Svchost 85% CPU trojan w C:\Windows\TEMP

caleb88 · 23 Listopad 2014 23:22

Witam!

Złapałem jakiegoś trojana, który się maskuje jako systemowy proces “svchost”. Po każdym zalogowaniu do systemu wrzuca się do katalogu C:\Windows\TEMP, odpala i zajmuje prawie cały czas procesora.

Niestety próba “przejdź do usług” kończy się fiaskiem, więc zwracam się do Was z uprzejmą prośbą o pomoc :).

Zrobiłem raport Farbar Recovery Scan Tool, ale nie mam opcji KnownDLLs do zaznaczenia - użyta wersja to 3.3.12.0 (ściągnięte z podanego linka).

FRST:

http://www.wklej.org/hash/317ea580951/

Addition:

http://www.wklej.org/id/1535960/

Dziękuję i pozdrawiam!

Atis · 23 Listopad 2014 23:34

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses:
HKLM\...\Policies\Explorer: [HideSCAHealth] 1
HKU\S-1-5-21-1521203089-853523747-4021276284-1000\...\Run: [] => [X]
S1 ArcCtrl; system32\drivers\ArcCtrl.sys [X]
S3 cpuz135; \??\C:\Windows\TEMP\cpuz135\cpuz135_x64.sys [X]
S3 MSI_MSIBIOS_010507; \??\C:\Program Files (x86)\MSI\Live Update 5\msibios64_100507.sys [X]
S3 NTIOLib_MSIClock_CC; \??\C:\Program Files (x86)\MSI\CommandCenter\ClockGen\NTIOLib_X64.sys [X]
S3 NTIOLib_MSICOMM_CC; \??\C:\Program Files (x86)\MSI\CommandCenter\NTIOLib_X64.sys [X]
S3 NTIOLib_MSICPU_CC; \??\C:\Program Files (x86)\MSI\CommandCenter\CPU\NTIOLib_X64.sys [X]
S3 NTIOLib_MSIDDR_CC; \??\C:\Program Files (x86)\MSI\CommandCenter\DDR\NTIOLib_X64.sys [X]
S3 NTIOLib_MSISMB_CC; \??\C:\Program Files (x86)\MSI\CommandCenter\SMBus\NTIOLib_X64.sys [X]
S3 NTIOLib_MSISuperIO_CC; \??\C:\Program Files (x86)\MSI\CommandCenter\SuperIO\NTIOLib_X64.sys [X]
S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X]
S3 RimUsb; System32\Drivers\RimUsb_AMD64.sys [X]
C:\Windows\temp023423.vbe
D:\Users\Stas\AppData\Roaming\Origin\update.vbe
D:\Users\Stas\AppData\Roaming\IrfanView\googleupd.exe
CustomCLSID: HKU\S-1-5-21-1521203089-853523747-4021276284-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> D:\Users\Stas\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-1521203089-853523747-4021276284-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> D:\Users\Stas\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-1521203089-853523747-4021276284-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> D:\Users\Stas\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File
CustomCLSID: HKU\S-1-5-21-1521203089-853523747-4021276284-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> D:\Users\Stas\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File
Task: {1261D39C-B4E1-41E3-B7B9-B4DE1692C916} - System32\Tasks\Origin => D:\Users\Stas\AppData\Roaming\Origin\update.vbe [2014-03-13] () <==== ATTENTION
Task: {50C9A1D0-47B0-45A3-91B6-34551AE6ADD2} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-1970835742GUI => D:\Users\Stas\AppData\Roaming\IrfanView\googleupd.exe <==== ATTENTION
Folder: D:\Users\Stas\AppData\Roaming\Origin
Folder: D:\Users\Stas\AppData\Roaming\IrfanView
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.

caleb88 · 24 Listopad 2014 00:03

Dzięki. Trefny “svchost” się nie odpalił po restarcie.

Fixlog:

http://www.wklej.org/hash/6c65d6f8e14/

FRST:

http://www.wklej.org/hash/3ebc9034800/

Atis · 24 Listopad 2014 00:12

Skasuj folder C:\FRST

Odinstaluj Java 7 Update 71 i zainstaluj Java 8 Update 25

caleb88 · 24 Listopad 2014 00:44

Zrobione, dzięki za pomoc!