-
Junior Member
- Вес репутации
- 53
Проблема с svchost.exe после GA
Пару дней назад вылечил GA с вашей помощью (http://virusinfo.info/showthread.php?t=62924). Пол часа назад процесс svchost.exe начал жрать 99% нагрузки процессора, минут через пять полетели базы Касперского. Когда для проверки (уже после перезагрузки) пытался выключить Касперского, то он начал жрать под 50% нагрузки проца и повис. В диспетчере задач все процессы заблокировались от изменения. Помогите пожалуйста.
Последний раз редактировалось Vladimir_XAH; 21.04.2010 в 19:34.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
В HiJackThis пофиксите:
Код:
O4 - Startup: siszyd32.exe
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Vladimir\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
DeleteFile('C:\Documents and Settings\Vladimir\Главное меню\Программы\Автозагрузка\siszyd32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи с обновленными базами!
-
-
Junior Member
- Вес репутации
- 53
Файл карантина 091211_085317_quarantine_4b21de4d9f66a.zip
В папке IE отсутствует экзешник, запустить его не могу.
Последний раз редактировалось Vladimir_XAH; 21.04.2010 в 19:34.
-
В логах чисто. IE установите последнюю версию. Проблема решилась?
-
-
Junior Member
- Вес репутации
- 53
Нет, не решилась, svchost продолжил жрать процессор по полной. Запустил еще раз сканер CureIt!, он нашел пару вирусов в dll-ках, удалил. Теперь при загрузке винда в синий экран сваливается. Буду переставлять.
Добавлено через 7 минут
Ан нет, винда запустилась в последней удачной конфигурации, чуть попозже выложу логи.
Последний раз редактировалось Vladimir_XAH; 11.12.2009 в 23:04.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 53
svchost продолжает жрать 99% процессорного времени, если загружать компьютер подключенным к локальной сети. Если компьютер загружается не подключенным к локальной сети, то вроде и не вылезает. Да и процессоа с таким именем аж 11 штук, смущает.
Последний раз редактировалось Vladimir_XAH; 21.04.2010 в 19:34.
-
Выполните скрипт в avz
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\Documents and Settings\Vladimir\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
QuarantineFile('C:\Documents and Settings\Vladimir\av_md.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\aqacssnl.SYS','');
QuarantineFile('c:\windows\system32\av_md.exe','');
TerminateProcessByName('c:\windows\system32\av_md.exe');
DeleteFile('c:\windows\system32\av_md.exe');
DeleteFile('C:\WINDOWS\system32\av_md.exe');
DeleteFile('C:\Documents and Settings\Vladimir\av_md.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','av_md');
DeleteFile('C:\Documents and Settings\Vladimir\Главное меню\Программы\Автозагрузка\siszyd32.exe');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 53
Последний раз редактировалось Vladimir_XAH; 21.04.2010 в 19:34.
-
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
DeleteFile('C:\WINDOWS\system32\winsrv.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Java Plug-in');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Проверьтесь этой утилитой http://support.kaspersky.ru/find?faq_id=2663
Загрузитесь с LiveCD, файл C:\WINDOWS\System32\Drivers\atapi.sys
замените на чистый из дистрибутива Windows.
http://virusinfo.info/showthread.php?t=51654
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 53
Утилита ничего не нашла, файл atapi.sys заменил.
Последний раз редактировалось Vladimir_XAH; 21.04.2010 в 19:34.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
В логе криминала не нашел. Выполните скрипт ScanVuln.txt, результат c:\avz_log.txt приложите к сообщению.
Последний раз редактировалось AndreyKa; 14.12.2009 в 23:25.
Причина: заменил скрипт на новую версию
-
-
Junior Member
- Вес репутации
- 53
Последний раз редактировалось Vladimir_XAH; 21.04.2010 в 19:34.
-
Поставьте обновления безопасности на систему. "Дырявая" она у вас. Обновите Adobe Flash Player. Прочитать про уязвимости можно пройдя по ссылкам из лога последнего.
-
-
Junior Member
- Вес репутации
- 53
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\vladimir\главное меню\программы\автозагрузка\siszyd32.exe - Packed.Win32.Tadym.f ( DrWEB: Trojan.DownLoad1.14707, NOD32: Win32/TrojanDownloader.Bredolab.BD trojan, AVAST4: Win32:Small-NDO [Trj] )
- c:\documents and settings\vladimir\главное меню\программы\автозагрузка\siszyd32.exe - Trojan-Dropper.Win32.Agent.bjjy ( DrWEB: Trojan.MulDrop.52386, NOD32: Win32/TrojanDownloader.Bredolab.BE trojan, AVAST4: Win32:Small-NDN [Trj] )
- c:\windows\system32\av_md.exe - Trojan-Dropper.Win32.Agent.bjkm ( DrWEB: Trojan.Inject.7722, NOD32: Win32/Wigon.HT trojan )
-