Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Странное поведение svchost.exe

Ответить
Настройки темы
Странное поведение svchost.exe

Новый участник


Сообщения: 8
Благодарности: 0

Профиль | Отправить PM | Цитировать


Здравствуйте!
Помогите, пожалуйста, решить следующую проблему.
С недавних пор после включения компьютера в запущенных процессах один из svchost.exe стал постепенно отъедать память (примерно по 4 КБ в секунду), из-за чего компьютер начинает тормозить все больше и больше. Обнаружив, что этот svchost отвечает за службу автоматических обновлений, я отключил ее. После следующей перезагрузки в процессах появился другой svchost, ведущий себя аналогичным образом, но на этот раз он отвечал за службу центра обеспечения безопасности. Я уже не удивился, что в следующий раз жрущий память svchost так и остался, но теперь это служба Windows Management Instrumentation. Я не уверен, можно ли мне отключать эту службу, но уверен, что даже если я ее отключу и это никак не скажется на работе всего компьютера, эта пакость подцепится к какой-то еще службе. Проверка антивирусами ничего не дала (хотя антивирус Касперского инсталлировать не получается – подозревается наличие "severe infection"), проверка на malware - тоже. Подозреваю наличие руткита, но несколько программ по их поиску ничего не нашли, хотя GMER написал о наличии rootkit-like activity в некоторых местах, но красным ничего не отметил и не высветил возможность "убить" процесс или файл.
Кроме того, есть еще одна странность. Борясь когда-то с одной ошибкой, я закрыл некоторые порты с помощью программы Windows Worms Door Cleaner (WWDC). Недавно я решил, на всякий случай, проверить, закрыты ли порты, как и раньше. Порты закрыты, но теперь при запуске WWDC выдает следующее: "Your system seems to be infected by a virus, your SVCHOST virtual memory usage 28180Ko [цифра может меняться] is beyond usual values. It is strongly advised to check your system with an AntiVirus up to date and an AntiTrojans."

Отправлено: 02:25, 20-11-2010

 

Ветеран


Сообщения: 522
Благодарности: 130

Профиль | Отправить PM | Цитировать


лог гмера в студию...а так же остальные логи подготовьте пока
здесь как это сделатьhttp://forum.oszone.net/thread-98169.html

-------
танки для настоящих мужчинhttp://tankionline.com#friend=625aed6c5
В благодарность за помощь нажимаем ссылочку "Полезное сообщение" внизу этого самого сообщения (подробнее).


Отправлено: 11:00, 20-11-2010 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 8
Благодарности: 0

Профиль | Отправить PM | Цитировать


Хорошо. Сейчас немножко занят, но завтра попробую предоставить логи.
P.S. Кажись, при работе GMER комп стал виснуть. Причем намертво.

Отправлено: 18:25, 20-11-2010 | #3


Новый участник


Сообщения: 8
Благодарности: 0

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: zip GMER.ZIP
(2.2 Kb, 4 просмотров)
Тип файла: zip hijackthis.zip
(3.8 Kb, 4 просмотров)

Наконец-то нашел время все сделать.
Прикрепляю все необходимые логи.

Отправлено: 02:05, 01-12-2010 | #4


Аватара для zirreX

Ветеран


Сообщения: 876
Благодарности: 287

Профиль | Отправить PM | Цитировать


Здравствуйте!
hosts сами правили?

• Пофиксить в hijackthis
Поставить галочки напротив указанных строк и нажать Fix Cheked

Код: Выделить весь код
R3 - URLSearchHook: (no name) -  - (no file)
R3 - URLSearchHook: (no name) - {709746D8-FEB8-4474-9D25-4DBDBBDF2565} - (no file)
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
• Выполните скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код: Выделить весь код
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('Cbidp02ppma.sys','');
QuarantineFile('C:\Documents and Settings\Featus\Application Data\Microsoft\Internet Explorer\Quick Launch\cglptnt.sys','');
QuarantineFile('C:\WWWPrograms\SDL_Trados_7_1_Freelance\Program Files\TRADOS\T7_FL\TT\WordLang.exe','');
QuarantineFile('C:\Program.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\mmjcn.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\mmjcn.sys');
BC_ImportAll;
ExecuteSysClean;
BC_QrSvc('Cbidp02ppma');
BC_DeleteSvc('sxxoriph');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код: Выделить весь код
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы

Сделайте повторные логи AVZ и подготовьте лог RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.



Обновите Internet Explorer до восьмой версии
Обновлять IE необходимо даже в том случае, если Вы используете другой браузер, так как он очень глубоко интегрирован в ОС Windows.

Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3.
Установите Service Pack 3 (может потребоваться активация!).

Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол!

-------


Последний раз редактировалось zirreX, 01-12-2010 в 19:07.


Отправлено: 18:11, 01-12-2010 | #5


Новый участник


Сообщения: 8
Благодарности: 0

Профиль | Отправить PM | Цитировать


Да, Hosts сам правил. Это для торрентов.
Как будет время, сделаю все, что вы сказали.

Отправлено: 23:23, 01-12-2010 | #6


Новый участник


Сообщения: 8
Благодарности: 0

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: zip mbam-log-2010-12-04 (19-48-20).zip
(695 байт, 2 просмотров)
Тип файла: zip log-RSIT.zip
(12.4 Kb, 3 просмотров)

Карантин отправил. Повторные логи добавляю. Логи RSIT и Anti-Malware добавляю.
P.S. Пока ничего не изменилось - память "кушается".

Отправлено: 05:38, 06-12-2010 | #7


Аватара для zirreX

Ветеран


Сообщения: 876
Благодарности: 287

Профиль | Отправить PM | Цитировать


Проверьте эти файлы на www.virustotal.com
Код: Выделить весь код
C:\Documents and Settings\Featus\Application Data\Microsoft\Internet Explorer\Quick Launch\cglptnt.sys
C:\WWWPrograms\SDL_Trados_7_1_Freelance\Program Files\TRADOS\T7_FL\TT\WordLang.exe
C:\Program.exe
Дайте ссылки с результатами проверки

• Выполните скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код: Выделить весь код
begin
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\german.exe');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\drvsyskit');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\WinUpdate');
end.
Удалите в MBAM
Код: Выделить весь код
c:\wincmd\cx_wincmd451.exe (Trojan.Bancos) -> No action taken.
Активного заражения у вас не вижу.

По логам увидел у вас: Avast, Avira,Kaspersky Internet Security (некорректно удален),AVG AntiRootkit,AdAware,SuperAntiSpyware,Prevx,Dr.Web (некорректно удален) ...
Деинсталлируйте ненужные антивирусные/антишпионские программы!!!
Перед установкой нового антивируса обязательно удаляйте предыдущий!!!

Чистка системы после некорректного удаления антивируса

-------


Отправлено: 01:16, 07-12-2010 | #8


Новый участник


Сообщения: 8
Благодарности: 0

Профиль | Отправить PM | Цитировать


cglptnt.sys и Program.exe в названных папках у меня нет.
Проверка оставшегося WordLang.exe вот здесь:
http://www.virustotal.com/file-scan/...f8e-1291741912
Ничего не найдено.
Скрипт сделал. Перегружусь - посмотрю, изменилось ли что-нибудь.
Удалил папку Wincmd. У меня уже давно Total Commander стоит.
Остатки KIS и Dr. Web удалил.

Отправлено: 04:18, 08-12-2010 | #9


Новый участник


Сообщения: 8
Благодарности: 0

Профиль | Отправить PM | Цитировать


Память по-прежнему естся. Из-за этого бывает, что отказывают некотоыре программы. Например, может не открываться диспетчер задач.

Отправлено: 15:37, 08-12-2010 | #10



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Странное поведение svchost.exe

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Странное поведение Haos64 Непонятные проблемы с Железом 16 04-03-2010 16:06
Доступ - странное поведение Проводника Quaker_75 Microsoft Windows 2000/XP 4 18-01-2010 01:54
Странное поведение файла-подкачки из-за процесса avp.exe kosmos0111 Лечение систем от вредоносных программ 13 05-07-2009 14:03
Странное поведение клавиатуры d1m0nb Материнские платы и память 6 06-08-2008 08:21
Странное поведение IE 7 Ser6720 Хочу все знать 23 10-04-2007 22:03




 
Переход