl/37644
Nie bardzo rozumiem po co mam go używać. Chcesz sprawdzić które porty mam otwarte? Czy mam pozamykać te porty, które mogę tam zamknąć? Na wszelki wypadek pozamykałem :).
W usługach w porządku.
Co do WWDC to masz zamknąć porty, wszystkie, jeśli stracisz internet to cofnij zmianę dla NetBios.
Bo jedyne co mi przychodzi to głowy to robaki sieciowe, które czepiają się svchost.
Jeszcze tym się przeskanuj, może on coś więcej znajdzie
http://dobreprogramy.pl/index.php?dz=2& … ntiMalware
Pełne skanowanie, usuwasz co znajdzie i wklejasz log.
Skanuję, póki co: “Zainfekowane obiekty: 1”.
Tymczasem zużycie pamięci przez svchost.exe wzrosło do 38848K. A po uruchomieniu wwdc pojawia się komunikat:
“Your system seems to be infected by a virus, your SVCHOST virtual memory usage 28524Ko is beyond usual values. It is strongly advised to check your system with an AntiVirus up to date and an AntiTrojans”.
– Dodane 02.07.2009 (Cz) 18:35 –
Log: http://www.wklejto.pl/37653
Usunięty Backdoor.Bot.
– Dodane 02.07.2009 (Cz) 18:39 –
Dlaczego w wwdc mam cały czas (oczywiście restartowałem kompa, już kilka razy)
“NetBIOS will be DISABLED after the next REBOOT”?
Dawno nieaktywny. Kopia w przywracaniu systemu.
Widocznie NetBios musisz zostawić, inaczej stracisz internet. U mnie jest dokładnie to samo.
Jak sytuacja?
Po skanowaniu zostałem zmuszony odłożyć komputer na bok. Teraz pracuję od 15 minut, póki co wszystko ok. Zaraz jednak kończę, a jutro pewnie dostanę się do niego wieczorem. Jeśli coś będzie się działo, dam znać.
W każdym razie bardzo dziękuję za poświęcony czas :).
– Dodane 03.07.2009 (Pt) 17:56 –
Ledwo co włączyłem komputer i znów standard - svchost zaczął męczyć, a po kilku minutach na chwilę zmienił się styl.
– Dodane 04.07.2009 (So) 15:07 –
Nie jest to może bardzo uciążliwe, ale za to niepokojące, bo nie wiem co się dzieje z moim kompem.
Co się zawsze powtarza:
uruchamiam komputer, jest głos (melodyjka włączającego się Windowsa 
po kilku sekundach od uruchomienia svchost zaczyna zużywać 100% cpu,
na chwilę zmienia się styl i najczęściej wraca to normalnego,
głos przestaje działać (Po kliknięciu dwukrotnie na ikonę od regulacji głośności pojawia się komunikat: “Nie ma dostępnych aktywnych urządzeń miksujących. Aby zainstalować urządzenia miksujące, przejdź do Panelu Sterowania, kliknij kategorię Drukarki i inny sprzęt, a następnie kliknij ikonę Dodaj sprzęt. Działanie tego programu zostanie teraz zakończone.”)
jeśli uśpię laptopa i spróbuję ponownie uruchomić - nie będzie internetu (chociaż Windows uparcie twierdzi, że siła sygnału doskonała i w ogóle).
I to chyba tyle. Muszę zabić svchosta, ale głosu już nie doświadczam.
Problemy nie występują, gdy uruchomię laptopa odłączonego od internetu.
Svchost od czasu do czasu ponownie zaczyna wariować, więc nawet, jeśli podczas uruchomienia kompa jest on odłączony od internetu a po jakimś czasie znów podłączę, to występują wszystkie opisane powyżej problemy.
Nie wiem jak sobie z tym poradzić, ale jestem pewien, że coś tam siedzi…
– Dodane 05.07.2009 (N) 11:34 –
Cóż, intuicja mnie zawiodła… Ale czasami trudno odróżnić Windowsa od wirusa.
Dla osób, które będą miały jeszcze kiedyś podobny problem napiszę co zrobiłem. Ściągnąłem program Process Explorer i sprawdziłem za jakie usługi odpowiada svchost, który generuje tak duże obciążenie cpu. Okazało się, że jest tam mnóstwo rzeczy, takich jak: Aktualizacje automatyczne, Harmonogram zadań, Klient DHCP, Połączenia sieciowe, System zdarzeń COM+ itd. itp., ale także: Kompozycje, Windows Audio. Nic zatem dziwnego, że kiedy zabijałem ten proces nie miałem dźwięku i chrzaniły się kompozycje. A ponieważ jest tam mnóstwo usług związanych z połączeniem internetowym, to i z tym miałem problemy.
Gdy svchost się zaczynał odzywać postanowiłem go raz nie zabijać. Po ponad minucie uspokoił się (choć potem znowu się uruchomił) i nie miałem żadnych problemów, komputer pracował normalnie. Pozostało zorientowanie się co takiego tak bardzo męczy mojego kompa. Na początek wyłączyłem usługę Aktualizacje automatyczne. Strzał w dziesiątkę - problem zniknął…
Jeszcze raz dzięki ciemnowidz za poświęcony czas :).