svchost съедает 100% ЦПУ

Printable View

23.08.2010, 05:03
5tek5

svchost съедает 100% ЦПУ

здравствуйте.
svchost съедает 100% ЦПУ. [B]не дает зайти в безопасном режиме[/B], выключает компьютер на стадии загрузки системы. Синие экраны смерти :furious3:

прошу помощи.
23.08.2010, 05:55
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL] [B][COLOR="Blue"]в безопасном режиме[/COLOR][/B]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\myokent.dll','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\updpxe32.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\aec.sys','');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\updpxe32.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([B]virusinfo_syscheck.zip[/B]; [B]hijackthis.log[/B])
23.08.2010, 07:41
5tek5

спасибо за отклик.

логи сделал. карантин отправил.[CODE]Результат загрузкиФайл сохранён как 100823_073607_quarantine_4c71eca713049.zip
Размер файла 755571
MD5 efebb32be88e5889b4196e3e6537c5e2

Файл закачан, спасибо![/CODE]

пока система так же грузится на 100%

порой появляется процесс System, который грузит проц на 100%

*но теперь индикатор загрузки ЦП в трее прыгает от минимального до макс значения
23.08.2010, 08:02
polword

- Замените файл C:\WINDOWS\system32\drivers\aec.sys на чистый из [URL="http://virusinfo.info/showthread.php?t=51654"]дистрибутива[/URL].

- Сделайте повторный лог [B]virusinfo_syscheck.zip[/B]
23.08.2010, 09:58
5tek5

файл. заменил. логи прикрепил.

*все равно грзит проц(
23.08.2010, 10:13
polword

- сделайте лог virusinfo_syscure.zip в нормальном режиме
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][B]MBAM[/B][/URL]
23.08.2010, 11:52
5tek5

готово.
23.08.2010, 12:25
polword

- [URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]удалите[/URL] в [B]MBAM[/B]
[CODE]
Зараженные файлы:
C:\Documents and Settings\Admin\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
[/CODE]
В остальном подозрительного нет.

- Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.

- Проведите процедуру, которая описана в первом сообщении [URL="http://virusinfo.info/showthread.php?t=3519"]тут[/URL]
23.08.2010, 13:27
5tek5

скрипт обнаружил 5 уязвимостей. скачал 4 обновления и переустановил java.

перепроверил - скрипт ничего не находит. вроде бы и загрузка цп упала.

архив с файлами загрузил [CODE]Результат загрузкиФайл сохранён как 100823_132112_virusinfo_files_MICROSOF-2A2371_4c723d889370a.zip
Размер файла 9454739
MD5 6fb975cf86892ef5f2d0c74ed4f25a67

Файл закачан, спасибо![/CODE]

спасибо за все. что посоветуете для предохранения от подобный недугов?
и стоит ли сейчас переустановить систему?
23.08.2010, 13:45
polword

[QUOTE=5tek5;693135]что посоветуете для предохранения от подобный недугов?[/QUOTE]
можно посмотреть [URL="http://virusinfo.info/showthread.php?t=30339"] тут[/URL]
[QUOTE=5tek5;693135]и стоит ли сейчас переустановить систему?[/QUOTE]
зачем, если все работает. Хотя если хотите потренироваться и есть лишнее время, все в Ваших руках :)

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE]Архив 100823_132112_virusinfo_files_MICROSOF-2A2371_4c723d889370a.zip, загружен 23.08.2010 13:30:38, размер 9454739 байт
Всего файлов: 38 (исполняемых 37), из них:
зловреды или опасные объекты: 0
подозрительные: 0
занесены в базу безопасных AVZ: 0
В очереди на добавление в базу безопасных:
высокий приоритет: 36
обычный приоритет: 2[/QUOTE]
чисто
24.08.2010, 13:45
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\admin\\главное меню\\программы\\автозагрузка\\updpxe32.exe - [B]Trojan-PSW.Win32.LdPinch.aotx[/B] ( DrWEB: Trojan.Botnetlog.510, BitDefender: Gen:Variant.Ursnif.20, AVAST4: Win32:Ursnif-D [Spy] )[*] c:\\windows\\system32\\drivers\\aec.sys - [B]Rootkit.Win32.Agent.biiu[/B] ( DrWEB: Trojan.Packed.20819, BitDefender: Rootkit.40832, NOD32: Win32/Bubnix.AU trojan, AVAST4: Win32:Bubnix-J [Rtk] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]