Svchost.exe pc bloccato sempre!

[francesco.campa]

Gentili utenti del forum
Scrivo perchè ho un problema simile ad Angelo90Bari. Aprendo il taskmanager vedo 1-8 processi, che mi ciucciano tutte le risorse. A tal proposito allego lo screen del task cosi potete vedere se eventualmente vi siano altri processi anomali.

http://b.imagehost.org/view/0193/task

Seguendo questa discussione ho scansionato varie volte il pc per antivirus, rootkit, spyware ecc. Ho eliminato diverse cose ma mi risulta impossibile eliminare alcune voci di registro ActiveX/COM e diverse altre, di cui non riesco ad allegare un log, perche regseeker quando chiedo di stampare su un file me lo da con le linee sovrapposte e illeggibili (nel caso se fosse utile potrei fare uno screen o usare un programma migliore consigliato da voi per le operazioni sul registro).

In ultimo ho utilizzato combofix per scansionare il pc e quindi riporto qui il log.

ComboFix.txt

Ora, sottolineando che non sono per nulla pratico di queste cose, vi chiedo se potete gentilmente aiutarmi e guidarmi nella risoluzione del problema.
grazie in anticipo
Francesco

[Deifobe]

Ciao francesco.campa,
ho aperto per te una nuova discussione (per la prossima volta, leggi il Regolamento del forum Sicurezza )

Il thread a cui fai riferimento è questo.

Ciao
Dei

[Nobody33]

Buona sera

In ultimo hai eseguito combofix, ovvero dopo l'immagine del task caricata ?
Hai ancora problemi (cosa che non penso, perché combofix, nella maggioranza dei casi te li fa secco le cose) ?

Se non l'hai già fatto, scaricati malwarebytes, lo installi e lo fai aggiornare. Dopo vai in modalità provvisoria con la rete staccata e li fai fare una scansione COMPLETA (seconda voce nella schermata iniziale del programma) a scansione effettuata, elimina il tutto premendo un bottone in basso ! Porta qui il log.

Infine scaricarti GLARY UTILITIES ; per impostarlo in italiano, vai su "menu" e poi su "settings". Dopo esegui la "manutenzione- 1 clic"

[francesco.campa]

eccomi qui..
ho fatto le varie cose e ora allego il log di malwarebytes
mbam-log-2010-10-06 (11-50-08).txt

Poi ho usato l'altro tool, ma non riesce ad eliminarmi alcune voci dal registro.
allego lo screen
http://b.imagehost.org/view/0344/reg

In ultimo dopo ulteriore riavvio ho rifatto screen del taskmanager
http://b.imagehost.org/view/0374/task

grazie dell'interessamento rimango in attesa di ulteriori istruzioni!

[Nobody33]

Salve

Dal log di malwarebytes risulta questo

File infetti:
F:\Incoming\NFOviewer.exe (Malware.Packer.Krunchy) -> No action taken.

Rifai la scansione con Mbam ma questa volta dopo la scansione, devi mettere il tutto in quarantena, premendo un bottone in basso !!

Poi ho usato l'altro tool, ma non riesce ad eliminarmi alcune voci dal registro. allego lo screen http://b.imagehost.org/view/0344/reg

che tool hai usato? Combofix ?

Se non ci riesce, prova con GMER , e cancella tutte le voci in rosso, ovvero tutte le cose che combofix non riusciva ad eliminare.

Spiacente, se vado a tentoni, ma dato che non so bene il tuo problema, ne so che procedure hai usato, dovresti rispiegarti brevemente o contattare / aspettare la persona che ti seguiva prima

[francesco.campa]

Quel file infetto l'ho eliminato, e cmq sapevo cos'era, e non penso di poterne parlare qui, cmq è una cosa scaricata con emule riguardante un videogame.

L'altro tool a cui mi sono riferito è quello che mi hai consigliato tu: Glary utilities

GMER l'ho gia utilizzato e non mi evidenzia nulla in rosso

Il prolema è che svchost mi ciuccia le risorse della cpu!
Nessuno mi ha seguito prima di te! tu sei il primo che mi ha risposto!

Cmq prima di scrivere su questo forum il post a cui mi hai risposto, ho fatto varie pulizie di registro, antivirus, adware, maleware tutto con programmi consigliati qui nella sezione Link o in thread di gente con problemi simili al mio! L'ultima cosa che ho fatto prima di chiedere aiuto è stato il procedimento con combfix, di cui ho postato il log nel primo post qui sopra!

grazie ancora per la pazienza e l'attenzione che mi dedichi!!

[Nobody33]

Buona sera

Se hai usato COMBOFIX, vedi cosa c'è nella QUOOBOX (la quarantena di combofix ).
Se hai usato Gmer ,malwarbytes e tutto risulta pulito, e, a parte di svhost.exe non hai altri problemi, non necessariamente si tratti di un virus.

Scaricati SVHOST_VIEWER ( l'utilità del tool lo trovi in una delle descrizioni che trovi nella pagina stessa, più sotto ) e vedi che processi ci sono.

In alternativa puoi scaricarti PROCESSEXPLORER , per vedere che processi consuma la CPU.

Spesso sono anche gli aggiornamenti automatici, prova a disattivarli.

Glary utilities è solamente un tool di pulizia , come te ne sarai accorto.

fa sapere



p.s.: sei assolutamente sicuro che le voci di active X/com sono da eliminare ?

[francesco.campa]

eccomi qui, riguardo le voci di registro ActiveX non saprei se sono da eliminare o no, regseeker me le vede come da eliminare ma non riesce a cancellarle.

Poi posto il log della quarantena di Combofix

2010-10-05 22:00:25 . 2010-10-05 22:00:26 171 ----a-w- C:\Qoobox\Quarantine\Registry_backups\WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440}.reg.dat
2010-10-05 22:00:22 . 2010-10-05 22:00:23 116 ----a-w- C:\Qoobox\Quarantine\Registry_backups\Toolbar-{D4027C7F-154A-4066-A1AD-4243D8127440}.reg.dat
2010-10-05 22:00:20 . 2010-10-05 22:00:20 207 ----a-w- C:\Qoobox\Quarantine\Registry_backups\BHO-{D4027C7F-154A-4066-A1AD-4243D8127440}.reg.dat
2010-10-05 22:00:16 . 2010-10-05 22:00:16 118 ----a-w- C:\Qoobox\Quarantine\Registry_backups\URLSearchHoo ks-{00000000-6E41-4FD3-8538-502F5495E5FC}.reg.dat
2010-10-05 21:57:12 . 2010-10-05 21:57:12 7,847 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2010-10-05 21:38:00 . 2010-10-05 21:47:25 62 ----a-w- C:\Qoobox\Quarantine\catchme.log
2009-12-09 15:56:34 . 2009-12-09 15:56:34 3 ----a-w- C:\Qoobox\Quarantine\C\Windows\7Loader.TAG.vir



E il log di svhost viewer

Report generated on : 06/10/2010 23:40:49
OS : Microsoft Windows 7 Ultimate
Services running on FRANCESCO-PC :
-----------------------------------------------------
svchost instance running:

• Utilità di avvio processi server DCOM
• Plug and Play
• Alimentazione


svchost instance running:

• Agente mapping endpoint RPC
• RPC (Remote Procedure Call)


svchost instance running:

• Audio di Windows
• Client DHCP
• Registro eventi di Windows
• Provider Gruppo Home
• Helper NetBIOS di TCP/IP
• Centro sicurezza PC


svchost instance running:

• Generatore endpoint audio di Windows
• File non linea
• Accesso dispositivo Human Interface
• Listener Gruppo Home
• Connessioni di rete
• Servizio Risoluzione problemi compatibilità programmi
• Ottimizzazione avvio
• Manutenzione collegamenti distribuiti client
• Gestione sessione di Gestione finestre desktop
• Configurazione automatica WLAN
• Windows Driver Foundation - Framework driver modalità utente


svchost instance running:

• Verifica compatibilità applicazioni
• Servizio trasferimento intelligente in background
• Browser di computer
• Extensible Authentication Protocol
• Client di Criteri di gruppo
• Helper IP
• Server
• Utilità di pianificazione classi multimediali
• Servizio profili utente
• Connection Manager di Accesso remoto
• Utilità di pianificazione
• Accesso secondario
• Servizio di notifica eventi di sistema
• Rilevamento hardware shell
• Temi
• Strumentazione gestione Windows
• Windows Update


svchost instance running:

• COM+ Event System
• Host provider di individuazione funzioni
• Servizio Elenco reti
• Servizio Interfaccia archivio di rete
• Servizio SSTP (Secure Socket Tunneling Protocol)
• Host servizio di diagnostica
• Servizio rilevamento automatico proxy WinHTTP


svchost instance running:

• Servizi di crittografia
• Client DNS
• Workstation
• Riconoscimento presenza in rete
• Telefonia


svchost instance running:

• BFE (Base Filtering Engine)
• Servizio Criteri di diagnostica
• Windows Firewall


svchost instance running:

• Pubblicazione risorse per individuazione
• Individuazione SSDP
• Host di dispositivi UPnP


svchost instance running:

• Acquisizione di immagini di Windows (WIA)


svchost instance running:

• Windows Defender


svchost instance running:

• Gestione identità reti peer
• Gruppi reti peer
• Protocollo PNRP


-----------------------------------------------------
System is running : 62 service(s)
in a total of : 12 svchost.exe process(es)


Naturalmente non ci capisco na mazza!! quindi mi affido a te nell'individuazione di anomalie o di cose sopprimibili per liberare un pò di risorse!
Ps. i log non li ho uppati su wikiFortio perchè al momento non funziona!

[Nobody33]

...puoi scaricarti processexplorer (il link lo trovi nel post precedente) per vedere su com'è distribuito il consumo della CPU ?

Da quando noti che il consumo della CPU è aumentata ? cosa hai installato ?

Puoi scaricarti anche HIJACKTHIS , lo porti sul desktop, li fai eseguire la scansione e mi fai avere in qualche modo il log .

[francesco.campa]

ecco qui lo screen di processexplorer http://b.imagehost.org/view/0431/process


e il log di HIJACKTHIS

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:33:50, on 07/10/2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\Explorer.EXE
C:\Windows\system32\Dwm.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Windows\system32\taskhost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\eMule AdunanzA\eMule_AdnzA.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Orbitdownloader\orbitdm.exe
C:\Program Files\Orbitdownloader\orbitnet.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.orbitdownloader.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Guida per l'accesso a Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Program Files\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: stunnel - Unknown owner - C:\Program Files\stunnel\stunnel.exe

--
End of file - 4313 bytes


PEr quanto riguarda i programmi che ho installato, non ho nulla di particolare, 4-5 giochi e robe tipo TS3 ventrilo e skype. Il problema lo noto da qlc tempo, un paio di mesi magari. Si fa molto sentire in fase di avvio ma anche durante il lavoro normale e il gioco. Poi ho il portatile che ha lo stesso sistema operativo, e non ha tutti sti processi svchost, quindi non capisco perchè li ho solo qui sul fisso! Cmq ho anche altri problemi che non sò se sono collegati, ad esempio dal fisso non riesco ad accedere alle cartelle di rete, dal portatile accedo alle cartelle di rete del fisso ma non viceversa. Poi ho problemi enormi di linea, in particolare quando gioco ma anche durante la navigazione normale internet mi va molto a rilento (e da fastweb mi dicono di aver risolto i problemi sulla linea). Altro problemino è che con winupdate alcuni aggiornamenti non me li installa, mi fallisce l'installazione sul fisso e non sul portatile. Elence queste cose perchè non sono sicuro siano collegate o meno, ma per completezza le dico