Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] svchost -k netsvcs грузить камень на 50% (http://forum.oszone.net/showthread.php?t=183888)

vertizo 26-08-2010 11:08 1482019
svchost -k netsvcs грузить камень на 50%
 
Проблема с svchost -k netsvcs, грузит на 50-60% все 2 ядра. Это служба автоматического обновления. Сама служба выключена, но почему то постоянно подгружается. Помогите решить проблему, а то не хочется каждый раз при загрузке винды завершать процесс.
За ранее благодарю.

Petya V4sechkin 26-08-2010 11:16 1482024
Цитата:
Цитата vertizo
Это служба автоматического обновления. Сама служба выключена
Одно противоречит другому. Почему вы решили, что это служба автоматического обновления?
Посмотрите в Process Explorer проблемный Svchost. На нем правой кнопкой мыши -> Properties -> вкладка Threads (какой поток грузит) и вкладка Image -> параметр Command line (откуда запускается).

vertizo 26-08-2010 11:30 1482038
ну я вообщем то через Process Explorer и смотрел. C:\Windows\system32\svchost.exe -k netsvcs это Command Line. грузит именно первый поток, а именно Svchost.exe+0x2104.
netsvcs разьве не служба автоматического обновления?

Petya V4sechkin 26-08-2010 11:46 1482050
Цитата:
Цитата vertizo
грузит именно первый поток, а именно Svchost.exe+0x2104
Выделите его и нажмите кнопку Stack (список выложите).

Цитата:
Цитата vertizo
netsvcs разьве не служба автоматического обновления?
Службы на вкладке Services.

vertizo 26-08-2010 11:47 1482051
ntkrnlpa.exe!KeSetEvent+0x2a1
ntkrnlpa.exe!KeDelayExecutionThread+0x5cc
ntkrnlpa.exe!KeWaitForSingleObject+0x393
ntkrnlpa.exe!KeQueryHighestNodeNumber+0x9fe
ntkrnlpa.exe!ObReferenceObjectByHandle+0x21
ntkrnlpa.exe!NtDeviceIoControlFile+0x2a
ntkrnlpa.exe!ZwYieldExecution+0xb66
ntdll.dll!KiFastSystemCallRet
ws2_32.DLL!recv+0x85
ntdll.dll!KiUserApcDispatcher+0x25

Petya V4sechkin 26-08-2010 12:02 1482060
vertizo, на вкладке Services попробуйте останавливать службы по очереди.

Valeant 26-08-2010 12:15 1482067
vertizo,
Данный svchost -k netsvcs запускает не одну службу около 10.
Лучше картинку по потокам Threads.

vertizo 26-08-2010 13:52 1482152
все службы netsvcs по отключал по очереди, не получилось отключить только планировщик. загрузка цп не изменилась.

Petya V4sechkin 26-08-2010 14:13 1482168
vertizo, давайте еще попробуем сохранить и посмотреть user-mode process dump для этого Svchost (выложите получившийся дамп).
Как с вирусами обстоят дела?

vertizo 26-08-2010 14:35 1482182
100% не в вирусах дело, проверил все нодом.
Ссылка на дамп

Petya V4sechkin 26-08-2010 15:16 1482207
vertizo, в дампе есть ссылка на mdnsNSP.dll (Bonjour).
Он в LSP, а при сбое идет обращение к стандартным библиотекам Winsock.

Попробуйте сбросить
netsh winsock reset

vertizo 26-08-2010 15:48 1482231
сначала попробовал сбросить, не помогло.
решил удалить Bojour, эффект тот же.

Petya V4sechkin 26-08-2010 15:50 1482234
vertizo, перезагружались после этого?

vertizo 26-08-2010 15:55 1482239
да. перезагружался.

Petya V4sechkin 26-08-2010 16:23 1482267
vertizo, сделайте полную проверку и логи.

vertizo 26-08-2010 17:38 1482335
Вложений: 1
вот вроде все логи собрал.

Vadikan 26-08-2010 17:48 1482341
Если зловредов нет, верните в форум Windows 7.

thyrex 26-08-2010 18:39 1482377
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\ser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\updqnc32.exe','');
 DeleteFile('C:\Users\ser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\updqnc32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь.

Сделайте новые логи

vertizo 26-08-2010 19:32 1482410
updqnc32.exe - Backdoor.Win32.Bredolab.hkb

В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами.


Очень странно, но загрузка цп пропала...

Drongo 26-08-2010 19:40 1482417
vertizo, Сделайте повторые контрольные логи версией AVZ 4.35

vertizo 26-08-2010 20:27 1482453
вот логи

Drongo 26-08-2010 22:06 1482514
vertizo, Да, логи чистые. :)

Vadikan 27-08-2010 00:59 1482640
Цитата:
Цитата vertizo
100% не в вирусах дело, проверил все нодом. »
Цитата:
Цитата vertizo
Цитата:
Цитата Ответ Лaборатории Касперского
В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами.
Очень странно, но загрузка цп пропала... »
LOL


Время: 15:58.

Время: 15:58.
© OSzone.net 2001-