Svchost.exe - plik szaleje


(Sumowski) #1

ok. witam. mam taki problem w menadzerze zadan mam zawsze (po starcie windy) 5 procesow "svchost.exe", gdy uruchamiam Opere to jeden z tych procesow szaleje i ciagnie 98% mocy procesora (w IE tez). gdy zakoncze ten proces wszystko potem jest ok. i pytanie moje brzmi: "co jest?" ten problem nawet powtarza sie, gdy komputer z sieci (LAN) wlacza sie lub odlacza, abym mogl jemu udostepnic polaczenie z netem. i za kazdym razem musze zamykac ten proces co jest bardzo wkurzajace.

skanowalem:

ad-aware, spy bot search & destroy i antyvirusem (najnowsze definicje wirusow z wczoraj) PC-Cillin

pomocy.


(Dragonlnx) #2

Daj log hijackthis.zip

Może on coś pokaże .... :roll:


(Sumowski) #3

ok daje tak:

1) przed uruchomieniem Opery:

Logfile of HijackThis v1.98.2

Scan saved at 11:04:06, on 2004-11-20

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

D:\hijackthis\HijackThis.exe

C:\WINDOWS\system32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dl ... r=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home


(Dragonlnx) #4

Dlaczego uciąłeś swojego loga ??


Otworzy ci się log w notatniku -

  1. Kliknij CTRL+A

2.Później CTRL+C

  1. Otwierasz forum i wklejasz: CTRL+V

(Sumowski) #5

nie, ja go nie ucialem. :-x

kopiuje nastepny:

Logfile of HijackThis v1.98.2

Scan saved at 11:20:26, on 2004-11-20

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Opera75\opera.exe

C:\Program Files\AutoConnect\AutoConnect.exe

C:\Program Files\Azureus\Azureus.exe

C:\Program Files\Java\j2re1.4.2_01\bin\javaw.exe

C:\Program Files\Winamp\winamp.exe

D:\hijackthis\HijackThis.exe

O17 - HKLM\System\CCS\Services\Tcpip..{86401156-D1BB-4B81-AB76-2E166C6043DD}: NameServer = 194.204.152.34 217.98.63.164

nie mam downa wiem ze CTRL+A (Zaznacz wszystko) :wink:


(lazikar) #6

Niestety nie podajesz pełnych logów. Popatrz w innych tematach jak wyglądają pełne. :?


(Sumowski) #7

nie rozumiem, wciskam "Scan" w hijackthis, potem "Save Log" no i wyskakuje mi plik w notatniku ktorego zawartosc wam wklejam. tam nie ma NIC wiecej! :o


(Sumowski) #8

oto dowód:

niewierzycie.JPG


(Damian) #9

Tu masz opis tegoż procesu:

Process File: svchost.exe

Process Name: Microsoft Service Host Process

Description: svchost.exe is a system process belonging to the Microsoft Windows Operating System which handles processes executed from DLLs. This program is important for the stable and secure running of your computer and should not be terminated.


(Sumowski) #10

to co robi ten proces to ja wiem, bo sprawdzilem gdzies tam na jakiejs stronie. ale czemu on u mnie szaleje!? dodam ze robilem formatowanie dokladnie we wtorek wieczorem. co mam zrobic!? czy moze to byc DSO Exploit? nie chce mi sie znowu formatowac i ustawiac poszczegolnych opcji itd.


(Sumowski) #11

lazikar

czemu uwazasz ze nie podaje pelnych logow? ja na prawde podaje pelne! po co mialbym dawac niepelne? :cry: tymbardziej widac to na screenie z pulpitu. z tego co widzialem w innych logach to roznia sie glownie tym ze ludzie maja zawalone klucze typu "Run" w rejestrze - dla mnie uruchamianie programow wraz z systemem to glupota - u mnie NIC nie startuje razem z systemem.


(lazikar) #12

Właśnie chodzi o to że twój log podaje tylko uruchomione procesy.Tylko dlatego wydaje mi się że coś jest nie tak. Logi powinny posiadać w sobie znacznie więcej informacji, z twojego loga możemy się dowiedzieć ewentualnie jakie procesy masz uruchomione. No i pozycja O17 Prawdopodobna szpiegowska akcja domen Lop.com Prawdopodobnie do usunięcia, ale poczekaj na expertów. Zobacz tylko czy są to serwery przyznane tobie przez dostawcę internetowego? Jeśli tak nie usuwaj tego wpisu!

UWAGA: Nieprawidłowe usunięcie tego wpisu może zaskutkować padnięciem netu na dobre!

Log wydaje mi sie zbyt krótki ale może taki ma być. :wink:


(Sumowski) #13

usunalem go i nadal nic. no ku***! znowu procek szaleje.

svchost.JPG


(lazikar) #14

Jesteś pewien że powinieneś go usunąć. Pisałem ci abyś poczekał na naszych expertów od logów i sprawdził czy są to serwery przyznane tobie przez dostawcę internetowego. A log jak teraz wygląda??


(Sumowski) #15

hijackthis pokazal po usunieciu tego czegos ze nic nie znalazl. a potem zauwazylem ze z "moje miejsca sieciowe" zniknal mi moj serwer FTP, gdy utworzylem swoj FTP folder spowrotem hi jack znowu go wykryl:

Logfile of HijackThis v1.98.2

Scan saved at 12:36:06, on 2004-11-20

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\AutoConnect\AutoConnect.exe

C:\Program Files\Azureus\Azureus.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Java\j2re1.4.2_01\bin\javaw.exe

C:\Program Files\Opera75\opera.exe

D:\hijackthis\HijackThis.exe

\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE

O17 - HKLM\System\CCS\Services\Tcpip..{86401156-D1BB-4B81-AB76-2E166C6043DD}: NameServer = 194.204.152.34 217.98.63.164


(lazikar) #16

Czytasz uważnie to co pisałem. Miałeś usunąć tylko wtedy jak NameServer = 194.204.152.34 217.98.63.164 nie są to serwery przyznane tobie przez dostawcę internetowego. Wychodzi z tego że jednak są. Problem jest w czymś innym. :?


(Misiek Tychy) #17

Witam!

Mam ten sam problem :frowning:

Oto log:

Logfile of HijackThis v1.98.2

Scan saved at 14:38:57, on 2004-11-20

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

C:\Program Files\Sygate\SPF\smc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\PROGRA~1\NORTON~1\navapw32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\D-Tools\daemon.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Program Files\NetPumper\NetPumperIEProxy.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\Program Files\TGTSoft\StyleXP\StyleXP.exe

C:\Program Files\MyPortal\Akuku\Akuku.exe

C:\Program Files\Avant Browser\avant.exe

C:\Program Files\FlashGet\flashget.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\ADOLF\USTAWI~1\Temp\Rar$EX00.548\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.begin2search.com/googlesidesearch.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.begin2search.com/googlesidesearch.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.begin2search.com/googlesidesearch.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://interia.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.begin2search.com/googlesidesearch.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.begin2search.com/googlesidesearch.html

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = iexplore

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: (no name) - _{20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - (no file)

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O1 - Hosts: 216.130.185.143 www.adwave.com

O1 - Hosts: 216.130.185.143 adwave.com

O1 - Hosts: 216.130.185.143 www.xzoomy.com

O1 - Hosts: 216.130.185.143 xzoomy.com

O1 - Hosts: 216.130.185.143 www.advnt01.com

O1 - Hosts: 216.130.185.143 advnt01.com

O2 - BHO: (no name) - SOFTWARE - (no file)

O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Program Files\QuickSearch\QuickSearchBar1_27.dll

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Program Files\QuickSearch\QuickSearchBar1_27.dll

O4 - HKLM\..\Run: [NaviSearch] C:\Program Files\NaviSearch\bin\nls.exe

O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup

O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [PC Booster] C:\Program Files\PC Booster\PCBooster.exe

O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [KAZAA] "C:\Program Files\Kazaa Lite Rewolucja\kpp.exe" "C:\Program Files\Kazaa Lite Rewolucja\kazaalite.kpp" /SYSTRAY

O4 - HKLM\..\Run: [NetPumper] "C:\Program Files\NetPumper\NetPumperIEProxy.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide

O8 - Extra context menu item: Blokuj wszystkie obrazy z tego serwera - C:\Program Files\Avant Browser\AddAllToADBlackList.htm

O8 - Extra context menu item: Dodaj do listy blokowanych reklam - C:\Program Files\Avant Browser\AddToADBlackList.htm

O8 - Extra context menu item: Download with NetPumper - C:\Program Files\NetPumper\AddUrl.htm

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Otwórz wszystkie adresy z tej strony... - C:\Program Files\Avant Browser\OpenAllLinks.htm

O8 - Extra context menu item: Podświetl - C:\Program Files\Avant Browser\Highlight.htm

O8 - Extra context menu item: Szukaj - C:\Program Files\Avant Browser\Search.htm

O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_all.htm

O9 - Extra button: (no name) - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\maxspeed.exe

O9 - Extra 'Tools' menuitem: MaxSpeed - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\maxspeed.exe

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Program Files\IrfanView\Ebay\Ebay.htm

O12 - Plugin for .dll: C:\Program Files\Opera75\PLUGINS\NPNetPumper_Application.dll

O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll

Acha, jeszcze jedno:

Jak dam wyszukaj plik svchost.exe to znajduje mi :

SVCHOST.EXE-3530F672.pf w folderze C:\WINDOWS\Prefetch

svchost w folderze C:\WINDOWS\system32

svchost w folderze C:\WINDOWS\ServicePackFiles\i386

Któryś trzeba usunąć, tylko który ??


(Sumowski) #18

zadnego nie usuwaj, bo te pliki sa niezbedene do dzialania systemu, z resztą tego z C:\WINDOWS\system32 nie usuniesz i tak.

ten jest zapasowy: C:\WINDOWS\Prefetch

a to prawdopodobnie z instalki SP2 C:\WINDOWS\ServicePackFiles\i386

a co do mojego loga, pytanie do ekspertow. dla czego do .... nedzy moj log nie jest taki jak powyzej!? czemu moje sa takei krotkie!? kurna.


(Misiek Tychy) #19

dobrze ze mi powiedziałes bo juz chciałem usunąc je :?

ale sprawa dalej nie rozwiązana :?