Показано с 1 по 10 из 10.

процесс explorer грузит проц и память (заявка № 50353)

  1. #1
    Junior Member Репутация
    Регистрация
    24.03.2009
    Адрес
    Кострома
    Сообщений
    60
    Вес репутации
    55

    Thumbs up процесс explorer грузит проц и память

    Вчера позвали посмотреть компьютер на предмет вирусов. При загрузке компьютер тупил, потом выдавал ошибку эксплорера 203 и завершал процесс. Невозможно было запустить ни одну программу (эксплорер закрывался, а диспетчер задач не грузился). Загрузился с LiveCD (без антивируса), очистил папки temp и корзину. После этого эксплорер не загрузился, но я смог запустить диспетчер задач и через него avz. Проверил им комп, удалил все подозрительное (процесс svchost.exe в программах и папке windows\system32\drivers, активные процессы в System Volume Information. Был найден отладчик процесса (удалил через мастер поиска проблем).
    также выполнил скрипты восстановления 1, 5, 6, 8, 9 (безопасный режим не загружается, вылетает в перезагрузку), 10, 11, 16, 17.
    После этого эксплорер грузится, но начинает быстро съедать доступную память, и при использовании памяти около 1300MB перезагружается, и по новой.
    Посмотрите логи, что я пропустил. Логи делал при выгруженном эксплорере.

    После моих действий создался карантин. Отправил по ссылке вверху страницы.

    Файл сохранён как 090721_102807_virusinfo_cure_4a655ff7a5490.zip
    Размер файла 177774
    MD5 f23a22ef0a2a0d80947a3c5258ceefc9

    И еще: в системе установлен KIS, а в логах видны следы avast. Ранее также стоял drWeb. Помогите удалить их остатки, пожалуйста.
    Вложения Вложения
    Последний раз редактировалось efimov.sergey; 21.07.2009 в 10:38.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Внимание !!! База поcледний раз обновлялась 29.06.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('WmdmPmSN HotKey Poller');
     StopService('upnphostRSVP');
     StopService('RpcLocatorRpcSs');
     StopService('RDSessMgrBrowser');
     StopService('lanmanserverNla');
     StopService('FCI');
     StopService('ERSvcdmadmin');
     StopService('CryptSvcWebClient');
     StopService('avast!SwPrv');
     QuarantineFile('msansspc.dll','');
     QuarantineFile('F:\autorun.inf','');
     QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\Adobe Doctor Lighting.exe','');
     QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
     QuarantineFile('C:\WINDOWS\system32\mcenspc.dll','');
     QuarantineFile('C:\WINDOWS\System32\fci.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
     QuarantineFile('C:\WINDOWS\System32\csrsst.exe','');
     QuarantineFile('C:\WINDOWS\System32\bootvidc.exe','');
     QuarantineFile('C:\WINDOWS\System32\bootvida.exe','');
     QuarantineFile('C:\WINDOWS\System32\1042j.exe','');
     QuarantineFile('C:\WINDOWS\System32\~.exe','');
     DeleteService('WmdmPmSN HotKey Poller');
     DeleteService('upnphostRSVP');
     DeleteService('RpcLocatorRpcSs');
     DeleteService('RDSessMgrBrowser');
     DeleteService('lanmanserverNla');
     DeleteService('FCI');
     DeleteService('ERSvcdmadmin');
     DeleteService('CryptSvcWebClient');
     DeleteService('avast!SwPrv');
     DeleteFile('msansspc.dll');
     DeleteFile('F:\autorun.inf');
     DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
     DeleteFile('C:\WINDOWS\system32\mcenspc.dll');
     DeleteFile('C:\WINDOWS\System32\fci.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
     DeleteFile('C:\WINDOWS\System32\csrsst.exe');
     DeleteFile('C:\WINDOWS\System32\bootvidc.exe');
     DeleteFile('C:\WINDOWS\System32\bootvida.exe');
     DeleteFile('C:\WINDOWS\System32\1042j.exe');
     DeleteFile('C:\WINDOWS\System32\~.exe');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('WmdmPmSN HotKey Poller');
     BC_DeleteSvc('upnphostRSVP');
     BC_DeleteSvc('RpcLocatorRpcSs');
     BC_DeleteSvc('RDSessMgrBrowser');
     BC_DeleteSvc('lanmanserverNla');
     BC_DeleteSvc('FCI');
     BC_DeleteSvc('ERSvcdmadmin');
     BC_DeleteSvc('CryptSvcWebClient');
     BC_DeleteSvc('avast!SwPrv');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    24.03.2009
    Адрес
    Кострома
    Сообщений
    60
    Вес репутации
    55
    После скрипта проблемы не исчезли.
    Карантин отправил как 090722_094500_virusinfo_cure_1_4a66a75cd26f6.zip
    Размер файла 98890
    MD5 5bfa8520b76aa9bf44021972d5b8b829

    Поскольку доступа в интернет не было (компьютер не имеет подключений, вирусы здесь ни причем), проверил компьютер последней версией утилиты AVP setup_7.0.0.290_21.07.2009_07-12.exe.

    Каспер нашел 11 вредоносных объектов, причем одна модификация. Поместил найденные файлы в карантин AVZ, но попали не все файлы. Этот карантин отправил как 090722_095310_2009-07-21_4a66a9461b7b2.ZIP
    Размер файла 460261
    MD5 e7d8f43926a08f466bbfd8f3a9999c35

    После этого пролечился AVP, проблемы исчезли.
    Если присланный карантин содержит новые вирусы - напишите, пожалуйста.
    Спасибо за помощь.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Где запрошенные логи?

  6. #5
    Junior Member Репутация
    Регистрация
    24.03.2009
    Адрес
    Кострома
    Сообщений
    60
    Вес репутации
    55
    Rene-gad, компьютер делал чужой, вечером, поэтому полный комплекс выполнить просто не успел. После первого скрипта (из поста 2) сделал лог virusinfo_syscure.zip и hijackthis.log (опять же по причине отсутствия времени). Сожалею, но это все доступные логи и карантин.
    Прикрепляю.
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('F:\autorun.inf','');
     QuarantineFile('C:\WINDOWS\desk.cpl','');
     QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
     QuarantineFile('mcenspc.dll','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
     DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
     DeleteFile('mcenspc.dll');
     DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
     DeleteFile('C:\WINDOWS\desk.cpl');
     DeleteFile('F:\autorun.inf');
     DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');
    BC_ImportAll;
    ExecuteSysClean; 
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  8. #7
    Junior Member Репутация
    Регистрация
    24.03.2009
    Адрес
    Кострома
    Сообщений
    60
    Вес репутации
    55
    Rene-gad, еще раз спасибо за помощь, но антивирус уже вылечил компьютер. Все указанные в вашем скрипте файлы были им детектированы и удалены. Кроме этих файлов, были найдены трояны:
    C:\Program Files\Internet Explorer\rasadhlp.dll
    C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\TDRKFA2A\20min[1].exe
    C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\TDRKFA2A\pin[1].exe

    Эти файлы (то, что попало в карантин) я отправил по ссылке вверху страницы "Прислать запрошенный карантин", информация о файле:
    090722_095310_2009-07-21_4a66a9461b7b2.ZIP
    Размер файла 460261
    MD5 e7d8f43926a08f466bbfd8f3a9999c35

    Новых логов не будет, поэтому тему можно закрывать.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от efimov.sergey Посмотреть сообщение
    Все указанные в вашем скрипте файлы были им детектированы и удалены. .
    В логах они присутствуют.
    И потом - почему Вы уверены, что они удалены? Антивирус их не нашел? Ну помилуйте, батенька, это же детский лепет на лужайке А впрочем - Вам с бугра виднее..

  10. #9
    Junior Member Репутация
    Регистрация
    24.03.2009
    Адрес
    Кострома
    Сообщений
    60
    Вес репутации
    55
    Rene-gad, в логах присутствуют, т.к. логи были сделаны сразу после скрипта из поста №2. После этого я просканировал компьютер антивирусом и были найдены вирусы в файлах, указанных в посте №6 + еще 7 троянов. Следующая проверка не выявила подозрительных файлов.
    Конечно, я понимаю, что без новых логов 100% гарантии чистоты нет. Но, повторюсь, я был вынужден закончить работать с этим компьютером.

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 18
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\all users\главное меню\программы\автозагрузка\adobe doctor lighting.exe - Trojan.Win32.Jexec.cgp ( DrWEB: Trojan.MulDrop.29115 )
      2. c:\program files\internet explorer\rasadhlp.dll - Trojan-Downloader.Win32.Agent.cgwt ( DrWEB: Trojan.DownLoad.40103 )
      3. c:\program files\microsoft common\svchost.exe - Worm.Win32.AutoRun.arfb ( DrWEB: Win32.HLLW.Autoruner.6326, BitDefender: Worm.Generic.77205 )
      4. c:\system volume information\_restore{51157333-6cf1-41f7-944a-630e7bae2043}\rp4\a0002932.exe - Trojan-Spy.Win32.Agent.amdz ( DrWEB: Trojan.Alupko.30, BitDefender: Trojan.Downloader.Zlob.ACVL )
      5. c:\system volume information\_restore{51157333-6cf1-41f7-944a-630e7bae2043}\rp4\a0003925.exe - Trojan-Spy.Win32.Agent.amdz ( DrWEB: Trojan.Alupko.30, BitDefender: Trojan.Downloader.Zlob.ACVL )
      6. c:\windows\desk.cpl - Worm.Win32.AutoRun.gga ( DrWEB: Win32.HLLW.Autoruner.7293, BitDefender: Worm.Generic.74884 )
      7. c:\windows\system32\config\systemprofile\local settings\temporary internet files\content.ie5\iiq55kpm\dropper[1].exe - Trojan.Win32.Agent.coxq ( DrWEB: Trojan.Siggen.3045, BitDefender: Trojan.Generic.2197423 )
      8. c:\windows\system32\config\systemprofile\local settings\temporary internet files\content.ie5\iiq55kpm\inside[1].exe - Trojan.Win32.Agent2.cgkh ( DrWEB: Trojan.DownLoad.5244, BitDefender: Trojan.Generic.2191615 )
      9. c:\windows\system32\config\systemprofile\local settings\temporary internet files\content.ie5\tdrkfa2a\20min[1].exe - Trojan-Dropper.Win32.Agent.aure ( DrWEB: archive: Trojan.DownLoad.38404, BitDefender: Dropped:Worm.Generic.71099 )
      10. c:\windows\system32\config\systemprofile\local settings\temporary internet files\content.ie5\z0q02qhd\1[1].exe - Backdoor.Win32.DeAlfa.ec ( DrWEB: Trojan.PWS.Banker.29027 )
      11. c:\windows\system32\config\systemprofile\local settings\temporary internet files\content.ie5\z0q02qhd\589[1].exe - Trojan-Dropper.Win32.Agent.axxy ( DrWEB: Trojan.DownLoad.5244 )
      12. c:\windows\system32\mcenspc.dll - Trojan-Downloader.Win32.Small.akkm ( DrWEB: Trojan.PWS.Multi.30, BitDefender: Trojan.Generic.1635850 )
      13. c:\windows\system32\msvcrt57.dll - Trojan-PSW.Win32.WebMoner.hl ( DrWEB: Trojan.DownLoad.5244, BitDefender: Trojan.Generic.2171442 )
      14. c:\windows\temp\eaa.tmp - Trojan.Win32.Rabbit.od ( DrWEB: Trojan.DownLoad.33158, BitDefender: Trojan.Dropper.Kobcka.FG )
      15. c:\windows\temp\winter.exe - Trojan-Spy.Win32.Agent.amdz ( DrWEB: Trojan.Alupko.30, BitDefender: Trojan.Downloader.Zlob.ACVL )
      16. f:\autorun.inf - Worm.Win32.AutoRun.gga ( DrWEB: Win32.HLLW.Autoruner.7293, BitDefender: Worm.Generic.74884 )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) efimov.sergey, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 10
      Последнее сообщение: 25.11.2011, 23:53
    2. Процесс system грузит проц ровно на 50%
      От makgaiver в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 09.09.2010, 20:57
    3. Процесс svchost.exe грузит проц на 50%
      От Kural в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 16.06.2010, 23:24
    4. Ответов: 9
      Последнее сообщение: 01.03.2010, 13:55
    5. Процесс svсhost.exe грузит проц на 50%
      От VirusInfoTemp в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 15.12.2009, 21:48

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01421 seconds with 20 queries