Svchost.exe - 100% Cpu

[Gość Bio]

proszę o nie pisanie mi, że mam korzystać z wyszukiwarki bo korzystałem i tamtejsze rozwiązanie problemu nic nie dało :-/ otóż proces svchost.exe zżera mi całego kompa :-/ jakiś pomysł?

[luki2]

U mnie to bylo wirus.

Problem znikl po zainstalowaniu NIS(2005).

Edytowane 16 Listopada 2006 przez luki2

[florek41]

Miałem tak samo i jak napisał luki2 to wirus :-|

[Gość Bio]

NIS(200%) a po polskawemu a nie skrótem?

[YogiCK]

Norton Internet Security. Nigdy nie widziałeś tego skrutu??

[luki2]

NIS(200%) a po polskawemu a nie skrótem?

Norton Internet Security 2005

[mMATt]

Tu masz rozwiazanie problemu

 

http://www.searchengines.pl/phpbb203/index...mp;#entry247792

 

trojan nazywa sie albo RpcxSs, albo rpcc, wystarczy usunac tak jak w temacie i po klopocie.

[ShDe]

moze ktos podeslal Ci bqi :) jezeli tak to jest niegrozne :)

Edytowane 16 Listopada 2006 przez -ShaDe-

[Lanc]

@Bio

Powiedz mi czy ten svchost, który ciągnie 100% procka i około 60Mb ramu, czy inaczej ? ;] Bo jak 60Mb to to masz BQI, czyt liczysz seti dla purepc, bez swojej wiedzy :twisted2:

[ShDe]

zapewne za sprawa tego tu wyzej :D

[kszonek]

PRZEPRASZAM !!!!!!!!!!!

 

bqi nie mozna uzywac bez zgody wlsciciela kompa, jezeli ktos ci to zainstalowal bez Twojej zgody to zglos sie do mnie na GG.

 

(zaden antywirus czy antispyware tego nie ususnie, sam tez tegop tak latwo nie usuniesz)

[Saimek]

Bio kiedys liczyl SETI ale juz nieliczy :D to dobrze ze ma BQI haha ;P niech wspiera team a nie sie obija :/

[Puchacz1]

to chyba jest wirus ponieważ jak chcę go zamknąć przez menedżer zadań to się zamyka i sam zaraz otwiera :| (wykorzystanie proca też bliskie 100 %

[ShDe]

ja tez tak mialem, bqi tak robi ;]

[Gość MaRuH]

Ja mam aż 5 procesów svchost.exe w menadżerze zadań, razem ciągną ok 40mb pamięci, mam je usunąć???

[Lanc]

Nie nie nie. Nie wywalać svchostów bo wam przestanie winda działać ;] My tu mówimy o konkretnym przypadku, tj BQI, kiedy mamy 1 proces więcej, który zwie się svchost i bierze 100% wolnego procka, + 60mb ramu :] Bio zapuść Sp2004 i zobacz czy svchost dalej bierze procka, jeśli użycie jest 0% to masz prawdopodobnie bqi ;]

[kszonek]

to chyba jest wirus ponieważ jak chcę go zamknąć przez menedżer zadań to się zamyka i sam zaraz otwiera :| (wykorzystanie proca też bliskie 100 %

jaki tam wirus... to bqi, tego sie nie da poprotu wylaczyc....

 

liczcie dla forum DARMOZJADY :P heh, odpalcie stress prime 2004 na najnizszym priorytecie i sprawdzcie czy wtedy sp zmienia uzycie na 100, jezlei tak to wszytko jest ok.

 

Powinien tez zniknąć proces bezczynnosci, bo bqi zamienia go. Wszytko w normie nic nie tracicie, bo zadnych zmian przez to nie ma, podczas gier czy innych programow uzywajacych procka bqi przecichga, liczy tlyko jak nie uzywancie proca, nie tak jak wirusy, ktore z zalozenia maja byc 'chamskie'

 

edit: i nie wywaliajcie svchostow, bo tao sa procesy systemowe (!) i moze to sie zle skonczyc dla waszego windowsa.

Edytowane 17 Listopada 2006 przez kszonek

[mMATt]

Czy patrzal ktos z was w linka ktorego dalem?

 

Bo nieprawde opowiadacie to jest przypadek takiego trojanu ktory swietnie masukuje sie i podszywa pod proces svchost.exe.

Mialem to samo, trojan ow powoduje 100% obciazenie cpu i ciagle wysylanie maili czyli mulenie łacza.

[SGJ]

Tak wymyslajcie sobie dalej co moze byc problemem. Moze to być bqi, wirus jak i tylk uwalona jedna z usług systemu(mam tak na drugim systemie).

 

Wystarczy sobie zainstalowac process explorera i sprawdzic co w rzeczywistosci tyle pobiera pod tym svchostem.

[Saimek]

BQI - ZOSTAWIC

 

 

TROJAN? to sie meczyc :P

[PelzaK]

same wróżki i znachorzy na tym forum, widzę :)

 

Może pierwsze co to ustalić która usługa zżera proca... proponuję zassać jak zwykle z www.sysinternals.com (teraz microsoftowy - bo bil zauważył że robią lepsze programy systemowe od niego pod winde :D ). Następnie stamtąd ściągasz diagnoste.. pod tytułem Process Explorer... Jest do znakomity zastępnik standardowego menagera programów z windy... Uruchamiasz go (już pomijam sam fakt konfiguracji widoku kolumn do własnych potrzeb), namierzasz svchosta który ciągnie niemiłosiernie... PPM, preferences.. / services.. i msz na dłoni, jakie usługi mogą ybć podejrzane... Następnie usuwasz po jednej zaczynając od tych mnie potrzebnych aż wykryjesz sprawcę...

 

o, zresztą sqj o tym wspomniał :), nie zauważyłem

 

Jeśli chodzi o ilość svchostów, to za każdym razem jak o nich mowa to ktoś wyskakuje z pytaniem ze ma ich 4 czy 6 i czy może ubić... odpowiedź brzmi NIE

 

Część zadań jakie wykonuje system windows (jeśli nie wszystkie) oparte jest o usługi systemowe, (np posłaniec do wysyłania wiadomości, klient dhcp - żeby wam sieć działała, czy logowanie windows). Usługi te mogą być w stanie uruchomienia, nieuruchomienia , zatrzymania.. Usługa to nic innego jak kawałek programu, który cos robi.... a więc aby mógł być wykonany musi znaleźć się w jakimś procesie. Aby oddzielić zwykłe procesy od usług, bil postanowił hostować usługi (services) w specjalnych procesach, zwanych svchost = services host. W zależności od konfiguracji systemu, svchosty mogą hostować tylko jedna usługę, bądź nawet 30 usług na jednego svchosta.

Gdy jedna z usług zaczyna kuleć, objawia się to wzmożonym poborem mocy procesora przez svchost który ją hostuje, to chyba normalne

 

Nie można zatem ubijać całego svc... to to tak jakby z powodu jednego chorego killować 29 innych pasażerów autobusu, którzy są niczemu winni :)

 

// cięcie ---------------

 

hehe... 2h po tym jak napisałem posta i mnie dopadło :D. no więc po kolei na bierząco co i jak.

Dostałem od osoby na liscie gg linka z wiadomością: NIE URUCHAMIAĆ LINKA PONIŻEJ!

warto przeczytać http://www.acbouquets.com/jak_to_bylo_15010.txt

a jako że prowadziłem akurat dosyć zabawną rozmowę z kimś innym kliknąłem owo co nieco :) - jako że zamiast gg mam konnekta, zamiast IE, FireFoxa nie obawiam się łąńcuszkowych ataków...

No i się zdziwiłem.. jak mi wywaliło firefoxa po chwili... Z tego co zauwazyłem to na ekranie pojawiła mi się na ekranie informacja o pliku sampler.exe, lub coś podobnego... No więc diagnoza padła... wróg przeszedł przez nasze bramy i jest w środku

 

Jak się pozbyć nieproszonych gości...

 

1. Pierwsze kroki kieruję oczywiscie do Process Explorera, gdzie w formie drzewa widać dokładnie który proces jakiego ma rodzica (czego nie widać w standardowym menagerze windows)

Tu akurat pokazałem interesującą część... Jak widać wszystkie svchosty wywodzą się z procesu services.exe i są zakolorowane na lekko czerwonawy kolor co oznacza że są to usługi. Od razu wręcz w oczy rzuca się svchost który jest biały :) i znajduje się poza hierarchią. Dodatkowo na uwagę zasługuje fakt, iż pobierał około 80MB pamięci, gdzei normalny scvhost z 30 usługami pobiera co najwyzej 30MB. (tutaj tego nie widać bo podejrzany jest już zabezpieczony). W kolumnach widać iż jest to prawdziwy svchost, gdyż uruchamia się z tej samej lokalizacji C:\windows\system32\svchost.exe z której wszystkie inne, więc odpada łatwa metoda namierzenia złoczyńcy... :|

Ubijanie procesu skutkuje jego natychmiastowym odrodzeniem... zmartwychwstaje samowładnie :)

 

2. Krok drugi... oglądamy sobie propertiesy podejrzanego, PPM/properties. Mimo iż proces nie zabiera wiele z proca, nawet powiedziałbym nic, co nie znaczy że nic nie robi :) zwłaszcza jak ktoś ma szybki procesor.

Zaglądamy zatem na zakładkę wątków (threads).

Co my tu mamy... Patrząc na pasek przewijania w jednej chwili stwierdzamy że proces odpala mnóstwo wątków - to nie ładnie, dobra aplikacja tak się nie zachowuje... Pojawia się adrenalina... coś sie dzieje w systemie i być może mamy niewiele czasu by powstrzymać intruza :evil: Szybko odruchowo klikam zatem zakładkę TCP/IP, która pokazuje jakie porty otwarte są z danego procesu... Ku mojemu ogólnemu (nie)zdziwieniu moim oczom ukazuje się widok przerażający, w pewnym stopniu :)

Nie ma nawet czasu aby liczyć ile portów zostało otwartych.. fakty są jasne.... Powtarzające się wpisy typu 208.23.123.23:smtp pod różne adresy IP świadczą, iż nasz nieproszony gość zaczął pogrywać z nami ostro i spamuje wszystkich w okolicy LANu (czyli cały wrocław :D ) próbując dostać się na maila (SMTP).

Przewijamy stronę w dół i co widzimy?

Oj nie ładnie, nie ładnie... Otwieranie zyliona własnych portów pel64:3456 pel64:3457 pel64:3458... w tryb listening (nasłuchiwania), a nuż jakiegoś trojana uda się ściągnąć od kogoś z sieci :), który tylko czeka aby mu otworzyć drzwi i okna... Patrząc na zuzycie pamięci... 80MB.. wiadomo, kazdy otwarty port swoje zasoby zajmuje... Normalny zdrowy svchost walczący po naszej stronie nie otwiera więcej niż 10 portów. (Powyższy atak przeprowadziłem ponownie w celach fotograficznych - co pewnie zbyt bezpieczne nie było, ale miejmy nadzieję przyda się potomnym)

 

3. Do boju! W tej chwili pozostało nam niewiele czasu zanim w naszej twierdzy znajdą się różni koalicjanci wroga (koniki, robaki, czy same wirusy w rzeczy samej :) ). Decyzję trzeba podjąć szybko i skutecznie... Odcinamy im drogę przerzutową... FIREWALL! Jako że svchost dzierżawi łącze dla usług działających po naszej stronie, więc firewall powinien przepuszczać jego ruch sieciowy. Niestety, jeśli ktos będzie wykorzystywał svchosta do przerzucania nielegalnych imigrantów (jak w naszym przypadku) to firewall nie zareaguje, gdyż jego zasady pozwalają svchostowi łączyć sie ze światem. (wyjątkiem mogą być firewalle z wykrywaniem sygnatur ataku). W każdym bądź razie... otwieramy okno firewalla i blokujemy cały ruch sieciowy. Aby mieć jednak furtkę na świat, przechodzimy do konfiguracji zasad i blokujemy lub usuwamy zasadę dla plików svchost.exe. Następnie odkrecam kurki i internet powraca... ale już nie dla svc, bo on już jest blokowany przez firewalla.

Jeśli ktos nie ma firewala, lub nie bardzo umie się posługiwać najprostszym rozwiązaniem jest... wyjęcie wtyczki z karty sieciowej :) na czas konfliktu zbrojnego.

 

Dodatkowych zabiegów wymaga jeszcze sam proces zdrajca... Mimo iż okna na świat mu pozamykalismy, to może on ciągle otwierać porty, których mamy na pokładzie 65536... co w dosyć krótkim czasie może pozbawić nas dostępnej pamięci (atak typu DOS - Denial of Service). Cóż zatem począć... skoro procesu zabić się nie da.. Ano Process explorer ma dosyć fajną opcje w menu kontekstowym... SUSPEND - która umożliwia wstrzymanie , uśpienie procesu... no wiec usypiamy dziada. Śpi, świeci na szaro, nie otwiera portów, OK. Jest osaczony :)

 

4. Szukamy dziada. Pominę może tak trywialne sprawy jak zapuszczenie w tym momencie antywira po dysku, spybota, hijacka... Wyniki: avast znalazł 2 koniki (co dziwne bo jeden był w moim 10 linijkowym programiku w C++ ), spybot jakiś shit, nie związany z tematem, jacek nie znalazł niczego ciekawego. No więc co dalej?

Odpalamy 2 sprzymierzeńca ze stajni sysintenals, a mianowicie program Autoruns. Listuje on wszystko to co sie uruchamia w autostarcie, biblioteki jakie są ładowane etc. Przeglądamy zakładki zatem w poszukiwaniu czegoś dziwnego... Jak pamiętamy, procesem rodzicem dla naszego rozrabiaki był winlogon.exe, a nie services.exe jak powinno być.

Patrzymy zatem na zakładkę winlogon :)

No i coż to... Wszystkei dllki mają polski opis a jedna sierotka nie.. oj biedna.. bynajmniej nie będziemy się nad nią rozczulać. Goglujemy plik rpcc.dll i co? Okazuje się że na kilku forach użytkownicy mieli problem właśnie z atakiem z gg i plikiem rpcc.dll, a po usunięciu go problem mijał... Zatem spróbujmy... Najsamprzód wystarczy odznaczyć podejrzanego w zakładce winlogon. Autoruns zatroszczy sie o to, aby usunąć ten wpis z rejestru windows (dokładniej to przeniesie go do tymczasowego podklucza).

No więc odznaczmy go i spraaawdźmy czy uda się ponownie uruchomić komputra

 

c.d.n... jeśli mam rację :)

 

5. żyjemy :) Choć minęło ze 20 minut od ostatniego razu, ale żyjemy. Niestety usunięcie wpisu w winlogon spowodowało że po ponownym uruchomieniu wpis ten się pojawił na nowo :). Aby się jeszcze upewnić że rpcc.dll nie jest przyjacielem wystarczy spojrzeć na jego właściwości... nieznany wydawca, nic nie znane - choc to nie zawsze świadczy źle o takim pliku. No więc co dalej... Pierwsza sprawa. Panel sterownia\system\przywracanie systemu.. WY-ŁĄ-CZYĆ, absolutnie... Następnie, jak się można było domyślić pliku nie da się usunąc ręcznie... Korzystamy zatem z programu KillBox.exe. Uruchamiamy go (byle nie z zipa, musi być gdzieś na dysku luzem), nawigujemy mu ścieżkę do pliku C:\windows\system32\rpcc.dll, zaznaczamy opcję usuń przy starcie systemu (delete on reboot) i zastąp DUMY filem. Spowoduje to nadpisanie tamtegoż pliku głupim plikiem :), który będzie mozna potem usunąć...

 

6. zwyciestwo? Po reboocie, plik mozna usunać (został zastąpiony), co dodatkowo zapisane zostało w c:\!killbox\logs\kb.log

Pocket Killbox version 2.0.0.473Running on Windows XP As an Administratorwas started @ sobota, listopad 18, 2006, 2:52 AM # 1 [Replace on Delete]Path = C:\WINDOWS\system32\rpcc.dll*Replaced with C:\Documents and Settings\PelzaK\Ustawienia lokalne\Temp\kbdummy.3 I Rebooted @ 2:54:32 AMKillbox Closed(Exit) @ 2:54:33 AM__________________________________________________

Na koniec sprawdzamy Process explorer - nie ma upierdliwego svchosta, Autoruns /winlogon - brak wpisu o rpcc.dll, Więc można uznac ze wytropiliśmy złodziejaszka...

 

Na wszelki wypadek jeszcze skan dysku antywirem, na wypadek gdyby w czasie kręcenia akcji i dobrowolnego ataku jakiemu się poddałem, do mojej twierdzy dostał się jakis dowcipniś...

 

Miejmy nadzieję że to da niektórym jakieś pojecie o szukaniu namacalnych dowodów i tropieniu pseudo servisantów, zamiast 20 rad wyssanych z palca... a że to u mnie było a że tu tyle zżerało...

 

I jeszcze ostrzeżenie, Nie klikajcie w linki od znanych osób z gg, jeśli ktoś wam przysłał linka, porozmawiajcie z nim o tym.. dowiedzcie sie najpierw czy ten link pojawił się tu świadomie, czy bez wiedzy wysyłającego :)

Have a nice hunt...

PelzaK - the worm killer :twisted: . . . . . . . . . . Jako robak nie toleruję innych robaków na moim sprzęcie! a kysz

Edytowane 18 Listopada 2006 przez PelzaK

[Gość Bio]

o fak.... jaki wykład xD ok teraz musze poodpowiadać:

1. svchost.exe - zżera prawie cały procek

2. nieważne co uruchomie tak mi zżera całego proce (bqi chyba odpada)

3. proces bezczynności dale jest

4. nie chce mi się już liczyć seti bo o 70 zł mam wyższy rachunek za prąd

5. teraz muszę zrobić to co napisał pełzak (dzięki za jedyną treściwą odpowiedź tutaj :] )

Edytowane 18 Listopada 2006 przez Bio

[Puchacz1]

wszystko fajnie tylko u mnie nie ma takiego pliku ~!

 

jest tylko rpcss.dll

Edytowane 18 Listopada 2006 przez Puchacz1

[lukasrz]

Svchost.exe - 100% Cpu ???

 

Przyczyn moze byc tysiace..... to tyle :)

[PelzaK]

ja nie napisałem że akurat taki plik może sprawiać problem.. Chodzi o samą metodykę postępowania w sytuacjach krytycznych... :)

 

Dziś rano, zauważyłem jeszze iż wszytskie procesy użytkownika odpalają się spod userinit.exe... Normalnie nie mają parenta. Nie wiem czy jest to błąd, bo znalzłem info, że niektóre trojany lubią się podszywać pod userinita (proces systemowy). Po chwili działania systemu userinit killuje się i jest wszystko jak być powinno - nie wiem, być moze tak ma być a wczesniej nie zwróciłem na to uwagi bo nie włączałem process explorera zaraz po starcie systemu...

 

rpcss.dll jest potrzebny, powiedziałbym nawet bardzo :) - to jest zdaje sie usługa zdalnego wywoływania procedur (rpc)

 

ps.nie wiedziałem że na pure jest ograniczenie co do ilości emotów w jednym poście :D.. Po napisaniu musiałem z 10 usunąć :)

Edytowane 18 Listopada 2006 przez PelzaK

[Havoc]

U mnie to bylo wirus.

Problem znikl po zainstalowaniu NIS(2005).

Wtrące tylko tak, że u kumpla problem zniknął poo WYWALENIU tak wywaleniu głupiego NISa. Toż to tylko zżera zasoby całego kompa a z wykrywaniem wirusów też nie ma wiele wspólnego :/ Już nie raz sie przekonalem że to czege NIS niewidzi nieznaczy że nieistnieje, bo avg lub nod wykryją ;)

[kszonek]

Tak wymyslajcie sobie dalej co moze byc problemem. Moze to być bqi, wirus jak i tylk uwalona jedna z usług systemu(mam tak na drugim systemie).

 

Wystarczy sobie zainstalowac process explorera i sprawdzic co w rzeczywistosci tyle pobiera pod tym svchostem.

jezli przy okazji zjada ~62 ramu to raczej bqi...........

[Gość Bio]

raczej małe raczej... miałem 65 zeżarte i co? i żadne bqi...