Снова.. svchost.exe, грузит процессор на 50%

**Antargo** · 25.05.2011, 15:02

Доброго времени суток, надеюсь, что поможете разобраться в чем тут дело. Юзал гугл видел, что у многих была такая проблема, но конкретно под свою ситуацию так и не нашел ответа. Не могу точно сказать когда это началось но подозреваю, что после удаления вируса который просит 400 рублей

В процессах висит svchost.exe, который загружает процессор на 50%, как вирус естественно не определяется, к нему не привязан ни один сервис и если его убить то никаких глюков не происходит, как это бывает после убийства других svchost'ов с сервисами.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 25.05.2011, 15:03

Уважаемый(ая) Antargo, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Bratez** · 25.05.2011, 15:36

Пофиксите в HijackThis:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Шут\Application Data\lsass.exe
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Шут\Application Data\lsass.exe','');
 QuarantineFile('C:\Documents and Settings\Шут\Application Data\lbisov.exe','');
 DeleteFile('C:\Documents and Settings\Шут\Application Data\lbisov.exe');
 DeleteFile('C:\Documents and Settings\Шут\Application Data\lsass.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=102641).
Сделайте новые логи.

**Antargo** · 25.05.2011, 16:35

Все сделал.
Вот новые логи:

**Bratez** · 25.05.2011, 16:41

Чисто.
Что с проблемой?

**Antargo** · 25.05.2011, 18:03

По прежнему висит svchost.exe и грузит проц.. незнаю что и делать
Использовал SvchostAnalyzer вот что показывает:
0 сервисов под проблемным svchost'ом, под другими стандартные виндовые службы

**Antargo** · 25.05.2011, 23:31

Использовал прогу AnVir Task Manager, вот что нашол:
Похоже на вирус.. но его нет в той папке, которая указана в его свойствах, видит его только anvirtask manager, как какойто файл привязанный к svchost'y..
Что-то можете посоветовать?

**thyrex** · 26.05.2011, 00:10

Сделайте лог полного сканирования МВАМ

**Antargo** · 26.05.2011, 08:06

Действительно MBAM нашол его, но пока ничего не удаляю, все по правилам), вот лог:

**crush13** · 26.05.2011, 08:58

Antargo, удалите в MBAM только эти строки:

Код:

Заражённые ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D125299-C2A9-4DBC-BEC3-6F7124E39A41} (Adware.FieryAds) -> No action taken.
HKEY_CURRENT_USER\Software\winxarj (Hoax.ArchSMS) -> No action taken.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

Заражённые папки:
c:\documents and settings\Шут\application data\FieryAds (Adware.FieryAds) -> No action taken.

Заражённые файлы:
c:\documents and settings\Шут\application data\archsoft\winzipr.exe (Trojan.FakeSMS) -> No action taken.
c:\documents and settings\Шут\doctorweb\quarantine\jar_cache1836529701913674208.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Шут\doctorweb\quarantine\jar_cache6261559329255319244.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Шут\doctorweb\quarantine\lsass.exe (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\шут\главное меню\программы\автозагрузка\igfxtray.exe (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Шут\application data\fieryads.dat (Adware.FieryAds) -> No action taken.
c:\documents and settings\Шут\рабочий стол\svchostviewer.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.

**Antargo** · 26.05.2011, 10:54

Проблема решена. Спасибо

**crush13** · 26.05.2011, 11:04

Antargo, пожалуйста.

Не забывайте про обновления системы и антивирусных продуктов.
Можете почитать напоследок эту тему.

**CyberHelper** · 27.05.2011, 11:04

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 4
В ходе лечения вредоносные программы в карантинах не обнаружены

Снова.. svchost.exe, грузит процессор на 50% (заявка № 102641)

Опции темы

Снова.. svchost.exe, грузит процессор на 50%

Антивирусная помощь

Итог лечения

Похожие темы

svchost.exe грузит процессор на 100%

svchost грузит процессор на 100

svchost грузит процессор

svchost.exe грузит процессор

svchost грузит процессор на 100%

Ваши права в разделе