-
Junior Member
- Вес репутации
- 52
Загрузка процессора на 100% после выхода в Интернет
Здравствуйте!
У меня ситуация, похожая на обсуждавшуюся вот в этой теме:
http://virusinfo.info/showthread.php?t=59720
При запуске компьютера и работе вне сети всё нормально. Как только подключаюсь к Интернету, один из процессов svсhost.exe (svchost -k DcomLaunch) зажирает 100% производительности процессора. Проверка Process Explorer'ом (вкладка Threads) показала, что виноват некий поток со стартовым адресом kernel32.dll!CreateThread+0x22. Если его отрубить, то система не падает (в отличие от случая вырубания процесса svchost.exe целиком).
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\wwwpos32.exe','');
QuarantineFile('C:\WINDOWS\system32\rwkv.buo','');
DeleteFile('C:\WINDOWS\system32\rwkv.buo');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\wwwpos32.exe');
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(16);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 52
После опубликования предыдущих логов и до запуска скрипта появилась новая проблема: компьютер стал очень медленно грузиться (минут десять, не меньше), всё это время в трее не появляется значок сетевого подключения, процесс services.exe зажирает процессорную мощность и память. При этом иногда возникает сообщение о нехватке виртуальной памяти, ошибка чтения памяти либо ошибка приложения. После этого наконец появляется значок подключения и компьютер начинает работать по-человечески. Попытка сразу после загрузки Windows отрубить поток (thread), потребляющий память, через Process Explorer, приводит к невозможности дальнейшего подключения к Интернету.
Ещё обнаружил, что оказались заблокированы антивирусные сайты, в том числе и ваш (это сообщение пишу с рабочего компьютера).
Единственное действие, которое я за это время производил - обновлял Авиру до девятой версии (похоже, что для этого я выбрал весьма неподходящий момент). После возникновения вышеуказанных проблем я её удалил, но оказалось, что проблема не в ней.
Ваш скрипт запустил, ww2pos.exe действительно оказался трояном. Из автозагрузки он удалился, проблем с svchost.exe вроде пока нет.
Логи прилагаю. Карантин отправил с помощью соответствующей ссылки.
Последний раз редактировалось Putnik8x; 11.02.2010 в 11:26.
-
профиксить:
Код:
F2 - REG:system.ini: UserInit=userinit.exe,\\?\globalroot\systemroot\system32\38luF2a.exe,C:\WINDOWS\system32\services.exe,\\?\globalroot\systemroot\system32\5azmYJh.exe,
выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\\?\globalroot\systemroot\system32\5azmYJh.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\38luF2a.exe','');
QuarantineFile('C:\cleansweep.exe\cleansweep.exe','');
DeleteFile('\\?\globalroot\systemroot\system32\38luF2a.exe');
DeleteFile('\\?\globalroot\systemroot\system32\5azmYJh.exe');
executerepair(13);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторить логи
Прислать карантин по Правилам.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
Сделал. К сожалению, все симптомы, упомянутые в предыдущем сообщении, сохранились
Карантин высылаю, лог прилагаю.
-
в логах ничего зловредного ... установка сп3 + всех последующих обновлений должна решить проблему
-
-
Junior Member
- Вес репутации
- 52
Проблема в том, что у меня на Винде заблокированы обновлений. Такой вот странный дистрибутив...
А нельзя как-нибудь проще проблему решить? И из-за чего это вообще может происходить? Недавно же всё нормально было... А сейчас работать невозможно.
-
Обновления при желании, если система обновлений не до конца удалена, то можно
разблокировать.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
Ну а если "в лоб" запустить SP3 отдельным файлом? Там же начнутся проблемы с активацией наверняка? И придётся в итоге Винду сносить
Хорошо бы всё-таки решить проблему меньшей кровью. Неужто нельзя починить services.exe?
-
без обновлений вы с нетом работать не сможете ...
-
-
Junior Member
- Вес репутации
- 52
Так в том-то и юмор, что сейчас я с Интернетом прекрасно работаю... ну, не совсем прекрасно, так как антивирусные сайты по-прежнему заблокированы (кстати, как это вяжется с тем, что вирусов у меня в системе не обнаружено?) А если ставить SP3... Возможно, это закончится полной переустановкой Винды, если возникнут проблемы с активацией. И главное ведь в том, что может не помочь...
-
Junior Member
- Вес репутации
- 52
Вот! Прорвался к вам из дома после прогонки CureIt'ом. Он говорит, что файл HOSTS изменён, и чинит его. Доступ к антивирусным сайтам восстанавливается. А после перезагрузки всё опять как было. Отсюда следует несомненный вывод: на компьютере есть вирус, несмотря на то, что в логах, как вы сказали, ничего зловредного.
Надеюсь на помощь.
-
вам же говорят установите обновления иначе лечение будет бесконечным ...
-
-
Junior Member
- Вес репутации
- 52
Ладно, вопрос снимаю. Прошу прощения за беспокойство.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\cleansweep.exe\cleansweep.exe - Trojan.Win32.SpyEyes.b ( DrWEB: Trojan.Dialer.11, BitDefender: Trojan.Generic.3102763, NOD32: Win32/Spy.SpyEye.B trojan, AVAST4: Win32:Spyware-gen [Spy] )
- c:\documents and settings\admin\главное меню\программы\автозагрузка\wwwpos32.exe - Trojan.Win32.Agent.dfzy ( DrWEB: Trojan.Packed.19647, BitDefender: Gen:Heur.Krypt.cq0@aaDiwrbc, AVAST4: Win32:Bredolab-BR [Trj] )
- \\?\globalroot\systemroot\system32\38luf2a.exe - Trojan-Dropper.Win32.Agent.bmcm ( DrWEB: Trojan.Packed.19720, BitDefender: Trojan.Generic.3039282, NOD32: Win32/Spy.Shiz.NAE trojan, AVAST4: Win32:Spyware-gen [Spy] )
- \\?\globalroot\systemroot\system32\5azmyjh.exe - Trojan-Dropper.Win32.Agent.bmby ( DrWEB: Trojan.Packed.19720, BitDefender: Trojan.Generic.3071946, AVAST4: Win32:Malware-gen )
-