Показано с 1 по 10 из 10.

Svchost постоянно грузит процессор (заявка № 80458)

  1. #1
    Junior Member Репутация
    Регистрация
    08.06.2010
    Сообщений
    46
    Вес репутации
    51

    Thumbs up Svchost постоянно грузит процессор

    Один из процессов svchost постоянно грузит процессор на 50%.
    Забеспокоился, попытался проверить антивирусом (Dr. Web) - а он не запускается.
    Запустить HijackThis и AVZ смог, только переименовав экзешники.
    Помогите разобраться, пожалуйста.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    В AVZ выполните скрипт:

    Код:
    begin
    SetAVZPMStatus(True);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('I:\autorun.inf','');
     QuarantineFile('G:\autorun.inf','');
     QuarantineFile('D:\autorun.inf','');
     DelBHO('{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}');
     QuarantineFile('cnfgld32.exe','');
     QuarantineFile('C:\Documents and Settings\Sergey\Главное меню\Программы\Автозагрузка\siszpe32.exe','');
     DeleteService('ws2_32sik');
     QuarantineFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys','');
     DeleteService('systemntmi');
     QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
     DeleteService('securentm');
     QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
     DeleteService('nicsk32');
     QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
     DeleteService('netsik');
     QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
     DeleteService('ksi32sk');
     QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
     DeleteService('i386si');
     QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
     DeleteService('fips32cup');
     QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
     QuarantineFile('Eveaud.sys','');
     DeleteService('ati64si');
     QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
     DeleteService('amd64si');
     QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys','');
     DeleteService('acpi32');
     QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');
     DeleteFile('C:\Documents and Settings\Sergey\Главное меню\Программы\Автозагрузка\siszpe32.exe');
     DeleteFile('cnfgld32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Configuration Loader');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','Configuration Loader');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('ws2_32sik');
    BC_DeleteSvc('systemntm');
    BC_DeleteSvc('securentm');
    BC_DeleteSvc('nicsk32');
    BC_DeleteSvc('netsik');
    BC_DeleteSvc('ksi32sk');
    BC_DeleteSvc('i386si');
    BC_DeleteSvc('fips32cup');
    BC_DeleteSvc('ati64si');
    BC_DeleteSvc('amd64si');
    BC_DeleteSvc('acpi32');
    BC_Activate;
    Executerepair(9);
    RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
    ExecuteWizard('TSW',3,3,true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
    RegKeyParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'ImagePath', 'REG_EXPAND_SZ', '%systemroot%\system32\svchost.exe -k netsvcs');
    RegKeyParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\BITS', 'ImagePath', 'REG_EXPAND_SZ', '%systemroot%\system32\svchost.exe -k netsvcs');
    Executerepair(8);
    Executerepair(14);
    Executerepair(17);
    RebootWindows(true);
    end.


    После перезагрузки

    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
    Логи повторите.

  4. #3
    Junior Member Репутация
    Регистрация
    08.06.2010
    Сообщений
    46
    Вес репутации
    51
    Процесс больше не грузит процессор, avz и hijack тоже разблокировались.
    Карантин выслал.
    Вот новые логи:

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('D:\autorun.inf');
     DeleteFile('G:\autorun.inf');
     DeleteFile('I:\autorun.inf');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Выполните скрипт из темы http://virusinfo.info/showthread.php?t=43700

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    08.06.2010
    Сообщений
    46
    Вес репутации
    51
    Выполнил оба скрипта.
    Новые логи:

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    С помощью avz поищите файл Eveaud.sys
    Если найдется, добавьте его в карантин и пришлите по правилам.

  8. #7
    Junior Member Репутация
    Регистрация
    08.06.2010
    Сообщений
    46
    Вес репутации
    51
    AVZ не нашел такого файла. Можно считать компьютер чистым?

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    KotBasil, думаю что можно. Установите 3 сервис пак на систему. Обновите Internet Explorer.

  10. #9
    Junior Member Репутация
    Регистрация
    08.06.2010
    Сообщений
    46
    Вес репутации
    51
    Сделаю. Спасибо за помощь.

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\sergey\главное меню\программы\автозагрузка\siszpe32.exe - Backdoor.Win32.Bredolab.exb ( DrWEB: Trojan.Botnetlog.126 )
      2. g:\autorun.inf - Trojan.Win32.AutoRun.ym ( NOD32: Win32/LockScreen.AX trojan, AVAST4: VBS:Malware-gen )


  • Уважаемый(ая) KotBasil, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 5
      Последнее сообщение: 15.11.2011, 17:49
    2. Ответов: 5
      Последнее сообщение: 10.08.2011, 15:20
    3. svchost.exe постоянно грузит процессор на 50%
      От Svalbor в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.10.2010, 11:15
    4. svchost.exe грузит процессор на 100%
      От Pomc в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 18.08.2010, 20:23
    5. csrss.exe постоянно грузит процессор
      От Organ в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 03.05.2009, 14:48

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00136 seconds with 19 queries