Показано с 1 по 14 из 14.

svchost жрет 99% ресурсов; вот диагностика (заявка № 66096)

  1. #1
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    13
    Вес репутации
    30

    Thumbs up svchost жрет 99% ресурсов; вот диагностика

    Господа!

    У меня один из процессов svchost в Диспетчере задач стал потреблять 99% процессора. Имя пользователя Было указано SYSTEM.
    При попытке выключить через Диспетчер появлялось окно с сообщением, что из-за остановки службы DCOM комп будет перезагружен (и таймер на минуту, после истечения которой комп перезагружался)

    Я выключил в "Службы" DCOM, тогда другой процесс svchost (уже от имени Network что-то) стал так же грузить процессор на 99%.
    Когда я прекаращал его, появлялось такое же окно, но уже со ссылкой на службу RPC.

    Я в Службы отключил локатор RPC, а саму RPC отключить не могу, поля затенены.

    Прогнал весь процесс, описанный в правилах раздела Помогите
    (http://virusinfo.info/pravila.html)
    С тем исключением, что мне не удалось полностью выгрузить McAfee Enterprise: процесс деинсталляции не был завершен, был прерван каким-то другим процессом. А после перезагрузки невозможно было ни штатно удалить, ни с помощью процедур, описанных на сайте McAfee. Видимо, часть файлов была удалена.

    После получения отчета AVZ (см приложение 1, а virusinfo_syscheck.zip не было сформировано) я создал и выполнил скрипт:

    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
     DelBHO('{83821C2B-32A8-4DD7-B6D4-44309A78E668}');
     DelBHO('{16664845-0E00-11D2-8059-000000000000}');
     DeleteFile('C:\Program Files\FineReader 7.0 Professional Edition\AbbyyNewsReader.exe');
     DeleteFile('C:\Documents and Settings\Vladimir\Local Settings\Application Data\Google\Update\GoogleUpdate.exe');
     DeleteFile('C:\Program Files\Network Associates\VirusScan\naievent.dll');
     DeleteFile('C:\Program Files\Mail_Ru_Agent\Mra\dll\newmrasearch.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','FineReader7NewsReaderPro');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Google Update');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\McLogEvent','EventMessageFile');
    ExecuteSysClean;
    end.
    И через Службы отключил некоторые задачи:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    
    Автоматическое обновление (Загрузка и установка обновлений Windows. Если служба отключена, то на этом компьютере нельзя будет использовать возможности автоматического обновления или веб-узел Windows Update.) было: Авто Работает
    Беспроводная настройка (Предоставляет  автоматическую настройку 802.11 адаптеров) было: Авто Работает
    В Outpost'е закрыл порты DCOM (135) для входящих и исходящих направлений

    В Приложении 2 файл отчета HijackThis

    Помогите решить проблему!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    13
    Вес репутации
    30
    Да, забыл написать главное!

    Все это проявляется при подключении к сети - то есть при подключении к локальной сети, в которой у меня ADSL модем. И запуске какого-нибудь сетевого приложения (броузера или почтового клиента).

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Пофиксите в HijackThis:
    Код:
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [Trickler] "c:\program files\divx\divx pro codec\gain_trickler_3202.exe"
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\Vladimir\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
     DeleteFile('C:\Documents and Settings\Vladimir\Главное меню\Программы\Автозагрузка\siszyd32.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=66096).
    Сделайте новые логи (только п.2 и 3 раздела Диагностика).
    I am not young enough to know everything...

  5. #4
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    13
    Вес репутации
    30
    карантин выслал;

    Файлы прилагаю

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,547
    Вес репутации
    3021
    Плохого не видно. Что с проблемой?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    13
    Вес репутации
    30
    Да, svchost больше не захватывает ресурсы.

    Можно узнать, в чем было дело?

    Кстати, этот код в Хайджеке я так и не нашел:
    Код:
    O4 - HKLM\..\Run: [Trickler] "c:\program files\divx\divx pro codec\gain_trickler_3202.exe"
    Не уверен, но, возможно, дело в том, что я прогонял CCleaner?

    Проявляется еще одна проблема. ЕЕ я заметил еще до устранения первой. После запуска компьютера OSA9.EXE сразу же берет 99% процессора. Я его обычно вручную прерывал, и он больше не возобновлялся.

    Кроме того, в Диспетчере задач Пользователи стали не видны. Ни во вкладке "Пользователи" - она пустая, ни в таблице процессов.

    Можно (и вообще, нужно ли) включать восстановление системы?

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,547
    Вес репутации
    3021
    Цитата Сообщение от Applefun Посмотреть сообщение
    Кроме того, в Диспетчере задач Пользователи стали не видны.
    Цитата Сообщение от Applefun Посмотреть сообщение
    И через Службы отключил некоторые задачи:
    Код:
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    Восстановление можете включить.
    По поводу OSA9.EXE ничего сказать не могу
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Можете совершенно спокойно пофиксить эту строчку:
    Код:
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    OSA9.EXE - это типа "ускоритель загрузки" офисных программ, толку от него - 0.
    То же самое относится к
    Код:
    O4 - Global Startup: Ускоренный запуск Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    13
    Вес репутации
    30
    Bratez и thyrex, большое спасибо за помощь!

    Но все равно, как-то не хочется так оставлять. OSA9.exe раньше скорее всего нормально работала. А теперь чего-то ей не хватает.

    И Диспетчер задач Windows теперь не показывает пользователей.
    А! Может это потому, что я отключил
    Код:
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    Хотя нет, там же только "анонимных пользователей".
    Можно это как-то восстановить?

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Цитата Сообщение от Applefun Посмотреть сообщение
    И Диспетчер задач Windows теперь не показывает пользователей
    Включите Службу терминалов.
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    13
    Вес репутации
    30
    А, да! Я же ее и отключил.
    А она не представляет угрозы безопасности?
    Предоставляет возможность нескольким пользователям интерактивно подключаться к компьютеру и отображает рабочий стол и приложения на удаленных компьютерах. Является основой для удаленного рабочего стола (включая удаленное администрирование), быстрого переключения пользователей, удаленного помощника и служб терминалов.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Цитата Сообщение от Applefun Посмотреть сообщение
    А она не представляет угрозы безопасности?
    Представляет.
    Что важнее - вам решать.
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    13
    Вес репутации
    30
    ОК. Огромное спасибо! Без Вашей помощи я бы не смог сам решить проблему!

    Я тут почитаю на форуме еще, кажется видел статьи, как настроить систему, чтобы работать безопасно.
    Это был первый случай, когда я серьезно столкнулся со сбоем, вызванным вирусом.

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\vladimir\главное меню\программы\автозагрузка\siszyd32.exe - Trojan-Downloader.Win32.Piker.bax ( DrWEB: Trojan.DownLoad1.26181, BitDefender: Trojan.Generic.2948370, NOD32: Win32/TrojanDownloader.Bredolab.BG trojan, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) Applefun, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 2
      Последнее сообщение: 08.04.2012, 10:25
    2. svchost ест 100% ресурсов компьютера
      От Boriasik в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 19.10.2011, 15:51
    3. svchost.exe жрет траффик
      От Vova_BLR в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 20.12.2010, 14:59
    4. Services.exe и Svchost.exe забирают 100% ресурсов ЦП. (заявка №25220)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 12.07.2010, 23:00
    5. SVCHOST жрет траффик
      От murad1986 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 28.08.2006, 17:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00790 seconds with 16 queries