svchost сильно тормозит систему

[poligon]

Процесс svchost.exe нагружает систему, а если точнее, то создает сильную общую нагрузку на диск по показаниям Auslogics BoostSpeed в режиме, когда програм запущено по минимуму. Когда несколько программ в работе, то и процессор и память забивается практически мгновенно до невозможного уровня самими же программами опять же по показаниям Auslogics BoostSpeed. А раньше такого не было - все работало ровно без заметных тормозов при включенных нескольких программах класса Photoshop и Dreamweaver, в настоящий же момент одна Opera в многовкладочном режиме создает такие тормоза, что за окнами шлейф тянется при перемещении.

 

Как все началось я толком и не помню. Все развивалось постепенно. Вначале помню были незначительные тормоза при открытии окон в Опере.

 

Моя система: Intel Core 2 Duo CPU E7200 2,53 Ггц, 2 Гб ОЗУ, Windows XP SP3

 

Я проверил Cureit-ом от Dr. Weba (весь ПК) - он несколько вирей нашел и обработал. Потом прошелся Kaspersky Virus Removal Tool 2011 - он уже ничего не сумел найти. Потом попробовал KIS - 2010, но не допроверил, потому, что при работе он очень сильно забивает пространство системного диска (2 Гб - сожрал очень быстро). Когда вышел с проверки, место опять освободилось.

 

Кроме этого еще пробовал делать как тут написано - http://wadson-nsk.ru/problems-decision/svchost.html, но ничего не помогло.

 

Пожалуйста подскажите как грамотно выйти из сложившейся ситуации.

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

[Roman_Five]

poligon,

добро пожаловать на форум!

 

ProxyServer 94.228.220.7:8080 Ваш?

 

покажите свежий лог полного сканирования MBAM (обновите базы)

 

сделайте лог GSI

http://forum.kasperskyclub.ru/index.php?showtopic=7611

[poligon]

Лог GSI сделал, но программа не повела себя так как здесь написано: http://forum.kasperskyclub.ru/index.php?showtopic=7611, а звкрылась сама и открыла страницу в дефолтном браузере с сылкой для предоставления специалистам. Вот эта ссылка: http://www.getsysteminfo.com/read.php?file...d42bd97615cbb6c

 

Файл программа судя по всему нигде не сохраняла.

 

ProxyServer 94.228.220.7:8080 Ваш?

 

Не знаю что ответить. В браузерах я прокси сервера пока не использую - со временем наверное буду. Но у меня стоит прокси парсер (с открытых листов) и прокси чекер в одном лице. Я его несколько раз запускал, чтобы проверить работу и поднастроить кое-чо - он многопоточный, а в Windows только 10 потоков разрешены по умолчанию - я эту величину до 300 поднимал, но все вернул на место, после проверок. Может там где-то этот прокси сервер фигурировал.

 

Свежий лог полного сканирования MBAM прикрепил к посту (базы обновил из самой программы).

mbam_log_2011_12_20__02_50_49_.txt

Изменено 20 декабря, 2011 пользователем poligon

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\1048_Code.zip','AVZ:Trojan.DOS.KillMBR.s');
QuarantineFile('c:\documents and settings\администратор\local settings\application data\thinstall\Cache\Stubs\12df42e5685b7b1637b2257863d6a1557a56720\texhelper.exe',' MBAM:Trojan.Backdoor');
QuarantineFile('c:\documents and settings\администратор\local settings\application data\thinstall\Cache\Stubs\bd621ee8d88383873a77c36be7975b39a376\bumptop settings.exe',' MBAM:Trojan.Backdoor');
QuarantineFile('e:\scriptmafia.org\backlinkbot  url harvester + commenter bot\harvest+comment\harvest+comment.exe',' MBAM:Trojan.Ubot');
QuarantineFile('e:\Soft\universal share downloader\usdownloader135\Plugins\datacodru.plg',' MBAM:Trojan.Downloader');
QuarantineFile('e:\Soft\universal share downloader\usdownloader135\Plugins\photocodru.plg',' MBAM:Trojan.Downloader');
QuarantineFile('e:\разгрузка с f\необходимый софт\poststar.ru\proxyfire v1.22\Keygen\keygen proxyfire.exe',' MBAM:Worm.Brontok');
QuarantineFile('e:\разгрузка с f\необходимый софт\poststar.ru\proxyfire v1.22\proxyfire.v1.22\keygen proxyfire.exe',' MBAM:Worm.Brontok');
QuarantineFile('f:\разгрузка с ноута\программы\adobe.dreamweaver.cs3.v9.0\keygen.exe',' MBAM:Trojan.Crax');
QuarantineFile('f:\расшареная из под тени папка\1\universal share downloader 1.3.5.9 portable\usdownloader\usdownloader\Plugins\datacodru.plg',' MBAM:Trojan.Downloader');
QuarantineFile('f:\расшареная из под тени папка\1\universal share downloader 1.3.5.9 portable\usdownloader\usdownloader\Plugins\photocodru.plg',' MBAM:Trojan.Downloader');
QuarantineFile('g:\downloadhaven.net-3\9to5 annihilation\95\95\9-5_annihilation\autofollow\autofollow\9-5 annihilation - follow automation tool.exe',' MBAM:Trojan.Ubot');
QuarantineFile('g:\downloadhaven.net-3\google sweet spot\googlesweetspot\GSS\u1017.exe',' MBAM:Trojan.Agent');
DeleteFile('f:\system volume information\_restore{1974d31a-918c-4122-b1de-d0c6c5182ec3}\RP6\A0005149.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 94.228.220.7:8080
R3 - Default URLSearchHook is missing
O4 - Startup: _uninst_24901104.lnk = C:\Temp\_uninst_24901104.bat
O4 - Startup: _uninst_46824385.lnk = C:\Temp\_uninst_46824385.bat
O4 - Startup: _uninst_51598244.lnk = C:\Temp\_uninst_51598244.bat

 

Рекомендуется удалить ПО, которое может конфликтовать с установленной антивирусной программой:

- MBAM

- Auslogics BoostSpeed

Если данные программы были ранее удалены некорректно, можно воспользоваться специализированными утилитами по очистке их следов с сайтов производителей данного ПО.

 

Очистите временные файлы

Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner:

• скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

• если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

• нажмите No, если вы хотите оставить ваши сохраненные пароли

• если вы используете Opera, нажмите Opera - Select All - Empty Selected

нажмите No, если вы хотите оставить ваши сохраненные пароли.

 

Проверьте системный раздел скандиском.

пуск-выполнить- cmd - chkdsk C: /v /f /r /x

нажать Y

перезагрузиться. подождать.

 

Проверьте целостность системы (может потребоваться диск с Windows)

пуск-выполнить - cmd -sfc /scannow

 

После проведённого лечения рекомендуется:

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

Сделайте новые логи по правилам.

[poligon]

Не могу отослать Quarantine.zip потому что там ограничение 15 Mb, а у меня 29 Mb

[Roman_Five]

разбейте его на 2 архива - пароль virus

[poligon]

Quarantine.zip - отправил, жду ответа

 

cmd -sfc /scannow выдает:

 

http://image.bayimg.com/calaiaadi.jpg

[Roman_Five]

cmd -sfc /scannow выдает:

 

http://image.bayimg.com/calaiaadi.jpg

с этим в ветку "компьютерная помощь"

 

Сделайте новые логи по правилам.

[poligon]

Сделайте новые логи по правилам.

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

[Roman_Five]

повторите, пжл:

сделайте лог GSI

http://forum.kasperskyclub.ru/index.php?showtopic=7611

 

что с проблемой?

Изменено 21 декабря, 2011 пользователем Roman_Five

[poligon]

что с проблемой?

 

Сначала вроде чуть-чуть пошустрее стало, а потом запустил Market Samurai и минут через 7 неуспешного запуска система выпала в синий экран. Там на память грешили судя по написанному и то что она якобы забита какой-то программой (предположительно) и следом несколько рекоммендаций. Такое на этом жестком диске впервые. Как я ни хотел обойтись без переустановки системы, наверное так и придется несмотря на большие неудобства.

 

Письмо с анализом файлов карантина пока не пришло - его отправили на ручной скан к спецу (так в пришедшем письме написали). И после этого тишина.

 

Спасибо за помощь - я бы еще повозился, но сроки поджимают - мне нормальная работа нужна каждый день, а я уже несколько потерял, но появился хоть какой-то опыт в борьбе с вирусами благодаря вам и это мне наверное пригодится в будущем.

 

Операционку буду сам ставить. После таких сбоев никогда не переустанавливал, может дадите пару рекомендаций по оптимальным действиям?

 

сделайте лог GSI

 

http://www.getsysteminfo.com/read.php?file...d4b99f353187bcc

Изменено 21 декабря, 2011 пользователем poligon

[poligon]

Сегодня с утра, еше переустановить систему не успел, все работает намного быстрее. Непонятно как такое получается. Вчера я периодически перезагружался, так что наверное должно было вчера уже быть настолько заметно. Но факт есть факт, подожду пока переустанавливать - понаблюдаю. Тем более что в работе помех пока нет.

 

Хотя я сделал проверку системного диска средствами самой виндоуз не так как вы писали (хотя сначала сделал так), а через контекстное меню на диске и там в свойствах выбрал сервис, а в нем проверку тома на наличие ошибок и поставил галки напротив: "Автоматически исправлять системные ошибки", "Проверять и восстанавливать поврежденные сектора". Может дело в этом.

Изменено 22 декабря, 2011 пользователем poligon

[Roman_Five]

Но факт есть факт, подожду пока переустанавливать - понаблюдаю.

раз переустановка Windows отменилась, установите новую версию KIS 2012 вместо 2010

[poligon]

установите новую версию KIS 2012 вместо 2010

 

Да, пожалуй пора уже