процесс localservice.exe грузит ЦП на 100% [not-a-virus:RiskTool.Win32.BitCoinMiner.lrc
]
Вся проблема в общем то описана в заголовке темы.
localservice.exe грузит ЦП на 100%.
Винду только вчера поставил. Проверил в безопасном режиме утилитой CureIt, утилита нашла 1 объект и вылечила его, но проблема не исчезла. Процесс так и висит если загружать винду в обычном режиме.
У меня 64 битная винда, так что п.1 раздела "диагностика" я не выполнял следуя указаниям в инструкции, поэтому логов всего два.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) GODolubOFF, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
TerminateProcessByName('C:\Users\fantastic\AppData\Local\def64\localservice.exe');
QuarantineFile('C:\Users\fantastic\AppData\Local\localupdt.exe','');
QuarantineFile('C:\Users\fantastic\AppData\Local\def64\localservice.exe','');
DeleteFile('C:\Users\fantastic\AppData\Local\def64\localservice.exe','32');
DeleteFile('C:\Users\fantastic\AppData\Local\localupdt.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Local Update');
DeleteFileMask('C:\Users\fantastic\AppData\Local\def64', '*', true, ' ');
DeleteDirectory('C:\Users\fantastic\AppData\Local\def64');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Тип сканирования: Полное сканирование (C:\|D:\|)
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты: 435387
Времени прошло: 38 минут , 51 секунд
Обнаруженные процессы в памяти: 1
C:\Windows\kmsem\KMService.exe (Trojan.FakeAlert) -> 1864 -> Действие не было предпринято.
Обнаруженные модули в памяти: 0
(Вредоносных программ не обнаружено)
Обнаруженные ключи в реестре: 0
(Вредоносных программ не обнаружено)
Обнаруженные параметры в реестре: 0
(Вредоносных программ не обнаружено)
Объекты реестра обнаружены: 0
(Вредоносных программ не обнаружено)
Обнаруженные папки: 0
(Вредоносных программ не обнаружено)
Обнаруженные файлы: 9
C:\Windows\kmsem\KMService.exe (Trojan.FakeAlert) -> Действие не было предпринято.
C:\Program Files (x86)\Microsoft Office\activator.exe (PUP.Hacktool) -> Действие не было предпринято.
C:\Users\fantastic\AppData\Local\def32\libcurl-4.dll (Trojan.Miner) -> Действие не было предпринято.
C:\Users\fantastic\AppData\Local\def32\localservic e.exe (PUP.BitCoinMiner) -> Действие не было предпринято.
C:\Users\fantastic\Desktop\skype-.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\fantastic\Downloads\everest-home-2.20 (1).exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\fantastic\Downloads\everest-home-2.20.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Windows\System32\CPLDAPU\ProduKey.exe (PUP.PSWTool.ProductKey) -> Действие не было предпринято.
D:\avz4\Quarantine\2014-02-27\avz00002.dta (Riskware.BitcoinMiner) -> Действие не было предпринято.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Users\fantastic\AppData\Local\def32\libcurl-4.dll','');
QuarantineFile('C:\Users\fantastic\AppData\Local\def32\localservice.exe','');
DeleteFile('C:\Users\fantastic\AppData\Local\def32\libcurl-4.dll','32');
DeleteFile('C:\Users\fantastic\AppData\Local\def32\localservice.exe','32');
DeleteFileMask('C:\Users\fantastic\AppData\Local\def32', '*', true, ' ');
DeleteDirectory('C:\Users\fantastic\AppData\Local\def32');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Тип сканирования: Полное сканирование (C:\|)
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты: 409923
Времени прошло: 41 минут , 35 секунд
Обнаруженные процессы в памяти: 1
C:\Windows\kmsem\KMService.exe (Trojan.FakeAlert) -> 1904 -> Действие не было предпринято.
Обнаруженные модули в памяти: 0
(Вредоносных программ не обнаружено)
Обнаруженные ключи в реестре: 0
(Вредоносных программ не обнаружено)
Обнаруженные параметры в реестре: 0
(Вредоносных программ не обнаружено)
Объекты реестра обнаружены: 0
(Вредоносных программ не обнаружено)
Обнаруженные папки: 0
(Вредоносных программ не обнаружено)
Обнаруженные файлы: 6
C:\Windows\kmsem\KMService.exe (Trojan.FakeAlert) -> Действие не было предпринято.
C:\Program Files (x86)\Microsoft Office\activator.exe (PUP.Hacktool) -> Действие не было предпринято.
C:\Users\fantastic\Desktop\skype-.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\fantastic\Downloads\everest-home-2.20 (1).exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\fantastic\Downloads\everest-home-2.20.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Windows\System32\CPLDAPU\ProduKey.exe (PUP.PSWTool.ProductKey) -> Действие не было предпринято.
Загрузите SecurityCheck by glax24отсюда и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Security Check by glax24 version 0.2.4.60 rc1
WebSite: www.safezone.cc
DateLog: 28.02.2014 23:34:06
Run directory: C:\Users\fantastic\AppData\Local\Temp\SecurityChec k\
Log directory: C:\SecurityCheck\
IsAdmin: True
FileVersionInet: 7.0
__________________________________________________
Windows 7 (6.1.7601) Service Pack 1 (x64) Professional Lang: Russian(0419)
Дата установки ОС: 24.02.2014 12:57:15
Статус лицензии: Windows(R) 7, Professional edition Постоянная активация прошла успешно.
Системный диск: C:\ ФС: NTFS Емкость: [244 Гб] Занято: [87.2 Гб] Свободно: [156.8 Гб]
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
-------------Windows------------------------------
Internet Explorer 11.0.9600.16518 [+] Контроль учётных записей пользователя отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2014-02-28 09:32:01
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
-------------Firewall_WMI-------------------------
-------------AntiSpyware_WMI----------------------
Windows Defender
-------------OtherUtilities-----------------------
Foxit Reader 6.1.2.1224 v.v 6.1.2.1224 [+]
Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300
-------------Java---------------------------------
Java 7 Update 51 v.7.0.510
Java Auto Updater v.2.1.9.8
-------------AdobeProduction----------------------
Adobe Flash Player 12 ActiveX & Plugin 64-bit v.12.0.0.38 Внимание! Скачать обновления -Скачать обновления ^Удалите старую версию и установите новые Flash Player ActiveX и Flash Player Plugin^
Adobe Shockwave Player + Authorware Web Player v.v12.0.7.148 Внимание! Скачать обновления
-------------Browser------------------------------
Google Chrome v.33.0.1750.117
Opera Stable 19.0.1326.63 v.19.0.1326.63
-------------RunningProcess-----------------------
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.33.0.1750.117
-------------EndLog-------------------------------
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен
и обязательно обновите Flash Player
Adobe Flash Player 12 ActiveX & Plugin 64-bit v.12.0.0.38 Внимание! Скачать обновления -Скачать обновления ^Удалите старую версию и установите новые Flash Player ActiveX и Flash Player Plugin^
Adobe Shockwave Player + Authorware Web Player v.v12.0.7.148 Внимание! Скачать обновления
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: