-
Junior Member
- Вес репутации
- 52
svchost.exe загружает 50% ЦП :(
Добрый вечер. Около 3-4 дней назад заметил в диспетчере задач процесс svchost.exe, который грузит 50% ЦП. Заметно стал тормозить комп, игры, программы... Сразу же полез в гугл за поиском решения, перепробывал кучу вариантов - отключение автообновление, различных служб, выполнил проверку на вирусы касперским и Dr.Web (вирусов не нашли), пробывал просто убить процесс, вобщем ничего не помогло. На одном из сайтов натолкнулся на то, что причиной может быть файл siszyd32.exe, который находиться в папки "Автозагрузка", проверил папку - файла не оказалось (скрытые режимы отключал). Может быть файл находиться где-то в другом месте, или же есть какие то действенные варианты решения этой проблемы, убедительная просьба помочь незнающему человеку
ps. читал тут темы с подобными проблемами, многое не понимал, поэтому небольшая просьба - поcтараться разьяснить все на более-менее понятном языке.
pss. юзеры делают необходимые логи с помощью AVZ, темы с инстукцией не нашел, напревьте туда)
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 52
Вложение 220495
Вложение 220496
Вложение 220497
Собственно вот логи. Небольшой вопрос:
При выполнении скрипта "Скрипт сбора информации для раздела "Помогите!" virusinfo.info" и "Do a system scan and save a logfile" необходимо отключать антивирус и перезагружать компьютер по окончанию выполнения? Просто я этого не делал, так как в инструкции об этом не говориться
Последний раз редактировалось ChesteRwOw; 28.02.2010 в 16:04.
-
1. Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file)
R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
O3 - Toolbar: Ask.com Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O4 - Startup: winesm32.exe
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\WINDOWS\Tasks\ Scheduled Update for Ask Toolbar.job');
QuarantineFile('C:\Documents and Settings\ChesteR\Главное меню\Программы\Автозагрузка\winesm32.exe','');
DeleteFile('C:\Documents and Settings\ChesteR\Главное меню\Программы\Автозагрузка\winesm32.exe');
QuarantineFile('C:\Program Files\Ask.com\GenericAskToolbar.dll','');
DeleteFileMask('C:\Program Files\Ask.com', '*.*', true);
DeleteDirectory('C:\Program Files\Ask.com');
QuarantineFile('C:\Program Files\Ask.com\UpdateTask.exe','');
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');
DelBHO('{FE063DB1-4EC0-403e-8DD8-394C54984B2C}');
DelBHO('{9CB65201-89C4-402c-BA80-02D8C59F9B1D}');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 52
Все сделал, согласно данной инструкции, проблема все еще держится, вот новые логи:
Вложение 220559
Вложение 220560
-
Junior Member
- Вес репутации
- 52
Эмм... ребят, помощь в решении проблемы будет?
-
Пофиксите в Hijackthis:
Код:
O4 - Startup: winesm32.exe
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\ChesteR\Главное меню\Программы\Автозагрузка\winesm32.exe');
DeleteFile('C:\Program Files\Ask.com\UpdateTask.exe');
DeleteFile('C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Сделайте новые логи по правилам (virusinfo_syscheck.zip и hijackthis.log)
-
-
Junior Member
- Вес репутации
- 52
Все сделал, согласно данной инструкции, проблема все еще держится, вот новые логи:
Вложение 221131
Вложение 221132
-
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\ChesteR\LOCALS~1\Temp\EUCF.tmp','');
DeleteService('GarenaPEngine');
QuarantineFile('C:\Documents and Settings\ChesteR\Главное меню\Программы\Автозагрузка\winesm32.exe','');
DeleteFile('C:\Documents and Settings\ChesteR\Главное меню\Программы\Автозагрузка\winesm32.exe');
DeleteFile('C:\DOCUME~1\ChesteR\LOCALS~1\Temp\EUCF.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Сделайте новый лог virusinfo_syscheck.zip
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
shapel
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Вот тут не совсем понятно, вам нужен архив quarantine (я его уже высылал и больше скрипт на него не выполнял) или же какой то файл из папки Quarantine?
Вот новый лог:
Вложение 221148
-
-
-
Junior Member
- Вес репутации
- 52
-
Сделайте лог virusinfo_syscheck.zip и лог MBAM
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
shapel
Сделайте лог virusinfo_syscheck.zip и лог MBAM
Эмм... последний лог virusinfo_syscheck.zip я же уже присылал... А как сделать лог MBAM в правилах не говориться...
-
Сообщение от
ChesteRwOw
А как сделать лог MBAM в правилах не говориться...
http://virusinfo.info/showpost.php?p=457118&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Собственно вот логи:
Вложение 221252
Вложение 221253
Программа показала, что заражено 40 файлов, это ведь "ложная" информация? Так как ни один антивирус не находил подобных вирусов...
-
Удалите в МВАМ
Код:
Заражено ключей реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> No action taken.
Заражено папок:
C:\Documents and Settings\ChesteR\Local Settings\Application Data\Target Marketing Agency (Adware.TMAagent) -> No action taken.
C:\Documents and Settings\ChesteR\Local Settings\Application Data\Target Marketing Agency\TMAgent (Adware.TMAagent) -> No action taken.
Заражено файлов:
C:\Documents and Settings\ChesteR\Application Data\Desktopicon\eBayShortcuts.exe (Adware.ADON) -> No action taken.
C:\Documents and Settings\ChesteR\Local Settings\temp\~TM15.tmp (Malware.Packer.Gen) -> No action taken.
C:\Documents and Settings\ChesteR\Рабочий стол\avz4\Quarantine\2010-03-04\bcqr00003.dta (Malware.Packer.Gen) -> No action taken.
C:\Documents and Settings\ChesteR\Рабочий стол\avz4\Quarantine\2010-03-04\bcqr00004.dta (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\system32\dp1.fne (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\internet.fne (HackTool.Patcher) -> No action taken.
D:\System Volume Information\_restore{720A1AC5-E80E-4550-AB50-8EF1B20E5C4D}\RP91\A0037963.exe (Malware.Packer.Gen) -> No action taken.
D:\System Volume Information\_restore{720A1AC5-E80E-4550-AB50-8EF1B20E5C4D}\RP91\A0037981.exe (Malware.Packer.Gen) -> No action taken.
D:\System Volume Information\_restore{720A1AC5-E80E-4550-AB50-8EF1B20E5C4D}\RP91\A0037996.exe (Malware.Packer.Gen) -> No action taken.
D:\System Volume Information\_restore{720A1AC5-E80E-4550-AB50-8EF1B20E5C4D}\RP91\A0038079.exe (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{720A1AC5-E80E-4550-AB50-8EF1B20E5C4D}\RP91\A0038202.exe (Malware.Packer.Gen) -> No action taken.
D:\System Volume Information\_restore{720A1AC5-E80E-4550-AB50-8EF1B20E5C4D}\RP93\A0038754.exe (Malware.Packer.Gen) -> No action taken.
D:\System Volume Information\_restore{720A1AC5-E80E-4550-AB50-8EF1B20E5C4D}\RP93\A0038771.exe (Malware.Packer.Gen) -> No action taken.
D:\System Volume Information\_restore{720A1AC5-E80E-4550-AB50-8EF1B20E5C4D}\RP93\A0038782.exe (Malware.Packer.Gen) -> No action taken.
D:\System Volume Information\_restore{720A1AC5-E80E-4550-AB50-8EF1B20E5C4D}\RP93\A0038851.exe (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{720A1AC5-E80E-4550-AB50-8EF1B20E5C4D}\RP93\A0038987.exe (Malware.Packer.Gen) -> No action taken.
C:\Documents and Settings\ChesteR\Local Settings\Application Data\Target Marketing Agency\TMAgent\data.bin (Adware.TMAagent) -> No action taken.
C:\Documents and Settings\ChesteR\Local Settings\Application Data\Target Marketing Agency\TMAgent\params.bin (Adware.TMAagent) -> No action taken.
C:\Documents and Settings\ChesteR\Local Settings\Application Data\Target Marketing Agency\TMAgent\tmagent.bin (Adware.TMAagent) -> No action taken.
C:\Documents and Settings\ChesteR\Главное меню\Программы\Автозагрузка\winesm32.exe (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\com.run (Trojan.Banker) -> No action taken.
C:\WINDOWS\system32\eAPI.fne (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\krnln.fnr (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\og.dll (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\og.EDT (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\RegEx.fnr (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\shell.fne (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\spec.fne (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\ul.dll (Worm.AutoRun) -> No action taken.
C:\WINDOWS\Prefetch\EXPLORER.EXE (Trojan.Agent) -> No action taken.
C:\WINDOWS\sorry.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\ChesteR\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Program Files\ICQToolbar\toolbaru.dll (Trojan.BHO) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Сделайте новый лог MBAM, надо проверить, все ли удалено.
-
-
Junior Member
- Вес репутации
- 52
-
В логе чисто, что с проблемой?
-