Показано с 1 по 11 из 11.

Запуск нескольких процессов svchost от имени пользователя (заявка № 201099)

  1. #1
    Junior Member Репутация
    Регистрация
    02.03.2015
    Сообщений
    9
    Вес репутации
    7

    Запуск нескольких процессов svchost от имени пользователя

    Здравствуйте.

    На машине стоит Windows XP SP3, ПК в домене. После запуска и входа пользователя, приблизительно через 3-5 минут происходит последовательно запуск нескольких процессов svchost от имени пользователя. Машину завешивает.

    Произвел проверку ПК с помощью DRWEB CureIT, malwarebytes anti-malware. Вручную вычистил несколько программ типа Kingsoft, удалил следы всех браузеров из Application Data, вычистил все временные папки и кэш браузера. Проблема сохранилась.

    Выполнил рекомендации файлы прикладываю.

    Заранее благодарен, Сергей
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    326
    Уважаемый(ая) barmaley78, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,820
    Вес репутации
    780
    Переделайте логи через учётную запись с правами администратора.
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    02.03.2015
    Сообщений
    9
    Вес репутации
    7
    Здравствуйте.

    Переделал, файлы во вложении.

    Небольшое уточнение:
    Под учеткой пользователя стал запускаться только 1 процесс.
    Зашел под учеткой админа. Выполнил скрипт № 3 по инструкции, перезагрузился. Подключил Инет. Запустил скрипт № 2. Обещанное время выполнения было около полутора часов. Ушел. Когда вернулся в учетке админа появился IE с иероглифами, программы с ними же, порядка 8-10 процессов. HiJackThis запускал при них в его логе есть ссылки на реестр IE с переходом на сайт (цифры начиная с 5).com
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,820
    Вес репутации
    780
    Выполните скрипт в AVZ:
    Код:
    begin
     SearchRootkit(true, true);
     DeleteFile('c:\program files\kingsoft\kingsoft antivirus\kxescore.exe', '32');
     DeleteFile('C:\Program Files\Common Files\AppDownloads\{4B07EF8D-3856-4B83-8D82-D68EE6BDBA56}.exe', '32');
     DeleteFile('C:\Program Files\gmsd_ru_177\gmsd_ru_177.exe', '32');
     DeleteFile('C:\Documents and Settings\Библиотекарь\Local Settings\Application Data\Kometa\kometaup.exe', '32');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\KRB Updater Utility\krbupdater-utility.exe', '32');
     DeleteFile('c:\program files\kingsoft\kingsoft antivirus\kxetray.exe', '32');
     DeleteFile('C:\Documents and Settings\Библиотекарь\Local Settings\Application Data\SmartWeb\SmartWebHelper.exe', '32');
     DeleteFile('C:\Documents and Settings\Библиотекарь\Local Settings\Application Data\gmsd_ru_177\upgmsd_ru_177.exe', '32');
     DeleteFile('c:\program files\kingsoft\kingsoft', '32');
     DeleteFile('c:\program files\kingsoft\kingsoft antivirus\kavmenu.dll', '32');
     DeleteService('kxescore');
     DeleteFileMask('c:\program files\kingsoft', '*', true);
     DeleteFileMask('c:\program files\common files\appdownloads', '*', true);
     DeleteFileMask('c:\program files\gmsd_ru_177', '*', true);
     DeleteFileMask('c:\documents and settings\библиотекарь\local settings\application data\kometa', '*', true);
     DeleteFileMask('c:\documents and settings\all users\application data\krb updater utility', '*', true);
     DeleteFileMask('c:\documents and settings\библиотекарь\local settings\application data\smartweb', '*', true);
     DeleteFileMask('c:\documents and settings\библиотекарь\local settings\application data\gmsd_ru_177', '*', true);
     DeleteDirectory('c:\program files\kingsoft');
     DeleteDirectory('c:\program files\common files\appdownloads');
     DeleteDirectory('c:\program files\gmsd_ru_177');
     DeleteDirectory('c:\documents and settings\библиотекарь\local settings\application data\kometa');
     DeleteDirectory('c:\documents and settings\all users\application data\krb updater utility');
     DeleteDirectory('c:\documents and settings\библиотекарь\local settings\application data\smartweb');
     DeleteDirectory('c:\documents and settings\библиотекарь\local settings\application data\gmsd_ru_177');
     DelCLSID('{D21D88E8-4123-48BA-B0B1-3FDBE4AE5FA4}');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{D21D88E8-4123-48BA-B0B1-3FDBE4AE5FA4}');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    сделайте лог HiJackThis 2.0.6 Alfa 1.23

    Сделайте лог Gmer.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    02.03.2015
    Сообщений
    9
    Вес репутации
    7
    Здравствуйте.

    Скрипт выполнил.

    Тесты сделал (логи в приложении).

    Дополнение:

    При запуске IE была стартовая страница www.5180518.com - вычистил через редактор реестра (нашлась один раз).
    Пользователя я "Прокачал" - пока меня не было обновила и проверила с помощью malwarebutes и убила kingsoft (может и еще чего попалось - мне не показали результат)
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,820
    Вес репутации
    780
    Пофиксите в HijackThis:
    Код:
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.5180518.com
    O4 - MSConfig..HKLM: 2016/06/08 [AppDownloads]  (file missing)
    O4 - MSConfig..HKLM: 2016/06/08 [KRB Updater Utility]  (file missing)
    O4 - MSConfig..HKLM: 2016/06/08 [SmartWeb]  (file missing)
    O4 - MSConfig..HKLM: 2016/06/08 [gmsd_ru_177]  (file missing)
    O4 - MSConfig..HKLM: 2016/06/08 [kometaup]  (file missing)
    O4 - MSConfig..HKLM: 2016/06/08 [kxesc]  (file missing)
    O4 - MSConfig..HKLM: 2016/06/08 [upgmsd_ru_177.exe]  (file missing)
    Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    02.03.2015
    Сообщений
    9
    Вес репутации
    7
    Лечение выполнил.

    Скан выполнил файл прикладываю
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,820
    Вес репутации
    780
    Выполните скрипт в uVS:
    Код:
    ;uVS v3.87.3 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\109\BDCOMPROXY.DLL
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\109\BDDOWNLOADER.EXE
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC
    deltmp
    delref %SystemDrive%\PROGRAM FILES\IGS\VCL.EXE
    delref %SystemDrive%\PROGRAM FILES\VK DOWNLOADER\IEEF\US6KLUGEES.EXE
    restart
    Компьютер перезагрузится.

    Удалите все установленные версии Java, они устаревшие и со множеством критических уязвимостей.
    Если Java вообще нужна для каких- либо приложений, игр (и Вы точно знаете, для каких именно) - установите Java 8 Update 91.

    Лишнего нет в системе.
    Посмотрите в Process Explorer, что за службы соответствуют процессам svchost.exe от имени пользователя.
    WBR,
    Vadim

  11. #10
    Junior Member Репутация
    Регистрация
    02.03.2015
    Сообщений
    9
    Вес репутации
    7
    Спасибо за помощь.

    Сейчас добавил контент фильтр. Остался один процесс, но он блокируется фильтром. Добью самостоятельно.

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,820
    Вес репутации
    780
    Посторонних процессов нет, разберитесь с помощью Process Explorer, что за служба относится к этому процессу.
    WBR,
    Vadim

Присоединяйтесь к нам в соцсетях!

Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

Похожие темы

  1. svchost.exe от имени пользователя
    От f'Andy в разделе Помогите!
    Ответов: 9
    Последнее сообщение: 22.08.2011, 17:53
  2. svchost от имени пользователя
    От SiMBaIrk в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 03.06.2011, 13:32
  3. msnwm.exe - одновременный запуск нескольких десятков процессов
    От gore_user в разделе Вредоносные программы
    Ответов: 5
    Последнее сообщение: 07.12.2009, 17:10
  4. svchost от имени пользователя
    От matan в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 25.03.2008, 17:20

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00666 seconds with 21 queries