Перейти к содержанию
Правила раздела

svchost.exe и csrss.exe грузят систему

User%1

От User%1
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

User%1 Новичок

User%1

Опубликовано
Опубликовано

Добрый день.

 

 

Svchost.exe и csrss.exe постоянно используют почти все ресурсы системы. Трафик при этом не гоняется.

 

Логи и скриншот диспетчера задач прилагаю.

post-9283-1239101267_thumb.jpg

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано (изменено)
Добрый день.

Svchost.exe и csrss.exe постоянно используют почти все ресурсы системы. Трафик при этом не гоняется.

Логи и скриншот диспетчера задач прилагаю.

Выполните скрипт в AVZ

 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\twex.exe','');
DeleteFile('C:\WINDOWS\system32\twex.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В теле письма укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

Пофиксить в HiJack

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,

 

Повторите логи

Изменено пользователем thyrex
Ссылка на комментарий
Поделиться на другие сайты
User%1 Новичок

User%1

Опубликовано
  • Автор
Опубликовано

Выполнил скрипт и фикс, после перезагрузки avast нашёл c:\windows\system32\activedst.exe и удалил. Сегодня снова прежние симптомы, twex.exe на месте, загрузка 100%. Опять прогоняю скрипты, перезагрузка, опять обнаруживается activedst.exe

 

Ответа по поводу нового вируса ещё не получал.

 

Повторяю логи

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('W32TimeTermServiceALG', 4);
SetServiceStart('WmiBrowser', 4);
SetServiceStart('wuauservNetDDE', 4);
SetServiceStart('WebClientLVSrvLauncher', 4);
SetServiceStart('WebClientLVSrvLauncherTermServiceALG', 4);
SetServiceStart('WMPNetworkSvcEventlogMessenger', 4);
SetServiceStart('WSearchmnmsrvcsrservice', 4);
SetServiceStart('W32TimeSharedAccess', 4);
SetServiceStart('TermServiceSharedAccessxmlprov', 4);
SetServiceStart('TermServiceSharedAccess', 4);
SetServiceStart('TermServiceALG', 4);
SetServiceStart('stisvcMSDTC', 4);
SetServiceStart('RSVPEventlog', 4);
SetServiceStart('RpcLocatorANIWZCSdService', 4);
SetServiceStart('srserviceRDSessMgrAppMgmt', 4);
SetServiceStart('seclogonUPS', 4);
SetServiceStart('SCardSvrRemoteAccess', 4);
SetServiceStart('SamSsseclogon', 4);
SetServiceStart('RSVPEventlogMSDTC', 4);
SetServiceStart('RemoteRegistrygusvc', 4);
SetServiceStart('RemoteRegistrygupdate1c98850c15f9b70napagent', 4);
QuarantineFile('C:\WINDOWS\system32\admparsel.exe','');
QuarantineFile('C:\WINDOWS\DOWNLO~1\SIPPOI~1.OCX','');
QuarantineFile('C:\WINDOWS\system32\drivers\smwdm.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\MidiSyn.sys','');
QuarantineFile('C:\WINDOWS\system32\1041i.exe','');
QuarantineFile('C:\WINDOWS\system32\AHQCpURest.exe','');
QuarantineFile('C:\WINDOWS\system32\actskin4c.exe','');
SetServiceStart('RemoteRegistrygupdate1c98850c15f9b70', 4);
DeleteService('RemoteRegistrygupdate1c98850c15f9b70');
SetServiceStart('RDSessMgrUPSCryptSvc', 4);
DeleteService('RDSessMgrUPSCryptSvc');
SetServiceStart('RDSessMgrUPS', 4);
DeleteService('RDSessMgrUPS');
SetServiceStart('RDSessMgrLmHostsRDSessMgrLmHosts', 4);
DeleteService('RDSessMgrLmHostsRDSessMgrLmHosts');
SetServiceStart('RDSessMgrLmHosts', 4);
DeleteService('RDSessMgrLmHosts');
SetServiceStart('RDSessMgrAppMgmt', 4);
DeleteService('RDSessMgrAppMgmt');
QuarantineFile('C:\WINDOWS\TEMP\699032758.exe','');
SetServiceStart('ProtectedStorageEventlog', 4);
DeleteService('ProtectedStorageEventlog');
SetServiceStart('NetDDEdsdmJavaQuickStarterService', 4);
DeleteService('NetDDEdsdmJavaQuickStarterService');
SetServiceStart('mnmsrvcsrservice', 4);
DeleteService('mnmsrvcsrservice');
SetServiceStart('LmHostsNla', 4);
DeleteService('LmHostsNla');
SetServiceStart('lanmanworkstationhelpsvc', 4);
DeleteService('lanmanworkstationhelpsvc');
DeleteService('lanmanworkstationBrowser');
SetServiceStart('lanmanworkstationBrowser', 4);
DeleteService('JavaQuickStarterService LM Service');
SetServiceStart('JavaQuickStarterService LM Service', 4);
SetServiceStart('HTTPFilterRemoteAccess', 4);
DeleteService('HTTPFilterRemoteAccess');
SetServiceStart('gupdate1c98850c15f9b70SamSs', 4);
DeleteService('gupdate1c98850c15f9b70SamSs');
QuarantineFile('C:\WINDOWS\system32\~.exe','');
SetServiceStart('EventlogMessenger', 4);
DeleteService('EventlogMessenger');
SetServiceStart('EapHostNetlogon', 4);
DeleteService('EapHostNetlogon');
SetServiceStart('EapHostNetDDE', 4);
DeleteService('EapHostNetDDE');
SetServiceStart('Dot3svcThemesWmiBrowser', 4);
DeleteService('Dot3svcThemesWmiBrowser');
SetServiceStart('Dot3svcThemes', 4);
DeleteService('Dot3svcThemes');
SetServiceStart('DnscacheSENS', 4);
DeleteService('DnscacheSENS');
SetServiceStart('dmserverseclogonUPS', 4);
DeleteService('dmserverseclogonUPS');
SetServiceStart('COMSysAppRpcSs', 4);
DeleteService('COMSysAppRpcSs');
SetServiceStart('ClipSrvRDSessMgr', 4);
DeleteService('ClipSrvRDSessMgr');
SetServiceStart('avast!NetDDEdsdm', 4);
DeleteService('avast!NetDDEdsdm');
SetServiceStart('AlerterhelpsvcCOMSysApp', 4);
DeleteService('AlerterhelpsvcCOMSysApp');
SetServiceStart('Alerterhelpsvc', 4);
DeleteService('Alerterhelpsvc');
QuarantineFile('C:\WINDOWS\system32\a15h.exe','');
SetServiceStart('AdobesrserviceRDSessMgrAppMgmt', 4);
DeleteService('AdobesrserviceRDSessMgrAppMgmt');
QuarantineFile('C:\WINDOWS\system32\adsldpc.exe','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
DeleteFile('C:\WINDOWS\system32\adsldpc.exe');
DeleteFile('C:\WINDOWS\system32\a15h.exe');
DeleteFile('C:\WINDOWS\system32\~.exe');
DeleteFile('C:\WINDOWS\TEMP\699032758.exe');
DeleteFile('C:\WINDOWS\system32\actskin4c.exe');
DeleteFile('C:\WINDOWS\system32\admparsel.exe');
DeleteFile('C:\WINDOWS\system32\AHQCpURest.exe');
DeleteFile('C:\WINDOWS\system32\1041i.exe');
DeleteService('wuauservNetDDE');
DeleteService('WSearchmnmsrvcsrservice');
DeleteService('WMPNetworkSvcEventlogMessenger');
DeleteService('WmiBrowser');
DeleteService('WebClientLVSrvLauncherTermServiceALG');
DeleteService('WebClientLVSrvLauncher');
DeleteService('W32TimeTermServiceALG');
DeleteService('W32TimeSharedAccess');
DeleteService('TermServiceSharedAccessxmlprov');
DeleteService('TermServiceSharedAccess');
DeleteService('TermServiceALG');
DeleteService('stisvcMSDTC');
DeleteService('srserviceRDSessMgrAppMgmt');
DeleteService('seclogonUPS');
DeleteService('SCardSvrRemoteAccess');
DeleteService('SamSsseclogon');
DeleteService('RSVPEventlogMSDTC');
DeleteService('RSVPEventlog');
DeleteService('RpcLocatorANIWZCSdService');
DeleteService('RemoteRegistrygusvc');
DeleteService('RemoteRegistrygupdate1c98850c15f9b70napagent');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

Включите AVZPM и повторите логи.

Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\drivers\aeaudio.sys','');
SetServiceStart('RDSessMgrAppMgmt', 4);
DeleteFile('C:\WINDOWS\system32\adsnty.exe');
DeleteService('RDSessMgrAppMgmt');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

 

Повторите логи и сообщите, что нашли АВ аналитики.

Ссылка на комментарий
Поделиться на другие сайты
User%1 Новичок

User%1

Опубликовано
  • Автор
Опубликовано

При выполнении скрипта:

 

Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\drivers\aeaudio.sys)

Карантин с использованием прямого чтения - ошибка

Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\drivers\aeaudio.sys)

Карантин с использованием прямого чтения - ошибка

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • francesca555
      [РЕШЕНО] svchost.exe
      От francesca555
      Здравствуйте. Касперски (в тч Kaspersky Virus Removal Tool и еще пару программ использовала) в упор ничего не видит, но мне кажется, что компьютер заражен. Ноутбук намертво завис во время просмотра видео (дело точно не в нем), все пропало и осталась только иконка браузера (весь остальной экран был черный) пришлось перезагружать ноутбук, после этого экран загрузки как-то странно выглядел (как будто расширение неправильно выбрано), запустился вроде более менее нормально, но фон рабочего стола исчез, и вместо него черный экран. Через время перезагрузила еще раз, картинка вернулась на рабочий стол и начало происходить что-то очень странное. Я выделила несколько иконок и под ними пропал фон, при том, что в целом он оставался. Когда я продолжала выделять, фон постепенно пропадал. Я не стала до конца его убирать, но в итоге он сам пропал. При следующей загрузке ситуация повторилась, только наоборот. Рабочий стол загрузился черным, а как начала выделять, начал появляться... Я не исключаю, конечно, что не в вирусе дело, но я никогда такого не видела и в интернете ничего об этом не нашла. Как только открываю диспетчер задач, нагрузка цп падает с 40-75% до 7-15% + появились нетипичные подвисания и ноутбук сильно греется. В диспетчере задач нашла процесс svchost.exe, запущенный от имени пользователя. Если смотреть расположение файла, выдает Windows/System32/svchost.exe.

      Подскажите, пожалуйста, что делать в этой ситуации?
      CollectionLog-2025.01.28-09.19.zip
    • sergoborin
      [РЕШЕНО] Полностью вылечить систему после HEUR:Trojan.Multi.GenBadur.genw
      От sergoborin
      Добрый день!
       
      Не получалось вылечить HEUR:Trojan.Multi.GenBadur.genw, после перезагрузки он снова появлялся
      Удалил вручную, прошу проверить, не осталось ли ничего ещё каких-либо подозрительных файлов
      CollectionLog-2025.01.06-00.30.zip
    • kirill1
      диспетчер окон рабочего стола грузит видеокарту
      От kirill1
      Диспетчер окон рабочего стола грузит видеокарту, переустанавливал виндовс много раз также форматировал полностью диск, проверял на вирусы. Ничего не помогает. Хелп пожалуйста. 

    • Milkuf
      [РЕШЕНО] Помогите дочистить систему от вирусов
      От Milkuf
      Помогите дочистить систему от вирусов.
      https://forum.kasperskyclub.ru/topic/465233-zakryvaetsja-programma-ustanovki-kaspersky-free/-здесь мне посоветовали создать тут тему, чтобы полностью очистить систему от вирусов.
       
      CollectionLog-2024.12.10-08.48.zip
    • LoWiX
      Майнер внедрился в систему после установки обхода блокировки дискорда
      От LoWiX
      Здравствуйте, недавно установил обход блокировки системы и после этого при незначительном простое ПК нагружается на сотку видеокарта, процессор. Прикрепляю логи ниже. Буду признателен если поможете.CollectionLog-2024.12.22-15.08.zip
×
×
  • Создать...