svchost на 99%

Автор	Съобщение
insecteater Сря, 13.05.09, 16:58	Такааа, от време на време, най различни компютри в мрежата вкарват svchost да ползва CPU - то работи на 99% и съответно компютъра почти забива. С Process Explorer гледах кой точно svchost е забил, и за моя голяма "радост" се оказа, че е забил svchost-а съдържащ най много service-и : от там нататък обаче, няма как да вляза в threads, компютъра замръзва съвсем. Windows updates е изключено чак от service-а (на disabled), операционната система е windows xp sp 2 Някой има ли идея, как мога да проследя от точно кой service тръгва използваемостта на процесора на 99%? Това става на най различни компютри, по различно време. Антивирусната по всички компютри е Avira Antivir - обновена, като на различни компютри където се получава това има и нова и на някои стара версия. Този проблем дори се появи на един компютър, който си работи под ограничен акаунт. Един от компютрите сканирах напълно с Rescue Disk на касперски, но не откри нищо. Съмнява ме да не би някой да прави мизерии по мрежата - някакви идеи как се засича подобно нещо? Ето малко данни за единият от компютрите на което се появява това: hijackthis.log Procexp.txt Autoruns.rar(два варианта - текстов и за зареждане)
	Отговор  За печат
anonymous Сря, 13.05.09, 17:07	RE: svchost на 99% Цитат на insecteater от Сряда, 13.05.2009 16:58 ” ... Съмнява ме да не би някой да прави мизерии по мрежата - някакви идеи как се засича подобно нещо?... „ Не съм много вещ в тази област, но ако някой прави нещо по мрежата то някой firewall би могъл да го засече {Comodo Firewall}. При мен firewall-a на Мандривата засича всички сканирания на портове и т.н. или поне го правеше преди да ъпгрейдна до 2009.1. Сега спря да ми изкарва съобщения. Сигурно съм махнал някоя отметка някъде...
	Отговор  За печат
insecteater Сря, 13.05.09, 17:37	Едно допълнение (понеже не мога да си редактирам пост-а): изключването на service-ите е логичния начин да се разбере кой е проблемен, само дето не мога да пусна управлението им, за да почна да ги изключвам един по един - компютъра заживява в свой собствен свят. А от process explorer-a, който беше предварително пуснат тогава, се спират всичките накуп в този svchost. Ще видя това с firewall-ите. редактиран от insecteater на 13.05.09 17:38
	Отговор  За печат
angelicstar Сря, 13.05.09, 17:57	Ами ако спреш целия svchost какво става? Щото при мене някои пъти така 1 svchost излиза на 99% като пусна Корела. Утрепвам svchost-а и само дето ми отпада DHCPто и мрежата почва да се лензи. Иначе компито си бачка.
	Отговор  За печат
insecteater Сря, 13.05.09, 19:26	Като го спра целия и няма Winamp, няма мрежа, не може да печата на отдалечен принтер (щото няма мрежа) и т.н. което като резултат пак е една безполезна машина. ИДеята е да се разбере какво го причинява това. Утре ще се пробвам под ДОС да ги спирам един по един, както Armenxxx1 посъветва, надявам се че поне конзолата ще се отвори след разумен период от време.
	Отговор  За печат
zlatena Сря, 13.05.09, 22:06	RE: svchost на 99% Цитат на insecteater от Сряда, 13.05.2009 19:26 ” .... не може да печата на отдалечен принтер (щото няма мрежа)..... „ Понеже се говори за мрежа и много машини тук проблема е Много по различен. Колко машини имат този проблем? Възможно е да е свързано с принтерите ===при folder options е пуснато да търси автоматично шернати принтери и папки . ----------- Иначе спри нета на въпросната машина за която говориш...издърпай кабела и виж как ще се държи след рестарта. Възможно е някой от сервизите да се бъгва...или "служебна програма",която ползва някой от сервизите. Освен,че всички те зависят от въпросното svchost ...те зависят и един от друг... Например ако изключиш Server автоматично ще се изключи и Computer browser разгледай графата dependencies.Там се вижда кой сервиз от кой друг зависи. Имаше адин ъпдейт: http://www.microsoft.com/downloads Safe mose или Last Known Good Configuration ако е драйвер. ------------ Кой знае какво нищо ще излезе. редактиран от zlatena на 13.05.09 22:07 редактиран от zlatena на 13.05.09 22:09
	Отговор  За печат
kookki Сря, 13.05.09, 22:22	RE: svchost на 99% Имал съм проблеми с процесора два пъти.И двата пъти бичеше на 100% . И двата пъти преинсталацията и формата не помогнаха(на различни компютри).В единя случей беше дефектна мишка включена във предното USB (в задните не даваше дефект).Във втория случей беше блутуут включен в заден вход USB .За третия случей не съм сигурен, но джойстик при включването си правеше подобни ядове.Мисълта ми е, че USB портовете понякога правят странни проблеми и се откриват на принципа проба,грешка,случаен успех.Като по-запознат с машита си, експериментирай с нея, без предубеждения че проблема е точно вирус или бъзик от някой.Успех
	Отговор  За печат
anonymous Нед, 17.05.09, 21:21	RE: svchost на 99% Цитат на insecteater от Сряда, 13.05.2009 16:58 ” hijackthis.log „ log.html Дано видиш нещо подозрително...
	Отговор  За печат
insecteater Нед, 17.05.09, 21:58	О, аз се оправих. Оказа се ето това: http://www.download.bg/index.php?cls=forum&mtd=thread&t=197275&q=kido&p=2 avira-та между другото изобщо не го чисти. Тя не разпознава заразена флашка от него, та камо ли да спре процесите дето са се намърдали в svchost-a. ето: http://www.virustotal.com/analisis/29cb6beaedc5b8941cf240b1505b3094 Оказа се че гадината и rootkit си пада - има променени функции из разните системни dll-та. И се е намъкнало през RPC дупката по мрежата, щото една от първите ми работи е да изключвам autorun-ите. Струва ми се че е някаква модификация, понеже не всичко което са описали за тоя вирус си пасна при мен - например големината на файла в заразената флашка е мегабайт и половина, нямаше процеси в контейнера/регистрите където се очакваше да има а на малко по друго място и т.н.
	Отговор  За печат
zlatena Нед, 17.05.09, 22:09	Незнам но към днешна дата avira-та отдавна би трябвало да има дефиниции за това старо вече "нещо" 13.01.09 20:32 MSK http://kaspersky.ru/ Обновявайте си дефинициите
	Отговор  За печат
kookki Нед, 17.05.09, 22:38	възможно е "нещото" да блокира антивирусната.
	Отговор  За печат

Коментар