Запуск нескольких процессов svchost от имени пользователя

**barmaley78** · 06.06.2016, 06:51

Здравствуйте.

На машине стоит Windows XP SP3, ПК в домене. После запуска и входа пользователя, приблизительно через 3-5 минут происходит последовательно запуск нескольких процессов svchost от имени пользователя. Машину завешивает.

Произвел проверку ПК с помощью DRWEB CureIT, malwarebytes anti-malware. Вручную вычистил несколько программ типа Kingsoft, удалил следы всех браузеров из Application Data, вычистил все временные папки и кэш браузера. Проблема сохранилась.

Выполнил рекомендации файлы прикладываю.

Заранее благодарен, Сергей

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 06.06.2016, 06:52

Уважаемый(ая) barmaley78, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 06.06.2016, 13:31

Переделайте логи через учётную запись с правами администратора.

**barmaley78** · 07.06.2016, 09:16

Здравствуйте.

Переделал, файлы во вложении.

Небольшое уточнение:
Под учеткой пользователя стал запускаться только 1 процесс.
Зашел под учеткой админа. Выполнил скрипт № 3 по инструкции, перезагрузился. Подключил Инет. Запустил скрипт № 2. Обещанное время выполнения было около полутора часов. Ушел. Когда вернулся в учетке админа появился IE с иероглифами, программы с ними же, порядка 8-10 процессов. HiJackThis запускал при них в его логе есть ссылки на реестр IE с переходом на сайт (цифры начиная с 5).com

**Vvvyg** · 07.06.2016, 09:40

Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 DeleteFile('c:\program files\kingsoft\kingsoft antivirus\kxescore.exe', '32');
 DeleteFile('C:\Program Files\Common Files\AppDownloads\{4B07EF8D-3856-4B83-8D82-D68EE6BDBA56}.exe', '32');
 DeleteFile('C:\Program Files\gmsd_ru_177\gmsd_ru_177.exe', '32');
 DeleteFile('C:\Documents and Settings\Библиотекарь\Local Settings\Application Data\Kometa\kometaup.exe', '32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\KRB Updater Utility\krbupdater-utility.exe', '32');
 DeleteFile('c:\program files\kingsoft\kingsoft antivirus\kxetray.exe', '32');
 DeleteFile('C:\Documents and Settings\Библиотекарь\Local Settings\Application Data\SmartWeb\SmartWebHelper.exe', '32');
 DeleteFile('C:\Documents and Settings\Библиотекарь\Local Settings\Application Data\gmsd_ru_177\upgmsd_ru_177.exe', '32');
 DeleteFile('c:\program files\kingsoft\kingsoft', '32');
 DeleteFile('c:\program files\kingsoft\kingsoft antivirus\kavmenu.dll', '32');
 DeleteService('kxescore');
 DeleteFileMask('c:\program files\kingsoft', '*', true);
 DeleteFileMask('c:\program files\common files\appdownloads', '*', true);
 DeleteFileMask('c:\program files\gmsd_ru_177', '*', true);
 DeleteFileMask('c:\documents and settings\библиотекарь\local settings\application data\kometa', '*', true);
 DeleteFileMask('c:\documents and settings\all users\application data\krb updater utility', '*', true);
 DeleteFileMask('c:\documents and settings\библиотекарь\local settings\application data\smartweb', '*', true);
 DeleteFileMask('c:\documents and settings\библиотекарь\local settings\application data\gmsd_ru_177', '*', true);
 DeleteDirectory('c:\program files\kingsoft');
 DeleteDirectory('c:\program files\common files\appdownloads');
 DeleteDirectory('c:\program files\gmsd_ru_177');
 DeleteDirectory('c:\documents and settings\библиотекарь\local settings\application data\kometa');
 DeleteDirectory('c:\documents and settings\all users\application data\krb updater utility');
 DeleteDirectory('c:\documents and settings\библиотекарь\local settings\application data\smartweb');
 DeleteDirectory('c:\documents and settings\библиотекарь\local settings\application data\gmsd_ru_177');
 DelCLSID('{D21D88E8-4123-48BA-B0B1-3FDBE4AE5FA4}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{D21D88E8-4123-48BA-B0B1-3FDBE4AE5FA4}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

сделайте лог HiJackThis 2.0.6 Alfa 1.23

Сделайте лог Gmer.

**barmaley78** · 08.06.2016, 10:27

Здравствуйте.

Скрипт выполнил.

Тесты сделал (логи в приложении).

Дополнение:

При запуске IE была стартовая страница www.5180518.com - вычистил через редактор реестра (нашлась один раз).
Пользователя я "Прокачал" - пока меня не было обновила и проверила с помощью malwarebutes и убила kingsoft (может и еще чего попалось - мне не показали результат)

**Vvvyg** · 08.06.2016, 10:51

Пофиксите в HijackThis:

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.5180518.com
O4 - MSConfig..HKLM: 2016/06/08 [AppDownloads]  (file missing)
O4 - MSConfig..HKLM: 2016/06/08 [KRB Updater Utility]  (file missing)
O4 - MSConfig..HKLM: 2016/06/08 [SmartWeb]  (file missing)
O4 - MSConfig..HKLM: 2016/06/08 [gmsd_ru_177]  (file missing)
O4 - MSConfig..HKLM: 2016/06/08 [kometaup]  (file missing)
O4 - MSConfig..HKLM: 2016/06/08 [kxesc]  (file missing)
O4 - MSConfig..HKLM: 2016/06/08 [upgmsd_ru_177.exe]  (file missing)

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

**barmaley78** · 08.06.2016, 13:21

Лечение выполнил.

Скан выполнил файл прикладываю

**Vvvyg** · 08.06.2016, 13:36

Выполните скрипт в uVS:

Код:

;uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\109\BDCOMPROXY.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\109\BDDOWNLOADER.EXE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC
deltmp
delref %SystemDrive%\PROGRAM FILES\IGS\VCL.EXE
delref %SystemDrive%\PROGRAM FILES\VK DOWNLOADER\IEEF\US6KLUGEES.EXE
restart

Компьютер перезагрузится.

Удалите все установленные версии Java, они устаревшие и со множеством критических уязвимостей.
Если Java вообще нужна для каких- либо приложений, игр (и Вы точно знаете, для каких именно) - установите Java 8 Update 91.

Лишнего нет в системе.
Посмотрите в Process Explorer, что за службы соответствуют процессам svchost.exe от имени пользователя.

**barmaley78** · 14.06.2016, 06:24

Спасибо за помощь.

Сейчас добавил контент фильтр. Остался один процесс, но он блокируется фильтром. Добью самостоятельно.

**Vvvyg** · 14.06.2016, 07:57

Посторонних процессов нет, разберитесь с помощью Process Explorer, что за служба относится к этому процессу.

Запуск нескольких процессов svchost от имени пользователя (заявка № 201099)

Опции темы