Показано с 1 по 12 из 12.

svchost и firefox грузят процессор на 100% (заявка № 63488)

  1. #1
    Junior Member Репутация
    Регистрация
    09.12.2009
    Сообщений
    6
    Вес репутации
    53

    Exclamation svchost и firefox грузят процессор на 100%

    Приветствую!
    Несколько дней назад подхватил Get Accelerator. С помощью Cure It и jv16 удалось избавиться как от окна, так и запустить браузеры. Всё заработало замечательно!
    Однако, минут через 20-30 работы svchost начинает грузить процессор под 100%.
    Прогнав еще раз Cure It в безопасном режиме - оказался заражен atapi.sys

    После его лечения, комп работает как 286! и теперь грузят проц попеременно svchost и firefox.
    Помогите пожалуйста!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    ВайБро Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ingener
    Регистрация
    05.09.2009
    Адрес
    Воронеж
    Сообщений
    819
    Вес репутации
    351
    1) Пофиксите в HijackThis:
    Код:
    R3 - URLSearchHook: (no name) - - (no file)
    O21 - SSODL: UpdateCheck - {61B6EB0A-BB77-42D6-93DA-A85CE6AC876C} - (no file)
    2) Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\av_md.exe');
     QuarantineFile('C:\WINDOWS\tempkil.bat','');
     QuarantineFile('c:\windows\temp\*.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\aztp6vtz.SYS','');
     QuarantineFile('C:\WINDOWS\TEMP\~TME.tmp','');
     QuarantineFile('C:\WINDOWS\system32\chknt32.exe','');
     QuarantineFile('C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\siszyd32.exe','');
     QuarantineFile('c:\windows\system32\av_md.exe','');
     QuarantineFile('C:\Documents and Settings\Administrator\av_md.exe','');
     QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     DeleteFileMask('c:\windows\temp', '*.*', true);
     DeleteFile('C:\WINDOWS\System32\Drivers\aztp6vtz.SYS');
     DeleteFile('C:\WINDOWS\TEMP\~TME.tmp');
     DeleteFile('C:\WINDOWS\system32\chknt32.exe');
     DeleteFile('C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
     DeleteFile('C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\siszyd32.exe');
     DeleteFile('c:\windows\system32\av_md.exe');
     DeleteFile('C:\Documents and Settings\Administrator\av_md.exe');
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysgif32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Java Plug-in');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','av_md');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','av_md');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
     DelBHO('{A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE}');
     DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
    BC_ImportALL;
    ExecuteSysClean;
    ExecuteRepair(4);
    ExecuteWizard('TSW', 2, 2, true);
    ExecuteWizard('SCU', 2, 2, true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    3) Затем выполните второй скрипт в AVZ:
    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки с AVZ закачайте по ссылке "прислать запрошенный карантин" вверху темы.
    4) Обновите базы AVZ.
    5) Сделайте новые логи.

    Эти задания в планировщик задач сами добавляли - C:\WINDOWS\tempkil.bat (At1.job; At2.job)?
    Этот домен вам знаком - croc.ru?
    GHETTO/STREET WORKOUT

  4. #3
    Junior Member Репутация
    Регистрация
    09.12.2009
    Сообщений
    6
    Вес репутации
    53
    Цитата Сообщение от Ingener Посмотреть сообщение
    Эти задания в планировщик задач сами добавляли - C:\WINDOWS\tempkil.bat (At1.job; At2.job)?
    Этот домен вам знаком - croc.ru?
    Компьютер был куплен немного б/у, раньше был рабочим в компании КРОК.
    Задания в планировщик не добавлял.

    Возникла другая проблема - ни один из верхних скриптов выполнить не смог, тк винда просто перестала грузится. Только запускается и тут же ловит синий экран и перегружается.
    Сижу из под fedora, доступ к содержимому диска есть, только что делать теперь совсем не понятно.

  5. #4
    ВайБро Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ingener
    Регистрация
    05.09.2009
    Адрес
    Воронеж
    Сообщений
    819
    Вес репутации
    351
    В безопасном режими грузится?
    Если да - то выполните описанные действия в безопасном режиме, потом попробуйте загрузится в обычном и сделать логи, если не получится делайте новые логи в безопасном режиме.
    GHETTO/STREET WORKOUT

  6. #5
    Junior Member Репутация
    Регистрация
    09.12.2009
    Сообщений
    6
    Вес репутации
    53
    Система не грузилась т.к. cureit удалил зараженный atapi.sys.
    Карантин загрузил, новые логи прикрепил. Тормозит всё жутко!

  7. #6
    ВайБро Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ingener
    Регистрация
    05.09.2009
    Адрес
    Воронеж
    Сообщений
    819
    Вес репутации
    351
    1) Пофиксите в HijackThis:
    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
    O15 - Trusted Zone: *.acdc (HKLM)
    O15 - Trusted Zone: http://*.app (HKLM)
    O15 - Trusted Zone: *.app1 (HKLM)
    O15 - Trusted Zone: *.app2 (HKLM)
    O15 - Trusted Zone: http://*.apps (HKLM)
    O15 - Trusted Zone: *.citibank.ru (HKLM)
    O15 - Trusted Zone: http://*.cognos (HKLM)
    O15 - Trusted Zone: http://data.croc.ru (HKLM)
    O15 - Trusted Zone: http://itracker2.croc.ru (HKLM)
    O15 - Trusted Zone: owa.croc.ru (HKLM)
    O15 - Trusted Zone: http://www.croc.ru (HKLM)
    O15 - Trusted Zone: http://*.crocportal (HKLM)
    O15 - Trusted Zone: *.crocportal01 (HKLM)
    O15 - Trusted Zone: http://*.data (HKLM)
    O15 - Trusted Zone: http://*.dev01 (HKLM)
    O15 - Trusted Zone: http://*.docbank (HKLM)
    O15 - Trusted Zone: h20181.www2.hp.com (HKLM)
    O15 - Trusted Zone: *.it (HKLM)
    O15 - Trusted Zone: http://*.it (HKLM)
    O15 - Trusted Zone: *.it6 (HKLM)
    O15 - Trusted Zone: *.k2 (HKLM)
    O15 - Trusted Zone: http://*.logistics (HKLM)
    O15 - Trusted Zone: *.man (HKLM)
    O15 - Trusted Zone: *.nsi (HKLM)
    O15 - Trusted Zone: http://*.project (HKLM)
    O15 - Trusted Zone: http://giant.moscow.vestedev.com (HKLM)
    O15 - Trusted Zone: http://*.webtop (HKLM)
    O15 - Trusted IP range: http://10.0.0.6 (HKLM)
    O15 - Trusted IP range: 10.0.0.136 (HKLM)
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = croc.ru,lab.croc.ru
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = croc.ru,lab.croc.ru
    O17 - HKLM\System\CS3\Services\Tcpip\Parameters: SearchList = croc.ru,lab.croc.ru
    O17 - HKLM\System\CS4\Services\Tcpip\Parameters: SearchList = croc.ru,lab.croc.ru
    O17 - HKLM\System\CS5\Services\Tcpip\Parameters: SearchList = croc.ru,lab.croc.ru
    O17 - HKLM\System\CS6\Services\Tcpip\Parameters: SearchList = croc.ru,lab.croc.ru
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = croc.ru,lab.croc.ru
    2) Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
     TerminateProcessByName('c:\windows\temp\xgd533.exe');
     QuarantineFile('C:\WINDOWS\tempkil.bat','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\afe05tfo.SYS','');
     QuarantineFile('c:\windows\temp\xgd533.exe','');
     DeleteFile('c:\windows\temp\xgd533.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\afe05tfo.SYS');
     DeleteFile('C:\WINDOWS\tempkil.bat');
     DeleteFile('C:\WINDOWS\Tasks\At*.job');
    BC_ImportALL;
    ExecuteSysClean;
    ExecuteWizard('TSW', 2, 2, true);
    ExecuteWizard('SCU', 2, 2, true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    3) Затем выполните второй скрипт в AVZ:
    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки с AVZ закачайте по ссылке "прислать запрошенный карантин" вверху темы.
    4) сделайте новые логи virusinfo_syscure.zip + hijackthis.log + такие логи:
    http://virusinfo.info/showthread.php?t=40118
    http://virusinfo.info/showthread.php?t=53070
    GHETTO/STREET WORKOUT

  8. #7
    Junior Member Репутация
    Регистрация
    09.12.2009
    Сообщений
    6
    Вес репутации
    53
    обновленные логи, с остальными разбираюсь. Карантин загрузил

  9. #8
    Junior Member Репутация
    Регистрация
    09.12.2009
    Сообщений
    6
    Вес репутации
    53
    добавил дополнительные логи
    Вложения Вложения

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    222
    В gmere на кнопку Scan нажимали ?

    Удалите в mbam
    Код:
    Registry Values Infected:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\windows sarby (Malware.Trace) -> No action taken.
    Files Infected:
    C:\Documents and Settings\Administrator\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.
    Сделаете новый лог mbam

    Выполните скрипт в avz
    Код:
    begin
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\tempkil.bat','');
     QuarantineFile('c:\windows\temp\bjd846.exe','');
     TerminateProcessByName('c:\windows\temp\bjd846.exe');
     DeleteFile('c:\windows\temp\bjd846.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    ПК перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи.

  11. #10
    Junior Member Репутация
    Регистрация
    09.12.2009
    Сообщений
    6
    Вес репутации
    53
    Цитата Сообщение от snifer67 Посмотреть сообщение
    В gmere на кнопку Scan нажимали ?
    Конечно! часа 2 сканировал, в логе всё что он нашел

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    222
    Сделайте новые логи avz, mbam, gmer.

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 32
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\administrator\start menu\programs\startup\siszyd32.exe - Trojan-Dropper.Win32.HDrop.ac ( DrWEB: Trojan.DownLoad1.14707, BitDefender: Trojan.Downloader.Bredolab.BY, AVAST4: Win32:Small-NDK [Trj] )
      2. c:\windows\system32\av_md.exe - Trojan-Downloader.Win32.Banload.anrr ( DrWEB: Trojan.Inject.7589, BitDefender: Trojan.Generic.2901010, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) sanik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. svchost.exe грузят процессор
      От galv6 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 07.01.2012, 21:28
    2. три процесса svchost грузят процессор
      От abygvalg в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 12.07.2011, 13:02
    3. svchost процессы грузят процессор их штук 6-8...
      От KNIGHT2k в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 07.12.2010, 15:00
    4. svchost.exe 4 штуки грузят процессор на 100
      От cumAr в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 19.11.2010, 23:21
    5. svchost и services грузят процессор на 100%
      От frolic в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 23.08.2010, 10:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01155 seconds with 20 queries