Показано с 1 по 10 из 10.

Процесс svchost.exe грузит систему на 100% (заявка № 63832)

  1. #1
    Junior Member Репутация
    Регистрация
    20.05.2009
    Сообщений
    195
    Вес репутации
    56

    Thumbs up Процесс svchost.exe грузит систему на 100%

    Добрый вечер!
    Процесс svchost.exe грузит систему на 100%.
    Логи AVZ удалось сделать только в safe mode. В обычном режиме - катострофически медленно.
    Проверьте пожалуйста, спасибо.
    Последний раз редактировалось Alexey_75; 18.12.2009 в 22:16.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\Drivers\Beep.sys','');
     QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\ejnhyg.sys','');
     QuarantineFile('C:\WINDOWS\system32\winlogon.exe','');
     DeleteFile('C:\WINDOWS\system32\Drivers\ejnhyg.sys');
     DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\siszyd32.exe');
     BC_ImportALL;
     ExecuteSysClean;
     BC_DeleteFile('C:\WINDOWS\system32\Drivers\ejnhyg.sys');
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки пришлите попавшие в карантин файлы согласно правилам.

    Замените файл
    Код:
    C:\WINDOWS\System32\Drivers\Beep.SYS
    По этой инструкции.

    Сделайте новые логи

  4. #3
    Junior Member Репутация
    Регистрация
    20.05.2009
    Сообщений
    195
    Вес репутации
    56
    Пишу пост уже с другой машины, т.к. заражённая после применения скрипта отказалась загружаться. В обычном режиме - просто тёмный дисплей без признаков движения, в сейф-моде загрузка останавливается примерно на половине списка (отключаемых?) драйверов.
    Переустановка?

  5. #4
    Junior Member Репутация
    Регистрация
    20.05.2009
    Сообщений
    195
    Вес репутации
    56
    Восстановил систему с помощью консоли восстановления.

    Запрошенный карантин:
    Файл сохранён как 091218_203720_quarantine_4b2bbdd0e3655.zip
    Размер файла 955137
    MD5 6802320a1e58833960ce176a9b4ede50

    Новые логи в атт.

    Посмотрите, а я пока установлю СП3
    Последний раз редактировалось Alexey_75; 18.12.2009 в 22:16.

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    154
    Скачайте свежий AVZ (актуальная версия 4.32), обновите базы (Файл-Обновление баз), повторите логи
    The Truth is Out There

  7. #6
    Junior Member Репутация
    Регистрация
    20.05.2009
    Сообщений
    195
    Вес репутации
    56
    Обновил. Новые логи в атт. Антивирус ругался на обнаруженный руткит, в свою очередь KidoKiller ничего не нашёл, я на всякий случай сделал лог Gmer.
    Последний раз редактировалось Alexey_75; 06.02.2010 в 14:16.

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    154
    Отключите восстановление системы!
    Сохраните текст ниже как cleanup.bat в ту же папку, где находится bncjtigj.exe (gmer)
    Код:
    bncjtigj.exe -del service ejnhyg
    bncjtigj.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ejnhyg"
    bncjtigj.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ejnhyg"
    bncjtigj.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\ejnhyg"
    bncjtigj.exe -reboot
    И запустите cleanup.bat
    Компьютер перезагрузится. Лог Gmer повторите
    The Truth is Out There

  9. #8
    Junior Member Репутация
    Регистрация
    20.05.2009
    Сообщений
    195
    Вес репутации
    56
    За "отключить восстановление системы", извините, просто вылетело из головы.
    При выполнении команды батника по удалению сервиса, выдаётся мессаг:
    "Delete Service: Параметр задан неверно."
    При выполнении команды батника по удалению ветки реестра, выдаётся мессаг:
    "Delete Key: Параметр задан неверно"
    При попытке вручную удалить ветки реестра, выдаётся мессаг:
    "Не удаётся открыть "ejnhyg". Ошибка при чтении раздела"

    Антивирус по прежнему ругаетсся на руткит ejnhyg.sys
    Новый лог Гмер сделаю уже завтра....

  10. #9
    Junior Member Репутация
    Регистрация
    20.05.2009
    Сообщений
    195
    Вес репутации
    56
    Всем доброго дня!
    "Руткит не столб, перепрыгнуть нельзя, обойти можно!"
    Как я сразу не догодался...?
    Берём Hiren's Boot CD, загружаемся с него, VC4.99+NTFSPro, грохаем C:\Windows\system32\drivers\ejnhyg.sys
    Перезагружаемся уже под виндой, и благополучно, без проблем, прибиваем указанные разделы реестра!
    Кстати, после удаления руткита куда-то исчез раздел ControlSet002. Его просто нет... а до удаления руткита был...

    Всем спасибо, тема закрыта!

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 14
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\user\главное меню\программы\автозагрузка\siszyd32.exe - Backdoor.Win32.Bredolab.bke ( DrWEB: Trojan.DownLoad1.14707, AVAST4: Win32:Malware-gen )
      2. c:\windows\explorer.exe:userini.exe:$data - Trojan-Dropper.Win32.Agent.bjan ( DrWEB: Trojan.Spambot.6739, BitDefender: Trojan.Generic.CJ.AGGO, NOD32: Win32/SpamTool.Tedroo.AF trojan, AVAST4: Win32:Bredolab-BD [Trj] )
      3. c:\windows\system32\drivers\beep.sys - Trojan-Proxy.Win32.Puma.bpn ( DrWEB: Trojan.NtRootKit.4877 )


  • Уважаемый(ая) Alexey_75, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Процесс svchost.exe грузит систему.
      От Uruk в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 14.08.2010, 11:10
    2. Процесс svchost.exe грузит систему
      От RamTech в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 25.06.2010, 13:15
    3. Процесс svchost.exe грузит систему на 99%
      От Bauhaus в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 25.02.2010, 13:16
    4. Процесс svchost.exe грузит систему на 100%
      От Ferroks в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.12.2009, 15:38
    5. Процесс svchost.exe грузит систему на 100%
      От Bauhaus в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 12.12.2009, 22:39

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00587 seconds with 19 queries