Показано с 1 по 10 из 10.

Процесс svchost.exe грузит процессор (заявка № 85312)

  1. #1
    Junior Member Репутация
    Регистрация
    13.08.2010
    Адрес
    Новосибирская обл.
    Сообщений
    11
    Вес репутации
    50

    Exclamation Процесс svchost.exe грузит процессор

    Система Win2003 Server Standart Edition SP1

    Было подозрение на вирус ("падает" spoolsv), запустил DrWeb LiveCD с последними базами.
    При проверке было найдено несколько Trojan.Packed.___ - Вылечено (Удалено).
    Теперь после перезагрузки через какое-то время (~10-15 мин) один из процессов svchost.exe начинает грузить систему (проц 2-хядерный, поэтому в диспетчере задач загрузка только на 50%)
    Если этот процесс принудительно "убить", то начинается обратный отсчет времени с сообщением о службе DCOM и, соответственно, в дальнейшем перезагрузка.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    В AVZ -> файл-> Выполнить скрипт, скрипт желательно выполнить в безопасном режиме.

    Код:
    begin
     QuarantineFile('\\?\globalroot\systemroot\system32\d9oqr3e.exe','');
     QuarantineFile('C:\WINDOWS\system32\d9oqr3e.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\WINDOWS\system32\regsvr32.exe','');
     QuarantineFile('c:\documents and settings\администратор\application data\ntos.exe','');
     QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
     QuarantineFile('C:\Documents and Settings\Администратор\ctfmon.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\monoca32.exe','');
     QuarantineFile('C:\WINDOWS\system32\syspanel32.exe','');
     QuarantineFile('C:\WINDOWS\system32\d07b8384.exe','');
     QuarantineFile('C:\WINDOWS\system32\364a60ce.exe','');
     QuarantineFile('C:\Documents and Settings\Default User\Application Data\Hauvar\pugya.exe','');
     QuarantineFile('E:\Program\mmt\mmt.exe','');
     QuarantineFile('c:\windows\system32\chgservice.exe','');
     DeleteFile('C:\WINDOWS\system32\364a60ce.exe');
     DeleteFile('C:\WINDOWS\system32\d07b8384.exe');
     DeleteFile('C:\WINDOWS\system32\syspanel32.exe');
     DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\monoca32.exe');
     DeleteFile('C:\Documents and Settings\Администратор\ctfmon.exe');
     DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
     DeleteFile('c:\documents and settings\администратор\application data\ntos.exe');
     DeleteFile('\\?\globalroot\systemroot\system32\d9oqr3e.exe');
     DeleteFile('C:\WINDOWS\system32\d9oqr3e.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Panel');
     RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    end.
    Перезагрузите комьпютер.

    Пришлите карантин согласно правил по ссылке Прислать запрошенный карантин.

    Выполните это http://virusinfo.info/showthread.php?t=3519

    Повторите логи по правилам.

    P.S. Это у вас сервер или рабочая лошадка? Если сервер, то я не понимаю, зачем там установлено столько "левых" приложений? Вы системный администратор?
    Последний раз редактировалось light59; 13.08.2010 в 15:45.

  4. #3
    Junior Member Репутация
    Регистрация
    13.08.2010
    Адрес
    Новосибирская обл.
    Сообщений
    11
    Вес репутации
    50
    Файл сохранён как 100816_170601_virus_4c6937b96f155.zip
    Размер файла 6339649
    MD5 086ea77482f97eecb3a85421a5e7b2f0

    Добавлено через 5 минут

    По поводу PS:
    Я являюсь админом. Это и сервер и рабочая лошадка. К сожалению...

    И еще:
    Пишу из другого места, т.к. на сервере не могу достучаться ни до антивирусных сайтов в зоне .ru, ни до конференции...
    Все остальное работает...
    Кстати, при попытках что-либо сделать, чтобы достучаться до конфы, получилось убить еще несколько тел вирусов...
    А вот до конфы достучаться так и не удалось...
    Последний раз редактировалось Macleod1301; 16.08.2010 в 17:12. Причина: Добавлено

  5. #4
    Junior Member Репутация
    Регистрация
    13.08.2010
    Адрес
    Новосибирская обл.
    Сообщений
    11
    Вес репутации
    50
    Логи:

  6. #5
    Junior Member Репутация
    Регистрация
    13.08.2010
    Адрес
    Новосибирская обл.
    Сообщений
    11
    Вес репутации
    50
    Заработало и на сервере (при помощи AVZ удалил статическую ссылку).

  7. #6
    Junior Member Репутация
    Регистрация
    13.08.2010
    Адрес
    Новосибирская обл.
    Сообщений
    11
    Вес репутации
    50
    Не знаю, относится к обсуждаемой проблеме или нет, но еще в браузере не открываются некоторые сайты....
    Может быть тоже блокировка какая-нить стоит?
    Статические маршруты к антивирусным сайтам я удалил, но есть еще недоступные сайты, которые точно работающие...
    Подскажите, плз, где можно поправить это дело...

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Адреса, явки, пароли? Что конкретно не работает и как не работает? В каких браузерах?

  9. #8
    Junior Member Репутация
    Регистрация
    13.08.2010
    Адрес
    Новосибирская обл.
    Сообщений
    11
    Вес репутации
    50
    Не работал налоговый сайт. Ручками убрал маршрут - заработало...

    По начальной проблеме:
    Сейчас, на первый взгляд, вроде все работает... но может быть еще не все?
    Как проверить? сформировать логи по правилам?

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Цитата Сообщение от Macleod1301 Посмотреть сообщение
    Я являюсь админом. Это и сервер и рабочая лошадка.
    +
    Windows 2003 SP1
    Acrobat 7
    Тяжёлый случай

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 33
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\default user\\application data\\hauvar\\pugya.exe - Packed.Win32.Krap.hm ( DrWEB: Trojan.PWS.Panda.430, BitDefender: Gen:Heur.ManBat.1, AVAST4: Win32:MalOb-IJ [Cryp] )
      2. c:\\program files\\internet explorer\\setupapi.dll - Trojan.Win32.Zapchast.cbh ( DrWEB: Trojan.WinSpy.935, BitDefender: Trojan.Spy.Agent.OFN, NOD32: Win32/Agent.OSS trojan, AVAST4: Win32:Patched-TI [Trj] )
      3. c:\\windows\\system32\\d07b8384.exe - Trojan.Win32.Inject.atkb ( DrWEB: Trojan.Packed.20771, BitDefender: Backdoor.Generic.419900, NOD32: Win32/Spy.Shiz.NAI trojan, AVAST4: Win32:MalOb-DS [Cryp] )
      4. c:\\windows\\system32\\syspanel32.exe - Trojan-Banker.Win32.Fibbit.y ( DrWEB: Trojan.PWS.Ibank.81, BitDefender: Gen:Trojan.Heur.RP.gmW@amZceDb, NOD32: Win32/Spy.Agent.NSQ trojan, AVAST4: Win32:Malware-gen )
      5. c:\\windows\\system32\\364a60ce.exe - Backdoor.Win32.Shiz.to ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.20, AVAST4: Win32:MalOb-DS [Cryp] )


  • Уважаемый(ая) Macleod1301, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 14
      Последнее сообщение: 26.03.2012, 22:27
    2. Процесс svchost.exe грузит процессор на 50 и 100%...!
      От XaVier2011 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 23.10.2011, 16:01
    3. Ответов: 9
      Последнее сообщение: 16.09.2011, 17:47
    4. Ответов: 2
      Последнее сообщение: 31.08.2010, 00:35
    5. Процесс svchost.exe грузит процессор на 99% (заявка №20315)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 10.06.2010, 03:03

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00088 seconds with 19 queries