-
Junior Member
- Вес репутации
- 53
svchost жрет 99% ресурсов; вот диагностика
Господа!
У меня один из процессов svchost в Диспетчере задач стал потреблять 99% процессора. Имя пользователя Было указано SYSTEM.
При попытке выключить через Диспетчер появлялось окно с сообщением, что из-за остановки службы DCOM комп будет перезагружен (и таймер на минуту, после истечения которой комп перезагружался)
Я выключил в "Службы" DCOM, тогда другой процесс svchost (уже от имени Network что-то) стал так же грузить процессор на 99%.
Когда я прекаращал его, появлялось такое же окно, но уже со ссылкой на службу RPC.
Я в Службы отключил локатор RPC, а саму RPC отключить не могу, поля затенены.
Прогнал весь процесс, описанный в правилах раздела Помогите
(http://virusinfo.info/pravila.html)
С тем исключением, что мне не удалось полностью выгрузить McAfee Enterprise: процесс деинсталляции не был завершен, был прерван каким-то другим процессом. А после перезагрузки невозможно было ни штатно удалить, ни с помощью процедур, описанных на сайте McAfee. Видимо, часть файлов была удалена.
После получения отчета AVZ (см приложение 1, а virusinfo_syscheck.zip не было сформировано) я создал и выполнил скрипт:
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
DelBHO('{83821C2B-32A8-4DD7-B6D4-44309A78E668}');
DelBHO('{16664845-0E00-11D2-8059-000000000000}');
DeleteFile('C:\Program Files\FineReader 7.0 Professional Edition\AbbyyNewsReader.exe');
DeleteFile('C:\Documents and Settings\Vladimir\Local Settings\Application Data\Google\Update\GoogleUpdate.exe');
DeleteFile('C:\Program Files\Network Associates\VirusScan\naievent.dll');
DeleteFile('C:\Program Files\Mail_Ru_Agent\Mra\dll\newmrasearch.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','FineReader7NewsReaderPro');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Google Update');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\McLogEvent','EventMessageFile');
ExecuteSysClean;
end.
И через Службы отключил некоторые задачи:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
Автоматическое обновление (Загрузка и установка обновлений Windows. Если служба отключена, то на этом компьютере нельзя будет использовать возможности автоматического обновления или веб-узел Windows Update.) было: Авто Работает
Беспроводная настройка (Предоставляет автоматическую настройку 802.11 адаптеров) было: Авто Работает
В Outpost'е закрыл порты DCOM (135) для входящих и исходящих направлений
В Приложении 2 файл отчета HijackThis
Помогите решить проблему!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 53
Да, забыл написать главное!
Все это проявляется при подключении к сети - то есть при подключении к локальной сети, в которой у меня ADSL модем. И запуске какого-нибудь сетевого приложения (броузера или почтового клиента).
-
Пофиксите в HijackThis:
Код:
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Trickler] "c:\program files\divx\divx pro codec\gain_trickler_3202.exe"
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Vladimir\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
DeleteFile('C:\Documents and Settings\Vladimir\Главное меню\Программы\Автозагрузка\siszyd32.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=66096).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
карантин выслал;
Файлы прилагаю
-
Плохого не видно. Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Да, svchost больше не захватывает ресурсы.
Можно узнать, в чем было дело?
Кстати, этот код в Хайджеке я так и не нашел:
Код:
O4 - HKLM\..\Run: [Trickler] "c:\program files\divx\divx pro codec\gain_trickler_3202.exe"
Не уверен, но, возможно, дело в том, что я прогонял CCleaner?
Проявляется еще одна проблема. ЕЕ я заметил еще до устранения первой. После запуска компьютера OSA9.EXE сразу же берет 99% процессора. Я его обычно вручную прерывал, и он больше не возобновлялся.
Кроме того, в Диспетчере задач Пользователи стали не видны. Ни во вкладке "Пользователи" - она пустая, ни в таблице процессов.
Можно (и вообще, нужно ли) включать восстановление системы?
-
Сообщение от
Applefun
Кроме того, в Диспетчере задач Пользователи стали не видны.
Сообщение от
Applefun
И через Службы отключил некоторые задачи:
Код:
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
Восстановление можете включить.
По поводу OSA9.EXE ничего сказать не могу
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Можете совершенно спокойно пофиксить эту строчку:
Код:
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
OSA9.EXE - это типа "ускоритель загрузки" офисных программ, толку от него - 0.
То же самое относится к
Код:
O4 - Global Startup: Ускоренный запуск Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Bratez и thyrex, большое спасибо за помощь!
Но все равно, как-то не хочется так оставлять. OSA9.exe раньше скорее всего нормально работала. А теперь чего-то ей не хватает.
И Диспетчер задач Windows теперь не показывает пользователей.
А! Может это потому, что я отключил
Код:
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
Хотя нет, там же только "анонимных пользователей".
Можно это как-то восстановить?
-
Сообщение от
Applefun
И Диспетчер задач Windows теперь не показывает пользователей
Включите Службу терминалов.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
А, да! Я же ее и отключил.
А она не представляет угрозы безопасности?
Предоставляет возможность нескольким пользователям интерактивно подключаться к компьютеру и отображает рабочий стол и приложения на удаленных компьютерах. Является основой для удаленного рабочего стола (включая удаленное администрирование), быстрого переключения пользователей, удаленного помощника и служб терминалов.
-
Сообщение от
Applefun
А она не представляет угрозы безопасности?
Представляет.
Что важнее - вам решать.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
ОК. Огромное спасибо! Без Вашей помощи я бы не смог сам решить проблему!
Я тут почитаю на форуме еще, кажется видел статьи, как настроить систему, чтобы работать безопасно.
Это был первый случай, когда я серьезно столкнулся со сбоем, вызванным вирусом.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\vladimir\главное меню\программы\автозагрузка\siszyd32.exe - Trojan-Downloader.Win32.Piker.bax ( DrWEB: Trojan.DownLoad1.26181, BitDefender: Trojan.Generic.2948370, NOD32: Win32/TrojanDownloader.Bredolab.BG trojan, AVAST4: Win32:Malware-gen )
-