![]() |
Внимание, важное сообщение: Дорогие Друзья!
В ноябре далекого 2001 года мы решили создать сайт и форум, которые смогут помочь как начинающим, так и продвинутым пользователям разобраться в операционных системах. В 2004-2006г наш проект был одним из самых крупных ИТ ресурсов в рунете, на пике нас посещало более 300 000 человек в день! Наша документация по службам Windows и автоматической установке помогла огромному количеству пользователей и сисадминов. Мы с уверенностью можем сказать, что внесли большой вклад в развитие ИТ сообщества рунета. Но... время меняются, приоритеты тоже. И, к сожалению, пришло время сказать До встречи! После долгих дискуссий было принято решение закрыть наш проект. 1 августа форум переводится в режим Только чтение, а в начале сентября мы переведем рубильник в положение Выключен Огромное спасибо за эти 24 года, это было незабываемое приключение. Сказать спасибо и поделиться своей историей можно в данной теме. С уважением, ваш призрачный админ, BigMac... |
|
Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Странное поведение svchost.exe |
|
|
Странное поведение svchost.exe
|
Новый участник Сообщения: 8 |
Здравствуйте!
Помогите, пожалуйста, решить следующую проблему. С недавних пор после включения компьютера в запущенных процессах один из svchost.exe стал постепенно отъедать память (примерно по 4 КБ в секунду), из-за чего компьютер начинает тормозить все больше и больше. Обнаружив, что этот svchost отвечает за службу автоматических обновлений, я отключил ее. После следующей перезагрузки в процессах появился другой svchost, ведущий себя аналогичным образом, но на этот раз он отвечал за службу центра обеспечения безопасности. Я уже не удивился, что в следующий раз жрущий память svchost так и остался, но теперь это служба Windows Management Instrumentation. Я не уверен, можно ли мне отключать эту службу, но уверен, что даже если я ее отключу и это никак не скажется на работе всего компьютера, эта пакость подцепится к какой-то еще службе. Проверка антивирусами ничего не дала (хотя антивирус Касперского инсталлировать не получается – подозревается наличие "severe infection"), проверка на malware - тоже. Подозреваю наличие руткита, но несколько программ по их поиску ничего не нашли, хотя GMER написал о наличии rootkit-like activity в некоторых местах, но красным ничего не отметил и не высветил возможность "убить" процесс или файл. Кроме того, есть еще одна странность. Борясь когда-то с одной ошибкой, я закрыл некоторые порты с помощью программы Windows Worms Door Cleaner (WWDC). Недавно я решил, на всякий случай, проверить, закрыты ли порты, как и раньше. Порты закрыты, но теперь при запуске WWDC выдает следующее: "Your system seems to be infected by a virus, your SVCHOST virtual memory usage 28180Ko [цифра может меняться] is beyond usual values. It is strongly advised to check your system with an AntiVirus up to date and an AntiTrojans." |
|
Отправлено: 02:25, 20-11-2010 |
Ветеран Сообщения: 522
|
Профиль | Отправить PM | Цитировать лог гмера в студию...а так же остальные логи подготовьте пока
здесь как это сделатьhttp://forum.oszone.net/thread-98169.html |
------- Отправлено: 11:00, 20-11-2010 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Новый участник Сообщения: 8
|
Профиль | Отправить PM | Цитировать Хорошо. Сейчас немножко занят, но завтра попробую предоставить логи.
P.S. Кажись, при работе GMER комп стал виснуть. Причем намертво. |
Отправлено: 18:25, 20-11-2010 | #3 |
Новый участник Сообщения: 8
|
Профиль | Отправить PM | Цитировать Наконец-то нашел время все сделать.
Прикрепляю все необходимые логи. |
Отправлено: 02:05, 01-12-2010 | #4 |
![]() Ветеран Сообщения: 876
|
Профиль | Отправить PM | Цитировать Здравствуйте!
hosts сами правили? • Пофиксить в hijackthis Поставить галочки напротив указанных строк и нажать Fix Cheked R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: (no name) - {709746D8-FEB8-4474-9D25-4DBDBBDF2565} - (no file) O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file) Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл) AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('Cbidp02ppma.sys',''); QuarantineFile('C:\Documents and Settings\Featus\Application Data\Microsoft\Internet Explorer\Quick Launch\cglptnt.sys',''); QuarantineFile('C:\WWWPrograms\SDL_Trados_7_1_Freelance\Program Files\TRADOS\T7_FL\TT\WordLang.exe',''); QuarantineFile('C:\Program.exe',''); QuarantineFile('C:\WINDOWS\System32\drivers\mmjcn.sys',''); DeleteFile('C:\WINDOWS\System32\drivers\mmjcn.sys'); BC_ImportAll; ExecuteSysClean; BC_QrSvc('Cbidp02ppma'); BC_DeleteSvc('sxxoriph'); BC_Activate; RebootWindows(true); end. После перезагрузки выполните такой скрипт AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы Сделайте повторные логи AVZ и подготовьте лог RSIT Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Обновите Internet Explorer до восьмой версии Обновлять IE необходимо даже в том случае, если Вы используете другой браузер, так как он очень глубоко интегрирован в ОС Windows. Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3. Установите Service Pack 3 (может потребоваться активация!). Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол! |
|
------- Последний раз редактировалось zirreX, 01-12-2010 в 19:07. Отправлено: 18:11, 01-12-2010 | #5 |
Новый участник Сообщения: 8
|
Профиль | Отправить PM | Цитировать Да, Hosts сам правил. Это для торрентов.
Как будет время, сделаю все, что вы сказали. |
Отправлено: 23:23, 01-12-2010 | #6 |
Новый участник Сообщения: 8
|
Профиль | Отправить PM | Цитировать Карантин отправил. Повторные логи добавляю. Логи RSIT и Anti-Malware добавляю.
P.S. Пока ничего не изменилось - память "кушается". |
Отправлено: 05:38, 06-12-2010 | #7 |
![]() Ветеран Сообщения: 876
|
Профиль | Отправить PM | Цитировать Проверьте эти файлы на www.virustotal.com
C:\Documents and Settings\Featus\Application Data\Microsoft\Internet Explorer\Quick Launch\cglptnt.sys C:\WWWPrograms\SDL_Trados_7_1_Freelance\Program Files\TRADOS\T7_FL\TT\WordLang.exe C:\Program.exe • Выполните скрипт AVZ Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл) AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". begin RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\german.exe'); RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\drvsyskit'); RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\WinUpdate'); end. Активного заражения у вас не вижу. По логам увидел у вас: Avast, Avira,Kaspersky Internet Security (некорректно удален),AVG AntiRootkit,AdAware,SuperAntiSpyware,Prevx,Dr.Web (некорректно удален) ... Деинсталлируйте ненужные антивирусные/антишпионские программы!!! Перед установкой нового антивируса обязательно удаляйте предыдущий!!! Чистка системы после некорректного удаления антивируса |
------- Отправлено: 01:16, 07-12-2010 | #8 |
Новый участник Сообщения: 8
|
Профиль | Отправить PM | Цитировать cglptnt.sys и Program.exe в названных папках у меня нет.
Проверка оставшегося WordLang.exe вот здесь: http://www.virustotal.com/file-scan/...f8e-1291741912 Ничего не найдено. Скрипт сделал. Перегружусь - посмотрю, изменилось ли что-нибудь. Удалил папку Wincmd. У меня уже давно Total Commander стоит. Остатки KIS и Dr. Web удалил. |
Отправлено: 04:18, 08-12-2010 | #9 |
Новый участник Сообщения: 8
|
Профиль | Отправить PM | Цитировать Память по-прежнему естся. Из-за этого бывает, что отказывают некотоыре программы. Например, может не открываться диспетчер задач.
|
Отправлено: 15:37, 08-12-2010 | #10 |
|
![]() |
Участник сейчас на форуме |
![]() |
Участник вне форума |
![]() |
Автор темы |
![]() |
Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Странное поведение | Haos64 | Непонятные проблемы с Железом | 16 | 04-03-2010 16:06 | |
Доступ - странное поведение Проводника | Quaker_75 | Microsoft Windows 2000/XP | 4 | 18-01-2010 01:54 | |
Странное поведение файла-подкачки из-за процесса avp.exe | kosmos0111 | Лечение систем от вредоносных программ | 13 | 05-07-2009 14:03 | |
Странное поведение клавиатуры | d1m0nb | Материнские платы и память | 6 | 06-08-2008 08:21 | |
Странное поведение IE 7 | Ser6720 | Хочу все знать | 23 | 10-04-2007 22:03 |
|