svchost.exe

Здравсвуйте , у меня есть очень большая проблемма , процесс svchost.exe порою жрёт под 100% цп , и комп адско тормозит! и нужно перезагружать компьютер , если выключить процесс , интернет отключится , и его невозможно будет включить ( нужно перезагружать компьютер ) если выключить процесс зарание до включения интернета , то не будет звука , и панель пуска станет стандартной , (непойму что это такое) а еще есть подозрительные файлы в system32 с названием 1.exe 10.exe 20.exe 3.exe 4.exe 1D.exe ( это только пример ) и порою они включаются в диспетчере на пару секунд и пожирают до 70% цп , после этого запускается процесс aadrive32.exe , а еще есть подозрительные процессы : iexplore.exe , jodrive32.exe порою пожирают до 50%цп.

Уважаемый(ая) [B]дмитриевич Дмитрий[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Dimon\dwvcwj.exe','');
QuarantineFile('C:\WINDOWS\jodrive32.exe','');
QuarantineFile('C:\WINDOWS\aadrive32.exe','');
QuarantineFile('C:\WINDOWS\system32\81.exe','');
QuarantineFile('C:\WINDOWS\system32\77.exe','');
QuarantineFile('C:\WINDOWS\system32\34.exe','');
QuarantineFile('C:\WINDOWS\system32\25.exe','');
QuarantineFile('C:\WINDOWS\system32\24.exe','');
QuarantineFile('C:\WINDOWS\system32\ac32.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-9850\kswor50y.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-9813\kswor98y.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1858\kswor18y.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1457\system.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0953\klmqm122y.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0172\kmixm122y.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0122\k344m122y.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0113\kswor122y.exe','');
QuarantineFile('c:\documents and settings\dimon\application data\8d.tmp','');
TerminateProcessByName('c:\documents and settings\dimon\application data\8d.tmp');
QuarantineFile('c:\windows\jodrive32.exe','');
TerminateProcessByName('c:\windows\jodrive32.exe');
QuarantineFile('c:\windows\cdpi.exe','');
TerminateProcessByName('c:\windows\cdpi.exe');
QuarantineFile('c:\windows\system32\ac32.exe','');
TerminateProcessByName('c:\windows\system32\ac32.exe');
DeleteFile('c:\windows\system32\ac32.exe');
DeleteFile('c:\windows\cdpi.exe');
DeleteFile('c:\windows\jodrive32.exe');
DeleteFile('c:\documents and settings\dimon\application data\8d.tmp');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0113\kswor122y.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kswor122y');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0122\k344m122y.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','k344m122y');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0172\kmixm122y.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kmix122y');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0953\klmqm122y.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','klmq122y');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1457\system.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Teswf');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1858\kswor18y.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kswor18y');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-9813\kswor98y.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kswor98y');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-9850\kswor50y.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kswor50y');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ac32');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
DeleteFile('C:\WINDOWS\system32\ac32.exe');
DeleteFile('C:\WINDOWS\system32\24.exe');
DeleteFile('C:\WINDOWS\system32\25.exe');
DeleteFile('C:\WINDOWS\system32\34.exe');
DeleteFile('C:\WINDOWS\system32\77.exe');
DeleteFile('C:\WINDOWS\aadrive32.exe');
DeleteFile('C:\WINDOWS\ghdrive32.exe');
DeleteFile('C:\WINDOWS\jodrive32.exe');
DeleteFile('C:\Documents and Settings\Dimon\dwvcwj.exe');
BC_ImportAll;
ExecuteSysClean;
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
Executerepair(11);
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

Сделайте лог МВАМ

Разобрался , не могу скачать программу MBAM , не заходит на сайт , так же не могу зайти на сайт касперского , не могу качать файлы с сайта microsoft.com , туда заходит но нечего не качает , раньше и сюда не заходило , воспользовался kidoKillerОМ , теперь заходит , и не заходило на NOD32 , но сейчас заходит , незнаю даже что делать , я думал это только из за кидо , но оказывается нет.

Делайте логи АВЗ и Хиджака

вот логи сделал.

Выполните скрипт
[CODE]begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\81.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-6883\dfe.exe','');
QuarantineFile('C:\Documents and Settings\Dimon\Application Data\5D.tmp','');
QuarantineFile('C:\WINDOWS\system\lsass.exe','');
QuarantineFile('C:\WINDOWS\system32\ac32.exe','');
QuarantineFile('C:\WINDOWS\jodrive32.exe','');
QuarantineFile('C:\Documents and Settings\Dimon\Application Data\Attktk.exe','');
QuarantineFile('C:\Documents and Settings\Dimon\Application Data\Gvtktq.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('c:\windows\jodrive32.exe','');
TerminateProcessByName('c:\windows\jodrive32.exe');
QuarantineFile('c:\windows\system32\ac32.exe','');
TerminateProcessByName('c:\windows\system32\ac32.exe');
DeleteFile('c:\windows\system32\ac32.exe');
DeleteFile('c:\windows\jodrive32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
DeleteFile('C:\Documents and Settings\Dimon\Application Data\Gvtktq.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Gvtktq');
DeleteFile('C:\Documents and Settings\Dimon\Application Data\Attktk.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Attktk');
DeleteFile('C:\WINDOWS\jodrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Config Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup');
DeleteFile('C:\WINDOWS\system32\ac32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ac32');
DeleteFile('C:\WINDOWS\system\lsass.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ilasss');
DeleteFile('C:\Documents and Settings\Dimon\Application Data\5D.tmp');
DeleteFilemask('C:\Documents and Settings\Dimon\Application Data','??.tmp',false);
DeleteFile('C:\WINDOWS\system32\81.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]Закачайте карантин, делайте новые логи.

вот , посмотрел лог хиджека , там у меня процесс wmagent.exe , странно , никаких вебмани агентов я не устанавливал;)

C:\Program Files\WebMoney Agent\wmagent.exe--странно, судя по логу установлен. Удалите, если не нужен.

Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Dimon\Application Data\80E.tmp');
DeleteFilemask('C:\Documents and Settings\Dimon\Application Data','*.tmp',false);
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-6883\dfe.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE] Что сейчас с проблемой?

да вроде всё ! , спасибо , не известных мне процессов нету , да и еще , знаете , у меня 2 проблемки :> после запуска Windows ДО приветсвия ,у меня на чёрном фоне , появляется окно Windows , и в вверху написано C:programm files .. crupt32.exe (Как то так ) и горит кнопка(ОК) её нажимаеш , и загружает Windows , а еще , на раб столе , у всех файлов указано расширение , например , музыка.mp3 , и при переименовании файла музыки и тд и тп , если не дописать его расширение , То файл становится каким то другим файлом.

Сделайте лог МВАМ и сделайте лог TDSSkiller--[URL="http://support.kaspersky.ru/faq/?qid=208636926"]http://support.kaspersky.ru/faq/?qid=208636926[/URL] TDSSkiller запустите из командной строки с параметром [B]-qmbr[/B]

вот лог MBAM , не понял как запустить TDSSkiller через коммандную строку:> , в описании ничего не написано

Удаляйте все, что нашел МВАМ, сделайте новый лог МВАМ

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]99[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\dimon\\application data\\attktk.exe - [B]Backdoor.Win32.Ruskill.anu[/B] ( DrWEB: Win32.HLLW.Autoruner.17766, BitDefender: Trojan.Generic.KDV.316739, NOD32: Win32/Dorkbot.A worm, AVAST4: Win32:Kolab-JO [Trj] )[*] c:\\documents and settings\\dimon\\application data\\gvtktq.exe - [B]Backdoor.Win32.Ruskill.akq[/B] ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.KD.368992, AVAST4: Win32:Kolab-JO [Trj] )[*] c:\\documents and settings\\dimon\\application data\\5d.tmp - [B]Trojan-Downloader.Win32.Genome.cjwq[/B] ( DrWEB: Trojan.DownLoader3.36983, BitDefender: Trojan.Generic.KDV.260229, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\\documents and settings\\dimon\\application data\\8d.tmp - [B]Net-Worm.Win32.Kolab.aomv[/B] ( DrWEB: Trojan.Packed.21854, BitDefender: Trojan.Generic.6610518 )[*] c:\\documents and settings\\dimon\\dwvcwj.exe - [B]Trojan.Win32.Midgare.ayvj[/B] ( DrWEB: Win32.HLLW.Recycler.6, BitDefender: Trojan.Generic.KDV.315446, AVAST4: Win32:Kolab-JO [Trj] )[*] c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\acleaner.exe - [B]Backdoor.Win32.IRCBot.umc[/B] ( DrWEB: Win32.HLLW.Autoruner.17766, BitDefender: Trojan.Generic.6476804, AVAST4: Win32:Kolab-JO [Trj] )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-0113\\kswor122y.exe - [B]Trojan.Win32.Midgare.aywg[/B] ( DrWEB: Win32.HLLW.Autoruner.17766, BitDefender: Trojan.Generic.KD.317558, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Kolab-JO [Trj] )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-0122\\k344m122y.exe - [B]Trojan.Win32.Midgare.ayvy[/B] ( DrWEB: Win32.HLLW.Autoruner.17766, BitDefender: Trojan.Generic.KD.317558, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Kolab-JO [Trj] )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-0172\\kmixm122y.exe - [B]Trojan.Win32.Midgare.ayvt[/B] ( DrWEB: Win32.HLLW.Autoruner.17766, BitDefender: Trojan.Generic.KD.317558, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Kolab-JO [Trj] )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-0953\\klmqm122y.exe - [B]Trojan.Win32.Midgare.aywf[/B] ( DrWEB: Win32.HLLW.Autoruner.17766, BitDefender: Trojan.Generic.KD.317558, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Kolab-JO [Trj] )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1457\\system.exe - [B]HEUR:Hoax.Win32.SMWnd.a[/B] ( DrWEB: BackDoor.Siggen.637, BitDefender: Gen:Variant.Kazy.27929, AVAST4: Win32:FakeAV-CJB [Trj] )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1830\\zaberg.exe - [B]Backdoor.Win32.Ruskill.apz[/B] ( DrWEB: Win32.HLLW.Autoruner.17766, BitDefender: Trojan.Generic.KD.317558, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Kolab-JO [Trj] )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1858\\kswor18y.exe - [B]Trojan.Win32.Midgare.ayvu[/B] ( DrWEB: Win32.HLLW.Autoruner.17766, BitDefender: Trojan.Generic.KD.317558, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Kolab-JO [Trj] )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-6883\\dfe.exe - [B]Trojan.Win32.Midgare.ayli[/B] ( DrWEB: Trojan.Packed.21784, BitDefender: Trojan.Generic.KD.278218, AVAST4: Win32:Malware-gen )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-9813\\kswor98y.exe - [B]Trojan.Win32.Midgare.aywh[/B] ( DrWEB: Win32.HLLW.Autoruner.17766, BitDefender: Trojan.Generic.KD.317558, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Kolab-JO [Trj] )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-9850\\kswor50y.exe - [B]Backdoor.Win32.Ruskill.apz[/B] ( DrWEB: Win32.HLLW.Autoruner.17766, BitDefender: Trojan.Generic.KD.317558, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Kolab-JO [Trj] )[*] c:\\recycler\\s-1-5-21-0243936033-3052116371-381863308-1811\\vsbntlo.exe - [B]Trojan.Win32.Midgare.ayxh[/B] ( DrWEB: Win32.HLLW.Autoruner.17766, BitDefender: Trojan.Generic.KD.317558, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Kolab-JO [Trj] )[*] c:\\recycler\\s-1-5-21-0243936033-3052116371-381863308-1811\\vsbntlo.exe - [B]Backdoor.Win32.Floder.bmo[/B] ( DrWEB: Trojan.Packed.21852, BitDefender: Trojan.Generic.KDV.304762, AVAST4: Win32:Kolab-JO [Trj] )[*] c:\\windows\\aadrive32.exe - [B]Trojan.Win32.Inject.bhxj[/B] ( DrWEB: BackDoor.Siggen.33929, BitDefender: Trojan.Generic.KD.316723, AVAST4: Win32:Downloader-JNP [Trj] )[*] c:\\windows\\jodrive32.exe - [B]Net-Worm.Win32.Kolab.aomv[/B] ( DrWEB: Trojan.Packed.21854, BitDefender: Trojan.Generic.6610518 )[*] c:\\windows\\system32\\ac32.exe - [B]HEUR:Hoax.Win32.SMWnd.a[/B] ( DrWEB: Trojan.Click.64512, BitDefender: Trojan.Generic.6226675, AVAST4: Win32:FakeAV-CJB [Trj] )[*] c:\\windows\\system32\\24.exe - [B]Backdoor.Win32.IRCBot.umc[/B] ( DrWEB: Win32.HLLW.Autoruner.17766, BitDefender: Trojan.Generic.6476804, AVAST4: Win32:Kolab-JO [Trj] )[*] c:\\windows\\system32\\25.exe - [B]Trojan.Win32.Midgare.aysx[/B] ( DrWEB: Trojan.Packed.21852, BitDefender: Trojan.Generic.KDV.306971, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\34.exe - [B]Backdoor.Win32.IRCBot.umc[/B] ( DrWEB: Win32.HLLW.Autoruner.17766, BitDefender: Trojan.Generic.6476804, AVAST4: Win32:Kolab-JO [Trj] )[*] c:\\windows\\system32\\77.exe - [B]Backdoor.Win32.IRCBot.umc[/B] ( DrWEB: Win32.HLLW.Autoruner.17766, BitDefender: Trojan.Generic.6476804, AVAST4: Win32:Kolab-JO [Trj] )[*] c:\\windows\\system32\\81.exe - [B]Backdoor.Win32.IRCBot.umc[/B] ( DrWEB: Win32.HLLW.Autoruner.17766, BitDefender: Trojan.Generic.6476804, AVAST4: Win32:Kolab-JO [Trj] )[/LIST][/LIST]