Показано с 1 по 13 из 13.

Загрузка процессора - svhost / Trojan.Mayachok.1 (заявка № 121723)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    23.06.2012
    Сообщений
    6
    Вес репутации
    43

    Thumbs up Загрузка процессора - svhost / Trojan.Mayachok.1

    Доброе время суток! Сын скачал программу "Запускатр" с левого сайта. Не проверив запустил - комп перегрузился. И начались ужасные тормоза. В диспетчере задач обнаружилось, что ЦП загружен на 100% несколькими процессами "svhost". Скачал Dr.Web Curelt и в безопасном режиме просканировал комп. Сразу был обнаружен в памяти "Trojan.Mayachok.1" и якобы обезврежен. Было обнаружено и удалено ещё около 40-ка вирусов. После той же программой провел полное сканирование - было обнаружено и удалено ещё около 130-ти вирусов. После перезагрузки проблема с тормозами и загрузкой ЦП осталась.
    Еще раз просканировал ДрВебом - Trojan.Mayachok.1 (жив и невредим) но больше ничего не обнаружилось.
    Заметил, что тормоза и загрузка ЦП начинаются после загрузки антивирусника NOD32.
    Выполнил скрипт на AVZ (3.5 часа). Перегрузил комп в без. режим и в нем удалил NOD. Перегрузился в обычный режим (тормоза исчезли) запустил интернет и опять выполнил скрипт в AVZ. Потом HijackThis.
    Снова установил NOD и опять тормоза и загрузка процессора. И Trojan.Mayachok.1 по прежнему в памяти... Снова удалил NOD - тормоза исчезли, Trojan.Mayachok.1 невредим.
    Жду помощи! Спасибо!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Роберт Ляхов, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Дeнис
    Регистрация
    06.10.2011
    Адрес
    Россия
    Сообщений
    2,607
    Вес репутации
    138
    Здравствуйте!

    1.Отключите Антивирус/Фаервол.

    2.Выполните скрипт в AVZ

    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\82.exe','');
     QuarantineFile('C:\WINDOWS\system32\11.exe','');
     QuarantineFile('C:\WINDOWS\system32\04.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
     QuarantineFile('C:\Documents and Settings\Папа\Application Data\Rniuil.exe','');
     QuarantineFile('C:\WINDOWS\system32\rdqmtqc.dll','');
     DeleteFile('C:\WINDOWS\system32\rdqmtqc.dll');
     DeleteFile('C:\Documents and Settings\Папа\Application Data\Rniuil.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
     DeleteFile('C:\WINDOWS\system32\04.exe');
     DeleteFile('C:\WINDOWS\system32\11.exe');
     DeleteFile('C:\WINDOWS\system32\82.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.
    После перезагрузки!


    3.Пришлите карантин согласно Приложения 2 правил по красной ссылке
    Прислать запрошенный карантин вверху темы


    4.

    Код:
     
         >>  Разрешен автозапуск с HDD
         >>  Разрешен автозапуск с сетевых дисков
          >>  Разрешен автозапуск со сменных носителей
          >>  Обнаружены опасные расширения в списке типов файлов, не представляющих угрозы
    Исправьте через AVZ - Файл - Мастер поиска и устранения проблем - Все проблемы - отметить указанное - Исправить
    Далее

    Сделайте новые логи по правилам!
    Сделайте лог MBAM

  5. #4
    Junior Member (OID) Репутация
    Регистрация
    23.06.2012
    Сообщений
    6
    Вес репутации
    43
    Спасибо! Скрипт выполнился без ошибок. Карантин отправил. Указанные уязвимости исправил. Делаю логи...

    - - - Updated - - -

    Я наверное не то сделал с отправкой карантина... Не пойму что нужно отослать.

    - - - Updated - - -

    Отправляю логи AVZ и HijackThis. МВАМ - ещё не готов...
    Вложения Вложения

  6. #5
    Junior Member (OID) Репутация
    Регистрация
    23.06.2012
    Сообщений
    6
    Вес репутации
    43
    Лог МВАМ
    Вложения Вложения
    • Тип файла: txt MBAM.txt (4.3 Кб, 2 просмотров)

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Дeнис
    Регистрация
    06.10.2011
    Адрес
    Россия
    Сообщений
    2,607
    Вес репутации
    138
    Роберт Ляхов,


    Здравствуйте!

    1.Отключите Антивирус/Фаервол.

    2.Выполните скрипт в AVZ

    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\Desktop.ini','');
     QuarantineFile('C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini','');
     QuarantineFile('C:\Documents and Settings\LRV\Local Settings\Temp\9efc955a2ab1b169a739f6c8205f07d1228ad7045e88.exe','');
     QuarantineFile('C:\Documents and Settings\LRV\Application Data\RECYCLER\svchost.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\Desktop.ini');
     DeleteFile('C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini');
     DeleteFile('C:\Documents and Settings\LRV\Local Settings\Temp\9efc955a2ab1b169a739f6c8205f07d1228ad7045e88.exe');
     DeleteFile('C:\Documents and Settings\LRV\Application Data\RECYCLER\svchost.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки!


    3.Пришлите карантин согласно Приложения 2 правил по красной ссылке
    Прислать запрошенный карантин вверху темы


    4.Сделайте лог MBAM + лог RSIT

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от Роберт Ляхов Посмотреть сообщение
    Я наверное не то сделал с отправкой карантина... Не пойму что нужно отослать.
    для того чтобы вам было проще

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

  9. #8
    Junior Member (OID) Репутация
    Регистрация
    23.06.2012
    Сообщений
    6
    Вес репутации
    43
    Карантин отправил. Логи RSIT прикрепляю. МВАМ попозже...
    Вложения Вложения
    • Тип файла: txt log.txt (38.3 Кб, 4 просмотров)
    • Тип файла: txt info.txt (21.9 Кб, 1 просмотров)

  10. #9

  11. #10
    Junior Member (OID) Репутация
    Регистрация
    23.06.2012
    Сообщений
    6
    Вес репутации
    43
    Цитата Сообщение от regist Посмотреть сообщение
    C:\PROGRA~1\Oklick\oklick.exe эта программа вам знакома ?
    Да, програмка обслуживает клавиатуру с доп. функциями. (так сама клава называется)

    - - - Добавлено - - -

    Лог МВАМ
    Вложения Вложения

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Удалите в MBAM только

    Код:
    Обнаруженные параметры в реестре:  1
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Remote Security Manager (Trojan.Agent) -> Параметры: C:\Documents and Settings\LRV\Application Data\RECYCLER\svchost.exe -> Действие не было предпринято.
    
    Объекты реестра обнаружены:  0
    (Вредоносных программ не обнаружено) 
    
    Обнаруженные папки:  2
    C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> Действие не было предпринято.
    C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830 (Worm.AutoRun) -> Действие не было предпринято.
    сделайте новый лог MBAM, что с проблемой ?

  13. #12
    Junior Member (OID) Репутация
    Регистрация
    23.06.2012
    Сообщений
    6
    Вес репутации
    43
    regist,
    Спасибо! Проблема исчезла ещё после первого скрипта. Компьютер у сына и я с ним общаюсь по телефону и в интернете. Поэтому все делается не оч. оперативно...
    Спасибо Вам огромное!!!

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 16
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\lrv\\local settings\\temp\\9efc955a2ab1b169a739f6c8205f07d122 8ad7045e88.exe - Trojan.Win32.Lampa.adnw ( DrWEB: Trojan.Mayachok.1, BitDefender: Trojan.Generic.KD.657561, AVAST4: Win32:Vundo-UA [Trj] )
      2. c:\\windows\\system32\\rdqmtqc.dll - Trojan.Win32.Cidox.iyz ( DrWEB: Trojan.Mayachok.1 )


  • Уважаемый(ая) Роберт Ляхов, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. svhost, загрузка ЦП - 100%
      От dakins в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 10.03.2012, 20:43
    2. Загрузка процессора svhost...
      От Sergei ya в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 26.09.2010, 01:06
    3. svhost 100% загрузка CPU
      От odisey в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 22.09.2010, 14:00
    4. Загрузка ЦП 99% wwwznv32.exe - svhost.exe
      От Terpy в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 23.07.2010, 23:40
    5. Ответов: 8
      Последнее сообщение: 22.02.2009, 05:37

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00903 seconds with 20 queries