Svchost.exe zużywa cały czas ok. 50% procesora!


(Dawidorlowicz) #1

Witam. Mam problem z svchostem.exe ktory zużywa mi caly czas ok. 50% procesora. W menedzeze zadan jak go wylacze wraca do normy ale po ponownym uruchomieniu laptopa znowu to powraca. Proszę o pomoc. 

Tu dołączam log z HiJackThis:http://wklej.to/gRaJf

I screen'y z menedzera i proces explorera.

post-252798-0-24748000-1409315341_thumb.

post-252798-0-66868800-1409315341_thumb.


(Atis) #2

http://forum.dobreprogramy.pl/nowy-log-obowiązkowy-farbar-recovery-scan-tool-t478727/


(Dawidorlowicz) #3

shortcut: http://wklej.to/NB7FW

addition: http://wklej.to/StV9A

FRST: http://wklej.to/GCryR

i ścieżka gdzie znajduje się ten plik: http://prntscr.com/4hn10e


(Atis) #4

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

(Microsoft® Corporation) C:\ProgramData\wmc.exe
() C:\Users\Piotr6660\AppData\Roaming\Microsoft\svchost.exe
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-547756336-373496009-2426929767-1001\...\Run: [Pokki] => C:\WINDOWS\system32\rundll32.exe "%LOCALAPPDATA%\Pokki\Engine\Launcher.dll",RunLaunchPlatform
HKU\S-1-5-21-547756336-373496009-2426929767-1001\...\Run: [AdobeBridge] => [X]
HKU\S-1-5-21-547756336-373496009-2426929767-1001\...\Run: [svchost] => C:\Users\Piotr6660\AppData\Roaming\Microsoft\nircmd.exe [44032 2013-08-11] (NirSoft)
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKCU - DefaultScope {73146441-3D74-49B9-911F-7AE37CDC7F7F} URL = 
SearchScopes: HKCU - {73146441-3D74-49B9-911F-7AE37CDC7F7F} URL = 
C:\ProgramData\.windows.sys
C:\ProgramData\wmc.exe
C:\Users\Piotr6660\AppData\Roaming\Microsoft\svchost.exe
C:\Users\Piotr6660\AppData\Roaming\Microsoft\nircmd.exe
Task: {72ACD153-3E3E-415D-8A78-7D8913F2CF2C} - System32\Tasks\SYSTEM => C:\ProgramData\wmc.exe [2014-08-26] (Microsoft® Corporation)
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""=""
Folder: C:\Users\Piotr6660\AppData\Roaming\Microsoft
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.


(Dawidorlowicz) #5

FRST:http://wklej.to/0qCNN

Fixlog:http://wklej.to/Plihi

Dziekuje za pomoc. I takie pytanie z ciekawosci czy to był jakiś wirus czy co??


(Atis) #6

Wygląda na kilka różnych trojanów, bo oprócz tego fałszywego svchost był jeszcze taki:

http://forum.dobreprogramy.pl/zmienia-mi-sie-numer-rachunku-mbank-t481422/

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

C:\Users\Piotr6660\AppData\Roaming\Microsoft\*.exe
C:\Users\Piotr6660\AppData\Roaming\Microsoft\*.dll
C:\Users\Piotr6660\AppData\Roaming\Microsoft\*.cl
C:\Users\Piotr6660\AppData\Roaming\Microsoft\*.rar
C:\Users\Piotr6660\AppData\Roaming\Microsoft\*.bat
Folder: C:\Users\Piotr6660\AppData\Roaming\Microsoft

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.


(Dawidorlowicz) #7

fixlog: http://wklej.to/f0H5C

No nie mam jeszcze konta w banku ale juz moge byc spokojny?? Jakieś skany jeszcze??


(Atis) #8

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

DeleteQuarantine:

Uruchom FRST i kliknij Fix. Później skasuj folder C:\FRST

Odinstaluj Java 7 Update 65.

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

http://wstaw.org/m/2014/03/25/2014-03-25_123039.png

Język PL > Settings > General Settings > Language > Polish


(Dawidorlowicz) #9

Wszystko co wykrylo to byly wasze “launchery” xddd


(Atis) #10

Osoby odpowiadające na forum nie mają wpływu na portal i jego asystenta.

Po prawej stronie wybierz Linki bezpośrednie.

Jeżeli jesteś zalogowany to Asystent pobierania jest wyłączony.


(Dawidorlowicz) #11

Ok. Dzieki za pomoc!