-
Junior Member
- Вес репутации
- 51
svchost.exe- грузит ЦП, интернет, вирус, трояны.
Здравствуйте, у меня пару дней назад появился лишний процесс в диспетчере или даже два лишних - svchost.exe в диспетчере показывает 6 таких процессов иногда 7.
Один из них начинает грузить ЦП как только подключаюсь к интернету: не даёт загружать страницы интернета пока в ручную не отключу его в диспетчере и секунд на 5-10 интернет работает, после этот процесс svchost.exe снова появляется.
Стоит антивирус DrWeb 6.0 - проводил полную проверку, нашёл много всякой заразы и всю её удалил. Но svchost.exe так и остался =(
Каждые 15-30 минут пока я в интернете - Антивирус находит вредоносные файлы и удаляет их, также неизвестные процессы появляются и просятся в Сеть, такие как: E001.exe P001.exe J001.exe.
В папке system32 появляются чужие папки с названиями типа: 4PGHEZS1, 6EYPDRTH, ZUYI1LYK - какие-то пустые, в других вот эти файлы: E001.exe F001.exe, A11.exe, H001.exe. Все они при появлении пытаются получить доступ в сеть. Удаляю всё это в ручную, опять же это только до очередного выхода в интернет(
За сегодня появлялись новые процессы пытающиеся получить выход в сеть: IEXPLORER.exe, sql и т.д.. дошло до того что интернет даже отключить не смог и система зависла, пришось перезагружать компьютер.
Да вот ещё с помощью этой программки Security Task Manager нашёл процесс - Socket Protocol Service (SopSrv) файл-(C:\WINDOWS\system32\sopasvstart.dll ) причём этот dll-файл с утра был с другим названием, Описание: Provide use VPN to connect to the remote computer Secure Socket Tunneling Protocol (SSTP) support,
Тип: Service скрытый, Функции: неопределенный, Файл не системы Windows.
Пуск:в течении запуска системы с svchost.exe ,.. удалить процесс не смог, и отыскать этот dll-файл тоже не удалось, может в нём причина?
Уже мозг себе сломал
, надеюсь на вашу помощь
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Последний раз редактировалось polword; 13.07.2010 в 22:54.
Причина: Добавлено
-
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Во время проверки ComboFix, Windows выдал ошибку: PEV.cfxxe - обнаружена ошибка приложение будет закрыто, после чего продолжил проверку.
Под конец сканирования компьютер сам перезагрузился и ComboFix создал отчёт. Я подключил интернет и не смог загрузить ни одну страницу, в Диспетчере: Бездействие системы ЦП-99. Разорвать связь не получилось, перезагрузить компьютер - тоже не отвечал, через тройку попыток завис, пришлось делать Reset.
DrWeb всё также только и успевает отлавливать, блокировать и удалять вирусы, трояны....
Всё что просили приложил...
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\sopasclib.dll
c:\windows\system32\sopasvstart.dll
c:\windows\system32\stpasclib.dll
c:\windows\system32\stpasvstart.dll
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\BZPL8Q8U\A11[1].exe
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\BZPL8Q8U\J001[1].exe
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\FBVKPR7R\A13[1].exe
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\FBVKPR7R\H001[1].exe
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\S5NMRAGV\A11[1].exe
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\S5NMRAGV\A11[2].exe
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\S5NMRAGV\A11[3].exe
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\S5NMRAGV\A13[1].exe
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\S5NMRAGV\C002[1].exe
C:\System Volume Information\_restore{2F2248C0-0B8E-434C-9A20-662123A5B49F}\RP1\A0000001.dll
C:\System Volume Information\_restore{2F2248C0-0B8E-434C-9A20-662123A5B49F}\RP1\A0001004.dll
C:\System Volume Information\_restore{2F2248C0-0B8E-434C-9A20-662123A5B49F}\RP1\A0001008.exe
C:\Temp\FengYun.dll
C:\WINDOWS\4604090.tmp
C:\WINDOWS\system32\Service.exe
C:\WINDOWS\system32\krnln.fnr
C:\WINDOWS\system32\PZUSVFJW\A11.exe
C:\WINDOWS\system32\S0QKYBSW\A11.exe
C:\WINDOWS\system32\UNEKTP6F\J001.exe
C:\WINDOWS\system32\KYIGXDI6\A11.exe
C:\WINDOWS\system32\52VL5D6C\A11.exe
C:\WINDOWS\system32\5NFN7DJH\A11.exe
C:\WINDOWS\Temp\4421257.bmp
C:\Temp\Server.exe
C:\Temp\Service.exe
C:\WINDOWS\system32\dp1.fne
c:\windows\system32\abijekxt.exe
c:\windows\sou8sou8xx.exe
Driver::
ba
u7t
sou8sou8
MSNETService
SqlDebuger
sopsrv
Folder::
c:\windows\system32\MNE7VXIE
c:\windows\system32\M7VPXMYB
c:\windows\system32\LRZZM2HV
c:\windows\system32\LP0LBI8S
c:\windows\system32\LJI8BUSQ
c:\windows\system32\5O8L7VFV
c:\windows\system32\4A3VC6L2
c:\windows\system32\2EBA1FX1
c:\windows\system32\2FR2YEK0
c:\windows\system32\2RSM6IBX
c:\windows\system32\1J5V0WP2
c:\windows\system32\05YRX647
c:\windows\system32\0JD27XLE
c:\windows\system32\0ZT6Z5FG
c:\windows\system32\0A0QX1KZ
c:\windows\system32\0U4FX3BN
c:\windows\system32\ZZILA6OS
c:\windows\system32\ZPTHXPW4
c:\windows\system32\Z2KLA22K
c:\windows\system32\Y6UDH8BV
c:\windows\system32\YPROG1YZ
c:\windows\system32\YZY7EX4K
c:\windows\system32\YT2GN76C
c:\windows\system32\PN2EWJ4O
c:\windows\system32\LM8NE3O2
c:\windows\system32\KTQ7W360
c:\windows\system32\KS3MN5O6
c:\windows\system32\KEUWW5XO
c:\windows\system32\UNEKTP6F
c:\windows\system32\DQ6RHXFS
c:\windows\system32\DMEEW4MD
c:\windows\system32\6EYPDRTH
c:\windows\system32\5NFN7DJH
c:\windows\system32\5HI3YZN4
c:\windows\system32\52VL5D6C
c:\windows\system32\432Z6M8U
c:\windows\system32\4PGHEZS1
c:\windows\system32\4Z0TEINV
c:\windows\system32\1IJ46FQZ
c:\windows\system32\0FSYYBW5
c:\windows\system32\ZUYI1LYK
c:\windows\system32\ZIS5HIDT
c:\windows\system32\YAJ7CKH8
c:\windows\system32\YDH6H3YB
c:\windows\system32\WNCD7EF2
c:\windows\system32\WRU547HU
c:\windows\system32\ULQ017RJ
c:\windows\system32\UK3FSA8Q
c:\windows\system32\T6TWKNK2
c:\windows\system32\T004N8JK
c:\windows\system32\S5FBZCVO
c:\windows\system32\SEAOLZ3V
c:\windows\system32\S0QKYBSW
c:\windows\system32\R6LJ7DR0
c:\windows\system32\QGIHHA6W
c:\windows\system32\P5RKM4H4
c:\windows\system32\PZUSVFJW
c:\windows\system32\OT6NIR70
c:\windows\system32\N446GYTL
c:\windows\system32\MUK1XSZN
c:\windows\system32\L46MB0U2
c:\windows\system32\LA7ZMHHX
c:\windows\system32\K1L8FVV2
c:\windows\system32\KYIGXDI6
c:\windows\system32\JMO4XAOM
c:\windows\system32\JRKPVRGN
c:\windows\system32\GZAPZHSI
c:\windows\system32\G5FHGUL5
c:\windows\system32\AHJO57Y7
c:\windows\system32\8SD782N2
c:\windows\system32\7CDQLKBT
c:\windows\system32\6SK14IBB
c:\windows\system32\5X0FUAN1
c:\windows\system32\4ZLG4X8M
c:\windows\system32\YO7RHZXO
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\WINDOWS\system32\abijekxt.exe"=-
FileLook::
c:\windows\system32\wayic.dll
c:\windows\system32\wayi.exe
c:\windows\system32\Sqldebug.exe
c:\windows\system32\sqlserv.exe
RegLock::
[HKLM\SYSTEM\CurrentControlSet\Services\BITS]
[HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
-
Запустите редактор реестра
В ветке
Код:
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
удалите значения
Экспортируйте содержимое веток
Код:
[HKLM\SYSTEM\CurrentControlSet\Services\BITS]
[HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
в отдельные файлы и прикрепите их к сообщению
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\317446.tmp
c:\windows\317366.tmp
c:\windows\465198.tmp
c:\windows\465599.tmp
c:\windows\system32\DYTZAYZ0\P001.exe
c:\windows\system32\BZ3UI12O\P001.exe
c:\windows\system32\4DME46VD\P001.exe
Driver::
Folder::
c:\windows\system32\4DME46VD
c:\windows\system32\WSN6DHTU
c:\windows\system32\LAWNOSO4
c:\windows\system32\KHM7WH0I
c:\windows\system32\KXTJGE00
c:\windows\system32\J2KHV43E
c:\windows\system32\JX1J52VG
c:\windows\system32\JC4GK2R4
c:\windows\system32\JKMEEOH5
c:\windows\system32\IYHJLEKB
c:\windows\system32\DYTZAYZ0
c:\windows\system32\DSX7I81S
c:\windows\system32\C6EYYWNR
c:\windows\system32\BYUF4Z0I
c:\windows\system32\7M4C11XX
c:\windows\system32\6M8CWEUN
c:\windows\system32\6EWDX31D
c:\windows\system32\6UDHOCVE
c:\windows\system32\6A2ZCB8X
c:\windows\system32\60D8BEQD
c:\windows\system32\6G3RYD4V
c:\windows\system32\P0UOSGRD
c:\windows\system32\BZ3UI12O
c:\windows\system32\AYM83GIK
c:\windows\system32\AIVD4VVY
c:\windows\system32\7PXJMYRE
c:\windows\system32\7RV4GW1D
c:\windows\system32\6CP7RZ1D
c:\windows\system32\5EAFTWT4
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Ура! лишний svchost.exe исчез из Диспетчера, из шести осталось 5 процессов svchost.exe - интернет теперь Отлично работает)
Левые(чужие) процессы не появлялись, DrWeb стал вести себя спокойно - после предыдущего скана ComboFixa ни одного вируса, троянца пока не обнаружил)
ComboFix отправил некоторые файлы в Карантин, что с ними мне делать? удалить можно?
-
Распакуйте файлы из вложения и внесите информацию в реестр
Запакуйте, пожалуйста, папку C:\Qoobox\Quarantine с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.
Если почтовый сервер не будет пропускать письмо, выложите архив на файлообменник, а на указанный e-mail отправьте письмо со ссылкой на скачивание.
Удалите ComboFix
Сделайте лог virusinfo_syscheck.zip
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Информацию в Реестр внёс.
Карантин вам отправил.
Combo удалил по инструкции, патом скачал OTCleanIt запустил и после перезагрузки компа она исчезла - это нормально?
При проверке AVZ в логе отмечал перехватчики, это вирус или что?
-
Перехваты от антивируса
В логах порядок
Установите SP3 (может потребоваться активация) + все новые патчи
Установите Internet Explorer 8 (даже если им не пользуетесь)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Ох не знаю я, боюсь обновлять до SP3. В прошлом году как то обновил через Updater и после перезагрузки минут через 10 вся система начала виснуть сама ушла в перезагрузку выдала Синий экран. Пришлось заново винду ставить( Подумаю ещё, может и обновлю.
Что у меня хоть за зараза была на компе то? А то смотрю после меня Новые темы на форуме с такими же проблемами появились.
В общем теперь всё работает отлично)
Спасибо Вам Большое за оперативную помощь и за вашу работу, а то я уж настраивался на переустановку Винды когда глюки появились.
-
Пока Ваш карантин еще не скачивал. Потому точно назвать, какое зверье было, не могу
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-