svchost.exe загружает ЦП на 95% и занимает около 200 Мб памяти.

**galsi** · 25.02.2010, 20:45

svchost.exe загружает ЦП на 95% и занимает около 200 Мб памяти. В итоге компьютер очень сильно тормозит и выскакивает сообщение о нехватке виртуальной памяти. Логи прилагаю.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Шапельский Александр** · 25.02.2010, 21:01

Здравствуйте.
Пофиксить в Hijack

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\40781391.exe,\\?\globalroot\systemroot\system32\ENQWmnu.exe,

Выполнить скрипт

Код:

var
i : integer;
KeyList : TStringList;                      
begin
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then
 begin
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS') then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\BITS исправлено на оригинальное.');
  end;
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv') then
  begin 
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\wuauserv исправлено на оригинальное.');
  end;
 end;
KeyList.Free;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.

Затем следующий

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{B8F88615-A49E-4443-A26F-E97379BE1B1A}');
 QuarantineFile('\\?\globalroot\systemroot\system32\ENQWmnu.exe','');
 QuarantineFile('C:\WINDOWS\system32\40781391.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\fddaurmb.sys','');
 DeleteService('mifw');
 QuarantineFile('C:\WINDOWS\System32\drivers\b73287ef.sys','');
 DeleteService('b73287ef');
 DeleteFile('C:\WINDOWS\System32\drivers\b73287ef.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\fddaurmb.sys');
 DeleteFile('C:\WINDOWS\system32\40781391.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\ENQWmnu.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

**galsi** · 25.02.2010, 23:29

Все выполнила. Новые логи:

**Шапельский Александр** · 25.02.2010, 23:36

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\uspsvc.exe','');
 QuarantineFile('C:\WINDOWS\system32\uscsvc.exe','');
 DeleteService('USPjournal');
 DeleteService('USCjournal');
 DeleteFile('C:\WINDOWS\system32\uscsvc.exe');
 DeleteFile('C:\WINDOWS\system32\uspsvc.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Сделайте новый лог virusinfo_syscheck.zip

**galsi** · 25.02.2010, 23:49

Все сделала. Новый лог:

**Шапельский Александр** · 26.02.2010, 00:40

C:\WINDOWS\system32\sfcfiles.dll--этот файл отправлен на анализ. Ждем вердикта аналитиков.
В остальном, в логе чисто, что с проблемой?

**galsi** · 26.02.2010, 00:42

На данный момент проблема пропала (уже более часа все нормально). Будем надеяться, что все теперь в порядке, и ждать результат анализа.

**Шапельский Александр** · 26.02.2010, 00:48

Сообщение от galsi

...и ждать результат анализа.

Надеюсь, что результат анализа придет быстро.

**galsi** · 26.02.2010, 11:20

Ну что, результат еще не пришел?

**Шапельский Александр** · 26.02.2010, 15:08

Сообщение от galsi

Ну что, результат еще не пришел?

Похоже, что анализ затянется. Проблемы с svchost.exe больше нет?

**galsi** · 26.02.2010, 15:40

Пока больше ничего не тормозит. svchost.exe ведет себя как положено.

**galsi** · 27.02.2010, 20:02

Снова появилась та же проблема. Сделаю логи, пришлю.

**galsi** · 27.02.2010, 21:56

Новые логи:

**pig** · 27.02.2010, 22:53

Обновления безопасности на систему все установлены?

**galsi** · 27.02.2010, 22:59

pig, а где это посмотреть?

**pig** · 27.02.2010, 23:15

windowsupdate.microsoft.com к вашим услугам.

**galsi** · 27.02.2010, 23:35

Как мне включить автоматическое обновление с учетом того, что показано на скрине?

**pig** · 28.02.2010, 20:08

Оно у вас как бы включено... Посмотрите состояние службы "Автоматическое обновление".

**galsi** · 28.02.2010, 23:08

Сообщение от pig

Оно у вас как бы включено... Посмотрите состояние службы "Автоматическое обновление".

Состояние службы "Автоматическое обновление":
тип запуска - вручную
вход от имени - локальная система

Когда нажимаю "Запустить службу", выскакивает ошибка:
"Не удалось запустить службу Автоматическое обновление на Локальный компьютер.
Ошибка 2: Не удается найти указанный файл."

**pig** · 28.02.2010, 23:14

Если свойства службы открыть - какой там исполняемый файл числится?

svchost.exe загружает ЦП на 95% и занимает около 200 Мб памяти. (заявка № 72286)

Опции темы

svchost.exe загружает ЦП на 95% и занимает около 200 Мб памяти.

Похожие темы

svchost.exe занимает 50% памяти (снова появилась))

svchost.exe занимает 50% памяти

Тормозит комп, FireFox занимает в памяти 3хх к памяти.

процесс services.exe занимает до 1.5 Гб оперативной памяти

Svhost занимает 97% памяти

Метки для этой темы

Ваши права в разделе