svchost.exe грузит процессор на 100%
Здравствуйте. У меня такая проблема: вчера вечером компьютер стал ужасно тормозить, в диспетчера задач увидел что процесс svchost.exe грузит процессор на 100%. В компьютерах я не силен, как дать больше информации, к сожалению, не знаю. Следую инструкциям диагностики не смог открыть hijackthis , пробовал обе ссылку ,обычную и game. Надеюсь на Вашу помощь.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ в безопасном режиме -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\monoca32.exe',''); QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll',''); QuarantineFile('C:\WINDOWS\system32\5fabc168.exe',''); QuarantineFile('C:\WINDOWS\system32\ntlanui2.dll',''); QuarantineFile('C:\WINDOWS\system32\plywdu.exe',''); QuarantineFile('C:\WINDOWS\system32\sidebar32.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\vdq1odu3.sys',''); DeleteFile('C:\WINDOWS\system32\sidebar32.exe'); DeleteFile('C:\WINDOWS\system32\plywdu.exe'); DeleteFile('C:\WINDOWS\system32\5fabc168.exe'); DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll'); DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\monoca32.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Secure Star'); RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier'); BC_ImportAll; ExecuteSysClean; RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Обновите базы
- Повторите логи
В безопасном режиме запустить не получилось, жмал F8 никакой реакции.
Выполнял скрипт в обычном режиме. Карантин отправил.
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\monoca32.exe'); BC_ImportAll; ExecuteSysClean; BC_DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\monoca32.exe'); BC_Activate; RebootWindows(true); end.
- Сделайте лог МВАМ
Извиняюсь за свою тупость, зашел в безопасный режим щас пришлю логи.
Вот новые логи, кстати после безопасного режима вроде все стало нормально, svchost не грузит процессор.
Спасибо за Ваш труд , потраченное время и нервы )
Сделайте лог МВАМ
пожалуйста...
Удалите в МВАМ -
Выполните скрипт в АВЗ -Код:Зараженные параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken. Зараженные файлы: D:\Установка\Dr.Web.13\infected.!!!\WDICA.sys (Rootkit.Bubnix) -> No action taken. D:\System Volume Information\_restore{460BE094-E536-4D1D-A2A3-2E04EA877147}\RP93\A0041718.exe (Trojan.Spambot) -> No action taken. D:\System Volume Information\_restore{460BE094-E536-4D1D-A2A3-2E04EA877147}\RP93\A0041807.exe (Trojan.Spambot) -> No action taken. D:\System Volume Information\_restore{460BE094-E536-4D1D-A2A3-2E04EA877147}\RP93\A0041946.exe (Trojan.Spambot) -> No action taken. D:\System Volume Information\_restore{460BE094-E536-4D1D-A2A3-2E04EA877147}\RP93\A0042277.exe (Trojan.Spambot) -> No action taken. D:\System Volume Information\_restore{460BE094-E536-4D1D-A2A3-2E04EA877147}\RP93\A0042599.exe (Trojan.Spambot) -> No action taken. D:\System Volume Information\_restore{460BE094-E536-4D1D-A2A3-2E04EA877147}\RP93\A0042722.exe (Trojan.Spambot) -> No action taken. D:\System Volume Information\_restore{460BE094-E536-4D1D-A2A3-2E04EA877147}\RP94\A0043015.exe (Trojan.Spambot) -> No action taken. D:\System Volume Information\_restore{460BE094-E536-4D1D-A2A3-2E04EA877147}\RP94\A0043266.exe (Trojan.Spambot) -> No action taken. D:\System Volume Information\_restore{460BE094-E536-4D1D-A2A3-2E04EA877147}\RP94\A0043608.exe (Trojan.Spambot) -> No action taken. D:\System Volume Information\_restore{460BE094-E536-4D1D-A2A3-2E04EA877147}\RP95\A0044039.exe (Trojan.Spambot) -> No action taken. D:\System Volume Information\_restore{460BE094-E536-4D1D-A2A3-2E04EA877147}\RP95\A0044392.exe (Trojan.Spambot) -> No action taken. D:\System Volume Information\_restore{460BE094-E536-4D1D-A2A3-2E04EA877147}\RP95\A0044606.exe (Trojan.Spambot) -> No action taken. D:\System Volume Information\_restore{460BE094-E536-4D1D-A2A3-2E04EA877147}\RP95\A0044719.exe (Trojan.Spambot) -> No action taken. D:\System Volume Information\_restore{460BE094-E536-4D1D-A2A3-2E04EA877147}\RP95\A0045045.exe (Trojan.Spambot) -> No action taken. D:\System Volume Information\_restore{51B7AAB6-20DD-4601-9F9C-CA5127B87201}\RP11\A0003521.dll (Trojan.Agent.CK) -> No action taken. D:\System Volume Information\_restore{FD6329F5-8400-41EE-8DBD-826152418669}\RP2\A0000212.exe (Malware.Packer) -> No action taken. C:\Documents and Settings\Admin\Application Data\avdrn.dat (Malware.Trace) -> No action taken. C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\Reconstruction.exe',''); BC_ImportAll; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip'); end.
- Не отключали восстановление системы, а рекомендация была.
Карантин отправил. На счет восстановления это я наверно начудил, извиняюсь, в биосе нажал load safe file только так я смог зайти в безопасный режим. А так восстановление всегда отключено.
Повторите лог МВАМ
пожалуйста...
Чисто, что с проблемой.
Проблемы больше нет, еще раз огромнейшее спасибо за помощь.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 19
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\admin\\главное меню\\программы\\автозагрузка\\monoca32.exe - Trojan.Win32.FakeAV.cqk ( DrWEB: Trojan.Botnetlog.502, BitDefender: Gen:Variant.Kazy.43, AVAST4: Win32:Crypt-HKP [Drp] )
- c:\\windows\\system32\\plywdu.exe - Backdoor.Win32.Shiz.tj ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, AVAST4: Win32:MalOb-DS [Cryp] )
Уважаемый(ая) Pomc, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
