Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Службы - Svchost грузит процессор на 25%

Ответить
Настройки темы
Службы - Svchost грузит процессор на 25%

Аватара для Glareone

Старожил


Сообщения: 281
Благодарности: 46


Конфигурация

Профиль | Отправить PM | Цитировать


Доброго времени суток.
При включении интернета в Windows7 svchost.exe начинает вгружать процессор на 25%. (полностью первое ядро)
Procexp в Thread показывает,что грузит его ntdll.dll с "стартовым адресом" ntdll.dll!Etw TraceMassageVa+0x 130. в стеке указывается исполнительным файлом некий ntoskml.exe
Понятно,что это разновидность вируса,который маскируется под ntoskrnl.exe, но совершенно непонятно как от него избавиться.
Ни 1 из антивирусов (Kaspersky 2010,Comodo,KidoKiller) ничего не находят. HijackThis находит достаточно много подозрительных объектов,но проанализировав большую часть понял,что "клиента" здесь нету.
Подскажите как справиться с ним.

Система:
Core2Quad 9550 3,4ггц, 6GB Озу, Win7 x64 7600, 2*250 Raid0(SiliconImage chip)+500GB WD,NV8800GTS
Это сообщение посчитали полезным следующие участники:

Отправлено: 00:21, 19-03-2010

 

Аватара для Morpheus

Ветеран


Сообщения: 12426
Благодарности: 2328

Профиль | Отправить PM | Цитировать


Glareone, Вам нужна помощь? Нам нужны ваши логи!

Отправлено: 00:54, 19-03-2010 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для Glareone

Старожил


Сообщения: 281
Благодарности: 46

Профиль | Отправить PM | Цитировать


Собрал лог.
Не получилось только с одним-AVZ наотрез отказался запускать проинсталлировать "расширенный монитор процессов"-реакции под правами администратора не было никакой на нажатие.
Если это критично-попробую через утилиты переопределить права на него и всё-таки установить расширенный монитор процессов.

Последний раз редактировалось Glareone, 22-04-2010 в 02:02.


Отправлено: 09:31, 19-03-2010 | #3


Аватара для sanek_freeman

Ветеран


Сообщения: 2240
Благодарности: 489

Профиль | Отправить PM | Цитировать


Glareone, здравствуйте. По логам вроде чисто. На всякий случай сделайте проверку:

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Внимательно смотрите что удаляете - МВАМ не любит креки.

-------
Сравнительная таблица по процессорам | Сравнительная таблица производительности видеокарт AMD(ATI) и Nvidia | Выбор конфигурации компьютера

Ассоциация VIRUSNET и обучение методам лечения систем от вредоносных программ

Сообщение помогло? Оказалось полезным? Хотите сказать "Спасибо"? - Смело нажимайте кнопку "Полезное сообщение"!
Проблема в вашей теме Решена? - Отметьте её решенной в настройках темы.


Отправлено: 10:07, 19-03-2010 | #4


Аватара для Glareone

Старожил


Сообщения: 281
Благодарности: 46

Профиль | Отправить PM | Цитировать


Malwarebytes Anti-Malware нашел 2 чекбокса от hijack в реестре и больше ничего.Вирусная активность продолжается. Без понятия как с этим бороться.
Выкладываю малваре лог №2

Последний раз редактировалось Glareone, 22-04-2010 в 02:02.


Отправлено: 12:43, 19-03-2010 | #5


Аватара для Drongo

Будем жить, Маэстро...


Сообщения: 6694
Благодарности: 1393

Профиль | Сайт | Отправить PM | Цитировать


Glareone, сделайте лог gmer

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
  • Sections
  • IAT/EAT
  • Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

-------
Правильная постановка вопроса свидетельствует о некотором знакомстве с делом.
3нание бывает двух видов. Мы сами знаем предмет — или же знаем, где найти о нём сведения.
[Quick Killer 3.0 Final [OSZone.net]] | [Quick Killer 3.0 Final [SafeZone.cc]] | [Парсер логов Gmer] | [Парсер логов AVZ]

http://tools.oszone.net/Drongo/Userbar/SafeZone_cc.gif


Отправлено: 14:11, 19-03-2010 | #6


Аватара для Glareone

Старожил


Сообщения: 281
Благодарности: 46

Профиль | Отправить PM | Цитировать


Не помог gmer- он выдает чистые логи.
Принял решение снести винду,установить с нуля и запретить внесение изменений в UAC, а также любые не стандартные запросы к svchost. Первый же запрос к svchost был не стандартного вида на порт "mc(prc)135".
Как ни странно-помогло.

Как оказалось не помогло

Также не могу получить пробный ключ для продукта KAV любых версий чтобы обновить с локального репозитория и проверить на вирусы.
Программа VirusKiller от Kaspersky смогла найти изменения в файле ntdll.dll , но вирус не вылечила.

Последний раз редактировалось Glareone, 03-06-2010 в 15:53.

Это сообщение посчитали полезным следующие участники:

Отправлено: 23:58, 19-03-2010 | #7


Аватара для Drongo

Будем жить, Маэстро...


Сообщения: 6694
Благодарности: 1393

Профиль | Сайт | Отправить PM | Цитировать


Цитата Glareone:
Также не могу получить пробный ключ для продукта KAV любых версий чтобы обновить с локального репозитория и проверить на вирусы.
Программа VirusKiller от Kaspersky смогла найти изменения в файле ntdll.dll , но вирус не вылечила. »
Просканируйте компьютер утилитой CureIT или Kaspersky Virus Removal Tool

-------
Правильная постановка вопроса свидетельствует о некотором знакомстве с делом.
3нание бывает двух видов. Мы сами знаем предмет — или же знаем, где найти о нём сведения.
[Quick Killer 3.0 Final [OSZone.net]] | [Quick Killer 3.0 Final [SafeZone.cc]] | [Парсер логов Gmer] | [Парсер логов AVZ]

http://tools.oszone.net/Drongo/Userbar/SafeZone_cc.gif


Отправлено: 13:20, 20-03-2010 | #8


Аватара для Glareone

Старожил


Сообщения: 281
Благодарности: 46

Профиль | Отправить PM | Цитировать


1)Активность вируса удалось пресечь установкой KIS на весь пробный период.После исхода пробного периода активность вируса восстановилась.(Он его не нашел,но заблокировал активность,назвав её win32.Helkern)
2) CureIT и Virus Removal Tool не помогли.
3)Активность находят SalityKiller в 1 записи реестра и VirutKiller (пакет QuickKiller 2.22 от Drongo)в ntdll.dll больше десятка различных модулей с разными PID идентефикаторами.
4)Добавилась проблема обновления AVZ и Malware-ни в какую не обновляется,выдает разного рода ошибки,хотя интернет есть.(AVZ обновил,скачав базы отдельно)
По новой собрал все логи.

Последний раз редактировалось Glareone, 03-06-2010 в 15:53.


Отправлено: 01:10, 22-04-2010 | #9


Странствующий хэлпер


Сообщения: 2242
Благодарности: 634

Профиль | Отправить PM | Цитировать


Цитата Glareone:
После исхода пробного периода активность вируса восстановилась.(Он его не нашел,но заблокировал активность,назвав её win32.Helkern) »
http://support.kaspersky.ru/viruses/...?qid=208635774

Цитата Glareone:
Добавилась проблема обновления AVZ и Malware »
На сайты антивирусных компаний доступ есть? Совет Drongo из сообщения над последним Вашим выполнили?

-------

Microsoft MVP 2012, 2013, 2014, 2015
Помните: в ПМ помощь не оказывается. Для этого и создан этот форум. Вместе мы - сила!

Ждете помощи? Выполните Правила оказания помощи


Отправлено: 10:31, 22-04-2010 | #10



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Службы - Svchost грузит процессор на 25%

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Службы - Потребление памяти и ЦП процессом svchost .:[все вопросы]:. Blast Microsoft Windows 7 477 02-06-2021 17:32
Службы - [решено] svchost -> dcomlaunch -> plug-and-play грузит проц XPraptor22 Microsoft Windows Vista 26 08-01-2013 17:13
svchost.exe грузит процессор Стрючок Лечение систем от вредоносных программ 1 10-01-2010 09:44
Службы - SVCHOST грузит систему Crash override Microsoft Windows Vista 9 02-04-2009 12:22
Драйвер - DVB-карта TT-budget S1401: svchost грузит систему на 100% blondin Microsoft Windows 2000/XP 0 06-04-2008 19:51




 
Переход