svchost.exe загружает ЦП на 95% и занимает около 200 Мб памяти.

Printable View

25.02.2010, 20:45
galsi

svchost.exe загружает ЦП на 95% и занимает около 200 Мб памяти.

svchost.exe загружает ЦП на 95% и занимает около 200 Мб памяти. В итоге компьютер очень сильно тормозит и выскакивает сообщение о нехватке виртуальной памяти. Логи прилагаю.
25.02.2010, 21:01
Шапельский Александр

Здравствуйте.
Пофиксить в Hijack
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\40781391.exe,\\?\globalroot\systemroot\system32\ENQWmnu.exe,[/CODE]
Выполнить скрипт
[CODE]var
i : integer;
KeyList : TStringList;
begin
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then
begin
if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
KeyList.Free;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.[/CODE]
Затем следующий
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{B8F88615-A49E-4443-A26F-E97379BE1B1A}');
QuarantineFile('\\?\globalroot\systemroot\system32\ENQWmnu.exe','');
QuarantineFile('C:\WINDOWS\system32\40781391.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\fddaurmb.sys','');
DeleteService('mifw');
QuarantineFile('C:\WINDOWS\System32\drivers\b73287ef.sys','');
DeleteService('b73287ef');
DeleteFile('C:\WINDOWS\System32\drivers\b73287ef.sys');
DeleteFile('C:\WINDOWS\system32\drivers\fddaurmb.sys');
DeleteFile('C:\WINDOWS\system32\40781391.exe');
DeleteFile('\\?\globalroot\systemroot\system32\ENQWmnu.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
25.02.2010, 23:29
galsi

Все выполнила. Новые логи:
25.02.2010, 23:36
Шапельский Александр

Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\uspsvc.exe','');
QuarantineFile('C:\WINDOWS\system32\uscsvc.exe','');
DeleteService('USPjournal');
DeleteService('USCjournal');
DeleteFile('C:\WINDOWS\system32\uscsvc.exe');
DeleteFile('C:\WINDOWS\system32\uspsvc.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Сделайте новый лог virusinfo_syscheck.zip
25.02.2010, 23:49
galsi

Все сделала. Новый лог:
26.02.2010, 00:40
Шапельский Александр

C:\WINDOWS\system32\[B]sfcfiles.dll[/B]--этот файл отправлен на анализ. Ждем вердикта аналитиков.
В остальном, в логе чисто, что с проблемой?
26.02.2010, 00:42
galsi

На данный момент проблема пропала (уже более часа все нормально). Будем надеяться, что все теперь в порядке, и ждать результат анализа.
26.02.2010, 00:48
Шапельский Александр

[QUOTE='galsi;593970']...и ждать результат анализа.[/QUOTE]
Надеюсь, что результат анализа придет быстро.
26.02.2010, 11:20
galsi

Ну что, результат еще не пришел?
26.02.2010, 15:08
Шапельский Александр

[QUOTE=galsi;594168]Ну что, результат еще не пришел?[/QUOTE]
Похоже, что анализ затянется. Проблемы с svchost.exe больше нет?
26.02.2010, 15:40
galsi

Пока больше ничего не тормозит. svchost.exe ведет себя как положено.
27.02.2010, 20:02
galsi

Снова появилась та же проблема. Сделаю логи, пришлю.
27.02.2010, 21:56
galsi

Новые логи:
27.02.2010, 22:53
pig

Обновления безопасности на систему все установлены?
27.02.2010, 22:59
galsi

[B]pig[/B], а где это посмотреть?
27.02.2010, 23:15
pig

windowsupdate.microsoft.com к вашим услугам.
27.02.2010, 23:35
galsi

Как мне включить автоматическое обновление с учетом того, что показано на скрине?
[IMG]http://i058.radikal.ru/1002/fb/614797e00ed7.jpg[/IMG]
28.02.2010, 20:08
pig

Оно у вас как бы включено... Посмотрите состояние службы "Автоматическое обновление".
28.02.2010, 23:08
galsi

[QUOTE=pig;595664]Оно у вас как бы включено... Посмотрите состояние службы "Автоматическое обновление".[/QUOTE]

Состояние службы "Автоматическое обновление":
тип запуска - вручную
вход от имени - локальная система

Когда нажимаю "Запустить службу", выскакивает ошибка:
"Не удалось запустить службу Автоматическое обновление на Локальный компьютер.
Ошибка 2: Не удается найти указанный файл."
28.02.2010, 23:14
pig

Если свойства службы открыть - какой там исполняемый файл числится?
28.02.2010, 23:31
galsi

[QUOTE=pig;595726]Если свойства службы открыть - какой там исполняемый файл числится?[/QUOTE]

%SystemRoot%\System32\svchost.exe -k netsvcs
01.03.2010, 06:46
pig

У вас что за Windows? Сборка какая-нибудь?
01.03.2010, 10:41
galsi

Не знаю. Мне друг устанавливал пару лет назад с диска.

[IMG]http://s45.radikal.ru/i109/1003/a0/3a500674702a.jpg[/IMG]

[size="1"][color="#666686"][B][I]Добавлено через 46 минут[/I][/B][/color][/size]

Кстати, после выполнения скрипта "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" и перезагрузки проблема исчезает ненадолго.
01.03.2010, 12:48
pig

Сборка. Наверное, там специально автоматическое обновление отламывали.
01.03.2010, 19:15
galsi

Так что мне теперь делать? Лучше снести Windows и поставить нормальный?
01.03.2010, 22:25
pig

Пожалуй, да. Мало ли что ещё там отломано.
01.03.2010, 23:24
galsi

А какой Windows посоветуете? Только поточнее, пожалуйста.

P.S. Может, Windows Seven Ultimate x86 & x64 Final (rus)? Или Windows 7 Black x86 & x64 Ultimate, Professional, Enterprise (rus)? Или лучше поставить такой, какой был, что-то типа Windows XP Professional? SP3 VLK RTM RUS v.08.2008 [MultiDVD by SerG K°Group©] Final?
02.03.2010, 12:26
pig

Лучше всего - лиценионная. В крайнем случае, если денег категорически жаль, - копия с фирменного дистрибутива корпоративной версии. А Филки, Звери, Экстримы и прочие Сержи&Ко - фтопку.
03.03.2010, 12:26
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]22[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\40781391.exe - [B]Trojan.Win32.Agent2.cpbc[/B] ( DrWEB: Trojan.MulDrop.64715, AVAST4: Win32:Rootkit-gen [Rtk] )[*] \\?\globalroot\systemroot\system32\enqwmnu.exe - [B]Trojan-Dropper.Win32.Agent.bqcr[/B] ( DrWEB: Trojan.PWS.Ibank.25, BitDefender: Trojan.Generic.3227870, AVAST4: Win32:Malware-gen )[/LIST][/LIST]