Известная проблема svchost.exe - загрузка ЦП

neigrok · 25.05.2011, 06:20

Снова здравствуйте, друзья.
Последние пару дней все стало жутко тормозить.
Обнаружил, что в списке процессов добавилось +2 svchost.exe (Обычно из было 6 штук, а теперь стало 8).
2 новых svchost.exe грузят ЦП по 50% каждый (итого 100% в сумме). Все остальное по нулям. Можно эти процессы убить вручную, но после перезагруза появятся снова.
Подозреваю, что некий вирус маскируется под svchost.exe и запускает всякие ненужные процессы и службы.
Вручную поотключал все возможные службы, которые только можно отключить (все, что напрямую не связано с нормальным функционированием компьютера). Оно и до этого почти все опасное было отключено, так что это не принципиально. В результате в списке по-прежнему 8 svchost.exe, но только 1 из них стабильно грузит ЦП на 50%.

По запросу в cmd --> tasklist /svc /fi “imagename eq svchost.exe получил список, где подозрительными кажутся записи: SSDPSRV и RasMan
Восьмой svchost.exe в списке имеет запись Н/Д

Поиск файла svchost.exe копий не обнаружил. (Обнаружен 1 файл там где и положено).

АВЗ №3 http://webfile.ru/5344068
ХайДжек http://webfile.ru/5344069

Заранее благодарен.
(Винда ХР пиратка).

~Данил~ · 25.05.2011, 10:17

neigrok, ничего плохого не вижу

попробуйте отключить лишнее службы http://pchelpforum.ru/f34/t50971/ и почистить автозагрузку

beluch · 26.05.2011, 09:48

Позавчера поймал аналогичное заражение с теми же симптомами. Жуткие тормоза. В процессах два лишних процесса svchost.exe, запущенных из под пользователя и использующих по 50% процессорного времени. Если убить один, то второй берет на себя 100%. Можно убить и оба - паразитная загрузка процессора исчезает, и на компьютере вполне можно работать до следующей перезагрузки. При более внимательном рассмотрении с помощью Process Explorer выяснилось, что оба запущены проводником, а не services.exe, как полагается для нормальных сервисов. Но запущены из легального системного файла C:\\Windows\System32\svchost.exe с параметрами -k netsvcs, то есть придраться не к чему кроме того, что с теми же параметрами уже запущен такой же процесс от имени SYSTEM, то есть имеет место конфликт при попытке повторного запуска тех же служб.

AVZ с запущенным драйвером обнаружил скрытый процесс igfxtray.exe. Process Explorer признал этот процесс вполне легальным, файл имел интеловскую подпись. Отключение в реестре автозапуска этого процесса ничего не дало. Процесс не запускался, однако лишние svchostы все равно появлялись, а интеловский файл igfxtray.exe в системной папке так и остался скрытым.

Изучение списка запускаемых программ в программе MSConfig показало, что в папке автозагрузки имеется файл с таким же именем igfxtray.exe. Проводник этого файла тоже не видит. Файл был уничтожен с помощью функции отложенного удаления программы AVZ. После этого работоспособность системы восстановилась, интеловский файл тоже стал видимым.

Не знаю, этот ли случай у вас, но попробуйте - симптомы очень похожи. Если специалистов интересует тело вируса, могу переслать архив с вирусом или карантин программы AVZ - сделал и то, и другое перед очисткой.

neigrok · 26.05.2011, 18:45

Дальнейшее развитие вопроса перевел в эту тему, но там тоже все тоскливо идет.
http://pchelpforum.ru/f34/t58233/

Файл igfxtray.exe не обнаружен, но в папке Prefetch имеется файл IGFXTRAY.EXE-0022F8A9.pf с датой вчерашней загрузки компа - уже ближе к телу. Значит какие-то действия этим файлом ведутся, но в компе его не видать.
Дальше опять не знаю что делать

neigrok · 28.05.2011, 00:30

После долгих попыток разобраться с помощью операционщиков в этой теме http://pchelpforum.ru/f34/t58233/, значительного прогресса достигнуто не было.
Как ни странно, все гениальное оказалось просто: скан Мбамом обнаружил кучу зараженного мусора в System Volume Information, но главное он увидел тот самый злополучный файл igfxtray.exe, который нагло лежал в автозагрузке.
Ранее этот файл никакими программами увидеть не удавалось. Поиск, Эксплорер, АВЗ, Каспер ремув, Авторанс, ПроцессЭксплорер, СПпроцесс - этот файл не видят.
Там же в Мбам приказал перед перегрузом файл igfxtray.exe и весь мусор из System Volume Information удалить.
О чудо, нагрузка на ЦП исчезла, 8-й процесс svchost исчез (осталось 7 легальных svchost, рожденных процессом services).
Проблему можно считать решенной? Или еще разочек контрольно прокатить Мбамом?

---------- Добавлено в 23:30 ---------- Предыдущее сообщение было написано в 20:57 ----------

Прокатил еще раз антивирусами.
Все нормально.
Проблему вроде решили.
Спасибо всем кто поучаствовал.
Отдельное спасибо beluch за предоставленную информацию.

П.С. С днем пограничника всех, кто служил в ПВ.
Я зеленую фуражку берегу.... 1996-1998

25.05.2011, 06:20	#1 (ссылка)
neigrok Новичок Регистрация: 10.07.2010 Сообщений: 48 Репутация: 0	Известная проблема svchost.exe - загрузка ЦП Снова здравствуйте, друзья. Последние пару дней все стало жутко тормозить. Обнаружил, что в списке процессов добавилось +2 svchost.exe (Обычно из было 6 штук, а теперь стало 8). 2 новых svchost.exe грузят ЦП по 50% каждый (итого 100% в сумме). Все остальное по нулям. Можно эти процессы убить вручную, но после перезагруза появятся снова. Подозреваю, что некий вирус маскируется под svchost.exe и запускает всякие ненужные процессы и службы. Вручную поотключал все возможные службы, которые только можно отключить (все, что напрямую не связано с нормальным функционированием компьютера). Оно и до этого почти все опасное было отключено, так что это не принципиально. В результате в списке по-прежнему 8 svchost.exe, но только 1 из них стабильно грузит ЦП на 50%. По запросу в cmd --> tasklist /svc /fi “imagename eq svchost.exe получил список, где подозрительными кажутся записи: SSDPSRV и RasMan Восьмой svchost.exe в списке имеет запись Н/Д Поиск файла svchost.exe копий не обнаружил. (Обнаружен 1 файл там где и положено). АВЗ №3 http://webfile.ru/5344068 ХайДжек http://webfile.ru/5344069 Заранее благодарен. (Винда ХР пиратка).

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
HELP!! Известная ошибка IE усугубленная какой то фигней.	Серж77	Интернет и сети	2	12.05.2011 23:13
Проблема с svchost.exe	jkmuf	Безопасность	18	17.04.2011 22:12
Постоянная 100% загрузка ЦП, грузят Winloron и svchost	Annexy	Безопасность	24	27.09.2010 17:35
Проблема DCOM & svchost	neigrok	Безопасность	55	12.07.2010 15:47
Проблема с svchost.exe и со звуком (наверное). Логи	Rabi	Безопасность	33	03.07.2010 18:51
Проблема с svchost.exe	4eshka	Безопасность	10	16.06.2010 18:54
Не известная мне проблемма с инетом.Помогите плиз...	Гладышев	Windows 7	0	05.05.2010 18:11
Проблема долгая загрузка операционой системы и потом зависания по мере работы ...	Паша1232	Неисправности, настройка	16	17.03.2010 22:29
Проблема с svchost	shooroopsan	Безопасность	18	10.09.2009 17:42
проблема с svchost.exe помогите!	Dominion	Windows XP	15	18.04.2009 16:46
Не известная мать	amino	Железо	5	02.03.2009 13:30

25.05.2011, 10:17	#2 (ссылка)
~Данил~ Эксперт Регистрация: 28.08.2010 Сообщений: 11,078 Записей в блоге: 5 Репутация: 925	neigrok, ничего плохого не вижу попробуйте отключить лишнее службы http://pchelpforum.ru/f34/t50971/ и почистить автозагрузку

26.05.2011, 09:48	#3 (ссылка)
beluch Новичок Регистрация: 25.05.2011 Сообщений: 1 Репутация: 0	Позавчера поймал аналогичное заражение с теми же симптомами. Жуткие тормоза. В процессах два лишних процесса svchost.exe, запущенных из под пользователя и использующих по 50% процессорного времени. Если убить один, то второй берет на себя 100%. Можно убить и оба - паразитная загрузка процессора исчезает, и на компьютере вполне можно работать до следующей перезагрузки. При более внимательном рассмотрении с помощью Process Explorer выяснилось, что оба запущены проводником, а не services.exe, как полагается для нормальных сервисов. Но запущены из легального системного файла C:\\Windows\System32\svchost.exe с параметрами -k netsvcs, то есть придраться не к чему кроме того, что с теми же параметрами уже запущен такой же процесс от имени SYSTEM, то есть имеет место конфликт при попытке повторного запуска тех же служб. AVZ с запущенным драйвером обнаружил скрытый процесс igfxtray.exe. Process Explorer признал этот процесс вполне легальным, файл имел интеловскую подпись. Отключение в реестре автозапуска этого процесса ничего не дало. Процесс не запускался, однако лишние svchostы все равно появлялись, а интеловский файл igfxtray.exe в системной папке так и остался скрытым. Изучение списка запускаемых программ в программе MSConfig показало, что в папке автозагрузки имеется файл с таким же именем igfxtray.exe. Проводник этого файла тоже не видит. Файл был уничтожен с помощью функции отложенного удаления программы AVZ. После этого работоспособность системы восстановилась, интеловский файл тоже стал видимым. Не знаю, этот ли случай у вас, но попробуйте - симптомы очень похожи. Если специалистов интересует тело вируса, могу переслать архив с вирусом или карантин программы AVZ - сделал и то, и другое перед очисткой.

26.05.2011, 18:45	#4 (ссылка)
neigrok Новичок Регистрация: 10.07.2010 Сообщений: 48 Репутация: 0	Дальнейшее развитие вопроса перевел в эту тему, но там тоже все тоскливо идет. http://pchelpforum.ru/f34/t58233/ Файл igfxtray.exe не обнаружен, но в папке Prefetch имеется файл IGFXTRAY.EXE-0022F8A9.pf с датой вчерашней загрузки компа - уже ближе к телу. Значит какие-то действия этим файлом ведутся, но в компе его не видать. Дальше опять не знаю что делать

28.05.2011, 00:30	#5 (ссылка)
neigrok Новичок Регистрация: 10.07.2010 Сообщений: 48 Репутация: 0	После долгих попыток разобраться с помощью операционщиков в этой теме http://pchelpforum.ru/f34/t58233/, значительного прогресса достигнуто не было. Как ни странно, все гениальное оказалось просто: скан Мбамом обнаружил кучу зараженного мусора в System Volume Information, но главное он увидел тот самый злополучный файл igfxtray.exe, который нагло лежал в автозагрузке. Ранее этот файл никакими программами увидеть не удавалось. Поиск, Эксплорер, АВЗ, Каспер ремув, Авторанс, ПроцессЭксплорер, СПпроцесс - этот файл не видят. Там же в Мбам приказал перед перегрузом файл igfxtray.exe и весь мусор из System Volume Information удалить. О чудо, нагрузка на ЦП исчезла, 8-й процесс svchost исчез (осталось 7 легальных svchost, рожденных процессом services). Проблему можно считать решенной? Или еще разочек контрольно прокатить Мбамом? ---------- Добавлено в 23:30 ---------- Предыдущее сообщение было написано в 20:57 ---------- Прокатил еще раз антивирусами. Все нормально. Проблему вроде решили. Спасибо всем кто поучаствовал. Отдельное спасибо beluch за предоставленную информацию. П.С. С днем пограничника всех, кто служил в ПВ. Я зеленую фуражку берегу.... 1996-1998

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Опции темы
Версия для печати Отправить по электронной почте

Ads