-
Junior Member
- Вес репутации
- 52
Процесс svhost.exe загружает CPU на 100%
Здравствуйте. Указанный в сабже процесс сильно грузит комп. При физическом выключении от локальной сети (от коммутатора) и загрузки ОС с выключенным "Подключением по локальной сети" загрузка спадает. При включении в сеть - растёт до 100% и постоянно остаётся на этом уровне. При проверке CureIt, AVPTool, и др антивирусами ничего опасного не обнаружилось. Прошу вашей помощи, прикладывай логи с AVZ и HiJackThis.
Заранее спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 78.140.13.157:3128
сами прописывали? Если нет, то тоже профиксите эту строку
1.Профиксите в HijackThis
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: Shell=Explorer.exe
O2 - BHO: Google plugin - {5CC2F638-99FF-45d2-97C7-E30E83CF04D2} - (no file)
2.Скачайте "OSAM" Online Solutions Autorun Manager тут. В меню драйверов правой кнопкой по xxfbiyq и выберите "Turn Run Off". Перезагрузку подтвердите.
3.Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\algkir32.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati7sxxx.sys','');
DeleteService('ati7sxxx');
QuarantineFile('C:\WINDOWS\System32\drivers\bukadrv.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\xxfbiyq.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\xxfbiyq.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7sxxx.sys');
DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\algkir32.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
-
-
Junior Member
- Вес репутации
- 52
Спасибо за быстрый ответ и помощь, прокси сами прописывали - сейчас неактивна но запись в ИЕ сохранилась(нужна была для теста).
Хайджеком пофиксил пукнты.
Осамом убил файлик xxfbiyq
При исполнении скрипта в АВЗ всё повисло и не отвисает. Попробую ещё раз. (может из безопасного режима скрипт исполнить?)
P.S. (если поможет):
Wireshark - снифер пакетов, проанализировали трафик - очень мощная атака с нашего компьютера скорее всего спам-ботом по UDP (но найти файл не смогли) на американский хостинг 216.65.53.36 порт 985. После "перекрытия потока обмена данными" на циске бот стал хаотично сканировать порты этого же айпи пытался опять заспамить по udp (думаем, загрузка из-за него).
-
перезагрузитесь, сделайте новые логи
-
-
Junior Member
- Вес репутации
- 52
Карантин выслал, готовлю логи повторного сканирования после ребута. Загрузка Цп вроде упала.
Добавил логи.
Последний раз редактировалось Dovgan; 06.10.2010 в 10:04.
Причина: добавил логи
-
Плохого не видно
Установите Internet Explorer 8 (даже если им не пользуетесь)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Спасибо огромное за помощь!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 9
- В ходе лечения вредоносные программы в карантинах не обнаружены
-