Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Странное поведение svchost.exe (http://forum.oszone.net/showthread.php?t=191711)

Featus 20-11-2010 02:25 1546888
Странное поведение svchost.exe
 
Здравствуйте!
Помогите, пожалуйста, решить следующую проблему.
С недавних пор после включения компьютера в запущенных процессах один из svchost.exe стал постепенно отъедать память (примерно по 4 КБ в секунду), из-за чего компьютер начинает тормозить все больше и больше. Обнаружив, что этот svchost отвечает за службу автоматических обновлений, я отключил ее. После следующей перезагрузки в процессах появился другой svchost, ведущий себя аналогичным образом, но на этот раз он отвечал за службу центра обеспечения безопасности. Я уже не удивился, что в следующий раз жрущий память svchost так и остался, но теперь это служба Windows Management Instrumentation. Я не уверен, можно ли мне отключать эту службу, но уверен, что даже если я ее отключу и это никак не скажется на работе всего компьютера, эта пакость подцепится к какой-то еще службе. Проверка антивирусами ничего не дала (хотя антивирус Касперского инсталлировать не получается – подозревается наличие "severe infection"), проверка на malware - тоже. Подозреваю наличие руткита, но несколько программ по их поиску ничего не нашли, хотя GMER написал о наличии rootkit-like activity в некоторых местах, но красным ничего не отметил и не высветил возможность "убить" процесс или файл.
Кроме того, есть еще одна странность. Борясь когда-то с одной ошибкой, я закрыл некоторые порты с помощью программы Windows Worms Door Cleaner (WWDC). Недавно я решил, на всякий случай, проверить, закрыты ли порты, как и раньше. Порты закрыты, но теперь при запуске WWDC выдает следующее: "Your system seems to be infected by a virus, your SVCHOST virtual memory usage 28180Ko [цифра может меняться] is beyond usual values. It is strongly advised to check your system with an AntiVirus up to date and an AntiTrojans."

Arbitr 20-11-2010 11:00 1546998
лог гмера в студию...а так же остальные логи подготовьте пока
здесь как это сделатьhttp://forum.oszone.net/thread-98169.html

Featus 20-11-2010 18:25 1547260
Хорошо. Сейчас немножко занят, но завтра попробую предоставить логи.
P.S. Кажись, при работе GMER комп стал виснуть. Причем намертво.

Featus 01-12-2010 02:05 1555492
Вложений: 2
Наконец-то нашел время все сделать.
Прикрепляю все необходимые логи.

zirreX 01-12-2010 18:11 1556006
Здравствуйте!
hosts сами правили?

• Пофиксить в hijackthis
Поставить галочки напротив указанных строк и нажать Fix Cheked

Код:
R3 - URLSearchHook: (no name) -  - (no file)
R3 - URLSearchHook: (no name) - {709746D8-FEB8-4474-9D25-4DBDBBDF2565} - (no file)
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
• Выполните скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('Cbidp02ppma.sys','');
QuarantineFile('C:\Documents and Settings\Featus\Application Data\Microsoft\Internet Explorer\Quick Launch\cglptnt.sys','');
QuarantineFile('C:\WWWPrograms\SDL_Trados_7_1_Freelance\Program Files\TRADOS\T7_FL\TT\WordLang.exe','');
QuarantineFile('C:\Program.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\mmjcn.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\mmjcn.sys');
BC_ImportAll;
ExecuteSysClean;
BC_QrSvc('Cbidp02ppma');
BC_DeleteSvc('sxxoriph');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы

Сделайте повторные логи AVZ и подготовьте лог RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.



Обновите Internet Explorer до восьмой версии
Обновлять IE необходимо даже в том случае, если Вы используете другой браузер, так как он очень глубоко интегрирован в ОС Windows.

Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3.
Установите Service Pack 3 (может потребоваться активация!).

Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол!

Featus 01-12-2010 23:23 1556263
Да, Hosts сам правил. Это для торрентов.
Как будет время, сделаю все, что вы сказали.

Featus 06-12-2010 05:38 1559293
Вложений: 2
Карантин отправил. Повторные логи добавляю. Логи RSIT и Anti-Malware добавляю.
P.S. Пока ничего не изменилось - память "кушается".

zirreX 07-12-2010 01:16 1559918
Проверьте эти файлы на www.virustotal.com
Код:
C:\Documents and Settings\Featus\Application Data\Microsoft\Internet Explorer\Quick Launch\cglptnt.sys
C:\WWWPrograms\SDL_Trados_7_1_Freelance\Program Files\TRADOS\T7_FL\TT\WordLang.exe
C:\Program.exe
Дайте ссылки с результатами проверки

• Выполните скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код:
begin
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\german.exe');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\drvsyskit');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\WinUpdate');
end.
Удалите в MBAM
Код:
c:\wincmd\cx_wincmd451.exe (Trojan.Bancos) -> No action taken.
Активного заражения у вас не вижу.

По логам увидел у вас: Avast, Avira,Kaspersky Internet Security (некорректно удален),AVG AntiRootkit,AdAware,SuperAntiSpyware,Prevx,Dr.Web (некорректно удален) ...
Деинсталлируйте ненужные антивирусные/антишпионские программы!!!
Перед установкой нового антивируса обязательно удаляйте предыдущий!!!

Чистка системы после некорректного удаления антивируса

Featus 08-12-2010 04:18 1560699
cglptnt.sys и Program.exe в названных папках у меня нет.
Проверка оставшегося WordLang.exe вот здесь:
http://www.virustotal.com/file-scan/...f8e-1291741912
Ничего не найдено.
Скрипт сделал. Перегружусь - посмотрю, изменилось ли что-нибудь.
Удалил папку Wincmd. У меня уже давно Total Commander стоит.
Остатки KIS и Dr. Web удалил.

Featus 08-12-2010 15:37 1561087
Память по-прежнему естся. Из-за этого бывает, что отказывают некотоыре программы. Например, может не открываться диспетчер задач.

zirreX 08-12-2010 20:30 1561344
Цитата:
Цитата Featus
cglptnt.sys и Program.exe в названных папках у меня нет. »
Поищите файлы через AVZ
Как искать файлы при помощи AVZ и отправить на анализ
Карантин отправьте при помощи этой формы

• Исправьте через AVZ -> Файл -> Мастер поиска и устранения проблем -> Все проблемы -> отметить указанное -> Исправить
Код:
>>  Заблокированы настройки системы Windows Update
 >>  Заблокирована настройка автоматического обновления
Установите Service Pack 3 и обновите Internet Explorer до 8-ой версии.

Оставьте только одну антивирусную программу,остальные антивирусы/антишпионы необходимо деинсталлировать, так как это крайне негативно сказывается на работе вашей ОС!!!

Featus 12-03-2011 12:32 1633133
Удивительно, но после убиения какого-то непонятного процесса увеличение памяти прекратилось.
Так что, как всегда, "помоги себе сам".


Время: 19:00.

Время: 19:00.
© OSzone.net 2001-