belele mari cu SVCHOST.EXE

ma confrunt cu o problema destul de mare cu svchost. sigur e virus,troian si chestii deastea dar nu mi-l depisteaza.
in ambele cazuri ce le voi expune mai jos am svchostu la 100% cpu de cand aprind pc. uneori e compus din 2-3 svchost ce insumeaza 100% iar consumul RAM e si ala vreo 160mb insumat la svchost

CAZUL1
am folosit win7 pe 64 de biti in ultimii 2 ani cu aprox....de cateva zile a aparut problema cu svchost
am linux mint12 pe alta partitie si mai intru si pe ala uneori....acolo nu am probleme am vazut
am un joc online de vreo 15giga(atlantica online) care-si face upgrade la cateva zile intotdeauna
am instalat si dezinstalat zeci de programe pe el in astia 2 ani si n-a avut probleme
am facut un full scan cu kasperski internet security ieri si mi-a gasit doar un troian "s.agent" ceva de genu si l-a sters dupa care pc-ul facea la fel de rau

CAZUL2
am instalat azi win7 pe 32 de biti, crezand ca nu-i mai place de "fatza"lui x64.....dar se comporta la fel
am dat full format la C pana sa pun win-ul crezand ca scap de problema
am instalat doar: 7Zip,adobe reader,chrome,sopcast si un plugin pt chrome(ie tab) doar astea am instalat.......dar se comporta la fel
acum fac full scan cu Avast e la 92% zero virusi si acu scaneaza in jocu ala...oricum nu gaseste nimic

deci ce naiba sa-i fac ca sunt saturat si de googaleala:(

Edited by zerobitsunt, 30 May 2012 - 12:10.

1) Programele instalate sunt luate de pe site oficial? Sau aveai kiturile pe alta partitie? Se poate sa fie ascuns virusul in vreun kit ce l-ai instalat dupa formatare.
2) Iar DVD-ul cu Windows 7 esti sigur ca e curat? Si in el pot fi ascunsi virusi, in cazul in care nu e original.
3) Daca ambele variante de mai sus sunt curate (kiturile de 7Zip, reader, chrome, Sopcast si discurile cu Windows 7) atunci poate fi un virus ascuns in mbr, dupa cum spunea un user pe alt topic.

L.E.: si fa ce a spus mai jos userul flegma, scaneaza cu MBAM si posteaza si un log HiJackThis.

Edited by Hider141, 30 May 2012 - 12:22.

Incearca cu Malwarebytes. Si pune un log HiJackThis pe aria Devirusare.

Si la mine sunt 11 SVCHOST.EXE(consuma peste 150 mb din rami), dar vad ca nu imi consuma deloc din procesor , si degaba ai incercat varianta cu Linux nu are nici o legatura cu SVCHOST.EXE , eu daca as fi in locul tau as fi incercat o formatare completa si aici ma refer la tot HDD-ul , si sper ca folosesti un windows original

Posibil sa fie virus de boot.
Incearca sa formatezi cu un cd bootabil de win98. Incearca comanda fdisk /u/s, pentru a formata zona de FAT.
Sper sa te ajute. Si eu am avut multi virusi in zona de FAT.
P.S. Am win 7 original cu licenta, si imi merge mult mai greu decat...
        Multa bafta!

raspuns la 1)programele sunt de pe site oficial bineinteles
raspuns la 2)win7 al meu este curat pt ca asa cum am zis il tot folosesc de 2 ani si am problema asta doar de ~5zile
raspuns la 3)acum fac full scan si cu malware bytes sa vad ce zice

@iceboy din pacate nu pot sa-i fac format si la D pentru ca am niste jocuri acolo si ala de 15giga instalat as fi vrut eu
   stiu ca nu are legatura cu svchost dar am vz in linux consumul de cpu este zero in ideea ca macar acolo nu am prob cu cpu

Edited by zerobitsunt, 30 May 2012 - 12:36.

zerobitsunt, on 30th May 2012, 13:27, said:

eu stiu despre acest virus. verifica din ce locatie se incarca toate svchost si stergele pe toate in afara de cele din system32

zerobitsunt, on 30th May 2012, 13:27, said:

Linux nu are nici o legatura cu Windows , tu probabil ai un virus de Windows , eu ma ocup cu instalari de Windowsuri si am vazut foarte multe pc-uri virusate , am facut ce ai facut si tu instalare Windows si formatare partitie C , dar problema cu virusul a persistat si am reusit doar cu o formatare completa , fa-mi si mie o poza ca cea de mai jos dar cu orice proces oprit si cu SVCHOST.EXE pornit .

Edited by iceboy2010, 30 May 2012 - 12:50.

@iceboy  uite toate procesele mele de svchost in special ala de network cu 100mb se duce in 60% de obicei si insumat cu altu...face 100%
              si atasez si poza care ai cerut

zerobitsunt, on 30th May 2012, 14:03, said:

Clar e un virus , ca sa nu te mai chinui cu toti antivirusi iti recomand , http://forum.softped...howtopic=530482 varianta celor de la Kaspersky , ii faci un update (depinde ce internet ai)  si scanezi tot hdd-ul , daca nu te descurci cu ceva iti pot lasa numar meu de telefon si iti explic ce si cum , daca nici asa nu reusesti eu as face o formatare completa.

Ar fi util sa postezi un log HiJackThis pe sectiunea "Devirusare & raportare virusi/malware", unde sa pui si link catre acest topic. Vad ca moderatorul rootkit (cred ca inainte era crysty2k5) cred ca e acum pe forum si s-ar putea sa-ti raspunda destul de repede daca postezi acolo un topic cu logul HijackThis.

Edited by Hider141, 30 May 2012 - 13:11.

alte rapunsuri:

-urmeaza sa postez si HiJackThis log
-pana la urma voi incerca si format D ca ultima varianta dureroasa
-@clientweb partitiile mele C si D sunt ntfs nush ce zici ce fat poate sunt anumite clustere ramase fat sau ce? nu ma pricep
-@hddguru si asta o sa fac voi sterge toate svchost.exe care nu-s in system32
-@iceboy zici de variante rescuecd dar nu cred ca imi merge dvdrw din laptop abia am instalat win7 cu el si s-a tarait vreo 2 ore cred
-malwarebytes scaneaza de 1 ora si n-a gasit nimic. mai are vad

alte detalii:
sunt pe laptop, aici am problemele astea si....am alt laptop in alta camera si....cele 2 merg prin wireless de la un "access point" deala DAP1160
si ma conectez prin RDS cu al  meu dupa care al 2 laptop daca il aprind ia net de la al meu printr-un LAN......poate am erori sau virusi din celalalt laptop...cumva?





VREAU SA MAI SPECIFIC CEVA FOARTE IMPORTANT

cand dau "end task" unui sau unor svchost.....apar una din 2 variante:

1. dau de 2-3 ori end task(pentru ca se reface din nou) si lucrurile devin normale fara probleme....acum de exemplu am dat end task la svchostu care apartine de "network service" si a disparut problema inclusiv svchostu cu 110mb consum

2. daca dau end task la svchostu nepotrivit(chiar de arata 100% cpu) atunci mi-a facut netul varza pentru ca....taie netul....si degeaba ma duc sa dau conect/disconect rds
pentru ca dau degeaba....si ajung sa dau restart la pc ca sa am net

Edited by zerobitsunt, 30 May 2012 - 13:56.

Nu conteaza ce PC ai pentru  Rescue CD , eu am incercat pe un PC vai viata lui de 512mb ram si procesor single core , si a mers foarte bine , eu zic sa incerci asa si daca esti familiarizat cu linx , o sa te descruci  .

@iceboy am incercat sa zic ca am probleme cu unitatea de dvdrw nu citeste aproape nici un disc e alta problema. sunt norocos ca imi citeste win7 alceva n-am gasit sa mearga pe el, asa e de cateva luni.

malwarebytes a terminat scanarea n-a gasit nimic:


Malwarebytes Anti-Malware (Proba) 1.61.0.1400
www.malwarebytes.org

Versiunea bazei de date: v2012.05.30.02

Windows 7 x86 NTFS
Internet Explorer 8.0.7600.16385
liviu :: LIVIU-PC [administrator]

Protectie: Activat

30.05.2012 13:23:05
mbam-log-2012-05-30 (13-23-05).txt

Modul de scanare: Scanare completa
Optiuni de scanare activate: Memorie | Pornire | Registru | Sistemul fisierelor | Euristica/Extra | Euristica/Shuriken | PUP | PUM
Optiuni de scanare dezactivate: P2P
Obiecte scanate: 327841
Timp trecut: 1 ore, 35 minute, 42 secunde

Procese din Memorie detectate: 0
(Nu au fost detectate obiecte malicioase)

Module de Memorie detectate: 0
(Nu au fost detectate obiecte malicioase)

Chei de Registru detectate: 0
(Nu au fost detectate obiecte malicioase)

Valori de Registru detectate: 0
(Nu au fost detectate obiecte malicioase)

Date din Registru detectate: 0
(Nu au fost detectate obiecte malicioase)

Foldere detectate: 0
(Nu au fost detectate obiecte malicioase)

Fisiere detectate: 0
(Nu au fost detectate obiecte malicioase)

(sfarsit)

Nu are cum sa mearga doar DVD-ul cu windows 7 pe el , probabil restul nu erau facute cum trebuie , macar incearca sa faci un CD , ar fi cam ultima solutie , urmatoarea e formatarea completa, dar poate mai vine cineva cu alta idee.

acum logul hijack (dar in urma la endtaskurile care  le-am dat la svchost si acum pc se comporta normal. nu stiu ce activeaza problema nici ce o mentine dar sigur o am iar daca dau restart. prea mi-l facea varza trebuia sa astept 3minute sa se incarce o pagina de net sau orice altceva aplicatie)


Logfile of Trend Micro HiJackThis v2.0.4
Scan saved at 15:17:31, on 30.05.2012
Platform: Windows 7  (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\AVAST Software\Avast\AvastUI.exe
C:\Windows\explorer.exe
C:\Users\liviu\Desktop\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft....k/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft....k/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft....k/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKCU\..\Run: [Google Update] "C:\Users\liviu\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O17 - HKLM\System\CCS\Services\Tcpip\..\{537124ED-9BF0-48AE-8518-058CD8A2349C}: NameServer = 213.154.124.1 193.231.252.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{537124ED-9BF0-48AE-8518-058CD8A2349C}: NameServer = 213.154.124.1 193.231.252.1
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: avast! Antivirus - Avast Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe

--
End of file - 2961 bytes

Edited by zerobitsunt, 30 May 2012 - 14:23.

eu cred ca este ROOTKIT.... incearca o scanare cu AVG pentru rootkit

am instalat si AVG rootkit ala am ddat restart....am facut scanare de rootkit inainte sa cuplez netu si dupa....acelasi rezultat...din poza atasata