Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] svchost (NetworkServise, netsvcs) съедает ЦП (подозрение на вирусы) (http://forum.oszone.net/showthread.php?t=317249)

Tzzinch 28-07-2016 14:33 2654860
svchost (NetworkServise, netsvcs) съедает ЦП (подозрение на вирусы)
 
Добрый день!
Примерно 3 недели назад ПК начал жутко лагать, скрипеть звуки на компьютере. Я сразу же проверил Касперским 16, ничего он не нашел. Начал разбираться, читать, в диспетчере задач заметил что svchost ест ЦП на 50-70%, остановил службу обновление виндовс, даже пропылесосил комп. Чуть живее стал работать, но и только. Примерно через неделю от начала Касперский нашел две угрозы (к сожалению не помню точно какие), вылечил их, перезагружался, лаги остались. Проверял Куиритом от Др Веба, KVRT. Последний нашел еще 2 угрозы и "вылечил" лаги остались. Наткнулся на Ваш форум, и понял что надо писать, поползал по разным темам, и знаю что в первом сообщении надо приложить логи АутоЛоггера, но в http://forum.oszone.net/thread-98169.html Вы написали что надо сделать точку восстановления системы. Ее я сделать не могу по причине: "Сбой в работе восстановления системы в этой системе. Обнаружена непредвиденная ошибка компонента службы теневого копирования томов. Дополнительные сведения см. в журнале событий приложения.(0х80042302). Подскажите пожалуйста, что делать, и можно ли пользоваться АутоЛоггером без точки восстановления системы?

Sandor 28-07-2016 15:07 2654867
Здравствуйте!

Цитата:
Цитата Tzzinch
можно ли пользоваться АутоЛоггером без точки восстановления системы? »
Да, можно.

Tzzinch 28-07-2016 19:06 2654992
Вложений: 1
Прошу прощение за задержку, прикрепляю логи:

Sandor 29-07-2016 08:21 2655085
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\Мама и Бабушка\AppData\Local\Temp\3fe67.exe', '');
 QuarantineFile('C:\Users\5899~1\AppData\Local\Temp\FirefallInstaller\setup.exe', '');
 DeleteFile('C:\Windows\Tasks\dta2u.job', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "{61CE5ECA-C3E9-4341-B749-273D3E68B8CF}" /F', 0, 15000, true);
 DeleteFile('C:\Users\Мама и Бабушка\AppData\Local\Temp\3fe67.exe', '32');
 DeleteFile('C:\Users\5899~1\AppData\Local\Temp\FirefallInstaller\setup.exe', '32');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Tzzinch 29-07-2016 11:50 2655155
Добрый день, не могу выполнить второй скрипт (который после перезагрузки), пишет ошибку: Ошибка скрипта: '.' expected, позиция [4:1]. АутоЛоггером собрать логи?

Sandor 29-07-2016 11:54 2655157
Копируйте, включая точку после слова end.

Tzzinch 29-07-2016 12:17 2655171
Вложений: 1
quarantine.zip отправил, прикрепляю логи:

Sandor 29-07-2016 12:26 2655173
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Tzzinch 29-07-2016 12:36 2655178
Вложений: 2
Готово! я Shortcut.txt не могу прикрепить, т.к. сумма вложений у меня на форуме не хватает

Sandor 29-07-2016 12:41 2655181
Упакуйте.

Tzzinch 29-07-2016 12:41 2655182
Вложений: 1
Готово!

Sandor 29-07-2016 12:48 2655186
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-2044071828-2859970074-276507235-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
FF NewTab: yafd:tabs
CHR Extension: (Яндекс) - C:\Users\Схул\AppData\Local\Google\Chrome\User Data\Default\Extensions\bejnpnkhfgfkcpgikiinojlmdcjimobi [2016-07-20]
Task: {A8150BE6-1D39-4960-9818-F8A71F5A2AD7} - \nkbhryd -> No File <==== ATTENTION
AlternateDataStreams: C:\Users\Схул\Local Settings:wa [146]
AlternateDataStreams: C:\Users\Схул\AppData\Local:wa [146]
AlternateDataStreams: C:\Users\Схул\AppData\Local\Application Data:wa [146]
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.


Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


Прочтите эту статью и, если Ваш случай, проделайте то, что там рекомендуется.

Tzzinch 29-07-2016 13:13 2655199
Вложений: 1
Фикслог:
Так же возник вопрос: Я посмотрел, клонов адаптера очень много, их в ручную удалять это: правой клавишей на нем и удалить, правильно?

Sandor 29-07-2016 13:16 2655201
Да. Но быстрее будет утилитой.

Tzzinch 29-07-2016 13:20 2655204
Именно из-за этих клонов так тормозит? Или Вы заметили еще какие-нибудь проблемы?

Sandor 29-07-2016 13:23 2655207
Дополнительно была адварь. Мы ее уже очистили.

Tzzinch 29-07-2016 13:25 2655208
Прошу прощения, я не знаю что такое адварь? И если Вас не затруднит, Вы не могли бы описать парой слов что вообще это было, и как в будущем предотвратить подобное? П.С. После того как я удалю клоны, стоит перезагружать ПК?

Sandor 29-07-2016 13:26 2655209
Adware :)

Цитата:
Цитата Tzzinch
как в будущем предотвратить подобное? »
По окончании будут рекомендации.

Tzzinch 29-07-2016 13:32 2655215
А как узнать если у меня на ПК ДевКон, и если нет где его можно взять, я посмотрел по той ссылке, но не очень понял(

Sandor 29-07-2016 13:42 2655219
Вложений: 1
Вот

Tzzinch 29-07-2016 13:47 2655223
Спасибо. Когда пишу код пишет что версия девкон не совмстима с версией виндовс(

Sandor 29-07-2016 13:53 2655231
Тогда удаляйте вручную))

Tzzinch 29-07-2016 13:54 2655233
Хорошо, спасибо) Как закончу, перезагружусь и отпишусь по результатам.

Tzzinch 29-07-2016 14:19 2655246
Хотел узнать, приемлемо ли будет использовать программу Device Remover?

Sandor 29-07-2016 14:26 2655249
Да, только скачайте отсюда и действуйте аккуратно.

Tzzinch 29-07-2016 19:47 2655387
Удалил все клоны(400+ штук), ПК стало легче намного, субъективно даж притормаживание звука почти пропали) Перезагрузил, появился уже клон новый, ну я теперь знаю что за напасть, удалил, а как сделать чтоб не появлялись? Так же, заметил есть Адаптер микрософт ISATAP и еще 3 файла Адаптер микрософт ISATAP #2,#3,#5 - это норма?
П.С. Ест ли смысл чистить реестр CCleaner ом?

Sandor 29-07-2016 20:32 2655390
Цитата:
Цитата Tzzinch
это норма? »
Да.
Цитата:
Цитата Tzzinch
как сделать чтоб не появлялись? »
Вопрос не совсем для темы этой ветки)
Цитата:
Цитата Tzzinch
чистить реестр CCleaner ом? »
Только если есть оправданная необходимость и осторожно, не забывая делать резервные копии.

По нашей части в завершение:
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
      ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
      exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Tzzinch 29-07-2016 20:50 2655397
"Поиск критических уязвимостей
Установите Service Pack 1 для Windows 7. Возможно, потребуется активация.
Уязвимость общих элементов управления Windows делает возможным удаленное выполнение кодаe
Обновление для системы безопасности Microsoft Office Word 2007
Обновление для системы безопасности Microsoft Office Word 2003 Compatibility Pack" Как Вы считаете, критично будет НЕ устанавливать эти обновление, по крайней мере в ближайшее время? (По причине: мой друг устанавливал мне виндовс, а сейчас он не в городе, потерпит ли такое действо месяц?))

Sandor 30-07-2016 17:12 2655533
Цитата:
Цитата Tzzinch
Установите Service Pack 1 для Windows 7 »
Как раз с помощью этого вполне может решиться проблема упомянутых адаптеров.

Цитата:
Цитата Tzzinch
потерпит ли такое действо месяц? »
Будьте осторожны.

Прочтите и выполните Рекомендации после лечения.

Tzzinch 30-07-2016 19:01 2655558
Хорошо, я Вам чрезвычайно благодарен, Вы мастер своего дела, большое спасибо за Вашу помощь! Ставлю тему как решенная! Удачи!))


Время: 22:19.

Время: 22:19.
© OSzone.net 2001-