svchost.exe загружает 50% ЦП :(

[Шапельский Александр]

Пожалуйста.

[ChesteRwOw]

Чеерт... сегодня включаю компьютер, запускаю браузер, чувствую что тормозит, открываю диспетчер задач, а там... снова этот svchost.exe с прежней нагрузкой 50%. Если честно, у меня уже мораль начинает падать, что я никогда не избавлюсь от этой проблемы, уж очень не хочется мне переустанавливать винду. Вобщем я подумал, может лог mbam не совсем чистый, так как там были обнаружены зараженные объекты, или же проблема возникает из-за автообновления, оно у меня включено, а видел, что советую выключать, для предотвращение подобной проблемы. Вобщем я уже не знаю... фух... вот новые логи:
Вложение 224901
Вложение 224902
Вложение 224903

[thyrex]

Делайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1

[ChesteRwOw]

Эмм... в общем скачал программу, запустил, согласился (кажется с лицензионным соглашением)), пару раз выскочило окно, нажал "Ок", компьютер перезагрузился, после чего запустилась консоль программы, не знаю дождался ли я окончания сканирования или нет, но как я заметил 30 минут в консоле не было никаких изменений, поэтому отключил её, перезагрузил компьютер. На диске С появился ярлык (кажется) ComboFix, размером 15 мб и при нажатии на который открывается "Мой компьютер", а так же папка Qoobox, собственно вот она и её содержимое:
Вложение 224937
Так же возникло вот что, при загрузке ОС, перед появлением окна с вводом пароля появляется какое-то окно с иероглифами, нажимаю "Ок" внизу и появляется само окно ввода пароль. Вот собственно и все, не знаю так я сделал или нет, если нет, то попровьте

[thyrex]

Вообще-то нужен файл C:\ComboFix.txt

[ChesteRwOw]

Я понимаю, что нужен этот файл, но как видете его нет, я описал ход своих действий, они вообще похожи на верный вариант, или я что-то упустил? Может быть я рано закрыл программу, хотя на мой вгляд она уже все выполнила...

[thyrex]

Запустите ComboFix на выполнение еще раз

[ChesteRwOw]

Я так и не понял, по окончанию сканирования программа сама закрывается или же необходимо это самому делать?

[thyrex]

Сама должна закрываться

[ChesteRwOw]

При включении программы выдало ошибку:

программа все равно запустилась, произвел сканирование, вот собственно сам лог:
Вложение 225154
После сканирования появились такие папки как:
С:\$AVG8.VAULT$
С:\AHCache
С:\Qoobox
И файлы:
С:\Boot.bak
С:\cmldr
Это все необходимо?

[thyrex]

Что сейчас с проблемой?

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\windows\system32\config\systemprofile\Application Data\jasltw.dat
c:\documents and settings\LocalService\Application Data\iromjf.dat
c:\documents and settings\LocalService\Application Data\jasltw.dat
c:\windows\system32\config\systemprofile\Application Data\iromjf.dat
c:\windows\system32\config\systemprofile\Application Data\bcnfoy.dat
c:\windows\system32\config\systemprofile\Application Data\xucwmb.dat
c:\documents and settings\LocalService\Application Data\zxcdyt.dat
c:\windows\system32\config\systemprofile\Application Data\zxcdyt.dat
c:\windows\system32\config\systemprofile\Application Data\rbuwzv.dat
c:\documents and settings\LocalService\Application Data\rbuwzv.dat

Driver::

Folder::

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[ChesteRwOw]

Проблема кажется исчезла, хотя я уже сомневаюсь что навсегда, вот новый лог:
Вложение 225197

[thyrex]

Удалите ComboFix

[ChesteRwOw]

thyrex, ваша ссылка на лог ComboFix, про удаление там ничего нет. И еще, хотелось бы получить ответ на ранее поставленный вопрос:

После сканирования появились такие папки как:
С:\$AVG8.VAULT$
С:\AHCache
С:\Qoobox
D:\$AVG8.VAULT$ (размером 678 мб, и файлами с расширешием "FIL")
И файлы:
С:\Boot.bak
С:\cmldr
Это все необходимо?

[thyrex]

Да, ошибка со сылкой. Вот верная

С:\Qoobox
С:\Boot.bak
С:\cmldr

Должны исчезнуть после удаления утилиты

С:\$AVG8.VAULT$
С:\AHCache
D:\$AVG8.VAULT$ (размером 678 мб, и файлами с расширешием "FIL")

От online-сканера. Вам виднее откуда он у Вас
Пробуйте удалять вручную

[ChesteRwOw]

Должны исчезнуть после удаления утилиты

не исчезли, удалил в ручную

От online-сканера. Вам виднее откуда он у Вас
Пробуйте удалять вручную

Хм... никакими онлайн сканерами никогда не пользовался. Удалил папки в ручную, надеюсь это не повлияет на работу системы

Перед перезагрузкой системы заметил вот что: не запускался ряд программ, например скаченная OTCleanIt, не выполнялось действие Combofix /Uninstall. Открыл диспетчер задач, заметил что висят 2 процесса Касперского (avp.exe), один от пользователя, другой системный. Один из них грузил 50% ЦП. Сразу понял что червяк. Выполнил стандартные скрипты п. 1-3 правил, перезагрузил компьютер, нагрузка исчезла, но по прежнему висят 2 процесса avp.exe. Будьте добры, посмотрите новые логи:
Вложение 225298
Вложение 225299
Вложение 225300

PS. Понимаю, что уже надоел со своими проблемами, но я сам не особо этому радуюсь. Думаю, может версия Касперского старая, поэтому с легкостью пропускает червяков

[thyrex]

Версия антивируса безусловно устаревшая

Выполните скрипт в AVZ

Код:

begin
DeleteService('nod32drv');
 DeleteFile('C:\WINDOWS\system32\drivers\nod32drv.sys');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

Удалите другие остатки NOD с помощью утилит с сайта разработчика

Сделайте новые логи

[ChesteRwOw]

Версия антивируса безусловно устаревшая

А какую посоветуете?
Скрипт выполнил, вот новые логи:
Вложение 225360
Вложение 225361
Вложение 225362

[thyrex]

Что сейчас с проблемой?

Каким антивирусом пользоваться, решать Вам. Я пользуюсь KIS 2010

[ChesteRwOw]

Проблемы нет, надеюсь и не будет. Спасибо)