-
Junior Member
- Вес репутации
- 48
Снова.. svchost.exe, грузит процессор на 50%
Доброго времени суток, надеюсь, что поможете разобраться в чем тут дело. Юзал гугл видел, что у многих была такая проблема, но конкретно под свою ситуацию так и не нашел ответа. Не могу точно сказать когда это началось но подозреваю, что после удаления вируса который просит 400 рублей
В процессах висит svchost.exe, который загружает процессор на 50%, как вирус естественно не определяется, к нему не привязан ни один сервис и если его убить то никаких глюков не происходит, как это бывает после убийства других svchost'ов с сервисами.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Antargo, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Шут\Application Data\lsass.exe
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Шут\Application Data\lsass.exe','');
QuarantineFile('C:\Documents and Settings\Шут\Application Data\lbisov.exe','');
DeleteFile('C:\Documents and Settings\Шут\Application Data\lbisov.exe');
DeleteFile('C:\Documents and Settings\Шут\Application Data\lsass.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=102641).
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 48
Все сделал.
Вот новые логи:
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 48
По прежнему висит svchost.exe и грузит проц.. незнаю что и делать
Использовал SvchostAnalyzer вот что показывает:
0 сервисов под проблемным svchost'ом, под другими стандартные виндовые службы
Последний раз редактировалось Antargo; 25.05.2011 в 18:10.
-
Junior Member
- Вес репутации
- 48
Использовал прогу AnVir Task Manager, вот что нашол:
Похоже на вирус.. но его нет в той папке, которая указана в его свойствах, видит его только anvirtask manager, как какойто файл привязанный к svchost'y..
Что-то можете посоветовать?
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 48
Действительно MBAM нашол его, но пока ничего не удаляю, все по правилам), вот лог:
-
Antargo, удалите в MBAM только эти строки:
Код:
Заражённые ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D125299-C2A9-4DBC-BEC3-6F7124E39A41} (Adware.FieryAds) -> No action taken.
HKEY_CURRENT_USER\Software\winxarj (Hoax.ArchSMS) -> No action taken.
Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
Заражённые папки:
c:\documents and settings\Шут\application data\FieryAds (Adware.FieryAds) -> No action taken.
Заражённые файлы:
c:\documents and settings\Шут\application data\archsoft\winzipr.exe (Trojan.FakeSMS) -> No action taken.
c:\documents and settings\Шут\doctorweb\quarantine\jar_cache1836529701913674208.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Шут\doctorweb\quarantine\jar_cache6261559329255319244.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Шут\doctorweb\quarantine\lsass.exe (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\шут\главное меню\программы\автозагрузка\igfxtray.exe (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Шут\application data\fieryads.dat (Adware.FieryAds) -> No action taken.
c:\documents and settings\Шут\рабочий стол\svchostviewer.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
[RIGHT][URL="http://z-oleg.com/avz4.zip"]AVZ[/URL] [URL="http://go.trendmicro.com/free-tools/hijackthis/HiJackThis.exe"]HijackThis[/URL] [URL="http://virusinfo.info/pravila.html"]Правила раздела "Помогите!"[/URL][/RIGHT]
[RIGHT][URL="http://virusinfo.info/forumdisplay.php?f=70"]ЧаВО[/URL] [URL="http://fileforum.betanews.com/download/Malwarebytes-AntiMalware/1186760019/1"]Malwarebyte's AntiMalware[/URL][/RIGHT]
[RIGHT][URL="http://z-oleg.com/secur/avz_up/avzbase.zip"]Актуальные базы АВЗ[/URL][/RIGHT]
-
Junior Member
- Вес репутации
- 48
Проблема решена. Спасибо
-
Antargo, пожалуйста.
Не забывайте про обновления системы и антивирусных продуктов.
Можете почитать напоследок эту тему.
[RIGHT][URL="http://z-oleg.com/avz4.zip"]AVZ[/URL] [URL="http://go.trendmicro.com/free-tools/hijackthis/HiJackThis.exe"]HijackThis[/URL] [URL="http://virusinfo.info/pravila.html"]Правила раздела "Помогите!"[/URL][/RIGHT]
[RIGHT][URL="http://virusinfo.info/forumdisplay.php?f=70"]ЧаВО[/URL] [URL="http://fileforum.betanews.com/download/Malwarebytes-AntiMalware/1186760019/1"]Malwarebyte's AntiMalware[/URL][/RIGHT]
[RIGHT][URL="http://z-oleg.com/secur/avz_up/avzbase.zip"]Актуальные базы АВЗ[/URL][/RIGHT]
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
-