svchost.exe съедает весь процессор

Printable View

22.06.2011, 13:20
хороший человек

svchost.exe съедает весь процессор

помогите пожалуйста(((
22.06.2011, 13:21
Info_bot

Уважаемый(ая) [B]хороший человек[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/donate/"]поддержите проект[/URL].
22.06.2011, 14:50
Acidorum

Здравствуйте.
Отключите:
-ПК от интернета
-Все защитные приложения
Выполните скрипт в AVZ:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('FileSystem.exe','');
QuarantineFile('C:\Program Files\Common Files\Adobe\rdrcsv.exe','');
QuarantineFile('C:\Program Files\Common Files\msdao23.tlc','');
DeleteFile('C:\Program Files\Common Files\msdao23.tlc');
DeleteFile('FileSystem.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VistaIcon');
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "[B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B]" наверху темы).
Сделайте повторные логи.
22.06.2011, 21:39
хороший человек

по хоже не помогло((
22.06.2011, 22:04
Acidorum

Выполните скрипт в AVZ:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\program files\common files\adobe\rdrcsv.exe');
DeleteFile('c:\program files\common files\adobe\rdrcsv.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rdrcsv.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Сделайте повторные логи.
22.06.2011, 22:31
хороший человек

вот
22.06.2011, 22:33
Acidorum

Сами в Автозагрузку поставили?
[CODE]C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\igfxtray.exe[/CODE]
В остальном вроде всех перебили.:)
22.06.2011, 23:36
хороший человек

[B]hedgars[/B], спасибо большое вы супер)))
22.06.2011, 23:38
Acidorum

Однако, на вопрос-то ответьте.:)
[QUOTE='hedgars;801164']Сами в Автозагрузку поставили?[/QUOTE]
Это странное место для запуска интеловской утилиты, что вызывает у меня подозрения.
23.06.2011, 00:35
хороший человек

[B]hedgars[/B]
сам не добавлял пользуюсь WinTools.net Professional
до этого был Trojan.Win32.Ddox.ci
23.06.2011, 12:55
Acidorum

Хорошо, тогда попробуем взять его на анализ.
Выполните скрипт в AVZ:
[CODE]begin
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\igfxtray.exe', '');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/CODE]
омпьютер перезагрузится.
Затем выполните ещё один скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "[B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B]" наверху темы).
24.06.2011, 22:17
Acidorum

Таки да, мои сомнения подтвердились.
[QUOTE]C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\igfxtray.exe -> размер=235520, детект=Trojan-Spy.Win32.Carberp.abl, тема 104137[/QUOTE]
Выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\igfxtray.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
Сделайте повторные логи.
[B][COLOR="Red"]Смените все пароли.[/COLOR][/B]
27.06.2011, 14:20
хороший человек

[B]hedgars[/B], как этот троян мог попасть в систему?
27.06.2011, 16:04
Acidorum

С помощью его друзей, которых прибили выше.:)
27.06.2011, 16:50
Bratez

[B]хороший человек[/B],
[QUOTE='hedgars;802258']Сделайте повторные логи.[/QUOTE]! :)
27.06.2011, 19:10
хороший человек

вот
27.06.2011, 19:30
polword

плохого не видно
28.06.2011, 19:30
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\admin\\главное меню\\программы\\автозагрузка\\igfxtray.exe - [B]Trojan-Spy.Win32.Carberp.abl[/B] ( DrWEB: Trojan.DownLoader3.32373, BitDefender: Gen:Variant.Kazy.25472, AVAST4: Win32:Carberp2 [Trj] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]