-
Junior Member
- Вес репутации
- 59
svchost.exe грузит процессор до 100%
При подключении к Интернету появляется процесс svchost.exe, который загружает процессор на 100%. В папке автозапуска периодически появлятся sis???.exe (не помню точно название), которое сегодня удалил CureIT от сегодняшней даты, запущенный в соответствие с вашими рекомендациями в защищенном режиме пунктом 1.
В свойствах этого процесса (когда подсоединение с интернетом есть) TCP/IP :
LocalAddress - нашкомп
Remote Address - 91.215.156.74 close wait
Строка пропадает, когда отсоединяюсь от Интернета, но загрузка процессора на 100% остается.
Требуемые логи прилагаю.
Заранее спасибо
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\114336ce.sys','');
DeleteService('114336ce');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winrw28.sys','');
DeleteService('Winrw28');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrw28.sys');
DeleteFile('C:\WINDOWS\System32\drivers\114336ce.sys');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам
Сделайте новые логи + лог GMER (ссылка в моей подписи)
-
-
Junior Member
- Вес репутации
- 59
-
Выполните скрипт в AVZ:
Код:
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.
Прикрепите файл fystemroot.log
-
-
Junior Member
- Вес репутации
- 59
-
Теперь все в порядке. Проблема решена?
-
-
Junior Member
- Вес репутации
- 59
"шо, всЁ"????
и можно вернуть восстановление системы?
Надеюсь, что решена
Спасибо огромное!
Всяческих Вам успехов!
А Ваши рекомендации по профилактике где-то почитать можно?
Последний раз редактировалось Tata_N; 18.12.2009 в 23:03.
Причина: добавлено сообщение
-
Если проблемы решены, то все. В таком случае восстановление можно включать
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения вредоносные программы в карантинах не обнаружены
-
