Svchost.exe zajmuje 100% procesora


(Buceador) #1

Witam,

Tyle lat był spokój i od wczoraj zaczęły się kłopoty...

Komputer budzi się normalnie, ale po kilku minutach jeden z procesów svchost.exe wskakuje na 99% wydajności procesora i totalnie zamula cały komputer.

Dziś Dr.WEB'em usunąłem trojana botnetlog.124 - może to jakieś pozostałości?

Log z Hijackthis jest taki: http://www.wklej.org/id/241116/

zaś z OTL (Processes + Modules --> all) taki: http://www.wklej.org/id/241119/

Widzę, że poulsen77 kilka godzin temu miał podobny problem, ale nie chciałem się podwieszać pod jego wątkiem.

Czy ktoś może mi pomóc wytropić i utłuc szkodnika?

Z góry dziękuje,

PIRYT


(jessica) #2

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera.

Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.

Pokaż nowy log OTL.txt oraz log z czyszczenia.

jessi


(Buceador) #3

Cześć,

Dzięki za pomoc, ale nie pomogło - po wykonaniu ww. instrukcji OTL się powiesił i tyle.

Plik C:\WINDOWS\System32\fjhdyfhsn.bat wytropiłem potem sam - zawartość jest na http://wklej.org/id/241511/

Przeniosłem go, zmieniłem nazwę, ale nie pomogło. Nadal jest jak było.

Ręczne zabicie tego svchost.exe z poziomu menadżera zadań skutkuje komunikatem, że została przerwana usługa zdalnego wywoływania procedur (RPC) i restart kompa nastąpi po 60 s.

Co jeszcze można zrobić?

PIRYT


(jessica) #4

1) Wyłącz "wirtuale" (np. DaemonTools) przy pomocy >http://forum.dobreprogramy.pl/otl-gmer-rsit-dds-inne-instrukcje-t370405.html Defogger

2) Daj log z GMER, ale na ustawieniu:

>Rootkit>>zaznacz tylko "Usługi" i "Pokaż wszystko">>Szukaj>

jessi


(Buceador) #5

Zrobione.

Log z GMERa na powyższych ustawieniach jest na http://wklej.org/id/242051/

Dam królestwo i pół księżnicznki za pomoc w wybiciu tego szkodnika :slight_smile:

Pozdrawiam,

PIRYT


(jessica) #6

W logu GMER nie ma nic szkodliwego, żadnego Rootkita.

Ściągnij -->Avenger.

wklej do niego ten tekst:

Files to delete:

C:\WINDOWS\System32\fjhdyfhsn.bat

C:\Documents and Settings\user\Dane aplikacji\fvgqad.dat

C:\Documents and Settings\user\Dane aplikacji\avdrn.dat

C:\Documents and Settings\NetworkService\Dane aplikacji\fvgqad.dat

Kliknij w " Execute" i zatwierdź restart komputera.

Zrestartuj komputer.

Daj Raport z Avengera z C:\avenger.txt.

I nowy log z OTL.

Zobaczymy, może w nim pojawiło się coś nowego...

jessi


(Buceador) #7

Jest (chyba) lepiej.

Log z Avengera: http://wklej.org/id/242120/

(tego batcha nie znalazł, bo - jak wspominałem gdzieś wyżej - sam go wcześniej usunąłem)

Nowy log z OTL: http://wklej.org/id/242118/

Procesor nie jest już przeciążony, jakiś svchost cały czas coś próbuje (nie schodzi poniżej 3-8% wydajności CPU)

Gorzej, że firewall (sygate) zgłosił mi przed chwilą, że znów musiał zablokować plik ~TMD.tmp który to plik Dr.WEB usuwał wczoraj, jako nosiciela trojana botnetlog.124

Czyli wciąż coś tu siedzi...

Swoją drogą - podziwiam, że w tych logach można coś wyczytać. Dla mnie to jak po chińsku.

I co z nich teraz wynika?

Pozdrawiam,

PIRYT


(Katalonczyk97) #8

dalej siedzi...


(jessica) #9

Więc powtórka z rozrywki:

Avenger.

wklej do niego ten tekst:

Files to delete:

C:\Documents and Settings\user\Menu Start\Programy\Autostart\siszyd32.exe

C:\Documents and Settings\NetworkService\Dane aplikacji\fvgqad.dat

Kliknij w " Execute" i zatwierdź restart komputera.

Zrestartuj komputer.

Daj Raport z Avengera z C:\avenger.txt.

i nowy OTL.

jessi


(Buceador) #10

Avenger melduje, że usunął: http://wklej.org/id/242988/

OTL zaś mówi, że http://wklej.org/id/242992/

Jak to teraz wygląda?

Procesor już nie wariuje jak przedtem (99%) ale nadal nie chce być bezczynny jak dawniej (Procec bezczynności 99%)...

Pozdrowienia,

PIRYT


(Gutek) #11

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera.

Następnie uruchom OTL ponownie, w OTL kliknij na przycisk CleanUp


(jessica) #12

Jeszcze tylko usuniemy klucz infekcji pendrivowej:

Do Notatnika wklej:

Windows Registry Editor Version 5.00


[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako > FIX.REG >>

plik uruchom (dwuklik i OK).

Zrestartuj komputer.

I nic tu więcej nie wymyślimy.

Możesz co najwyżej użyć >http://www.dobreprogramy.pl/Malwarebytes-AntiMalware,Program,Windows,13117.html

.


(Buceador) #13

Dzięki stokrotne.

Po zastosowaniu do instrukcji Gutka najpierw otrzymałem raport: http://wklej.org/id/243057/

Nie wiem czy to normalne, ale po drugim kroku (OTL --> Cleanup) efekt był taki, że znikły mi... OTL oraz Avenger. Normalnie wyparowały.

Innym dziwnym objawem było to, że nagle wyłączyło mi firewalla (Sygate) (bez żadnego komunikatu - po prostu nagle zorientowałem się że firewall nie chodzi)

Zasugerowany Malwarebytes zakomunikował potem o 3 trojanach, ale po ich usunięciu i po reboocie - raport (!) też znikł. Był w katalogu z logami i już go tam nie ma

8-(

Obecny log z OTLa brzmi http://wklej.org/id/243064/

Widać tam coś podejrzanego?

Jeszcze raz dziękuję i pozdrawiam,

PIRYT


(Gutek) #14

Cleanup czyści :slight_smile: :stuck_out_tongue: - użyj go jeszcze raz.

Ja nic nie widzę :slight_smile: