Services.exe жрет 100% CPU

[VikZik]

Доброе время суток.
После запуска Винды ХР, данный процесс (services.exe) грузит систему на 100%. И не дает рабоать на нем.

ЗЫ На данном компе была загрузка с системного диска и было произведено лечение Dr. Web CureIt.

[VikZik]

Вот еще не достающий лог.

ЗЗЫ Все логи делаются в безопасном режиме, потому как в обычном работать совсем не получается.

[polword]

1. Профиксите в HijackThis как "профиксить в HiJackThis"

Код:

O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe
O4 - HKUS\S-1-5-21-2000478354-1085031214-725345543-500\..\Run: [wsctf.exe] wsctf.exe (User '?')

2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\svchost','');
 QuarantineFile('wsctf.exe','');
 DeleteFile('C:\WINDOWS\system32\svchost');
 DeleteFile('C:\WINDOWS\Tasks\At1.job');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- попробуйте сделать повторные логи virusinfo_syscheck.zip; hijackthis.log в нормальном режиме

[thyrex]

Также перед повторными логами выполните скрипт из этой темы http://virusinfo.info/showthread.php?t=43700

[VikZik]

Файл с карантина прикрепил.

Хорошо, сделаю вот это:

Также перед повторными логами выполните скрипт из этой темы http://virusinfo.info/showthread.php?t=43700

[VikZik]

Вот новые логи:

[VikZik]

Совсем все плохо?

[thyrex]

Пофиксите в HiJack

Код:

F2 - REG:system.ini: UserInit=userinit.exe,EXPLORER.EXE

Еще раз скрипт выполните http://virusinfo.info/showthread.php?t=43700

После этого новые логи

[VikZik]

Вот:

[polword]

- выполните такой скрипт

Код:

var
i : integer;
KeyList : TStringList;                      
begin
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then
 begin
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS') then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS', 'ImagePath', 'GetEnvironmentVariable('SystemRoot')+\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\BITS исправлено на оригинальное.');
  end;
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv') then
  begin 
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv', 'ImagePath', 'GetEnvironmentVariable('SystemRoot')+\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\wuauserv исправлено на оригинальное.');
  end;
 end;
KeyList.Free;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
 RebootWindows(true);
end.

- Сделайте повторный лог virusinfo_syscheck.zip;

[VikZik]

polword, Выдает ошибку:
Ошибка скрипта: ')' expected, позиция [13:108]

[thyrex]

Пробуйте

Код:

var
i : integer;
KeyList : TStringList;                      
begin
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then
 begin
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS') then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS', 'ImagePath', GetEnvironmentVariable('SystemRoot')+'\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\BITS исправлено на оригинальное.');
  end;
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv') then
  begin 
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv', 'ImagePath', GetEnvironmentVariable('SystemRoot')+'\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\wuauserv исправлено на оригинальное.');
  end;
 end;
KeyList.Free;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
 RebootWindows(true);
end.

[VikZik]

Лог после выполнения скрипта:

[thyrex]

Выполните http://virusinfo.info/showpost.php?p=493610&postcount=1

[VikZik]

Принимайте:

[thyrex]

Лог не редактировали?
Что теперь с проблемой?

[VikZik]

Не редактировал. Система грузится шустрее, НО процесс (services.exe) так же кушает 98-100%.

[thyrex]

Что у Вас за система? Сборка?
Такое ощущение, что она почикана по полной программе.

[VikZik]

Офф версия XP SP2, дождались момента, когда система наглухо повисла.
Запустился с загрузочной флешки, запустил Dr. Web CureIt. В итоге было удалено более 1600 файлов с вирусами, остальные около 46000 файлов с вирусами удалил руками в одной папке (с кол-вом я не ошибся именно ~46000). После загрузки самой системы столкнулся с такой проблемой. Обратился сюда, потому как не очень хочется ставить систему с нуля. Если же все так печально, то переставлю систему.

А Вашей команде большое спасибо за содействие.

[thyrex]

Если же все так печально, то переставлю систему.

С таким количеством зверья, это будет лучший вариант. Потому как среди них вполне могли оказаться системные файлы