-
Junior Member
- Вес репутации
- 54
загрузка 100% процессора svchost.exe
На компьютере стоял обновляющаяся антивирусная программа. Тем не менее это не защитило от вирусов. Один из последних грузил процессор на 100%. После удаления файла svchost.exe из C:\Program Files\Microsoft Common при перезагрузке он появлялся вновь при подключении компьютера к сети интернет.
Во время подготовки 3 файлов для изложения проблемы здесь, было удалено несколько вирусов. Теперь стала возможна работа в интернет без загрузки процессора. Хотелось бы, с Вашей помощью, убрать все последствия вирусов.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт
Код:
begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL','');
QuarantineFile('C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL','');
QuarantineFile('c:\windows\system32\winagent.exe','');
QuarantineFile('C:\WINDOWS\system32\Bitkv0.dll','');
QuarantineFile('D:\crack\vfd.sys','');
DeleteFile('C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL');
DeleteFile('C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL');
DeleteFile('c:\windows\system32\winagent.exe');
DeleteFile('C:\WINDOWS\system32\Bitkv0.dll');
DelCLSID('{00A6FAF6-072E-44cf-8957-5838F569A31D}');
DelCLSID('{07B18EA9-A523-4961-B6BB-170DE4475CCA}');
DelCLSID('{07B18EA1-A523-4961-B6BB-170DE4475CCA}');
DelCLSID('{00A6FAF1-072E-44cf-8957-5838F569A31D}');
DelCLSID('{C5F43BEF-CE2F-46D8-AFE6-A647BACD1F09}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{C5F43BEF-CE2F-46D8-AFE6-A647BACD1F09}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пофиксите Hijackthis
Код:
F2 - REG:system.ini: UserInit=userinit.exe
Закачайте карантин по ссылке вверху страницы. Повторите логи
-
-
Junior Member
- Вес репутации
- 54
Карантин закачал. Повторил логи.
-
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\advpackx.exe','');
DeleteFile('C:\WINDOWS\system32\advpackx.exe');
DeleteService('UPS Agent Service (default)');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Закачайте карантин. Удалите временные файлы интернета. Включите AVZPM и повторите логи (во время снятия логов все программы должны быть закрыты, антивирусные продукты выгружены, открыт должен быть только браузер)
-
-
Junior Member
- Вес репутации
- 54
Все операции произвел. Похоже, проблема осталась.
-
Пролечитесь в безопасном режиме свежим DrWeb CureIt, сообщите результаты
-
-
Junior Member
- Вес репутации
- 54
Пролечился CureIt. Удалилось 3 доп. вируса.
Но в логах, которые сделал, остались те же проблемы.
-
Пофиксите в HijackThis:
Код:
O4 - HKLM\..\Run: [Generic Host for Win32 Services] ‘| б—|к‘|Ш
Больше ничего плохого не видно.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 54
Скажите, а сообщение о неизвестном перехватчике, которое выдается в программе AVZ, не является чем-то опасным?
-
Нет, это не опасно, лучше обратите внимание на это - все ли запущенные службы вам действительно нужны, лишние лучше отключить
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
И обновите систему - SP3 и вышедшие после обновления (может потребоваться активация)
-
-
Junior Member
- Вес репутации
- 54
Спасибо за помощь!
Запущенные службы отключу, так как не пользуюсь ими.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-