svhost грузит систему на 100%

**Sergey Kolov** · 05.04.2017, 10:22

Здравствуйте, поселился процесс svhost.exe от SYSTEM, который грузит систему на 100-98 процентов. В принципе, удаляется из диспетчера, но система всё равно тормозит. Появилась программа CodeMaster, хотя я её не устанавливал (уже удалил и подчистил реестр). Autologger от имени Администратора не удалось запустить (ссылается на недопустимость паролей или групповой политики, хотя я единственный пользователь ПК и никаких паролей на учётную запись Админа не выставлял).
Прошу Вашей помощи, логии прицепляю.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 05.04.2017, 10:23

Уважаемый(ая) Sergey Kolov, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**lex0819** · 06.04.2017, 23:32

Уточните, вы сами настраивали DNS сервера?
DNS - 1: 89.250.80.19
DNS - 2: 89.250.80.4

Пофиксите в HiJackThis.

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://xinjunshi.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://xinjunshi.com
O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)
O23 - Service S2: mrupdsrv - (no file)

Выполните скрипт AVZ.

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 StopService('TAOKernelDriver');
 SetServiceStart('TAOKernelDriver', 4);
 DeleteService('TAOKernelDriver');
 StopService('TAOFrame');
 SetServiceStart('TAOFrame', 4);
 DeleteService('TAOFrame');
 StopService('QQPCRTP');
 SetServiceStart('QQPCRTP', 4);
 DeleteService('QQPCRTP');
 StopService('mrupdsrv');
 SetServiceStart('mrupdsrv', 4);
 DeleteService('mrupdsrv');
 QuarantineFile('C:\WINDOWS\system32\XPSViewer\XPSViewer.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\TAOKernelXP.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\TAOFrame.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\TAOKernelXP.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\QQPCRTP.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\mrupdsrv.sys','');
 DelCLSID('{CBDECEF7-7A29-4cbf-A009-2673D82C7BF9}');
 DelCLSID('{63332668-8CE1-445D-A5EE-25929176714E}');
 DeleteFile('C:\WINDOWS\System32\Drivers\TAOKernelXP.sys','32');
 DeleteFile('C:\WINDOWS\System32\Drivers\TAOFrame.sys','32');
 DeleteFile('C:\WINDOWS\system32\Drivers\TAOKernelXP.sys','32');
 DeleteFile('C:\WINDOWS\System32\Drivers\mrupdsrv.sys','32');
 DeleteFile('C:\WINDOWS\System32\Drivers\QQPCRTP.sys','32');
 // DeleteFile('C:\WINDOWS\system32\XPSViewer\XPSViewer.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\MailRuUpdater.job','32');
 DeleteFile('C:\Documents and Settings\Sergius\Local Settings\Application Data\Mail.Ru\MailRuUpdater.exe','32');
 DeleteFile('C:\Documents and Settings\Sergius\Application Data\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk','32');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteWizard('TSW',2,3,true);
ExecuteWizard('SCU',2,2,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните скрипт AVZ.

Код:

begin
 CreateQurantineArchive(GetAVZDirectory +'quarantine.zip');
end.

Пришлите архив карантина из папки AVZ.

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
* Распакуйте архив с утилитой в отдельную папку.
* Перенесите файл Check_Browsers_LNK.log из логов на ClearLNK как показано на рисунке

* Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
* Прикрепите этот отчет к своему следующему сообщению.

Сделайте лог утилитой Gmer и пришлите его.

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Сделайте новые логи программой Autologger и пришлите их.

**Sergey Kolov** · 10.04.2017, 11:07

Здравствуйте, спасибо за потраченное время!
DNS я не прописывал, в протоколе интернета стоит автоматическое получение DNS.
Сделал все процедуры, однако SVCHOST, зараза, висит в диспетчере.
Логи во вложении.
Спасибо!

- - - - -Добавлено - - - - -

Посмотрел на этот svchost через Process Explorer. Там через path C:WINDOWS\system 32
wauclt.exe грузит на 100% "C:\WINDOWS\system32\wuauclt.exe" /RunStoreAsComServer Local\[3dc]..... и т.д.
Такое впечатление, что он обновления винды скачивает.

**lex0819** · 10.04.2017, 13:03

Обратите, что у на Вашем ПК не запущена служба.
Не работает файервол.

Код:

ATTENTION: => Could not perform signature verification. Cryptographic Service is not running.
sharedaccess => Firewall Service is not running.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
Winlogon\Notify\WgaLogon: 
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
Tcpip\Parameters: [DhcpNameServer] 89.250.80.19 89.250.80.4
Tcpip\..\Interfaces\{893DEC03-5913-4077-B993-44A6E52666E9}: [DhcpNameServer] 89.250.80.19 89.250.80.4
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-861567501-152049171-1417001333-1004 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = 
SearchScopes: HKU\S-1-5-21-861567501-152049171-1417001333-1004 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = 
S3 TAOAccelerator; C:\WINDOWS\system32\Drivers\TAOAccelerator.sys [128608 2016-03-15] (Tencent)
C:\WINDOWS\system32\Drivers\TAOAccelerator.sys
S3 TFsFlt; C:\WINDOWS\System32\Drivers\TFsFlt.sys [150072 2016-04-06] (电脑管家)
C:\WINDOWS\System32\Drivers\TFsFlt.sys
S3 TS888; C:\WINDOWS\system32\Drivers\TS888.sys [39928 2016-04-06] (Tencent)
C:\WINDOWS\system32\Drivers\TS888.sys
R1 TSDefenseBt; C:\WINDOWS\System32\DRIVERS\TSDefenseBt.sys [14008 2016-04-06] (Tencent)
C:\WINDOWS\System32\DRIVERS\TSDefenseBt.sys
R0 TsFltMgr; C:\WINDOWS\System32\drivers\TsFltMgr.sys [128280 2016-01-14] (电脑管家)
C:\WINDOWS\System32\drivers\TsFltMgr.sys
S3 TSSK; C:\WINDOWS\System32\tssk.sys [67896 2016-04-06] (电脑管家)
C:\WINDOWS\System32\tssk.sys
S4 IntelIde; no ImagePath
S1 QMUdisk; no ImagePath
S1 QQPCHelper; no ImagePath
S2 QQSysMon; no ImagePath
S1 softaal; no ImagePath
S1 TSKSP; no ImagePath
U1 WS2IFSL; no ImagePath
AV: 电脑管家系统防护 (Enabled - Up to date) {9AAC524A-BF34-49b0-91D2-71838CBB8110}
Служба автоматического обновления программ (HKU\S-1-5-21-861567501-152049171-1417001333-1004\...\MailRuUpdater) (Version:  - ) <==== ATTENTION
C:\Documents and Settings\All Users\Application Data\TEMP
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service"
EmptyTemp:
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**Sergey Kolov** · 11.04.2017, 07:01

Спасибо за ответ!Пофиксил, лог во вложении.

**lex0819** · 11.04.2017, 14:45

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
* Распакуйте архив с утилитой в отдельную папку.
* Перенесите файл Check_Browsers_LNK.log из ПОСЛЕДНИХ ПРИСЛАННЫХ логов на ClearLNK как показано на рисунке

* Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
* Прикрепите этот отчет к своему следующему сообщению.

Проблема по прежнему остается?

По логам svchost.exe запускается у вас только со Службой драйверов Микрософт

Код:

R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; %SystemRoot%\system32\svchost.exe -k WudfServiceGroup;"ServiceDll"=%SystemRoot%\System32\WUDFSvc.dll

и с ПО от Hewlett-Pacard

Код:

S3 hpqcxs08;hpqcxs08; %SystemRoot%\system32\svchost.exe -k hpdevmgmt;"ServiceDll"=C:\Program Files\HP\Digital Imaging\bin\hpqcxs08.dll

Обратите внимание, - у вас устаревшая ОС x32 Windows XP, с устаревшим Internet Explorer: 7.0., - это сильно повышает риск заражения, масса уязвимостей для современных зловредов.

svhost грузит систему на 100% (заявка № 210891)

Опции темы