-
Junior Member
- Вес репутации
- 51
svchost.exe грузит процессор на 100%
Здравствуйте. У меня такая проблема: вчера вечером компьютер стал ужасно тормозить, в диспетчера задач увидел что процесс svchost.exe грузит процессор на 100%. В компьютерах я не силен, как дать больше информации, к сожалению, не знаю. Следую инструкциям диагностики не смог открыть hijackthis , пробовал обе ссылку ,обычную и game. Надеюсь на Вашу помощь.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ в безопасном режиме -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\monoca32.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\WINDOWS\system32\5fabc168.exe','');
QuarantineFile('C:\WINDOWS\system32\ntlanui2.dll','');
QuarantineFile('C:\WINDOWS\system32\plywdu.exe','');
QuarantineFile('C:\WINDOWS\system32\sidebar32.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\vdq1odu3.sys','');
DeleteFile('C:\WINDOWS\system32\sidebar32.exe');
DeleteFile('C:\WINDOWS\system32\plywdu.exe');
DeleteFile('C:\WINDOWS\system32\5fabc168.exe');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\monoca32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Secure Star');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
BC_ImportAll;
ExecuteSysClean;
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Обновите базы
- Повторите логи
-
-
Junior Member
- Вес репутации
- 51
В безопасном режиме запустить не получилось, жмал F8 никакой реакции.
Выполнял скрипт в обычном режиме. Карантин отправил.
-
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\monoca32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\monoca32.exe');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
- Сделайте лог МВАМ
-
-
Junior Member
- Вес репутации
- 51
Извиняюсь за свою тупость, зашел в безопасный режим щас пришлю логи.
-
Junior Member
- Вес репутации
- 51
Вот новые логи, кстати после безопасного режима вроде все стало нормально, svchost не грузит процессор.
Спасибо за Ваш труд , потраченное время и нервы )
-
-
-
Junior Member
- Вес репутации
- 51
-
Удалите в МВАМ -
Код:
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
Зараженные файлы:
D:\Установка\Dr.Web.13\infected.!!!\WDICA.sys (Rootkit.Bubnix) -> No action taken.
D:\System Volume Information\_restore{460BE094-E536-4D1D-A2A3-2E04EA877147}\RP93\A0041718.exe (Trojan.Spambot) -> No action taken.
D:\System Volume Information\_restore{460BE094-E536-4D1D-A2A3-2E04EA877147}\RP93\A0041807.exe (Trojan.Spambot) -> No action taken.
D:\System Volume Information\_restore{460BE094-E536-4D1D-A2A3-2E04EA877147}\RP93\A0041946.exe (Trojan.Spambot) -> No action taken.
D:\System Volume Information\_restore{460BE094-E536-4D1D-A2A3-2E04EA877147}\RP93\A0042277.exe (Trojan.Spambot) -> No action taken.
D:\System Volume Information\_restore{460BE094-E536-4D1D-A2A3-2E04EA877147}\RP93\A0042599.exe (Trojan.Spambot) -> No action taken.
D:\System Volume Information\_restore{460BE094-E536-4D1D-A2A3-2E04EA877147}\RP93\A0042722.exe (Trojan.Spambot) -> No action taken.
D:\System Volume Information\_restore{460BE094-E536-4D1D-A2A3-2E04EA877147}\RP94\A0043015.exe (Trojan.Spambot) -> No action taken.
D:\System Volume Information\_restore{460BE094-E536-4D1D-A2A3-2E04EA877147}\RP94\A0043266.exe (Trojan.Spambot) -> No action taken.
D:\System Volume Information\_restore{460BE094-E536-4D1D-A2A3-2E04EA877147}\RP94\A0043608.exe (Trojan.Spambot) -> No action taken.
D:\System Volume Information\_restore{460BE094-E536-4D1D-A2A3-2E04EA877147}\RP95\A0044039.exe (Trojan.Spambot) -> No action taken.
D:\System Volume Information\_restore{460BE094-E536-4D1D-A2A3-2E04EA877147}\RP95\A0044392.exe (Trojan.Spambot) -> No action taken.
D:\System Volume Information\_restore{460BE094-E536-4D1D-A2A3-2E04EA877147}\RP95\A0044606.exe (Trojan.Spambot) -> No action taken.
D:\System Volume Information\_restore{460BE094-E536-4D1D-A2A3-2E04EA877147}\RP95\A0044719.exe (Trojan.Spambot) -> No action taken.
D:\System Volume Information\_restore{460BE094-E536-4D1D-A2A3-2E04EA877147}\RP95\A0045045.exe (Trojan.Spambot) -> No action taken.
D:\System Volume Information\_restore{51B7AAB6-20DD-4601-9F9C-CA5127B87201}\RP11\A0003521.dll (Trojan.Agent.CK) -> No action taken.
D:\System Volume Information\_restore{FD6329F5-8400-41EE-8DBD-826152418669}\RP2\A0000212.exe (Malware.Packer) -> No action taken.
C:\Documents and Settings\Admin\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\Reconstruction.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.
Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Не отключали восстановление системы, а рекомендация была.
-
-
Junior Member
- Вес репутации
- 51
Карантин отправил. На счет восстановления это я наверно начудил, извиняюсь, в биосе нажал load safe file только так я смог зайти в безопасный режим. А так восстановление всегда отключено.
-
-
-
Junior Member
- Вес репутации
- 51
-
-
-
Junior Member
- Вес репутации
- 51
Проблемы больше нет, еще раз огромнейшее спасибо за помощь.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 19
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\admin\\главное меню\\программы\\автозагрузка\\monoca32.exe - Trojan.Win32.FakeAV.cqk ( DrWEB: Trojan.Botnetlog.502, BitDefender: Gen:Variant.Kazy.43, AVAST4: Win32:Crypt-HKP [Drp] )
- c:\\windows\\system32\\plywdu.exe - Backdoor.Win32.Shiz.tj ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, AVAST4: Win32:MalOb-DS [Cryp] )
-