-
Junior Member
- Вес репутации
- 60
Процесс svchost.exe
При подключении к локальной сети процесс svchost.exe очень сильно загружает процессор, до 97%-98%, ПК начинает сильно зависать.
Думал может дело в антивирусе (NOD32 v.4), удалил его полностью, перезагрузил компьютер, проблема осталась.
Проверьте пожалуйста может может дрянь какая то засела...
С уважением, Дмитрий.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Доброго времени суток
Пофиксите в Hijackthis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\User\APPLIC~1\UFASTD~1\PROPET~1.EXE,C:\WINDOWS\system32\sdra64.exe,
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: (no name) - {88888888-8888-8888-8888-888888888888} - (no file)
O2 - BHO: MS Media Module - {E0C1ABC5-CD0A-4FB4-5E2F-0D904301E159} - (no file)
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mssfc.dll','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\DOCUME~1\User\APPLIC~1\UFASTD~1\PROPET~1.EXE','');
QuarantineFile('C:\WINDOWS\system32\3076y.exe','');
QuarantineFile('C:\WINDOWS\system32\rserver30\r3god.dll','');
QuarantineFile('c:\gismeteobar\gismeteobar.dll','');
DeleteService('TlntSvrTlntSvr');
DeleteFile('C:\WINDOWS\system32\3076y.exe');
DeleteFile('C:\DOCUME~1\User\APPLIC~1\UFASTD~1\PROPET~1.EXE');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)
РАдмином пользуетесь (C:\WINDOWS\system32\rserver30\)?
-
-
Junior Member
- Вес репутации
- 60
DefesT,
карантин загрузил за 2010.03.12
так же был за 2010.03.11 с содержанием:
C:\WINDOWS\system32\mssfc.dll
ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
РАдмном пользуюсь, но AVZ его уже немного подпортил, переустановлю!
-
Junior Member
- Вес репутации
- 60
Черкните если не затруднит, как там мои логи...
зараза была?
-
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\mssfc.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
после перезагрузки повторите лог - virusinfo_syscheck.zip
-
-
Junior Member
- Вес репутации
- 60
DefesT,
скажите пожалуйста что там у меня было? в чем была проблема?
чтоб избежать такой ситуации в след. раз.
-
В логе чисто. А были разнообразные троянчики. sdra64.exe - этот, например, шпионит за системой, может похищать электронные деньги. Так что пароли желательно поменять. Проверьтесь еще ZbotKiller'ом, чтобы хвосты убрать. Желательно выполнять обновление системы (Windows Update), держать антивирусные базы в актуальном состоянии. Также рекомендую к изучению - http://security-advisory.virusinfo.info
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
DefesT
В логе чисто. А были разнообразные троянчики. sdra64.exe - этот, например, шпионит за системой, может похищать электронные деньги. Так что пароли желательно поменять. Проверьтесь еще ZbotKiller'ом, чтобы хвосты убрать. Желательно выполнять обновление системы (Windows Update), держать антивирусные базы в актуальном состоянии. Также рекомендую к изучению -
http://security-advisory.virusinfo.info
Большое спасибо за помощь, совет и ссылку!!!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 15
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\mssfc.dll - Trojan.Win32.Patched.fr ( DrWEB: Trojan.WinSpy.570, AVAST4: Win32:WinSpy-FP [Trj] )
- c:\windows\system32\3076y.exe - Backdoor.Win32.IRCNite.gg ( DrWEB: BackDoor.IRC.Nite.41 )
-