Po raz kolejny SVCHOST... prosze o spr mojego LOGa

Dla specjalistów Bezpieczeństwo
#1

WITAM!!

Mam problem z ta usluga SVCHOST. Komputer wlacza sie bardzo wolno mimo ze mam zainstalowanego od poczatku Windowsa. Wtedy svchost uzywa 100% procesora (albo ile jest mozliwe - inne programy tez nieraz troche procka potrzebuja :D). I nie jest to wedlug mnie usluga wina gdyz mam jeszcze 4 inne svchosty i sa one obok siebie na liscie a ten jest nieco wyzej. Gdy wylacze ten programik to wszystko jest juz w porzadku a gdy sie wylaczy inne svchosty to pokazuje sie okienko ze trzeba wylaczyc pc-ta. Czyli cos jest z tym svchostem nie tak… Uzylem tego programu HiJack This i oto jego log:

Logfile of HijackThis v1.99.1

Scan saved at 09:56:43, on 2005-12-03

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

D:\Programs\AVPersonal\AVGUARD.EXE

D:\Programs\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\System32\cisvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\explorer.exe

D:\Programs\AVPersonal\AVGNT.EXE

C:\WINDOWS\System32\cidaemon.exe

C:\Documents and Settings\Przemek\Pulpit\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = google.pl

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.eu.microsoft.com/poland/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = google.pl

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programs\Adobe Reader\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - D:\Programs\FreshDownload\FDCatch.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programs\Mozilla\Java\bin\ssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [AVGCtrl] "D:\Programs\AVPersonal\AVGNT.EXE" /min

O16 - DPF: Win32 Classes - 

O23 - Service: Usługa bramy warstwy aplikacji (ALG) - Unknown owner - C:\WINDOWS\System32\alg.exe (file missing)

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programs\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programs\AVPersonal\AVWUPSRV.EXE

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe

Tylko przegladarka jest inna (Mozilla Firefox 1.07 bodajże). Troche sie znam na Pc-tach ale jeszcze takiego KRYTYKA nie mialem zeby nawet antivir ani zaden spysweeper nie wykrywal :frowning: W tym logu tez za bardzo nie widze czegos nie tak… A i jeszcze jedno wczesniej uzywajac Avanta (nakladka na IE) zlapalem z 5 trojanow i jeszcze jakies inne wirusy… (np Cimuz czy jakos tak) Na C:\ i w winie nie widze zadnych podejrzanych programikow. BARDZO PROSZE O POMOC! !!

====================================

Uwaga: Jak wklejasz loga to obejmuj go znacznikiem (tagiem) CODE lub QUOTE

Proponuje poczytać TEN temat i zobacz jaka jest prośba do userów wklejających loga.

Pozdrawiam kuz5

#2

  1. Wyłączyć Przywracanie systemu w XP TU

  2. Zastartować do trybu awaryjnego bez internetu(opis w linku wyżej).

  3. Zaznaczyć wskazane wpisy w Hijacku i kliknąć Fix checked. Wpisy zostaną usunięte.

  4. Skasować z dysku plik, który podkreśliłem na czerwono

  5. Dokończyć skanerami online - Scanery do wyboru

  6. Pokazać nowy log :stuck_out_tongue:

#3

Usunalem to wszystko co mi kazales. Przeskanowalem dysk AntiVir-em i SpySweeperem. Niestety nic nie znalazlo. SVCHOST nadal uzywa 100% procka. W raporcie AntiVira bylo tylko cos takiego:

Access denied! Error during file opening!

Error code: 0x0002

C:\

WARNING! Access error/file locked!

C:\WINDOWS\SYSTEM32\config

SECURITY

Access denied! Error during file opening!

Error code: 0x000D

WARNING! Access error/file locked!

SAM

Access denied! Error during file opening!

Error code: 0x000D

WARNING! Access error/file locked!

SYSTEM

Access denied! Error during file opening!

Error code: 0x000D

WARNING! Access error/file locked!

SOFTWARE

Access denied! Error during file opening!

Error code: 0x000D

WARNING! Access error/file locked!

DEFAULT

Access denied! Error during file opening!

Error code: 0x000D

WARNING! Access error/file locked!

C:\undo

backup.cab

ArchiveType: CAB (Microsoft)

–> \Device\Harddisk0\Partition1\WINDOWS\commigrate.log

NOTE! Invalid compressed data

–> \Device\Harddisk0\Partition1\WINDOWS\FaxSetup.log

NOTE! Invalid compressed data

–> \Device\Harddisk0\Partition1\WINDOWS\mqw9xmig.log

NOTE! Invalid compressed data

–> \Device\Harddisk0\Partition1\WINDOWS\SYSTEM32\folder.htt

NOTE! Invalid compressed data

–> \Device\Harddisk0\Partition1\WINDOWS\SYSTEM32\DRIVERS\GM.DLS

NOTE! Invalid compressed data

–> \Device\Harddisk0\Partition1\WINDOWS\SYSTEM32\DRIVERS\GMREADME.TXT

NOTE! Invalid compressed data

–> \Device\Harddisk0\Partition1\WINDOWS\SYSTEM32\DRIVERS\WDMFS.SYS

NOTE! Invalid compressed data

–> \Device\Harddisk0\Partition1\WINDOWS\SYSTEM32\DRIVERS\WMIDRV.SYS

NOTE! Invalid compressed data

–> \Device\Harddisk0\Partition1\WINDOWS\INF\NETFJVI.INF

NOTE! Invalid compressed data

–> \Device\Harddisk0\Partition1\WINDOWS\SYSTEM32\DRIVERS\CCPORT.SYS

NOTE! Invalid compressed data

–> \Device\Harddisk0\Partition1\WINDOWS\SYSTEM32\DRIVERS\WMILIB.SYS

NOTE! Invalid compressed data

–> \Device\Harddisk0\Partition1\WINDOWS\SYSTEM32\DRIVERS\SBEMUL.SYS

NOTE! Invalid compressed data

–> \Device\Harddisk0\Partition1\WINDOWS\SYSTEM32\DRIVERS\UPDATE.SYS

NOTE! Invalid compressed data

i w tym backup.cab wszystkie pliki tak maja ale nie wklejalem juz wiecej.

To chyba nie za dobrze ze nie ma dostepu do tych plikow Podobny error wyskakuje jak probuje przeskanowac plik PAGEFILE.SYS… A tutaj zamieszczam loga hijackthisa:

Logfile of HijackThis v1.99.1

Scan saved at 10:10:04, on 2005-12-04

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

D:\Programs\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\System32\cisvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\wuauclt.exe

C:\Documents and Settings\Przemek\Pulpit\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = google.pl

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.eu.microsoft.com/poland/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = google.pl

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programs\Adobe Reader\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - D:\Programs\FreshDownload\FDCatch.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programs\Mozilla\Java\bin\ssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O23 - Service: Usługa bramy warstwy aplikacji (ALG) - Unknown owner - C:\WINDOWS\System32\alg.exe (file missing)

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programs\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programs\AVPersonal\AVWUPSRV.EXE

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe

Niech mi ktos cos poradzi bo troche srednio jest za kazdym razem wylaczac tego SVCHOSTA. :frowning:

#4

No masz syfu - użyj Scanery do wyboru

Daj mi LOG z Silent Runners

Silent opis: http://www.searchengines.pl/phpbb203/in … opic=15989

#5

Oto log z Silent Runner:

"Silent Runners.vbs", revision 41, http://www.silentrunners.org/

Operating System: Windows XP

Output limited to non-default values, except where indicated by "{++}"



Startup items buried in registry:

---------------------------------


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"SystemTray" = "SysTray.Exe" [MS]


HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]

  -> {CLSID}\InProcServer32\(Default) = "D:\Programs\Adobe Reader\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]

{206E52E0-D52E-11D4-AD54-0000E86C26F6}\(Default) = (no title provided)

  -> {CLSID}\InProcServer32\(Default) = "D:\Programs\FreshDownload\FDCatch.dll" ["FreshDevices Corp."]

{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = "SSVHelper Class" [from CLSID]

  -> {CLSID}\InProcServer32\(Default) = "D:\Programs\Mozilla\Java\bin\ssv.dll" ["Sun Microsystems, Inc."]


HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"

  -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"

  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]

"{5b4dae26-b807-11d0-9815-00c04fd91972}" = "Menu Band"

  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\SHELL32.dll" [MS]

"{8278F931-2A3E-11d2-838F-00C04FD918D0}" = "Tracking Shell Menu"

  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\SHELL32.dll" [MS]

"{E13EF4E4-D2F2-11d0-9816-00C04FD91972}" = "Menu Site"

  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\SHELL32.dll" [MS]

"{ECD4FC4F-521C-11D0-B792-00A0C90312E1}" = "Menu Desk Bar"

  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\SHELL32.dll" [MS]

"{D82BE2B0-5764-11D0-A96E-00C04FD705A2}" = "IShellFolderBand"

  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\SHELL32.dll" [MS]

"{0E5CBF21-D15F-11d0-8301-00AA005B4383}" = "Łą&cza"

  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\SHELL32.dll" [MS]

"{7487cd30-f71a-11d0-9ea7-00805f714772}" = "Thumbnail Image"

  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\SHELL32.dll" [MS]

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"

  -> {CLSID}\InProcServer32\(Default) = "D:\Programs\WinRar\rarext.dll" [null data]

"{0E6C58A9-F592-4862-B35F-CA45E24003B3}" = "CloneCD"

  -> {CLSID}\InProcServer32\(Default) = "D:\Programs\CloneCD\ElbyVCDShell.dll" ["Elaborate Bytes"]

"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"

  -> {CLSID}\InProcServer32\(Default) = "D:\Programs\CodecPack\SystemS\RealMedia\rpshell.dll" ["RealNetworks, Inc."]


HKLM\Software\Classes\*\shellex\ContextMenuHandlers\

AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"

  -> {CLSID}\InProcServer32\(Default) = "D:\Programs\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]

sysacpildap\(Default) = "{5E2121EE-0300-11D4-8D3B-444553540000}"

  -> {CLSID}\InProcServer32\(Default) = "c:\windows\system32\winacpi.dll" [file not found]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {CLSID}\InProcServer32\(Default) = "D:\Programs\WinRar\rarext.dll" [null data]


HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {CLSID}\InProcServer32\(Default) = "D:\Programs\WinRar\rarext.dll" [null data]


HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\

AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"

  -> {CLSID}\InProcServer32\(Default) = "D:\Programs\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {CLSID}\InProcServer32\(Default) = "D:\Programs\WinRar\rarext.dll" [null data]



Active Desktop and Wallpaper:

-----------------------------


Active Desktop is disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


HKCU\Control Panel\Desktop\

"Wallpaper" = "C:\Documents and Settings\Przemek\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp"



Enabled Scheduled Tasks:

------------------------


"Rozpoczęcie aplikacji dostrajania" -> launches: "walign" [file not found]

"Przypomnienie o wygaśnięciu dezinstalacji" -> launches: "C:\WINDOWS\System32\OOBE\oobebaln.exe /sys /u /n:1" [MS]



Winsock2 Service Provider DLLs:

-------------------------------


Namespace Service Providers


HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]


Transport Service Providers


HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

00000000000#\PackedCatalogItem (contains) DLL [Company Name], (at) # range:

%SystemRoot%\system32\mswsock.dll [MS], 1 - 3

%SystemRoot%\system32\rsvpsp.dll [MS], 4 - 5



Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------


AntiVir Update, AVWUpSrv, ""D:\Programs\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]

Remote Procedure Call (RPC) Extensions, RpcxSs, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"RpcxSs.Dll" [MS]}



----------

+ This report excludes default entries except where indicated.

+ To see *everywhere* the script checks and *everything* it finds,

  launch it from a command prompt or a shortcut with the -all parameter.

+ The search for DESKTOP.INI DLL launch points on all local fixed drives

  took 61 seconds.

+ The search for all Registry CLSIDs containing dormant Explorer Bars

  took 143 seconds.

---------- (total run time: 470 seconds)

Tutaj widze tylko jedna podejrzana linie a mianowicie oczywiscie ta z svchostem :smiley: Co ty na to?? Wszystko jest dobrze czy jak??

#6

USUWANIE:

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG Przejście do trybu awaryjnego Windows i uruchomienie pliku FIX.REG.

Użyj Pocket Killbox. Zaznaczasz opcję Delete on Reboot i w polu Full Path of File to Delete wklejasz ścieżkę

C:\WINDOWS\System32\winacpi.dll, zatwierdź i zresetuj komputer.

To powinno pomóc

#7

Niestety nie pomoglo :frowning: Nadal SVCHOST uzywa 100% procka. Czy da sie cos z tym zrobic czy mam za kazdym razem wylaczac przy starcie?? Czy da sie napisac jakis programik ktory wylacza ta usluge na autostarcie??

#8

Użyj Scanery do wyboru

#9

Wyslalem plik do tego scanera i nic nie wykrylo. Czyli nic innego sie nie da z tym zrobic… Moze to normalne ze zrzera mi 100% PC. Bo usluga ta sie na pewno sama nie wylacza… Moze ktos sprobuje napisac programik ktory bedzie kazdorazowo wylaczal te usluge przy starcie wina??

#10

Zobacz http://forum.dobreprogramy.pl/viewtopic … t=tasklist

#11

"C:\a.jpg"

To jest moj tasklist /svc

Proces ktory mi zrzera tyle pamieci ma PID 1052 i nazwe RpcxSs

Podejrzany wydaje mi sie tez ten proces SVCHOSTA o PIDZIE: 608 i nazwie

RpcSs. Co o tym sadzisz??

Złączono Posta : 05.12.2005 (Pon) 19:34

Oto zdjecie mojego tasklista /svc.

Wydaje sie w nim podejrzany tylko proces SVCHOST o PID’ie 1052 i 608.

PID 1052 Name: RpcxSs

PID 608 Name: RpcSs

I co to moze byc teraz??

#12

No zobacz czy nie masz rpcxss.dll w :\WINDOWS\System32\ jak tak usuń

Ale to od Remote Procedure Call - RpcxSs

#13

No wreszcie dziala. Zrobilem tak jak mi powiedziales i juz nie ma tego z**** procesu! !!

A tak przy okazji to jak wystawic ci pochwale bo widze ze masz juz ich sporo??