-
Junior Member
- Вес репутации
- 50
Svchost грузит ЦП на 100%
Здравствуйте! У меня возникла проблема, роцесс svchost (system) грузит ЦП на 100% (переустановка ОС помогает, но при подключении к интернету опять тоже самое) Так же пропадает звук во всех браузерах ( Opera, Mozilla, IE ) кроме Google Chrome. Если закрыть этот процесс появится ошибка и ОС перезагрузится в течении 1 минуты, но если закрыть этот процесс и перезагрузиться (отключив кабель из роутера) ЦП не будет загружен.
Последний раз редактировалось pig; 23.08.2010 в 13:12.
Причина: карантин в теме неуместен
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Выполните скрипт в AVZ в безопасном режиме
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\monoca32.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\aec.sys','');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\monoca32.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
-
-
Junior Member
- Вес репутации
- 50
При перезагрузке появился синий экран смерти с ошибками 0х000000d1 (0xEAB22008, 0x00000002, 0x00000000, 0x0f748cb41)
-
Junior Member
- Вес репутации
- 50
Вернулся звук в браузерах !!! Спасибо !
-
Junior Member
- Вес репутации
- 50
Извените забыл логи с RSIT
-
Junior Member
- Вес репутации
- 50
И ЦП больше не грузит, всё отлично! Спасибо большое !
-
- Замените файл C:\WINDOWS\system32\drivers\aec.sys на чистый из дистрибутива.
-
-
Junior Member
- Вес репутации
- 50
Заменил, он весил в 4 раза меньше того который был у меня. Всё работает.
Добавлено через 6 минут
Нет я ошибся, прошло 2 минуты и опять тоже самое
Последний раз редактировалось Teyshebo; 23.08.2010 в 01:17.
Причина: Добавлено
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\WINDOWS\system32\drivers\aec.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\aec.sys.bak','');
QuarantineFile('C:\WINDOWS\system32\49c244a8.exe','');
QuarantineFile('C:\WINDOWS\system32\ixehpj.exe','');
DeleteFile('C:\WINDOWS\system32\ixehpj.exe');
DeleteFile('C:\WINDOWS\system32\49c244a8.exe');
DeleteFile('C:\Program Files\Common Files\keylog.txt');
DeleteFileMask('C:\Program Files\Common Files\wm', '*.*', true);
DeleteDirectory('C:\Program Files\Common Files\wm');
DeleteFile('C:\WINDOWS\SET8.tmp');
DeleteFile('C:\WINDOWS\SET3.tmp');
DeleteFile('C:\WINDOWS\SET4.tmp');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте повторный лог RSIT
Последний раз редактировалось polword; 23.08.2010 в 12:40.
-
-
Junior Member
- Вес репутации
- 50
После выполнения первого скрипта, система не перезагрузилась
-
где успели снова monoc-у подцепить...
- Выполните скрипт в AVZ в безопасном режиме
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\monoca32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 50
Не знаю, поставил нод новый, система новая (2-ой день) правдо есть два харда которые я не форматировал, может оттуда летит? (и что поставить что бы больше не цеплять этих зверей?
P.S. я выполнял последний пункт которого уже нету
-
Junior Member
- Вес репутации
- 50
Вроде всё нормально пока что.
-
чисто.
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.
-
-
Junior Member
- Вес репутации
- 50
Было найдено 7 уязвимостей, исправил все, после повторного выполнения скрипта лог почему то не изменился.
-
он старый.. удалите его. И выполните скрипт еще раз. Если ничего не будет создано - уязвимости устранены
-
-
Junior Member
- Вес репутации
- 50
Да лог больше не появляется!
P.S. вы действительно мастера своего дела! Огромное спасибо!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 16
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\admin\\главное меню\\программы\\автозагрузка\\monoca32.exe - Trojan.Win32.VB.ajof ( DrWEB: Trojan.Siggen2.612, BitDefender: Trojan.Generic.4653289, NOD32: Win32/VB.PGC trojan, AVAST4: Win32:Trojan-gen )
- c:\\windows\\system32\\drivers\\aec.sys - Rootkit.Win32.Agent.biiu ( DrWEB: Trojan.Packed.20819, BitDefender: Rootkit.40832, NOD32: Win32/Bubnix.AU trojan, AVAST4: Win32:Bubnix-J [Rtk] )
- c:\\windows\\system32\\ixehpj.exe - Backdoor.Win32.Shiz.up ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4673818, AVAST4: Win32:MalOb-DS [Cryp] )
- c:\\windows\\system32\\49c244a8.exe - Backdoor.Win32.Shiz.ud ( DrWEB: Trojan.Packed.20771, BitDefender: Backdoor.Generic.440529, AVAST4: Win32:MalOb-DS [Cryp] )
-