Pagina 1 di 1

svchost.exe mangia risorse

MessaggioInviato: gio lug 12, 2007 9:03 am
da marco datanasio
ciao a tutti.
Da qualche giorno quando avvio il mio pc, il sistema diventa lentissimo. dal task manager si rileva il 100% di utilizzo della cpu dovuto ad un processo svchost.exe con elevati valori di utilizzo memoria (anche 64000 KB). il s.o. è xp professional edition con antivirus trendmicro di default in quanto il pc è connesso ad una rete lan ministeriale, con proxy server. come posso ovviare alla questione?
Di seguito il logfile di hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 8.01.53, on 12/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
C:\WINDOWS\SYSTEM32\DWRCS.EXE
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe
C:\Programmi\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\Programmi\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Programmi\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Trend Micro\OfficeScan Client\TmPfw.exe
C:\WINDOWS\SYSTEM32\DWRCST.exe
C:\WINDOWS\TEMP\ISA465.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Analog Devices\Core\smax4pnp.exe
C:\Programmi\Analog Devices\SoundMAX\Smax4.exe
C:\Programmi\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe
C:\Programmi\Adobe\Photoshop Elements 5.0\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\XemiComputers\Active Desktop Calendar\ADC.exe
C:\Programmi\Trend Micro\OfficeScan Client\CNTAoSMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programmi\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Programmi\Winrar\WinRAR.exe
C:\DOCUME~1\DATANA~1\IMPOST~1\Temp\Rar$EX00.406\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.pam.aeronautica.difesa.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://web.pam.aeronautica.difesa.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Aeronautica Militare Italiana
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = centauro.pam.aeronautica.difesa.it:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [gemstrmw] C:\WINDOWS\system32\gemstrmw.exe /r
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programmi\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Elements 5.0\apdproxy.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Active Desktop Calendar] C:\Programmi\XemiComputers\Active Desktop Calendar\ADC.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - http://www.net2phone.com/ (file missing)
O9 - Extra 'Tools' menuitem: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - http://www.net2phone.com/ (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://web.pam.aeronautica.difesa.it
O15 - Trusted Zone: http://intrapam15.doc.aeronautica.difesa.it
O15 - Trusted Zone: http://*.intrapam15
O15 - Trusted Zone: http://intrapam15.doc.aeronautica.difesa.it (HKLM)
O15 - Trusted Zone: http://*.intrapam15 (HKLM)
O16 - DPF: {043BC072-168B-4EE1-A51C-412A9F9111F4} (StampaCodici.clsStampaCodici) - http://intrapam15/damarisweb/Installazi ... Codici.CAB
O16 - DPF: {4321460D-20A5-4087-BBE9-9F8707EB9470} (Damaris_OutlookAddIn.OutlookDesigner) - http://intrapam15/damarisweb/Installazi ... kAddIn.CAB
O16 - DPF: {EFF95C95-66F2-442A-B48C-D195529827A6} (SPEDIZIONI.clsStampaCodici) - http://intrapam15/damarisweb/Installazi ... IZIONI.CAB
O16 - DPF: {F276C3D7-BE73-49FF-945A-1F20FCB0269F} (SignIT.clsFirma) - http://intrapam15/damarisweb/Installazioni/SignIT.CAB
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = pam.aeronautica.difesa.it
O17 - HKLM\Software\..\Telephony: DomainName = pam.aeronautica.difesa.it
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = pam.aeronautica.difesa.it
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Programmi\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINDOWS\SYSTEM32\DWRCS.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programmi\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OfficeScan NT Firewall (OfcPfwSvc) - Unknown owner - C:\Programmi\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Programmi\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: OfficeScanNT Personal Firewall (TmPfw) - Trend Micro Inc. - C:\Programmi\Trend Micro\OfficeScan Client\TmPfw.exe
salute a tutti e buona estate
marco

MessaggioInviato: gio lug 12, 2007 9:26 am
da crazy.cat
Il log è anche pulito, ma conoscendo office scan può essere passato di tutto, prova a fare una scansione online
http://www.kaspersky.com/virusscanner
e se trova dei virus salva il log finale.

Hai gli aggiornamenti automatici di windows attivi?
Prova a disattivarli e fare un riavvio per vedere se smette il problema.

MessaggioInviato: gio lug 12, 2007 12:33 pm
da Zane
Io sul mio notebbok avevo giusto la settimana scorsa un problema simile, causato da un driver video nVidia fallato... ho risolto cambiando driver.

MessaggioInviato: gio lug 12, 2007 12:51 pm
da Robby78
Zane ha scritto:Io sul mio notebbok avevo giusto la settimana scorsa un problema simile, causato da un driver video nVidia fallato... ho risolto cambiando driver.

noooo davvero? anche un utente qui si lamenta di questo problema è il suo vaio ha proprio una nVidia!! Mitico Zane, mi daresti qualche dettaglio in più sulla versione bacata e su quella a posto?

MessaggioInviato: gio lug 12, 2007 4:06 pm
da Zane
Dunque, nel mio specifico caso ho un notebook (un Tablet PC, per essere esatti) Toshiba M200 con scheda video GeForce FX Go5200.

Poichè i driver ufficiali di Toshiba sono fermi ad una versione da paloeolitico, ho cercato qualcosa di più nuovo.

Mi sono rivolto a laptopvideo2go, da cui ho provato una decina di versioni diverse: 87.25, 93.71, 96.85, 97.34, 97.44, 97.54, 97.92

Purtroppo causano tutte un memory leak in svchost.exe (servizio RPC).

La versione più recente libera dal problema è la 67.66, che funziona veramente bene [std]

svchost.exe mangiarisorse

MessaggioInviato: ven lug 13, 2007 6:19 pm
da marco datanasio
Ho disattivato l'aggiornamento automatico di wundows ed è scomparso il problema del svchost.exe che saturava la cpu. In quei gironi era difficilissimo scaricare gli aggiornamenti, quelli di luglio per intenderci, anche dal mio pc di casa e anche in modo manuale. Mi piacerebbe capire cosa stesse facendo quel processo.
Ciao e buona estate

MessaggioInviato: ven lug 13, 2007 6:43 pm
da SteelBolter
Mi pare che ci stato un aggiornamento nel Windows Update...

Da un po' di tempo a questa parte neln'Update cerca anche file di office, SQL, Software per lo Zune ecc...

Quindi ci mette un bel po' di tempo in più...

MessaggioInviato: sab lug 14, 2007 2:39 pm
da Robby78
Zane ha scritto:La versione più recente libera dal problema è la 67.66, che funziona veramente bene [std]


grazie 1000!! sul laptop incriminato c'è una geforce go7400, adesso vedo se i drivers sono compatibili [^]