svchost грузит процессор

[kozlov_vital]

Здравствуйте.

Процесс svchost грузит один из процессоров на 100%. Начинается это минут через 20-30 после включения компьютера.

Необходимые файлы приложены.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Изменено 15 апреля, 2009 пользователем kozlov_vital

[ТроПа]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес В теле письма укажите ссылку на тему.

 

в АВЗ включите AVZPM и повторите логи.

Изменено 15 апреля, 2009 пользователем wise-wistful

[thyrex]

Выполните скрипт в AVZ

 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
DeleteFileMask('C:\Documents and Settings\kozlov_v\Local Settings\Temp\', '*.*', true );
ExecuteRepair(9);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

Сделать новые логи. В AVZ включить AVZPM (в соответствующем меню выбрать первый пункт)

[kozlov_vital]

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

bcqr00001.ini,

bcqr00002.ini

 

Вредоносный код в файлах не обнаружен.

[thyrex]

Вас просили сделать новые логи с включенным AVZPM...

[kozlov_vital]

После выполнения первой процедуры:

 

8. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip.

 

произошла перезагрузка компьютера и после входа в систему не смог запуститься explorer.exe. Через диспетчер задач запустить explorer.exe также не удается. Копирование с другого компьютера данного файла также не помогло

[thyrex]

Какую-нибудь ошибку дает?

[kozlov_vital]

Когда? Когда запускается никаких ошибок нет. Когда запускаю через диспетчер задач пишет, что файл explorer.exe не найден, хотя через проводник видно, что файл есть, размер нормальный.

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ExecuteRepair(9);
ExecuteRepair(16);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

[kozlov_vital]

Всем большое спасибо. Похоже, что собака была зарыта именно в explorer (правда странно), но все равно теперь svchost перестал грузить процессор.

[ТроПа]

Собака была зарыта в этом C:\Program Files\Microsoft Common\svchost.exe, он он немного изменил своё поведение, раньше только отлаживал и при помощи АВЗ когда удалялась отладка процесса, то теперь только одной команды было мало и понадобилось восстановить ключ запуска проводника, что и позволило его запустить.

Новый комплект логов не помешал бы.