rundll32.exe и svchost грузят систему

[misterO]

После загрузки компьютера процесс rundll32.exe и svchost (от имени системы а не пользователя)
(грузят систему два, один находится в C:\Windows\System32\svchost.exe, а другой в C:\Windows\Temp\svchost.exe)
начинают грузить систему на 100%. антивирусом касперского проверял, ничего не нашел.

p.s: перед сбором логов я завершил эти три процесса, ибо сделать ничего не реально жутко лагает

[Info_bot]

Уважаемый(ая) misterO, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[misterO]

750ae0a8c9628c93397acb8053b73953.png
вот сделал еше раз логи сразу после загрузки компьютера, процессы которые грузят систему не отключал

[regist]

Здравствуйте!

Внимание !!! База поcледний раз обновлялась 12.07.2013 13:39:36 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз). Протокол антивирусной утилиты AVZ версии 4.41.

Пожалуйста обновите базы

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
ExecuteAVUpdate;
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true); 
 TerminateProcessByName('C:\Windows\Temp\svchost.exe');
 QuarantineFile('C:\Windows\Temp\svchost.exe','');
 DeleteFile('C:\Windows\Temp\svchost.exe');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

[misterO]

1df41c99b0d43552ed98300733967676.png
Сделал, пропал один процесс svchost, второй остался
карантин прислал, логи

[regist]

Сделайте полный образ автозапуска uVS

[misterO]

сделал.

так же C:\Windows\System32\rundll32.exe грузит процессор

[regist]

Выполните скрипт в uVS

Код:

;uVS v3.81.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
; F:\USERS\ROOT\DOWNLOADS\SPRUT-FOR-DDOS\SPRUT\SPRUT\SPRUT.EXE
zoo F:\USERS\ROOT\DOWNLOADS\SPRUT-FOR-DDOS\SPRUT\SPRUT\SPRUT.EXE
; zoo F:\USERS\ROOT\DOWNLOADS\SPRUT-FOR-DDOS\SPRUT\SPRUT\SPRUT.EXE
bl E9122F417470B8A217C1FF96B9CE0D08 32768
addsgn 9252627A156AC1CCE0FB514E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4BAEF6523B021E8A2FD3EC5F321649ACFE1CEC21051DB32F2D75A4BF5796B2E3 8 Trojan-Spy.Win32.Zbot.myqz [Kaspersky]

delall %SystemRoot%\TEMP\SVCHOST.EXE
delref (X86)\DEALPLY\DEALPLYUPDATE.EXE
zoo %SystemRoot%\NETFRAME4X64.DLL
restart

проверьте на http://www.virustotal.com/

Код:

C:\WINDOWS\NETFRAME4X64.DLL

ссылку на результат проверки напишите здесь в теме.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

[misterO]

Максимальный размер файла: 64 МБ
а он весит 106мб, что делать?
это я про NETFRAME4X64.DLL

[regist]

- Сделайте лог полного сканирования МВАМ.

[misterO]

Сделал

[regist]

Удалите в MBAM только

Код:

Обнаруженные ключи в реестре:  11
HKCR\CLSID\{a6c63b7f-2171-47fa-ab34-e64c4737169d} (PUP.DealPly) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A6C63B7F-2171-47FA-AB34-E64C4737169D} (PUP.DealPly) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{A6C63B7F-2171-47FA-AB34-E64C4737169D} (PUP.DealPly) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{A6C63B7F-2171-47FA-AB34-E64C4737169D} (PUP.DealPly) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Dealply (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DealPly (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCU\SOFTWARE\DEALPLY (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCU\Software\InstallCore\1I1T1Q1S (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
HKLM\SOFTWARE\DEALPLY (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Comfastuserswitchingcompatibility70 (Trojan.Backdoor) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  3
HKCU\SOFTWARE\DealPly|Partner (PUP.Optional.DealPly.A) -> Параметры: iron -> Действие не было предпринято.
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Параметры: 0M1S1H1K2U -> Действие не было предпринято.
HKLM\SOFTWARE\DealPly|ChromeCrxPath (PUP.Optional.DealPly.A) -> Параметры: C:\Program Files (x86)\DealPly\DealPly.crx -> Действие не было предпринято.
Обнаруженные папки:  6
C:\Program Files (x86)\DealPly (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Users\root\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DealPly (PUP.OPtional.Dealply.A) -> Действие не было предпринято.
C:\Users\root\AppData\Roaming\Dealply (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Users\root\AppData\Roaming\Dealply\UpdateProc (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Users\root\AppData\Roaming\OpenCandy (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\root\AppData\Roaming\OpenCandy\A5611BB3D5074D22B13F5FB264B45F8B (PUP.Optional.OpenCandy) -> Действие не было предпринято.
Обнаруженные файлы:  38
C:\Program Files (x86)\DealPly\DealPlyIE.dll (PUP.DealPly) -> Действие не было предпринято.
C:\Program Files (x86)\DealPly\DealPlyUpdate.exe (PUP.Optional.Dealply) -> Действие не было предпринято.
C:\Program Files (x86)\DealPly\DealPlyUpdateRun.exe (PUP.Optional.Dealply) -> Действие не было предпринято.
C:\Program Files (x86)\DealPly\DealPlyUpdateVer.exe (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Program Files (x86)\ICCup\Launcher\iccwc3.icc (PUP.GameTool) -> Действие не было предпринято.
C:\Users\root\AppData\Roaming\Dealply\UpdateProc\UpdateTask.exe (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\SXQR28IB\bx64[1].exe (PUP.Optional.Primeminer) -> Действие не было предпринято.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\T3ZLCP2B\bx64[1].exe (PUP.Optional.Primeminer) -> Действие не было предпринято.
F:\$Recycle.Bin\S-1-5-21-1944224652-1263310155-3293470129-1001\$RQQK6NA\L2_GoD_PTS_Rus\L2_GoD_PTS_Rus\system kor\Core.dll (Malware.Packer.T) -> Действие не было предпринято.
F:\$Recycle.Bin\S-1-5-21-1944224652-1263310155-3293470129-1001\$RQQK6NA\L2_GoD_PTS_Rus\L2_GoD_PTS_Rus\system kor\Engine.dll (Malware.Packer.T) -> Действие не было предпринято.
F:\$Recycle.Bin\S-1-5-21-1944224652-1263310155-3293470129-1001\$RQQK6NA\L2_GoD_PTS_Rus\L2_GoD_PTS_Rus\system koreya\Core.dll (Malware.Packer.T) -> Действие не было предпринято.
F:\$Recycle.Bin\S-1-5-21-1944224652-1263310155-3293470129-1001\$RQQK6NA\L2_GoD_PTS_Rus\L2_GoD_PTS_Rus\system koreya\Engine.dll (Malware.Packer.T) -> Действие не было предпринято.
F:\$Recycle.Bin\S-1-5-21-1944224652-1263310155-3293470129-1001\$RQQK6NA\l2_Server_god_klient\l2incore_start.exe (Trojan.PWS.OnlineGames) -> Действие не было предпринято.
F:\$Recycle.Bin\S-1-5-21-1944224652-1263310155-3293470129-1001\$RQQK6NA\l2_Server_god_klient\system kor\Core.dll (Malware.Packer.T) -> Действие не было предпринято.
F:\$Recycle.Bin\S-1-5-21-1944224652-1263310155-3293470129-1001\$RQQK6NA\l2_Server_god_klient\system kor\Engine.dll (Malware.Packer.T) -> Действие не было предпринято.
F:\$Recycle.Bin\S-1-5-21-1944224652-1263310155-3293470129-1001\$RQQK6NA\l2_Server_god_klient\system koreya\Core.dll (Malware.Packer.T) -> Действие не было предпринято.
F:\$Recycle.Bin\S-1-5-21-1944224652-1263310155-3293470129-1001\$RQQK6NA\l2_Server_god_klient\system koreya\Engine.dll (Malware.Packer.T) -> Действие не было предпринято.
C:\Program Files (x86)\DealPly\DealPly.crx (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Program Files (x86)\DealPly\DealPly.xpi (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Program Files (x86)\DealPly\DealPlyIE64.dll (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Program Files (x86)\DealPly\icon.ico (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Program Files (x86)\DealPly\uninst.exe (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Users\root\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DealPly\Uninstall DealPly.lnk (PUP.OPtional.Dealply.A) -> Действие не было предпринято.
C:\Users\root\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DealPly\DealPly Help.url (PUP.OPtional.Dealply.A) -> Действие не было предпринято.
C:\Users\root\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DealPly\DealPly.url (PUP.OPtional.Dealply.A) -> Действие не было предпринято.
C:\Users\root\AppData\Roaming\Dealply\UpdateProc\config.dat (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Users\root\AppData\Roaming\Dealply\UpdateProc\TTL.DAT (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Users\root\AppData\Roaming\OpenCandy\A5611BB3D5074D22B13F5FB264B45F8B\driverscannerRU.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.

что с проблемой?

[misterO]

мне опять полную проверку делать? (что бы удалить что вы указали?) я ее около 6 часов делал

[regist]

можете сделать проверку только диск C: и F:\. На F:\ можете даже сделать проверку только C: а на F:\ вручную удалить эти файлы и почистить корзину.

[misterO]

Удалил то что вы сказали, перезагрузился, процесс остался и опять грузит процессор и оперативку на 1 гб
еше есть процесс rundll32.exe но он не сразу со старта системы начинает грузить

- - - Добавлено - - -

я заметил что rundll32.exe и svchost появляются одновременно

- - - Добавлено - - -

что делать?

[regist]

rundll32.exe и svchost - это системные файлы, а процесс svchost в нескольких экземплярах присутсвует и на здоровой системе, так что наличие этих процессов никак не говорит о наличие вирусов. Что с проблемой?

[misterO]

Я же выше написал, все еше грузят систему

[regist]

Выполните загрузку в безопасном режиме. Если проблема не наблюдается, проблема кроется в сторонней службе или программе. В этом случае выполните следующие действия.
Пуск - Поиск / Выполнить - msconfig - ОК и перейдите на вкладку Службы. Установите флажок Не отображать службы Microsoft.
Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь. Если проблема не появляется, причина в одной из этих служб.

Далее действуйте методом "половинного деления". Включите половину служб и снова перезагрузитесь. Если проблема не появляется, причина в оставшихся отключенных службах. Если проблема воспроизводится, причина во включенных службах - отключите половину из них и снова перезагрузитесь. Действуя таким образом, вы сможете выявить службу, являющуюся причиной проблемы, и определить программу, которой она принадлежит.
Аналогичным образом можно поступить на вкладке Автозагрузка.
Здесь тоже не следует отключать пункты, производителем которых является Microsoft. Отключение программ других производителей может привести к неправильной работе устройств в том случае, если вы отключите их драйверы. Поэтому программы производителей вашего аппаратного обеспечения (например, Intel) лучше не отключать, либо отключать в самую последнюю очередь.

Далее можно порекомендовать лишь обновление программы до последней версии или ее удаление.

Подробнее об этой диагностике читайте здесь.

[misterO]

В безопасном режиме компьютер перезагружается либо зависает через минуту после запуска где то, может раньше

- - - Добавлено - - -

Скачал dr.web он нашел 3 вируса: http://news.ferra.ru/hard/2011/07/10/112753/
http://vms.drweb.com/virus/?i=2913935
http://vms.drweb.com/virus/?i=3597527

ето ни как не связано?

- - - Добавлено - - -

но проблема осталась после удаления

[regist]

похоже проблемы с железом, а не с вирусами. Но для надёжности ещё один лог сделайте

Сделайте лог ComboFix