Показано с 1 по 15 из 15.

Загрузка процессора на 100% после выхода в Интернет (заявка № 70480)

  1. #1
    Junior Member Репутация
    Регистрация
    07.02.2010
    Сообщений
    8
    Вес репутации
    25

    Arrow Загрузка процессора на 100% после выхода в Интернет

    Здравствуйте!

    У меня ситуация, похожая на обсуждавшуюся вот в этой теме:
    http://virusinfo.info/showthread.php?t=59720

    При запуске компьютера и работе вне сети всё нормально. Как только подключаюсь к Интернету, один из процессов svсhost.exe (svchost -k DcomLaunch) зажирает 100% производительности процессора. Проверка Process Explorer'ом (вкладка Threads) показала, что виноват некий поток со стартовым адресом kernel32.dll!CreateThread+0x22. Если его отрубить, то система не падает (в отличие от случая вырубания процесса svchost.exe целиком).
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\wwwpos32.exe','');
     QuarantineFile('C:\WINDOWS\system32\rwkv.buo','');
     DeleteFile('C:\WINDOWS\system32\rwkv.buo');
     DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\wwwpos32.exe');
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(16);
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    07.02.2010
    Сообщений
    8
    Вес репутации
    25
    После опубликования предыдущих логов и до запуска скрипта появилась новая проблема: компьютер стал очень медленно грузиться (минут десять, не меньше), всё это время в трее не появляется значок сетевого подключения, процесс services.exe зажирает процессорную мощность и память. При этом иногда возникает сообщение о нехватке виртуальной памяти, ошибка чтения памяти либо ошибка приложения. После этого наконец появляется значок подключения и компьютер начинает работать по-человечески. Попытка сразу после загрузки Windows отрубить поток (thread), потребляющий память, через Process Explorer, приводит к невозможности дальнейшего подключения к Интернету.

    Ещё обнаружил, что оказались заблокированы антивирусные сайты, в том числе и ваш (это сообщение пишу с рабочего компьютера).

    Единственное действие, которое я за это время производил - обновлял Авиру до девятой версии (похоже, что для этого я выбрал весьма неподходящий момент). После возникновения вышеуказанных проблем я её удалил, но оказалось, что проблема не в ней.

    Ваш скрипт запустил, ww2pos.exe действительно оказался трояном. Из автозагрузки он удалился, проблем с svchost.exe вроде пока нет.

    Логи прилагаю. Карантин отправил с помощью соответствующей ссылки.
    Вложения Вложения
    Последний раз редактировалось Putnik8x; 11.02.2010 в 11:26.

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    профиксить:
    Код:
    F2 - REG:system.ini: UserInit=userinit.exe,\\?\globalroot\systemroot\system32\38luF2a.exe,C:\WINDOWS\system32\services.exe,\\?\globalroot\systemroot\system32\5azmYJh.exe,
    выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('\\?\globalroot\systemroot\system32\5azmYJh.exe','');
     QuarantineFile('\\?\globalroot\systemroot\system32\38luF2a.exe','');
     QuarantineFile('C:\cleansweep.exe\cleansweep.exe','');
     DeleteFile('\\?\globalroot\systemroot\system32\38luF2a.exe');
     DeleteFile('\\?\globalroot\systemroot\system32\5azmYJh.exe');
     executerepair(13);
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторить логи
    Прислать карантин по Правилам.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    07.02.2010
    Сообщений
    8
    Вес репутации
    25
    Сделал. К сожалению, все симптомы, упомянутые в предыдущем сообщении, сохранились

    Карантин высылаю, лог прилагаю.
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    в логах ничего зловредного ... установка сп3 + всех последующих обновлений должна решить проблему

  8. #7
    Junior Member Репутация
    Регистрация
    07.02.2010
    Сообщений
    8
    Вес репутации
    25
    Проблема в том, что у меня на Винде заблокированы обновлений. Такой вот странный дистрибутив...

    А нельзя как-нибудь проще проблему решить? И из-за чего это вообще может происходить? Недавно же всё нормально было... А сейчас работать невозможно.

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Обновления при желании, если система обновлений не до конца удалена, то можно
    разблокировать.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    07.02.2010
    Сообщений
    8
    Вес репутации
    25
    Ну а если "в лоб" запустить SP3 отдельным файлом? Там же начнутся проблемы с активацией наверняка? И придётся в итоге Винду сносить

    Хорошо бы всё-таки решить проблему меньшей кровью. Неужто нельзя починить services.exe?

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    без обновлений вы с нетом работать не сможете ...

  12. #11
    Junior Member Репутация
    Регистрация
    07.02.2010
    Сообщений
    8
    Вес репутации
    25
    Так в том-то и юмор, что сейчас я с Интернетом прекрасно работаю... ну, не совсем прекрасно, так как антивирусные сайты по-прежнему заблокированы (кстати, как это вяжется с тем, что вирусов у меня в системе не обнаружено?) А если ставить SP3... Возможно, это закончится полной переустановкой Винды, если возникнут проблемы с активацией. И главное ведь в том, что может не помочь...

  13. #12
    Junior Member Репутация
    Регистрация
    07.02.2010
    Сообщений
    8
    Вес репутации
    25
    Вот! Прорвался к вам из дома после прогонки CureIt'ом. Он говорит, что файл HOSTS изменён, и чинит его. Доступ к антивирусным сайтам восстанавливается. А после перезагрузки всё опять как было. Отсюда следует несомненный вывод: на компьютере есть вирус, несмотря на то, что в логах, как вы сказали, ничего зловредного.

    Надеюсь на помощь.

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    вам же говорят установите обновления иначе лечение будет бесконечным ...

  15. #14
    Junior Member Репутация
    Регистрация
    07.02.2010
    Сообщений
    8
    Вес репутации
    25
    Ладно, вопрос снимаю. Прошу прощения за беспокойство.

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,529
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\cleansweep.exe\cleansweep.exe - Trojan.Win32.SpyEyes.b ( DrWEB: Trojan.Dialer.11, BitDefender: Trojan.Generic.3102763, NOD32: Win32/Spy.SpyEye.B trojan, AVAST4: Win32:Spyware-gen [Spy] )
      2. c:\documents and settings\admin\главное меню\программы\автозагрузка\wwwpos32.exe - Trojan.Win32.Agent.dfzy ( DrWEB: Trojan.Packed.19647, BitDefender: Gen:Heur.Krypt.cq0@aaDiwrbc, AVAST4: Win32:Bredolab-BR [Trj] )
      3. \\?\globalroot\systemroot\system32\38luf2a.exe - Trojan-Dropper.Win32.Agent.bmcm ( DrWEB: Trojan.Packed.19720, BitDefender: Trojan.Generic.3039282, NOD32: Win32/Spy.Shiz.NAE trojan, AVAST4: Win32:Spyware-gen [Spy] )
      4. \\?\globalroot\systemroot\system32\5azmyjh.exe - Trojan-Dropper.Win32.Agent.bmby ( DrWEB: Trojan.Packed.19720, BitDefender: Trojan.Generic.3071946, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) Putnik8x, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 9
      Последнее сообщение: 22.02.2012, 14:34
    2. Ответов: 9
      Последнее сообщение: 15.12.2009, 19:25
    3. Ответов: 6
      Последнее сообщение: 10.06.2009, 18:50
    4. Ответов: 20
      Последнее сообщение: 22.02.2009, 01:45
    5. Ответов: 7
      Последнее сообщение: 22.11.2008, 21:45

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00287 seconds with 22 queries