Помогите с svchost

[guardight]

Тема не новая но очень популярная svhost грузит на 99% проц пробовал другие скрипты не помогает((

но когда отключаешь все службы и сетевую то работает норм.

гляньте логи

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Roman_Five]

guardight,

добро пожаловать на форум!

 

Внимание ! База поcледний раз обновлялась 29.05.2011 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Обновите базы и переделайте логи AVZ

[Tiare]

guardight,

+ к вышесказанному

 

 

У вас в системе активные драйвера от Dr.Web, удалите его остатки. Ссылка в подписи.

 

 

+ Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

 

+

• Если у вас 32 разрядная версия windows, то скачайте Random's System Information Tool (RSIT) или с зеркала
  
• Если у вас 64 разрядная версия windows, то необходимо скачать эту версию Random's System Information Tool(RSIT)x64 или с зеркала
  

Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[guardight]

Все сделал кроме удаления дров там линк битый!

тока такой прикол когда svchost висит на 100 то проверить систему или создать авз логи нереально поэтому я тушу его через диспетчер задач и все гуд на пару сек)

и еше заметил что если включить машину без инета он не грузится даже если подключить потом кабель! а если кабель торчит во время загрузки то все 99% жрет мерзавец

 

З.Ы. малвер напостой блочит конект по разным ip

virusinfo_syscheck.zip

virusinfo_syscure.zip

log_RSIT.txt

info_RSIT.txt

mbam_log_2011_09_26__19_08_01_.txt

[Tiare]

Все сделал кроме удаления дров там линк битый!

ссылка рабочая... Обязательно удалите остатки.

 

 

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
DeleteFileMask('C:\Documents and Settings\Лена_ПК\Application Data\KYL', '*.*', true);
DeleteDirectory('C:\Documents and Settings\Лена_ПК\Application Data\KYL');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

 

Пофиксите в HijackThis следующие строчки.

R3 - URLSearchHook: (no name) -  - (no file)

 

 

>> Разрешен автозапуск с HDD

>> Разрешен автозапуск с сетевых дисков

>> Разрешен автозапуск со сменных носителей

 

Это серьезная уязвимость для вашей системы, поэтому желательно отключить автозапуск на этих устройствах. Если решите то,

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

 

begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.

 

 

 

- обновите Java до актуальной версии

- обновите Adobe Reader до актуальной версии

 

 

 

Интересует содержимое данных папок? Вам известно их происхождение?

C:\WINDOWS\Sun

C:\Documents and Settings\Лена_ПК\Application Data\Sun

 

 

Меняйте все важные пароли! У вас был шпион.

 

 

 

Повторите логи по правилам раздела + лог MBAM

Изменено 26 сентября, 2011 пользователем Tiare

[guardight]

Интересует содержимое данных папок? Вам известно их происхождение?

C:\WINDOWS\Sun

C:\Documents and Settings\Лена_ПК\Application Data\Sun

 

ну на мой взгляд это папки джавы!

а как отключить в МБАМ попытку доступа к вредоносному сайту?а то каждые 2 сек выскакивает

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

mbam_log_2011_09_26__21_04_54_.txt

Изменено 26 сентября, 2011 пользователем guardight

[Tiare]

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(true);
end.

 

 

 

f:\ - это что? съемный носитель?

 

 

а как отключить в МБАМ попытку доступа к вредоносному сайту?а то каждые 2 сек выскакивает

 

скриншоты покажите

 

 

Логи AVZ и MBAM повторите.

 

 

 

P.S. Dr.Web по-прежнему в системе...

Изменено 26 сентября, 2011 пользователем Tiare