В директории windows имею файл svchost.exe, который загружает память под 100 процентов.
После удаления этого файла , он восстанавливается. Чистка реестра и кэша не помогла.
В директории windows имею файл svchost.exe, который загружает память под 100 процентов.
После удаления этого файла , он восстанавливается. Чистка реестра и кэша не помогла.
Уважаемый(ая) AndreyRyb, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); QuarantineFile('C:\Users\Администратор\applic~1\digitalsites\updateproc\updatetask.exe',''); QuarantineFile('C:\Users\836D~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE',''); QuarantineFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC64Loader.dll',''); QuarantineFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC32Loader.dll',''); QuarantineFile('C:\Windows\system32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}Gw64.sys',''); DeleteService('{55dce8ba-9dec-4013-937e-adbf9317d990}Gw64'); SetServiceStart('IePluginServices', 4); DeleteService('IePluginServices'); SetServiceStart('CltMngSvc', 4); DeleteService('CltMngSvc'); TerminateProcessByName('c:\programdata\schedule\timetasks.exe'); QuarantineFile('c:\programdata\schedule\timetasks.exe',''); TerminateProcessByName('c:\progra~2\searchprotect\main\bin\cltmngsvc.exe'); QuarantineFile('c:\progra~2\searchprotect\main\bin\cltmngsvc.exe',''); TerminateProcessByName('c:\programdata\iepluginservices\pluginservice.exe'); QuarantineFile('c:\programdata\iepluginservices\pluginservice.exe',''); TerminateProcessByName('C:\Windows\svchost.exe'); QuarantineFile('C:\Windows\svchost.exe',''); DeleteFile('C:\Windows\svchost.exe','32'); DeleteFile('c:\programdata\iepluginservices\pluginservice.exe','32'); DeleteFile('c:\progra~2\searchprotect\main\bin\cltmngsvc.exe','32'); DeleteFile('c:\programdata\schedule\timetasks.exe','32'); DeleteFile('C:\Windows\system32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}Gw64.sys','32'); DeleteFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC32Loader.dll','32'); DeleteFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC64Loader.dll','32'); DeleteFile('C:\Users\836D~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\Windows\system32\Tasks\Digital Sites.job','64'); DeleteFile('C:\Windows\system32\Tasks\Digital Sites','64'); DeleteFile('C:\Users\Администратор\applic~1\digitalsites\updateproc\updatetask.exe','32'); DeleteFileMask('C:\Users\Администратор\applic~1\digitalsites', '*', true); DeleteDirectory('C:\Users\Администратор\applic~1\digitalsites'); DeleteFileMask('c:\programdata\iepluginservices', '*', true); DeleteDirectory('c:\programdata\iepluginservices'); DeleteFileMask('c:\programdata\schedule', '*', true); DeleteDirectory('c:\programdata\schedule'); DeleteFileMask('c:\progra~2\searchprotect', '*', true); DeleteDirectory('c:\progra~2\searchprotect'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
выполнил скрипт и выслал карантин
также высылаю логи
Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Проблема не исчезла, после перезагрузки компа, был открыт браузер опера
и работа в интернете несколько минут, снова появился в директории windows
файл svchost.exe размером 1,53 МБ и опять стал грузить ЦП под 99 процентов.
Еще раз лог МВАМ сделайте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
высылаю лог МВАМ
Лог пустой
Попробуйте сделать лог такой версией http://virusinfo.info/soft/mbam-setup-1.75.0.1300.exe
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
высылаю лог
Удалите в МВАМ только указанные ниже записиКод:Обнаруженные процессы в памяти: 2 C:\Windows\svchost.exe (Trojan.Agent) -> 4796 -> Действие не было предпринято. C:\Windows\svchost.exe (Trojan.Agent) -> 120 -> Действие не было предпринято. Обнаруженные файлы: 13 C:\Users\Администратор\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\OHSJLWHU\50x50[1].gif (Extension.Mismatch) -> Действие не было предпринято. C:\Users\Администратор\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\S022DF1W\120x120[1].gif (Extension.Mismatch) -> Действие не было предпринято. C:\Users\Администратор\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VNU063EH\155x155[2].gif (Extension.Mismatch) -> Действие не было предпринято. C:\Windows\svchost.exe (Trojan.Agent) -> Действие не было предпринято.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Удалил указанные строки , после перезагрузки файл снова появился и грузит цп
откуда эта гадость вылазит не очень понятно очень не хочется сносить
винду.
Проверьтесь так http://support.kaspersky.ru/viruses/rescuedisk
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Проверился касперским рескью диск, удалил два трояна.
После этого проблема исчезла. Большое спасибо.
Удалите МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\programdata\iepluginservices\pluginservice.exe - not-a-virus:AdWare.Win32.Agent.crdj ( DrWEB: Trojan.StartPage1.4564, BitDefender: Adware.PUQJ, AVAST4: Win32:SupTab-C [Adw] )
- c:\users\администратор\applic~1\digitalsites\updat eproc\updatetask.exe - not-a-virus:AdWare.Win32.DealPly.ab ( DrWEB: Adware.InstallCore.475, BitDefender: Adware.DealPly.W )
- c:\users\836d~1\appdata\roaming\digita~1\update~1\ update~1.exe - not-a-virus:AdWare.Win32.DealPly.ab ( DrWEB: Adware.InstallCore.475, BitDefender: Adware.DealPly.W )
Уважаемый(ая) AndreyRyb, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.