שלום לכולם!

ביממה האחרונה שמתי לב, כשאני נכנס לווינדוס ישנו שירות ששואב לי את כל הCPU עד שאני סוגר אותו.

שאלתי היא כיצד להפטר ממנו כליל?

שמו של השירות כמו כל החבר'ה האלה העונים לשם: svchost.exe

אני מצרף פה את הדאמפ:

TRIAGER: Could not open triage file : e:\dump_analysis\program\triage\oca.ini, error 2
TRIAGER: Could not open triage file : e:\dump_analysis\program\winxp\triage.ini, error 2
TRIAGER: Could not open triage file : e:\dump_analysis\program\triage\user.ini, error 2
*******************************************************************************
*                                                                             *
*                        Exception Analysis                                   *
*                                                                             *
*******************************************************************************

TRIAGER: Could not open triage file : e:\dump_analysis\program\triage\guids.ini, error 2
*** WARNING: Unable to verify checksum for svchost.exe
*** ERROR: Symbol file could not be found.  Defaulted to export symbols for svchost.exe - 
TRIAGER: Could not open triage file : e:\dump_analysis\program\triage\modclass.ini, error 2
GetUrlPageData2 (WinHttp) failed: 12029.
*** The OS name list needs to be updated! Unknown Windows version: 10.0 ***

FAULTING_IP: 
+6f6e6b6e752f6538
00000000`00000000 ??              ???

EXCEPTION_RECORD:  ffffffffffffffff -- (.exr 0xffffffffffffffff)
ExceptionAddress: 0000000000000000
   ExceptionCode: 80000003 (Break instruction exception)
  ExceptionFlags: 00000000
NumberParameters: 0

FAULTING_THREAD:  0000000000002bc8

DEFAULT_BUCKET_ID:  INVALID_POINTER_READ

PROCESS_NAME:  svchost.exe

ERROR_CODE: (NTSTATUS) 0x80000003 - {EXCEPTION}  Breakpoint  A breakpoint has been reached.

EXCEPTION_CODE: (HRESULT) 0x80000003 (2147483651) - One or more arguments are invalid

NTGLOBALFLAG:  0

APPLICATION_VERIFIER_FLAGS:  0

PRIMARY_PROBLEM_CLASS:  INVALID_POINTER_READ

BUGCHECK_STR:  APPLICATION_FAULT_INVALID_POINTER_READ

LAST_CONTROL_TRANSFER:  from 000000007799d71d to 00007ffe8e60cba4

STACK_TEXT:  
00000000`028be0d8 00000000`7799d71d : 00000003`00004000 00000000`02f79000 00000000`00000000 00000000`00000080 : ntdll!NtRemoveIoCompletionEx+0x14
00000000`028be0e0 00000000`77977913 : 00000000`00000102 00000000`028fef84 00000000`028fefec 00000000`00000180 : wow64!whNtRemoveIoCompletionEx+0x12d
00000000`028be160 00000000`77961913 : 00000023`77abb88c 00007ffe`8e5b0023 00000000`00000000 00000000`028ffbb4 : wow64!Wow64SystemServiceEx+0x153
00000000`028bea20 00000000`77961389 : 00000000`028ff8e8 00000000`7797cf95 00000000`028beaf0 00000000`7797becb : wow64cpu!ServiceNoTurbo+0xb
00000000`028bead0 00000000`7797cec6 : 00000000`02a5b000 00000000`003000e0 00000000`00000000 00000000`028bf330 : wow64cpu!BTCpuSimulate+0x9
00000000`028beb10 00000000`7797cdb0 : 00000000`00000000 00000000`02c03c68 00000000`02c03c68 00000000`00000000 : wow64!RunCpuSimulation+0xa
00000000`028beb40 00007ffe`8e63fb9f : 00000000`00000010 00000000`00000010 00007ffe`8e6940f0 00007ffe`8e6947a0 : wow64!Wow64LdrpInitialize+0x120
00000000`028bedf0 00007ffe`8e62f73f : 00000000`00000001 00000000`00000000 00000000`00000000 00000000`00000001 : ntdll!LdrpInitializeProcess+0x18cf
00000000`028bf210 00007ffe`8e5e301b : 00000000`028bf330 00000000`00000000 00000000`00000000 00000000`02a5c000 : ntdll!_LdrpInitialize+0x4c70f
00000000`028bf2b0 00007ffe`8e5e2fce : 00000000`028bf330 00000000`00000000 00000000`00000000 00000000`00000000 : ntdll!LdrpInitialize+0x3b
00000000`028bf2e0 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : ntdll!LdrInitializeThunk+0xe


FOLLOWUP_IP: 
wow64!whNtRemoveIoCompletionEx+12d
00000000`7799d71d 448bc0          mov     r8d,eax

SYMBOL_STACK_INDEX:  1

SYMBOL_NAME:  wow64!whNtRemoveIoCompletionEx+12d

FOLLOWUP_NAME:  MachineOwner

MODULE_NAME: wow64

IMAGE_NAME:  wow64.dll

DEBUG_FLR_IMAGE_TIMESTAMP:  253876dd

STACK_COMMAND:  dt ntdll!LdrpLastDllInitializer BaseDllName ; dt ntdll!LdrpFailureData ; ~0s; .ecxr ; kb

FAILURE_BUCKET_ID:  INVALID_POINTER_READ_80000003_wow64.dll!whNtRemoveIoCompletionEx

BUCKET_ID:  X64_APPLICATION_FAULT_INVALID_POINTER_READ_wow64!whNtRemoveIoCompletionEx+12d

WATSON_STAGEONE_URL:  http://watson.microsoft.com/StageOne/svchost_exe/10_0_17134_1/55e9b08e/unknown/0_0_0_0/bbbbbbb4/80000003/00000000.htm?Retriage=1

Followup: MachineOwner

 

זה שירות של ווינדוס ,
יש לך ווינדוס 7 במקרה ?  אפשר להרגיע אותו על ידי כיבוי WINDOWS UPDATE
ומדי  פעם לעדכן את הווינדוס  ולכבות שוב . 

התהליך שהינך מדבר עליו יכול להופיע מס' רב של מופעים וזה תקין. ברם, הדרך בה נקטת היא לא נכונה וכך לא תוכל לזהות את היישום שהתהליך גוזל נתח נכבד ממשאבי המעבד CPU

ממליץ שתפעל כמוסבר:

--קליק ימני על שורת הפקודה--רשום resmon.exe ואנטר.

או לחילופין בשורת החיפוש תחפש את המונח resmon.exe והפעל משם.

צג המשאבים יעלה או בשמו הלועזי Resource Monitor

--עבור ללשונית CPU

--תסדר את כל התהליכים כך שיוצגו תחילה אלה שגוזלים את הנתח הגדול מהמעבד על ידי לחיצה בכותרת במקום המתאים
--ברגע שתזהה תהליך Svchost.exe שגוזל את הכי הרבה משאבי מעבד, תלחץ עליו קליק ימני ובחר חיפוש אונליין. כך תוכל לדעת ולזהות איזה תהליך הוא הבעייתי ולטפל בו בהתאם.

קראתי לא מכבר שיש וירוס במסווה של תהליך ומזוהה Svchost.exe.exe והוא בעצם סוס טרויאני במחשב. המטרה העיקרית של תהליך זה היא לכרות מטבעות כגון DarkNetCoin או Bitcoin, וכו'. שים לב שהתהליך אצלך לא מופיע עם דאבל exe כפי שפרטתי.

אז שיהיה בהצלחה באיתור התהליך הסורר ומיגורו.

חזור לדווח

 

בעקבות כך עשיתי שחזור מערכת לנקודה מסויימת ונראה לי שפתר את העניין.

החכמתני. תודה.