Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Svhost грузит процессор (http://forum.oszone.net/showthread.php?t=234307)

kliver 09-05-2012 13:30 1913017
Svhost грузит процессор
 
Здравствуйте.
С недавнего времени свхост стал загружать процессор на 100%. В безопасном режиме такой проблеммы не наблюдается. Просканировал авастом, авп, доктором вебом. НАшел немного вирусни, но это не решило проблему. Все несчадно тормозит, даже набор текста, не говоря уж о мультимедиа.

Вот логи.

iskander-k 09-05-2012 16:30 1913083
Где лог RSIT ?

Сделайте еще лог Universal Virus Sniffer (UVS)

Скачайте Universal Virus Sniffer (UVS)

Как подготовить лог UVS

Извлеките UVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
___________________
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7Zip, то UVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к посту в теме.


___________________
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

kliver 09-05-2012 22:24 1913184
Вот все логи.

iskander-k 09-05-2012 23:24 1913187
1. Удалите Adobe Flash Player через панель удаления программ.

2 Выполните
  • Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".



  • Скопируйте скрипт

    Код:
    ;uVS v3.74 script [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1

    ; C:\WINDOWS\SYSTEM32\MACROMED\FLASH\FLASHPLAYERUPDATESERVICE.EXE
    zoo %Sys32%\MACROMED\FLASH\FLASHPLAYERUPDATESERVICE.EXE
    addsgn 1A41D19A5583E98CF42B627DA8049949018E0B378AFA1F78F1E74FBDD31770C8E3638DA0FF569D492BF56B9A461649FAF07BCC7255DAB0A18953A42FC706A972 64 CLICKER

    zoo %SystemDrive%\USERS\0\APPDATA\LOCAL\TEMP\LPZPY.BAT
    delall %SystemDrive%\USERS\0\APPDATA\LOCAL\TEMP\LPZPY.BAT
    zoo %SystemDrive%\USERS\0\APPDATA\ROAMING\MACROMEDIA.EXE
    delall %SystemDrive%\USERS\0\APPDATA\ROAMING\MACROMEDIA.EXE
    zoo %Sys32%\MACROMED\FLASH\FLASH10D.OCX
    delall %Sys32%\MACROMED\FLASH\FLASH10D.OCX
    zoo %Sys32%\MACROMED\FLASH\NPSWF32_11_2_202_235.DLL
    delall %Sys32%\MACROMED\FLASH\NPSWF32_11_2_202_235.DLL
    zoo %Sys32%\FlashPlayerApp.exe
    delall %Sys32%\FlashPlayerApp.exe
    restart
  • Выберите меню "Скрипт" => Выполнить скрипт находящийся в буфере обмена..."

После выполнения скрипта зайдите в папку где распакована UVS найдите архив имя которого отвечает дате и времени запуска скрипта (например:2011-06-30_22-04-27.7z) если архив отсутствует, то заархивруйте папку ZOO с паролем virus. И отправьте на адрес quarantine<at>safezone.cc(at=@) в заголовке (теме) письма укажите ссылку на тему где вам оказывается помощь.

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:

begin
SetAVZGuardStatus(True);
 QuarantineFile('C:\USERS\0\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ADOBEUPDATE.LNK','');
 DeleteFile('C:\USERS\0\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ADOBEUPDATE.LNK');
 DeleteFileMask('C:\bvXEJzs97sedUCO', '*.*', true);
 DeleteFileMask('C:\4MiUz9yfB0EhqRv', '*.*', true);
 DeleteDirectory('C:\bvXEJzs97sedUCO');
DeleteDirectory('C:\4MiUz9yfB0EhqRv');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему и её название.

Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

kliver 10-05-2012 18:12 1913567
Все еще тормозит. Но если компьютер поработает какое то время то загруженность процессора пропадает.

iskander-k 10-05-2012 19:21 1913598
Выполните скрипт

Код:
begin
SetAVZGuardStatus(True);
 QuarantineFile('C:\ProgramData\ezsidmv.dat','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Отправьте карантин по указанной выше форме

Лог МБАМ где ?

kliver 10-05-2012 19:26 1913602
Вложений: 1
mdam

iskander-k 10-05-2012 23:00 1913719
Удалите в МБАМ
Код:
C:\Users\0\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.

kliver 10-05-2012 23:18 1913729
Это я сделал. После этого у меня перестало распознавать блютуз мышку и отключилась служба DHCP-клиент что привело к запрету доступа в интернет.

iskander-k 11-05-2012 13:13 1913947
Перед применением скрипта создайте новую точку восстановления.!!


Нужно восстановить winsock.

По инструкции http://safezone.cc/forum/showthread.php?t=156
также можете воспользоваться службой Microsoft Fix

или

Выполните в UVS

Код:
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

EXEC cmd /c"netsh winsock reset catalog"


restart

Предупреждение. Выполнение команды netsh winsock reset может плохо отразиться на программах, которые используют или контролируют доступ к Интернету, например на антивирусных программах, брандмауэрах или прокси-клиентах. В случае неправильной работы одной из этих программ после использования рассматриваемого метода переустановите программу, чтобы восстановить ее работоспособность.

kliver 12-05-2012 17:59 1914702
Ну интернет я востановил включение службы.
Все рано нужно сделать последний скрипт?

iskander-k 12-05-2012 18:05 1914706
Нет, если интернет работает.

Лог RSIT сделайте

Что с проблемой ?

kliver 13-05-2012 09:39 1914971
Вложений: 2
Rsit
Ничего не изменилось, разве что со временем нагрузка на процессор падает до 35%. Это правда не сильно делает работу на нем приятнее.
Может нужна какая-нибудь доп. информация: скрины диспечера загрузки и прочее?

iskander-k 13-05-2012 19:16 1915253
выполните в АВЗ скрипт
Код:
begin
SetAVZGuardStatus(True);
 QuarantineFile('C:\ProgramData\ezsidmv.dat','');
 DeleteFile('C:\ProgramData\ezsidmv.dat');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
  • Sections
  • IAT/EAT
  • Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

kliver 13-05-2012 20:20 1915283
Вложений: 1
Выполнил скрип и просканировал.

akok 13-05-2012 23:13 1915413
µTorrent в это время активен?

Подготовьте лог SecurityCheck by screen317

kliver 14-05-2012 18:28 1915853
Вложений: 1
Торент выключен.

SecurityCheck

iskander-k 14-05-2012 19:25 1915879
Отключите антивирус и проверьте нагрузку.

kliver 15-05-2012 18:16 1916479
Без антивируса ситуация та же. Странное дело, если интернет получаю по вай-фаю, то нагрузка на цп падает до нуля через некоторе время. Когда же рррое то ниже 35% не падает. Когда инета вообще нет то тоже падает до нуля, но нужно ждать значительно дольше.

iskander-k 15-05-2012 19:46 1916528
Активного заражения не видно.

Подготовьте еще логи OTL by OldTimer и лог OSAM

kliver 16-05-2012 19:19 1917201
Вложений: 1
OTL сделать не смог. Сканер работал, работал, потом сказал что не может создать файл cmd.bat и потом ничего уже не происходило.

iskander-k 17-05-2012 19:54 1917852
Активного заражения не видно.

kliver 19-05-2012 18:05 1918829
Ясно, ну что ж спасибо за помощь.


Время: 19:40.

Время: 19:40.
© OSzone.net 2001-