-
Junior Member
- Вес репутации
- 52
svchost грузит систему на 50%
svchost грузит систему на 50%, если комппьютер подключен к сети. При загруке WinXP с отклученным сетевым кабелем, общая загрузка процессов 0-3 %. На системе стоит NOD32, и из-за появившихся (одновременно с проблемой загрузки svchost) постоянных сетевых атак, поставил Outpost Firewall. Сканировал систему с помощью Dr. WebCureIt! , он обнаружил пару вирусов:
C:\Windows\system32\drivers\wyfws.sys (Trojan.NtRootKit.5980)
C:\Windows\system32\drivers\svchost.exe (Trojan.DownLoader.59802)
- Trojan.DownLoader были удален, Trojan.NtRootKit - не удается излечить и удалить(каждый раз появляется снова или не удаляется).
* ...\tueagles\*.* - это не троян утилита Антипорно
Выполнил скрипт AVZ "virusinfo_syscure", перезагрузился, подключился в интернет. После запуска Opera антивирус NOD32 сразу ругнулся на C:\Windows\system32\fjhdyfhsn.bat и поместил его в карантин. А Outpost Firewall все так же отчаянно отбивается от атак((. Что делать товарищи?
Последний раз редактировалось SCORPION_Z; 18.02.2010 в 19:27.
Причина: не все вирусы были излечены
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Загрузитесь с LiveCD или подключите винчестер к другому компьютеру
2. Скопируйте C:\WINDOWS\system32\Drivers\wyfws.sys в другую папку и переименуйте
3. Удалите файл в исходном месте
4. Загрузитесь в нормальном режиме и отключите антивирус
5. Запакуйте переименованный файл с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
6. Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
C:\Windows\system32\drivers\wyfws.sys переименовал и отправил.
Сделал новые логи . Все процессы svchost в пределах нормы, 0% загрузки ЦПУ.
-
Rootkit.Win32.Agent.aioy
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');
QuarantineFile('C:\WINDOWS\system32\drivers\svchost.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\qg9i93jW.sys','');
QuarantineFile('\Device\HarddiskVolume1\DOCUME~1\Admin\LOCALS~1\Temp\RarSFX4\xajjwxp.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\svchost.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SVCHOST.EXE');
DeleteFile('C:\Program Files\Ask.com\GenericAskToolbar.dll');
DeleteFile('C:\Program Files\Ask.com\UpdateTask.exe');
DeleteFile('C:\Windows\Tasks\Scheduled Update for Ask Toolbar.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Карантин отправил, но похоже файлов, указанных в скрипте уже просто не было, поэтому карантин имел нулевой размер.
Новые логи, после выполнения скрипта в аттаче
-
Пофиксить в HiJack
Код:
R3 - URLSearchHook: (no name) - - shell32.dll (file missing)
O3 - Toolbar: EPAM - {ae07101b-46d4-4a98-af68-0333ea26e113} - mscoree.dll (file missing)
Больше плохого не увидел
Установите Adobe Acrobat 9.3 или удалите старый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Спасибо. Ваши рекомендации оказались ценными и полезными.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- \wyfws.#ys - Rootkit.Win32.Agent.aioy ( DrWEB: Trojan.NtRootKit.5980, BitDefender: Gen:Rootkit.Nixoa.1, AVAST4: Win32:Rootkit-gen [Rtk] )
-