-
Junior Member
- Вес репутации
- 51
Процесс svchost.exe грузит процессор
Система Win2003 Server Standart Edition SP1
Было подозрение на вирус ("падает" spoolsv), запустил DrWeb LiveCD с последними базами.
При проверке было найдено несколько Trojan.Packed.___ - Вылечено (Удалено).
Теперь после перезагрузки через какое-то время (~10-15 мин) один из процессов svchost.exe начинает грузить систему (проц 2-хядерный, поэтому в диспетчере задач загрузка только на 50%)
Если этот процесс принудительно "убить", то начинается обратный отсчет времени с сообщением о службе DCOM и, соответственно, в дальнейшем перезагрузка.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
В AVZ -> файл-> Выполнить скрипт, скрипт желательно выполнить в безопасном режиме.
Код:
begin
QuarantineFile('\\?\globalroot\systemroot\system32\d9oqr3e.exe','');
QuarantineFile('C:\WINDOWS\system32\d9oqr3e.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\WINDOWS\system32\regsvr32.exe','');
QuarantineFile('c:\documents and settings\администратор\application data\ntos.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\Documents and Settings\Администратор\ctfmon.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\monoca32.exe','');
QuarantineFile('C:\WINDOWS\system32\syspanel32.exe','');
QuarantineFile('C:\WINDOWS\system32\d07b8384.exe','');
QuarantineFile('C:\WINDOWS\system32\364a60ce.exe','');
QuarantineFile('C:\Documents and Settings\Default User\Application Data\Hauvar\pugya.exe','');
QuarantineFile('E:\Program\mmt\mmt.exe','');
QuarantineFile('c:\windows\system32\chgservice.exe','');
DeleteFile('C:\WINDOWS\system32\364a60ce.exe');
DeleteFile('C:\WINDOWS\system32\d07b8384.exe');
DeleteFile('C:\WINDOWS\system32\syspanel32.exe');
DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\monoca32.exe');
DeleteFile('C:\Documents and Settings\Администратор\ctfmon.exe');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('c:\documents and settings\администратор\application data\ntos.exe');
DeleteFile('\\?\globalroot\systemroot\system32\d9oqr3e.exe');
DeleteFile('C:\WINDOWS\system32\d9oqr3e.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Panel');
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
Перезагрузите комьпютер.
Пришлите карантин согласно правил по ссылке Прислать запрошенный карантин.
Выполните это http://virusinfo.info/showthread.php?t=3519
Повторите логи по правилам.
P.S. Это у вас сервер или рабочая лошадка? Если сервер, то я не понимаю, зачем там установлено столько "левых" приложений? Вы системный администратор?
Последний раз редактировалось light59; 13.08.2010 в 15:45.
-
-
Junior Member
- Вес репутации
- 51
Файл сохранён как 100816_170601_virus_4c6937b96f155.zip
Размер файла 6339649
MD5 086ea77482f97eecb3a85421a5e7b2f0
Добавлено через 5 минут
По поводу PS:
Я являюсь админом. Это и сервер и рабочая лошадка. К сожалению...
И еще:
Пишу из другого места, т.к. на сервере не могу достучаться ни до антивирусных сайтов в зоне .ru, ни до конференции...
Все остальное работает...
Кстати, при попытках что-либо сделать, чтобы достучаться до конфы, получилось убить еще несколько тел вирусов...
А вот до конфы достучаться так и не удалось...
Последний раз редактировалось Macleod1301; 16.08.2010 в 17:12.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 51
-
Junior Member
- Вес репутации
- 51
Заработало и на сервере (при помощи AVZ удалил статическую ссылку).
-
Junior Member
- Вес репутации
- 51
Не знаю, относится к обсуждаемой проблеме или нет, но еще в браузере не открываются некоторые сайты....
Может быть тоже блокировка какая-нить стоит?
Статические маршруты к антивирусным сайтам я удалил, но есть еще недоступные сайты, которые точно работающие...
Подскажите, плз, где можно поправить это дело...
-
Адреса, явки, пароли? Что конкретно не работает и как не работает? В каких браузерах?
-
-
Junior Member
- Вес репутации
- 51
Не работал налоговый сайт. Ручками убрал маршрут - заработало...
По начальной проблеме:
Сейчас, на первый взгляд, вроде все работает... но может быть еще не все?
Как проверить? сформировать логи по правилам?
-
Сообщение от
Macleod1301
Я являюсь админом. Это и сервер и рабочая лошадка.
+
Windows 2003 SP1
Acrobat 7
Тяжёлый случай
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 33
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\default user\\application data\\hauvar\\pugya.exe - Packed.Win32.Krap.hm ( DrWEB: Trojan.PWS.Panda.430, BitDefender: Gen:Heur.ManBat.1, AVAST4: Win32:MalOb-IJ [Cryp] )
- c:\\program files\\internet explorer\\setupapi.dll - Trojan.Win32.Zapchast.cbh ( DrWEB: Trojan.WinSpy.935, BitDefender: Trojan.Spy.Agent.OFN, NOD32: Win32/Agent.OSS trojan, AVAST4: Win32:Patched-TI [Trj] )
- c:\\windows\\system32\\d07b8384.exe - Trojan.Win32.Inject.atkb ( DrWEB: Trojan.Packed.20771, BitDefender: Backdoor.Generic.419900, NOD32: Win32/Spy.Shiz.NAI trojan, AVAST4: Win32:MalOb-DS [Cryp] )
- c:\\windows\\system32\\syspanel32.exe - Trojan-Banker.Win32.Fibbit.y ( DrWEB: Trojan.PWS.Ibank.81, BitDefender: Gen:Trojan.Heur.RP.gmW@amZceDb, NOD32: Win32/Spy.Agent.NSQ trojan, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\364a60ce.exe - Backdoor.Win32.Shiz.to ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.20, AVAST4: Win32:MalOb-DS [Cryp] )
-