Лишние svchost.exe грузят ЦП и интернет,

[-БЕРКУТ-]

Здравствуйте, стоял антивирус у меня DrWeb Pro 6 - после обновления его базы на следующий день при включении ПК увидел что DrWeb стал 5-ой версии с последним обновлением 1970 года 0_о.
Начал ставить 6 версию и после установки и перезагрузки снова у меня появились лишние процессы svchost.exe всего в диспетчере насчитал 7 штук,при подключении к интернету начинают загружать ЦП, интернет сильно тормозит, минут через 10 появляются новые процессы типа -А018,D001 и т.д.,которые DrWeb тут же отсекает, но они лезут без конца.
Далее появляется сообщение об ошибке Generic Host и интернет виснет и не отключается, приходится перезагружать. Интернета максимум хватает минут на 25-30.....
Последние пару часов через какоето время работы, ПК стал полностью виснуть - браузер виснет, даже окна виндовс не открвает,
бездействие ЦП 99% приходится перезагружать(
Несколько месяцев назад у меня была такая же проблема, тут мне помогли довольно быстро с ней справиться.
Снова прошу у вас помощи в лечении.
Из прошлой практики сразу сделал несколько сканов - стандартные + MBAM и ComboFix.

[olejah]

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 DeleteService('srgr');
 QuarantineFile('C:\WINDOWS\system32\PH6CDTYX\D001.exe','');
 DeleteService('supersev');
 QuarantineFile('C:\WINDOWS\system32\t\A89.exe','');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WabSvc\Parameters','ServiceDll');
 DeleteFile('C:\WINDOWS\system32\t\A89.exe');
 BC_DeleteSvc('supersev');
 DeleteFile('C:\WINDOWS\system32\PH6CDTYX\D001.exe');
 BC_DeleteSvc('srgr');
 DeleteFile('C:\WINDOWS\System32\wabapsclib.dll');
 DeleteFile('c:\windows\system32\wabaprnlib.dll');  
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

Выполните скрипт в АВЗ -

Код:

var j:integer; NumStr:string;
begin
for j:=0 to 999 do
 begin
    if j=0 then
        NumStr:='CurrentControlSet' else 
        if j<10 then
            NumStr:='ControlSet00'+IntToStr(j) else
            if j<100 then
                NumStr:='ControlSet0'+IntToStr(j) else
                NumStr:='ControlSet'+IntToStr(j);
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
  end;
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
  begin 
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
  end;
 end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.

- прикрепите к сообщению файл fystemRoot.log, который появится в папке с AVZ

Удалите в МВАМ -

Код:

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wabsvc (Malware.Packer) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Invictus (Trojan.FakeAlert) -> No action taken.

Зараженные файлы:
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\BZPL8Q8U\A00[2].exe (Malware.Packer) -> No action taken.
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\S5NMRAGV\A00[1].exe (Malware.Packer) -> No action taken.

- Повторите логи АВЗ + МВАМ

[-БЕРКУТ-]

Карантин Отправил.
Выполнил все скрипты и после перезагрузки полезли Ошибки,
на диске С какието новые файлы и папки, некоторые приложения к примеру paint не запускаются, файлы для запуска каким-то образом оказалися в карантине в папке C:\Qoobox\Quarantine\C\Program Files - эта папка вроде от ComboFix, но я им ничего не делал. Как их вернуть на место?
Неизвестных Процессов стало ещё больше и они грузят процессор( DrWeb пропал из трея.
Сделал Скрин с ошибками и на диске С появились новые папки и файлы: C:\DRIVERS\smss.exe, C:\1e2d1191.exe, 360°ІИ«ОАКїЙэј¶І№¶Ў - это вапще ярлык какойто с иероглифами.

[-БЕРКУТ-]

И ещё на рабочем столе пропала папка Мои Документы, в место неё появился ярлык
Internet Explorer - кликнул начала открываться страница с адресом zhaosui.com/go.htm?my=99999, что это? интернет ооочень тормозит поэтому только увидел там квадратики и догружать не стал.

[olejah]

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 TerminateProcessByName('c:\windows\temp\1634.exe');
 QuarantineFile('c:\windows\temp\1634.exe','');
 TerminateProcessByName('c:\windows\temp\23641.exe');
 QuarantineFile('c:\windows\temp\23641.exe','');
 TerminateProcessByName('c:\windows\temp\3704.exe');
 QuarantineFile('c:\windows\temp\3704.exe','');
 TerminateProcessByName('c:\windows\temp\8797.exe');
 QuarantineFile('c:\windows\temp\8797.exe','');
 TerminateProcessByName('c:\windows\temp\b9a5c96.exe');
 QuarantineFile('c:\windows\temp\b9a5c96.exe','');
 TerminateProcessByName('c:\windows\system32\ckw7awiq\c010.exe');
 QuarantineFile('c:\windows\system32\ckw7awiq\c010.exe','');
 TerminateProcessByName('c:\windows\system32\ajxtnjr4\d001.exe');
 QuarantineFile('c:\windows\system32\ajxtnjr4\d001.exe','');
 TerminateProcessByName('c:\windows\system32\vo3j5xb1\f001.exe');
 QuarantineFile('c:\windows\system32\vo3j5xb1\f001.exe','');
 TerminateProcessByName('c:\documents and settings\all users\application data\lanmao.exe');
 QuarantineFile('c:\documents and settings\all users\application data\lanmao.exe','');
 TerminateProcessByName('c:\windows\svhost4.exe');
 QuarantineFile('c:\windows\svhost4.exe','');
 TerminateProcessByName('c:\windows\svhost6.exe');
 QuarantineFile('c:\windows\svhost6.exe','');
 TerminateProcessByName('c:\windows\svhost7.exe');
 QuarantineFile('c:\windows\svhost7.exe','');
 QuarantineFile('c:\windows\system32\bxmrs.cc3','');
 QuarantineFile('C:\WINDOWS\system32\dbr06006.ocx','');
 QuarantineFile('C:\WINDOWS\system32\dbr06006.tsp','');
 QuarantineFile('C:\WINDOWS\system32\dbr09006.ocx','');
 QuarantineFile('C:\WINDOWS\system32\dbr09006.tsp','');
 QuarantineFile('C:\WINDOWS\system32\dbr11005.tsp','');
 QuarantineFile('C:\WINDOWS\system32\msctfime.iem','');
 QuarantineFile('C:\WINDOWS\TEMP\kb208169.gon','');
 QuarantineFile('C:\WINDOWS\TEMP\kb551178.gon','');
 QuarantineFile('C:\WINDOWS\system32\0AFD20F8.sys','');
 QuarantineFile('C:\Program Files\Internet Explorer\Antinoftn.scr','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Storm\update\Console\jpqly.cc3','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\lanmao.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\ra.vbe','');
 QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\smsrun.jse','');
 QuarantineFile('C:\WINDOWS\system32\4cdd0.dll','');
 QuarantineFile('c:\drivers\smss.exe','');
 QuarantineFile('C:\WINDOWS\system32\msctfiem.cpl','');
 DeleteFile('C:\WINDOWS\system32\msctfiem.cpl');
 DeleteFile('c:\drivers\smss.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','micrososot');
 DeleteFile('C:\WINDOWS\system32\4cdd0.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\.Net C2LR\Parameters','ServiceDll');
 DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\smsrun.jse');
 DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\ra.vbe');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\lanmao.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WmdmPmSN\Parameters','ServiceDll');
 DeleteFile('C:\WINDOWS\system32\0AFD20F8.sys');
 DeleteFile('C:\WINDOWS\TEMP\kb551178.gon');
 DeleteFile('C:\WINDOWS\TEMP\kb208169.gon');
 DeleteFile('C:\WINDOWS\system32\msctfime.iem');
 DeleteFile('C:\WINDOWS\system32\dbr11005.tsp');
 DeleteFile('C:\WINDOWS\system32\dbr09006.tsp');
 DeleteFile('C:\WINDOWS\system32\dbr09006.ocx');
 DeleteFile('C:\WINDOWS\system32\dbr06006.tsp');
 DeleteFile('C:\WINDOWS\system32\dbr06006.ocx');
 DeleteFile('c:\windows\system32\bxmrs.cc3');
 DeleteFile('c:\windows\svhost7.exe');
 DeleteFile('c:\windows\svhost6.exe');
 DeleteFile('c:\windows\svhost4.exe');
 DeleteFile('c:\documents and settings\all users\application data\lanmao.exe');
 DeleteFile('c:\windows\system32\vo3j5xb1\f001.exe');
 DeleteFile('c:\windows\system32\ajxtnjr4\d001.exe');
 DeleteFile('c:\windows\system32\ckw7awiq\c010.exe');
 DeleteFile('c:\windows\temp\b9a5c96.exe');
 DeleteFile('c:\windows\temp\8797.exe');
 DeleteFile('c:\windows\temp\3704.exe');
 DeleteFile('c:\windows\temp\23641.exe');
 DeleteFile('c:\windows\temp\1634.exe');   
 TerminateProcessByName('c:\windows\system32\ckw7awiq\c010.exe');
 QuarantineFile('c:\windows\system32\ckw7awiq\c010.exe','');
 TerminateProcessByName('c:\windows\system32\vo3j5xb1\f001.exe');
 QuarantineFile('c:\windows\system32\vo3j5xb1\f001.exe','');
 TerminateProcessByName('c:\windows\qqmusic.exe');
 SetServiceStart('sreyfyu', 4);
 StopService('sreyfyu');
 SetServiceStart('8ї', 4);
 DeleteService('8ї');
 StopService('8ї');
 DeleteService('sreyfyu');
 DeleteService('djsak2');
 QuarantineFile('C:\WINDOWS\system32\CKW7AWIQ\C010.exe','');
 QuarantineFile('C:\WINDOWS\system32\VO3J5XB1\F001.exe','');
 QuarantineFile('C:\WINDOWS\system32\7165ds.exe','');
 QuarantineFile('C:\WINDOWS\QQMusic.exe','');
 QuarantineFile('C:\WINDOWS\system32\bxmrs.cc3','');
 QuarantineFile('C:\WINDOWS\system32\wacaprnlib.dll','');
 DeleteFile('C:\WINDOWS\system32\wacaprnlib.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WacSvc\Parameters','ServiceDll');
 DeleteFile('C:\WINDOWS\system32\bxmrs.cc3');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Messenger\Parameters','ServiceDll');
 DeleteFile('C:\WINDOWS\QQMusic.exe');
 DeleteFile('C:\WINDOWS\system32\7165ds.exe');
 DeleteFile('C:\WINDOWS\system32\VO3J5XB1\F001.exe');
 DeleteFile('C:\WINDOWS\system32\CKW7AWIQ\C010.exe');
 BC_DeleteSvc('djsak2');
 BC_DeleteSvc('sreyfyu');
 BC_DeleteSvc('8ї');
 DeleteFile('c:\windows\system32\vo3j5xb1\f001.exe');
 DeleteFile('c:\windows\system32\ckw7awiq\c010.exe');  
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 ExecuteRepair(9);
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip'); 
 end.

Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

[-БЕРКУТ-]

Карантин с трудом отправил, svchost грузит процессор на 99%.......изменений к лучшему нету.

[olejah]

Да какие там изменения, Вы умудрились наловить тучу зверей, так просто не отделаетесь.

- Просканируйте компьютер CureIt, после чего сделайте новые логи.

[-БЕРКУТ-]

Проверил систему CureIt - нашёл много всего, было много заражённых exe-файлов программ, половину в карантин скинул, другое удалил. теперь половина программ переставлять надо.
После проверки загрузился, вылезла ошибка Сервера сенариев (скрин сделал), svchost было 5, через минут 10 появился ещё 1,
при подключении с выключенным фаерволлом к интернету появляются неизвестные процессы и лезут в сеть. АВЗ переставил так как exe-файл был заражён.
Все ярлыки на рабочем столе и в Пуске не работают, у всех почти в своиствах прописан адрес ("C:\Qoobox\Quarantine\C\Program Files\WinPcap\StormII.exe.vir" "C:\Program Files\WinPcap\µTorrent.lnk")
при попытке запустить ярлык пишет что ненайден файл StormII.exe.vir.
Запускаю программы только из корневой папки.
Появился DrWeb, вроде работает.
Похоже всё это началось когда ДрВеб откатился на 5 версию, в интернете читал что это из-за неверного ключа по которому он обновлял базу с Китайского сервера, выше писал уже что появилась страница на рабочем столе тоже на китайский сайт похоже, так как при загрузке шрифт был квадратами весь, и ещё у меня вдруг появилась неизвестно откуда Китайская раскладка в языковой панели.
Китайцы атакуют блин(
А ещё папка- Мои документы пропала с рабочего стола, в пуске стоит галочка отображать на столе, но она не отображается.
По первому скрипту АВЗ нашёл там снова подозрительный файл и ещё отмечал много отладчиков процессов.
Начал делать логи АВЗ по второму скрипту с подключением к интенету, через пару минут комп полностью завис, перезагрузился снова включил на последней стадии АВЗ просто отключился, браузер запускается долго бездействие системы 99%. svchost систему пока не грузит.
Ещё раз переустановил АВЗ сделал логи.

[-БЕРКУТ-]

Браузер FireFox очень долго запускается, при попытке чтонить скачать браузер виснет.
В диспетчере бездействие 99%, при попытке выбрать в нём вкладку "Сеть" диспетчер тоже виснет.

Добавлено через 2 часа 33 минуты

После перезагрузки в диспетчере висит процесс cfdrive32.ехе, через пару минут
ДрВеб уведомляет что заблокировал его, но он всё равно остаётся в процессах пока в ручную не завершу задачу. Ещё блокирует файлы из папки C:\Recycler, я её что-то не могу найти.
И ДрВеб стал сильно грузить процессор до такой степени, что не даёт работать другим программам, примерно каждые 5 минут процесс dwengine.exe загружает ЦП на 99% и браузер в это время зависает, раньше такова не было.

[olejah]

Внимание !!! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Надо бы базы обновить.

[-БЕРКУТ-]

Обновил базы, снова просканил.

[thyrex]

Сделайте лог ComboFix

[-БЕРКУТ-]

Сделал:

[-БЕРКУТ-]

На данный момент ДрВеб работает и перестал сильно грузить Прцессор, до сих пор находит заражённые файлы и блокирует их.
Браузер и интернет работают нормально.
После загрузки ПК cfdrive32.exe больше не появляется, осталось 6 процессов svchost.exe.
Ошибка Сервера сценариев осталась.
Поиск в Виндовс перестал работать, жму поиск -выдаёт ошибку: "Непредвиденная Ошибка. Не удаётся завершить указанное действие".
На диске D появились папки: Temporary в ней uewurweuc - системный файл,
RECYCLER пустая размер 85 байт.

[thyrex]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\documents and settings\All Users\lanmao.bat
c:\documents and settings\All Users\Application Data\lanmao.exe
c:\windows\ouqay.vbe
c:\windows\aoedo.vbe
c:\windows\system32\ssowxqwcpc
c:\windows\yrbie.vbe
c:\documents and settings\All Users\123.bat
c:\windows\system32\bxmrs.cc3
c:\windows\system32\wacapsclib.dll
c:\windows\system32\xkddkk.exe
c:\documents and settings\All Users\Application Data\Storm\update\%SESSIONNAME%\cqtqv.cc3

Driver::
WacSvc
Netnanerav

Folder::

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
"WacSvc"=-
"xcvs"=-

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

Сделайте лог полного сканирования МВАМ

[-БЕРКУТ-]

Всё сделал

[thyrex]

c:\windows\System32\xmlprov.dll восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654

c:\windows\system32\d3d8.dll проверьте проверьте на virustotal
Ссылку на результат проверки сообщите

Удалите в МВАМ все найденное

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\program files\Internet Explorer\IEXPLOPE.EXE

Driver::
WabSvc

Folder::

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
"WabSvc"=-

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[-БЕРКУТ-]

Результат проверки virustotal: http://www.virustotal.com/file-scan/...c1a-1287855920

[thyrex]

Что с проблемой?

[-БЕРКУТ-]

При включении ПК выдёт две ошибки Сервера сценариев Windows:
C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\ny.vbe
C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\smsrun.jse
это удалить можно?
DrWeb каждый раз блокирует три файла из system32: 199A0720, 3C711EEC, 6D0C62A1 тип файла системные. Опознаёт их как Trojan.NtRootKit.9742(virus) - Через несколько минут работы ДрВеб снова уведомляет что заблокировал их, что с ними сделать?
Нашёл эти файлы хотел посмотреть своиства, жму ПКМ и Виндовс выдаёт ошибку:
Ошибка приложения explorer.exe, версия 6.0.2900.2180, модуль mramenu.dll,
версия 0.0.0.0, адрес 0x000134b1.
Оболочка неожиданно завершила работу, и программа "Explorer.exe" была перезапущена.
Поиск не работает, и у всех программ в меню пуск стоит неверный адрес для запуска приложения.
Можно как-то восстановить адреса хотябы стандартных программ? и поиск?
Ещё в диспетчере стал часто мелькать процесс drwreg.exe раньше такова не было, и процесс drwebupw.exe на против него где пишется имя пользователя пустая строка- это нормально?
В остальном всё в норме, хостов 5, Цп не грузят.

Добавлено через 6 минут

И что на счёт двух папок, которые появились на диске D? раньше их не было.