Ir ao conteúdo
  • Cadastre-se
Majgv

svchost consumindo muito

Recommended Posts

Opa, svchost aqui ta consumindo uma memoria absurda e 50% do CPU

 

Segue os logs para análise. 

 

 

FSS.txt

MbrScan.log

ZA-Scan.txt

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro GMaj

 

Recomendo que salve este tópico em seus Favoritos para facilitar na hora de encontrá-lo.

Por favor, atente para o seguinte:

  • Caso fique sem resposta durante 3 dias, me envie uma Mensagem Privada (MP);
  • O que será passado aqui, somente será com relação ao problema do seu computador portanto, não faça mais em nenhum outro;
  • Siga, por favor, atentamente as instruções passadas e em caso de dúvidas não hesite em perguntá-las;
  • Sempre coloque suas respostas neste tópico... Não abra outro!
  • Procure sempre me manter informado, durante a remoção, sobre o que acontece com seu computador.
  • Respeite a ordem das instruções passadas.
  • Observação: Não tome outra medida além das passadas aqui; atente para que, caso peça ajuda em outro fórum, não deixe de nos informar, sob risco de desconfigurar seu computador!
# Etapa nº 1 #

Faça o download Junkware Removal Tool e salve em seu Desktop.
  • Desative seus programas de proteção (antivírus etc) para evitar qualquer conflito.
  • Clique duas vezes JRT.exe
    • Se seu sistema for Windows Vista ou Windows 7 ou Windows 8, clique com o botão direito do mouse e peça para Executar como Administrador.

    [*]Seja paciente e aguarde o scan terminar.[*]Abra o log JRT.txt que está em seu Desktop.[*]Copie todo conteúdo e cole em sua próximo mensagem.



# Etapa nº 2 #

  • Clique duas vezes no adwcleaner.exe
    • Atenção: Usuários Windows Vista, 7 e 8, cliquem com o botão direito do mouse e escolha: execadmin.png

  • Clique em Pesquisar
  • No final do scan será aberto um log com o resultado.
  • Caso algo seja detectado, clique então no botão Remover.
  • Novamente, no final do scan será aberto um log com o resultado.
  • Copie todo seu conteúdo e cole em sua próxima resposta.



# Etapa nº 3 #

Desative temporariamente seu antivírus, antispywares e firewall, para não causar conflitos.

Baixe o Farbar Recovery Scan Tool e salve na sua área de trabalho.
32 bit (x86)ou 64 bit (x64)

Dê um duplo-clique para executar a ferramenta. Aceite o contrato e depois clique no botão Scan.

Aguarde e ao final, os logs FRST.txt e Addition.txt serão salvos no seu desktop.

Anexe os logs na sua próxima resposta.

Abraços :D

  • Curtir 1

Compartilhar este post


Link para o post
Compartilhar em outros sites

Segue logs. o Svchost continua louco. 

Addition.txt

AdwCleanerC1.txt

FRST.txt

JRT.txt

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro GMaj

 

Este computador é pessoal ou particular (empresa, firma etc)?

 

Deixe apenas um AS instalado e não mais:
 

 

AS: Spybot - Search and Destroy (Enabled - Out of date) {9BC38DF1-3CCA-732D-A930-C1CA5F20A4B0}
AS: avast! Antivirus (Enabled - Up to date) {ACCC9CA4-9C28-93C8-4B81-AFE241D3E736}

 

Me informe qual ficou.

 

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites

Eu usava na empresa, mas ficou tão lento e insuportável que levei pra casa e comprei outro pra empresa.

 

Desinstalei o Spybot. Bem, pelo jeito não há vírus...e o svchost continua com esse problema. 

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro GMaj

 

Abra o Bloco de Notas e crie um arquivo chamado Fixlist.txt
Salve em sua Área de Trabalho (Desktop);
Copie todo o conteúdo abaixo e cole no aquivo criado acima:

CreateRestorePoint:CloseProcesses:HKLM-x32\...\Run: [tvncontrol] => "C:\Program Files (x86)\ShowMyPCService\tvnserver.exe" -controlservice -slaveC:\Program Files (x86)\ShowMyPCService\tvnserver.exeWinlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]HKU\S-1-5-21-2975785412-548406608-2751759015-1000\...\Run: [AIMUN] => regsvr32.exe  /s "C:\Users\Raimundo\AppData\Roaming\img.jpg" #p5ezb <===== ATTENTIONHKU\S-1-5-21-2975785412-548406608-2751759015-1000\...\MountPoints2: {8a913292-3745-11e4-bc15-000df066a4da} - F:\AutoRun.exeHKU\S-1-5-21-2975785412-548406608-2751759015-1000\...\MountPoints2: {b5907c2b-376f-11e4-aa02-000df066a4da} - F:\AutoRun.exeHKU\S-1-5-21-2975785412-548406608-2751759015-1000\...\MountPoints2: {fa55b21b-34e6-11e4-8818-000df066a4da} - F:\AutoRun.exeHKU\S-1-5-21-2975785412-548406608-2751759015-1000\...\MountPoints2: {fa55b225-34e6-11e4-8818-000df066a4da} - F:\AutoRun.exeHKU\S-1-5-21-2975785412-548406608-2751759015-1000\...\Winlogon: [Shell] C:\Windows\explorer.exe [2872320 2010-11-21] (Microsoft Corporation) <==== ATTENTIONS2 tvnserver; "C:\Program Files (x86)\ShowMyPCService\tvnserver.exe" -service [X]C:\Program Files (x86)\ShowMyPCService\tvnserver.exeC:\Program Files (x86)\ShowMyPCServiceS4 LMIRfsClientNP; no ImagePathS3 npkycryp; \??\C:\Level Up! Games\Ragnarok\npkycryp.sys [X]FirewallRules: [TCP Query User{4CECE16D-8255-4693-AEC2-940F9133E36E}C:\users\raimundo\appdata\local\temp\showmypc\smpc3160\smpcph.exe] => (Allow) C:\users\raimundo\appdata\local\temp\showmypc\smpc3160\smpcph.exeFirewallRules: [UDP Query User{81F74364-6BC8-4F14-9AFE-3493E9BA2DC8}C:\users\raimundo\appdata\local\temp\showmypc\smpc3160\smpcph.exe] => (Allow) C:\users\raimundo\appdata\local\temp\showmypc\smpc3160\smpcph.exe2015-10-05 12:00 - 2015-10-05 12:01 - 02292816 _____ C:\Users\Raimundo\Downloads\ShowMyPC3161 (1).exe2015-10-05 12:00 - 2015-10-05 12:00 - 02292816 _____ C:\Users\Raimundo\Downloads\ShowMyPC3161.exeCMD:ipconfig /flushdnsEmptyTemp:
Execute novamente o Farbar Recovery Scan Tool e clique no botão Fix;
Aguarde e poste o log em sua próxima resposta.

 

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites

Segue. svchost ainda tretando. Se o log estiver limpo, então eu vou formatar mesmo. 

 

Fix result of Farbar Recovery Scan Tool (x64) Version:05-11-2015
Ran by Raimundo (2015-11-06 12:34:48) Run:1
Running from C:\Users\Raimundo\Desktop
Loaded Profiles: Raimundo (Available Profiles: Raimundo & LogMeInRemoteUser)
Boot Mode: Normal
==============================================
 
fixlist content:
*****************
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [tvncontrol] => "C:\Program Files (x86)\ShowMyPCService\tvnserver.exe" -controlservice -slave
C:\Program Files (x86)\ShowMyPCService\tvnserver.exe
Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
HKU\S-1-5-21-2975785412-548406608-2751759015-1000\...\Run: [AIMUN] => regsvr32.exe  /s "C:\Users\Raimundo\AppData\Roaming\img.jpg" #p5ezb <===== ATTENTION
HKU\S-1-5-21-2975785412-548406608-2751759015-1000\...\MountPoints2: {8a913292-3745-11e4-bc15-000df066a4da} - F:\AutoRun.exe
HKU\S-1-5-21-2975785412-548406608-2751759015-1000\...\MountPoints2: {b5907c2b-376f-11e4-aa02-000df066a4da} - F:\AutoRun.exe
HKU\S-1-5-21-2975785412-548406608-2751759015-1000\...\MountPoints2: {fa55b21b-34e6-11e4-8818-000df066a4da} - F:\AutoRun.exe
HKU\S-1-5-21-2975785412-548406608-2751759015-1000\...\MountPoints2: {fa55b225-34e6-11e4-8818-000df066a4da} - F:\AutoRun.exe
HKU\S-1-5-21-2975785412-548406608-2751759015-1000\...\Winlogon: [shell] C:\Windows\explorer.exe [2872320 2010-11-21] (Microsoft Corporation) <==== ATTENTION
S2 tvnserver; "C:\Program Files (x86)\ShowMyPCService\tvnserver.exe" -service [X]
C:\Program Files (x86)\ShowMyPCService\tvnserver.exe
C:\Program Files (x86)\ShowMyPCService
S4 LMIRfsClientNP; no ImagePath
S3 npkycryp; \??\C:\Level Up! Games\Ragnarok\npkycryp.sys [X]
FirewallRules: [TCP Query User{4CECE16D-8255-4693-AEC2-940F9133E36E}C:\users\raimundo\appdata\local\temp\showmypc\smpc3160\smpcph.exe] => (Allow) C:\users\raimundo\appdata\local\temp\showmypc\smpc3160\smpcph.exe
FirewallRules: [uDP Query User{81F74364-6BC8-4F14-9AFE-3493E9BA2DC8}C:\users\raimundo\appdata\local\temp\showmypc\smpc3160\smpcph.exe] => (Allow) C:\users\raimundo\appdata\local\temp\showmypc\smpc3160\smpcph.exe
2015-10-05 12:00 - 2015-10-05 12:01 - 02292816 _____ C:\Users\Raimundo\Downloads\ShowMyPC3161 (1).exe
2015-10-05 12:00 - 2015-10-05 12:00 - 02292816 _____ C:\Users\Raimundo\Downloads\ShowMyPC3161.exe
CMD:ipconfig /flushdns
EmptyTemp:
*****************
 
Restore point was successfully created.
Processes closed successfully.
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\tvncontrol => value removed successfully
"C:\Program Files (x86)\ShowMyPCService\tvnserver.exe" => not found.
HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SDWinLogon => key not found. 
HKU\S-1-5-21-2975785412-548406608-2751759015-1000\Software\Microsoft\Windows\CurrentVersion\Run\\AIMUN => value removed successfully
"HKU\S-1-5-21-2975785412-548406608-2751759015-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8a913292-3745-11e4-bc15-000df066a4da}" => key removed successfully
HKCR\CLSID\{8a913292-3745-11e4-bc15-000df066a4da} => key not found. 
"HKU\S-1-5-21-2975785412-548406608-2751759015-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b5907c2b-376f-11e4-aa02-000df066a4da}" => key removed successfully
HKCR\CLSID\{b5907c2b-376f-11e4-aa02-000df066a4da} => key not found. 
"HKU\S-1-5-21-2975785412-548406608-2751759015-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{fa55b21b-34e6-11e4-8818-000df066a4da}" => key removed successfully
HKCR\CLSID\{fa55b21b-34e6-11e4-8818-000df066a4da} => key not found. 
"HKU\S-1-5-21-2975785412-548406608-2751759015-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{fa55b225-34e6-11e4-8818-000df066a4da}" => key removed successfully
HKCR\CLSID\{fa55b225-34e6-11e4-8818-000df066a4da} => key not found. 
HKU\S-1-5-21-2975785412-548406608-2751759015-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => value removed successfully
tvnserver => service removed successfully
"C:\Program Files (x86)\ShowMyPCService\tvnserver.exe" => not found.
"C:\Program Files (x86)\ShowMyPCService" => not found.
LMIRfsClientNP => service removed successfully
npkycryp => service removed successfully
HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\TCP Query User{4CECE16D-8255-4693-AEC2-940F9133E36E}C:\users\raimundo\appdata\local\temp\showmypc\smpc3160\smpcph.exe => value removed successfully
HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\UDP Query User{81F74364-6BC8-4F14-9AFE-3493E9BA2DC8}C:\users\raimundo\appdata\local\temp\showmypc\smpc3160\smpcph.exe => value removed successfully
C:\Users\Raimundo\Downloads\ShowMyPC3161 (1).exe => moved successfully
C:\Users\Raimundo\Downloads\ShowMyPC3161.exe => moved successfully
 
========= ipconfig /flushdns =========
 
 
Configura��o de IP do Windows
 
Libera��o do Cache do DNS Resolver bem-sucedida.
 
========= End of CMD: =========
 
EmptyTemp: => 658 MB temporary data Removed.
 
 
The system needed a reboot.
 
==== End of Fixlog 12:37:46 ====

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro GMaj

 

# Etapa nº 1 #

 

Recebi uma MP da usuária @Neo Metal Sonic me passando um link. Ela estava passando pelo mesmo problema e conseguiu resolvê-lo com a seguinte atualização:

 

https://support.microsoft.com/en-us/kb/3065987

 

# Etapa nº 2 #

 

Baixe a Malwarebytes' Anti-Malware (MBAM).
 
Dê um duplo-clique no mbam-setup.exe para instalar o programa.

  • Desmarque a caixa Ativar trial gratuito do MalwareBytes Anti-Malware PRO.
  • Se houver atualizações a serem feitas, serão baixadas e instaladas..
  • Clique em Configurações, clique em Detecção e proteção, marque Verificar por Rootkits.
  • Volte ao Painel e por fim clique em Verificar agora.
  • Começará então o exame. Aguarde, pois pode demorar.
  • Ao acabar o exame, se houver itens encontrados, clique no botão Mover todos para a Quarentena.
  • Clique em Aplicar ações.
  • Ao final da desinfecção, poderá aparecer um aviso se quer reiniciar o PC. (Ver Nota abaixo)
  • O log é automaticamente salvo pelo MBAM e para vê-lo, clique na aba Histórico -> Logs de aplicativos na janela principal do programa.
  • Dê um duplo-clique no log. Utilize o formato .txt para exportar o log.
     
    2mwt7yh.jpg
     
  • NÃO USE O FORMATO .XML PARA EXPORTAR O LOG.
  • O log de Proteção é desnecessário para a análise, exporte sempre o log correto.
  • Anexe o log na sua próxima resposta.


NOTA: Se o MBAM encontrar arquivos que não consiga remover, poderá ter de reiniciar o PC (talvez mais de uma vez). Faça isso imediatamente, ao ser perguntado se quer reiniciar o PC.

 

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites

Log do malwarebytes limpo. E a atualização resolveu o problema , UFA! Valeu Diego. Obrigadão

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro GMaj

 

Que ótimo! :)

 

Agradecemos a usuária @Neo Metal Sonic :joia:

 

Só para finalizarmos o tópico e dar como Resolvido! ;)

 

Faça o download do SecurityCheck e salve em seu Desktop

Link Alternativo

  • Clique duas vezes no SecurityCheck.exe
    • Atenção: Usuários Windows Vista, 7 e 8, cliquem com o botão direito do mouse e escolha: execadmin.png


  • Pressione qualquer tecla para continuar... será aberto um relatório
  • Copie todo seu conteúdo e cole em sua próxima resposta;
  • Observação: não anexe este log!

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites

Tópico Arquivado

Como o autor não respondeu ao tópico por mais de 10 dias, o mesmo foi arquivado.

Caso você seja o autor do tópico e quer que o mesmo seja reaberto, entre em contato com um Analista de Segurança do Fórum solicitando o desbloqueio.

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×