Перейти к содержанию
Правила раздела

svchost.exe и csrss.exe грузят систему

User%1

От User%1
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

User%1 Новичок

User%1

Опубликовано
Опубликовано

Добрый день.

 

 

Svchost.exe и csrss.exe постоянно используют почти все ресурсы системы. Трафик при этом не гоняется.

 

Логи и скриншот диспетчера задач прилагаю.

post-9283-1239101267_thumb.jpg

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано (изменено)
Добрый день.

Svchost.exe и csrss.exe постоянно используют почти все ресурсы системы. Трафик при этом не гоняется.

Логи и скриншот диспетчера задач прилагаю.

Выполните скрипт в AVZ

 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\twex.exe','');
DeleteFile('C:\WINDOWS\system32\twex.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В теле письма укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

Пофиксить в HiJack

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,

 

Повторите логи

Изменено пользователем thyrex
Ссылка на комментарий
Поделиться на другие сайты
User%1 Новичок

User%1

Опубликовано
  • Автор
Опубликовано

Выполнил скрипт и фикс, после перезагрузки avast нашёл c:\windows\system32\activedst.exe и удалил. Сегодня снова прежние симптомы, twex.exe на месте, загрузка 100%. Опять прогоняю скрипты, перезагрузка, опять обнаруживается activedst.exe

 

Ответа по поводу нового вируса ещё не получал.

 

Повторяю логи

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('W32TimeTermServiceALG', 4);
SetServiceStart('WmiBrowser', 4);
SetServiceStart('wuauservNetDDE', 4);
SetServiceStart('WebClientLVSrvLauncher', 4);
SetServiceStart('WebClientLVSrvLauncherTermServiceALG', 4);
SetServiceStart('WMPNetworkSvcEventlogMessenger', 4);
SetServiceStart('WSearchmnmsrvcsrservice', 4);
SetServiceStart('W32TimeSharedAccess', 4);
SetServiceStart('TermServiceSharedAccessxmlprov', 4);
SetServiceStart('TermServiceSharedAccess', 4);
SetServiceStart('TermServiceALG', 4);
SetServiceStart('stisvcMSDTC', 4);
SetServiceStart('RSVPEventlog', 4);
SetServiceStart('RpcLocatorANIWZCSdService', 4);
SetServiceStart('srserviceRDSessMgrAppMgmt', 4);
SetServiceStart('seclogonUPS', 4);
SetServiceStart('SCardSvrRemoteAccess', 4);
SetServiceStart('SamSsseclogon', 4);
SetServiceStart('RSVPEventlogMSDTC', 4);
SetServiceStart('RemoteRegistrygusvc', 4);
SetServiceStart('RemoteRegistrygupdate1c98850c15f9b70napagent', 4);
QuarantineFile('C:\WINDOWS\system32\admparsel.exe','');
QuarantineFile('C:\WINDOWS\DOWNLO~1\SIPPOI~1.OCX','');
QuarantineFile('C:\WINDOWS\system32\drivers\smwdm.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\MidiSyn.sys','');
QuarantineFile('C:\WINDOWS\system32\1041i.exe','');
QuarantineFile('C:\WINDOWS\system32\AHQCpURest.exe','');
QuarantineFile('C:\WINDOWS\system32\actskin4c.exe','');
SetServiceStart('RemoteRegistrygupdate1c98850c15f9b70', 4);
DeleteService('RemoteRegistrygupdate1c98850c15f9b70');
SetServiceStart('RDSessMgrUPSCryptSvc', 4);
DeleteService('RDSessMgrUPSCryptSvc');
SetServiceStart('RDSessMgrUPS', 4);
DeleteService('RDSessMgrUPS');
SetServiceStart('RDSessMgrLmHostsRDSessMgrLmHosts', 4);
DeleteService('RDSessMgrLmHostsRDSessMgrLmHosts');
SetServiceStart('RDSessMgrLmHosts', 4);
DeleteService('RDSessMgrLmHosts');
SetServiceStart('RDSessMgrAppMgmt', 4);
DeleteService('RDSessMgrAppMgmt');
QuarantineFile('C:\WINDOWS\TEMP\699032758.exe','');
SetServiceStart('ProtectedStorageEventlog', 4);
DeleteService('ProtectedStorageEventlog');
SetServiceStart('NetDDEdsdmJavaQuickStarterService', 4);
DeleteService('NetDDEdsdmJavaQuickStarterService');
SetServiceStart('mnmsrvcsrservice', 4);
DeleteService('mnmsrvcsrservice');
SetServiceStart('LmHostsNla', 4);
DeleteService('LmHostsNla');
SetServiceStart('lanmanworkstationhelpsvc', 4);
DeleteService('lanmanworkstationhelpsvc');
DeleteService('lanmanworkstationBrowser');
SetServiceStart('lanmanworkstationBrowser', 4);
DeleteService('JavaQuickStarterService LM Service');
SetServiceStart('JavaQuickStarterService LM Service', 4);
SetServiceStart('HTTPFilterRemoteAccess', 4);
DeleteService('HTTPFilterRemoteAccess');
SetServiceStart('gupdate1c98850c15f9b70SamSs', 4);
DeleteService('gupdate1c98850c15f9b70SamSs');
QuarantineFile('C:\WINDOWS\system32\~.exe','');
SetServiceStart('EventlogMessenger', 4);
DeleteService('EventlogMessenger');
SetServiceStart('EapHostNetlogon', 4);
DeleteService('EapHostNetlogon');
SetServiceStart('EapHostNetDDE', 4);
DeleteService('EapHostNetDDE');
SetServiceStart('Dot3svcThemesWmiBrowser', 4);
DeleteService('Dot3svcThemesWmiBrowser');
SetServiceStart('Dot3svcThemes', 4);
DeleteService('Dot3svcThemes');
SetServiceStart('DnscacheSENS', 4);
DeleteService('DnscacheSENS');
SetServiceStart('dmserverseclogonUPS', 4);
DeleteService('dmserverseclogonUPS');
SetServiceStart('COMSysAppRpcSs', 4);
DeleteService('COMSysAppRpcSs');
SetServiceStart('ClipSrvRDSessMgr', 4);
DeleteService('ClipSrvRDSessMgr');
SetServiceStart('avast!NetDDEdsdm', 4);
DeleteService('avast!NetDDEdsdm');
SetServiceStart('AlerterhelpsvcCOMSysApp', 4);
DeleteService('AlerterhelpsvcCOMSysApp');
SetServiceStart('Alerterhelpsvc', 4);
DeleteService('Alerterhelpsvc');
QuarantineFile('C:\WINDOWS\system32\a15h.exe','');
SetServiceStart('AdobesrserviceRDSessMgrAppMgmt', 4);
DeleteService('AdobesrserviceRDSessMgrAppMgmt');
QuarantineFile('C:\WINDOWS\system32\adsldpc.exe','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
DeleteFile('C:\WINDOWS\system32\adsldpc.exe');
DeleteFile('C:\WINDOWS\system32\a15h.exe');
DeleteFile('C:\WINDOWS\system32\~.exe');
DeleteFile('C:\WINDOWS\TEMP\699032758.exe');
DeleteFile('C:\WINDOWS\system32\actskin4c.exe');
DeleteFile('C:\WINDOWS\system32\admparsel.exe');
DeleteFile('C:\WINDOWS\system32\AHQCpURest.exe');
DeleteFile('C:\WINDOWS\system32\1041i.exe');
DeleteService('wuauservNetDDE');
DeleteService('WSearchmnmsrvcsrservice');
DeleteService('WMPNetworkSvcEventlogMessenger');
DeleteService('WmiBrowser');
DeleteService('WebClientLVSrvLauncherTermServiceALG');
DeleteService('WebClientLVSrvLauncher');
DeleteService('W32TimeTermServiceALG');
DeleteService('W32TimeSharedAccess');
DeleteService('TermServiceSharedAccessxmlprov');
DeleteService('TermServiceSharedAccess');
DeleteService('TermServiceALG');
DeleteService('stisvcMSDTC');
DeleteService('srserviceRDSessMgrAppMgmt');
DeleteService('seclogonUPS');
DeleteService('SCardSvrRemoteAccess');
DeleteService('SamSsseclogon');
DeleteService('RSVPEventlogMSDTC');
DeleteService('RSVPEventlog');
DeleteService('RpcLocatorANIWZCSdService');
DeleteService('RemoteRegistrygusvc');
DeleteService('RemoteRegistrygupdate1c98850c15f9b70napagent');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

Включите AVZPM и повторите логи.

Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\drivers\aeaudio.sys','');
SetServiceStart('RDSessMgrAppMgmt', 4);
DeleteFile('C:\WINDOWS\system32\adsnty.exe');
DeleteService('RDSessMgrAppMgmt');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

 

Повторите логи и сообщите, что нашли АВ аналитики.

Ссылка на комментарий
Поделиться на другие сайты
User%1 Новичок

User%1

Опубликовано
  • Автор
Опубликовано

При выполнении скрипта:

 

Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\drivers\aeaudio.sys)

Карантин с использованием прямого чтения - ошибка

Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\drivers\aeaudio.sys)

Карантин с использованием прямого чтения - ошибка

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • sergoborin
      [РЕШЕНО] Полностью вылечить систему после HEUR:Trojan.Multi.GenBadur.genw
      От sergoborin
      Добрый день!
       
      Не получалось вылечить HEUR:Trojan.Multi.GenBadur.genw, после перезагрузки он снова появлялся
      Удалил вручную, прошу проверить, не осталось ли ничего ещё каких-либо подозрительных файлов
      CollectionLog-2025.01.06-00.30.zip
    • Milkuf
      [РЕШЕНО] Помогите дочистить систему от вирусов
      От Milkuf
      Помогите дочистить систему от вирусов.
      https://forum.kasperskyclub.ru/topic/465233-zakryvaetsja-programma-ustanovki-kaspersky-free/-здесь мне посоветовали создать тут тему, чтобы полностью очистить систему от вирусов.
       
      CollectionLog-2024.12.10-08.48.zip
    • LoWiX
      Майнер внедрился в систему после установки обхода блокировки дискорда
      От LoWiX
      Здравствуйте, недавно установил обход блокировки системы и после этого при незначительном простое ПК нагружается на сотку видеокарта, процессор. Прикрепляю логи ниже. Буду признателен если поможете.CollectionLog-2024.12.22-15.08.zip
    • Freudis
      Вирусы под систем файлами
      От Freudis
      После недавно установленного zip файла компьютер начал тупить, нагреваться и шуметь. Данный файл не запрашивал права администратора да и сам файл я не запускал. Проверял компьютер куреитами, ничего не нашли. Один касперский обнаружил 1 файл, но этот файл был под именем систем файла, точный файл не знаю, но в процессе лечения после перезагрузки я решил открыть диспетчер задач, выявило ошибку "нет доступа или администратор запретил доступ". Решил запустить хоть гугл, та же ошибка. Перевзловнованный выдернул из розетки включатель компьютера, доступ ко всему вернулся, касперский ничего не сделал, но после этого компьютер начал нагреваться и в один момент очень сильно зашумел, я начал подозревать что есть вирусы под именем системных файлов, ведь зная касперский, лишь он нашёл 1 вирус и именно при его удалении с перезагрузкой доступ пропал к приложениям. Перерыл интернет, ноль информации. Но и заканчивать работу каких нибудь svchost.exe или подобное я очень боюсь. Решил обратиться за помощью к единственному кто нашёл этот вирус. Помогите, пожалуйста.
      У меня windows 10
       
    • Northrei
      Майнер грузит ЦП uTorrentProPro.exe
      От Northrei
      Доброго времени суток! Помогите, пожалуйста 🙏
      Устанавливал несколько игр с торрента, после чего заметил сильную загрузку ЦП в обычных задачах. 
      Выявил, что грузит проц приложение uTorrent, хотя оно должно быть закрыто. Удалил его, оно автоматически при новом запуске устанавливается снова в тихом режиме (просто в недавно добавленных опять его вижу).
      Касперский Free нашёл 2 майнера, вырезал их, однако ситуация повторяется и дальше.

      avz_log.txt
×
×
  • Создать...