Svchost грузит процессор на 25%
Доброго времени суток.
При включении интернета в Windows7 svchost.exe начинает вгружать процессор на 25%. (полностью первое ядро) Procexp в Thread показывает,что грузит его ntdll.dll с "стартовым адресом" ntdll.dll!Etw TraceMassageVa+0x 130. в стеке указывается исполнительным файлом некий ntoskml.exe Понятно,что это разновидность вируса,который маскируется под ntoskrnl.exe, но совершенно непонятно как от него избавиться. Ни 1 из антивирусов (Kaspersky 2010,Comodo,KidoKiller) ничего не находят. HijackThis находит достаточно много подозрительных объектов,но проанализировав большую часть понял,что "клиента" здесь нету. Подскажите как справиться с ним. Система: Core2Quad 9550 3,4ггц, 6GB Озу, Win7 x64 7600, 2*250 Raid0(SiliconImage chip)+500GB WD,NV8800GTS |
Glareone, Вам нужна помощь? Нам нужны ваши логи!
|
Собрал лог.
Не получилось только с одним-AVZ наотрез отказался запускать проинсталлировать "расширенный монитор процессов"-реакции под правами администратора не было никакой на нажатие. Если это критично-попробую через утилиты переопределить права на него и всё-таки установить расширенный монитор процессов. |
Glareone, здравствуйте. По логам вроде чисто. На всякий случай сделайте проверку:
• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Внимательно смотрите что удаляете - МВАМ не любит креки. |
Malwarebytes Anti-Malware нашел 2 чекбокса от hijack в реестре и больше ничего.Вирусная активность продолжается. Без понятия как с этим бороться.
Выкладываю малваре лог №2 |
Glareone, сделайте лог gmer
Загрузите GMER по одной из указанных ссылок Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. |
Не помог gmer- он выдает чистые логи.
Принял решение снести винду,установить с нуля и запретить внесение изменений в UAC, а также любые не стандартные запросы к svchost. Первый же запрос к svchost был не стандартного вида на порт "mc(prc)135". Как ни странно-помогло. Как оказалось не помогло :( Также не могу получить пробный ключ для продукта KAV любых версий чтобы обновить с локального репозитория и проверить на вирусы. Программа VirusKiller от Kaspersky смогла найти изменения в файле ntdll.dll , но вирус не вылечила. |
Цитата:
|
1)Активность вируса удалось пресечь установкой KIS на весь пробный период.После исхода пробного периода активность вируса восстановилась.(Он его не нашел,но заблокировал активность,назвав её win32.Helkern)
2) CureIT и Virus Removal Tool не помогли. 3)Активность находят SalityKiller в 1 записи реестра и VirutKiller (пакет QuickKiller 2.22 от Drongo)в ntdll.dll больше десятка различных модулей с разными PID идентефикаторами. 4)Добавилась проблема обновления AVZ и Malware-ни в какую не обновляется,выдает разного рода ошибки,хотя интернет есть.(AVZ обновил,скачав базы отдельно) По новой собрал все логи. |
Цитата:
Цитата:
|
1)Насчет .Helkern я прочитал.Стоит SQL Server 2005 как программный пакет,идущий совместно с VisualStudio.Но активность вируса была и тогда,когда его не стояло.
2) Цитата:
3)На сайты доступ есть,но при установке KAV, KIS, DrWeb не могу получить обновление онлайн или ключ пробной версии(сервер недоступен пишет). Comodo,A-squared Free получили обновления нормально. 4)2 вируса 2 реестровых ключа и 1 реестровая запись подозрения(отправлено на анализ) найдены Антивирусом A-squared Free. Все что он нашел-удалил.Не помогло. |
•Скачайте ComboFix или здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Как использовать ComboFix Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe. |
после запуска ComboFix и непродолжительной его работы выдал сообщение о том,что ОС не подходящая и он работает только с win2000 и ХР.
Сделал некоторые выводы для себя.Куплю лицензию на KIS 2010(пока он работает,вирус активности не проявляет) и буду надеяться,что в базы антивирусов за год сигнатуры моего вируса попадут и я его успешно вылечу.Тему можно,я думаю, закрывать. Всем спасибо за попытку помочь с моим вредителем. |
Время: 20:23. |
Время: 20:23.
© OSzone.net 2001-