Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   win7, conhost, CPU загрузка 100% (http://forum.oszone.net/showthread.php?t=336989)

vti 03-10-2018 12:09 2834115
win7, conhost, CPU загрузка 100%
 
Виртуалка на Windows 7, процессор постоянно загружен на 100%, все приложения дико тормозят.

Логи самой ОС ничего интересного не показывают - дескать, все в штатном режиме. Все остальные виртуальные машины на том же сервере ведут себя ОК.
Запустил task manager - а там - известный всем conhost.exe чудит.

cureit, malvware bytes,kasperski virus removal - находят, удаляют, но толку от этого - никакого.

Sandor 03-10-2018 12:57 2834130
Здравствуйте!

Файл
Цитата:
C:\TVschedule.bat
вам известен?

Уточните, вы точно собираетесь лечить эту виртуальную машину?

vti 03-10-2018 13:35 2834138
Sandor,
день добрый!)

Да, файл этот известен.

Именно лечить. Потому что переустанавливать ОС с нуля и настраивать сервисы - к сожалению - не вариант. Слишком большой простой будет. Рядом еще несколько виртуалок крутятся, и они зависят друг от друга.
Снэпшотов и незараженных точек отката ОС - тоже нет.

Sandor 03-10-2018 16:46 2834180
Цитата:
Цитата vti
Снэпшотов и незараженных точек отката ОС - тоже нет »
Вот это плохо.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\temp\conhost.exe');
 QuarantineFile('c:\windows\temp\conhost.exe', '');
 DeleteFile('c:\windows\temp\conhost.exe', '');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true);
end.
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog.

vti 03-10-2018 18:29 2834193
Sandor, quarantine.7z отправил через форму отправки карантина.

Имя карантина - 2018.10.03_quarantine_4bf646ee4e642ebdec992a2d40b275ee.7z

Sandor 04-10-2018 08:31 2834293
Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS.

vti 04-10-2018 12:18 2834341
Sandor,

Готово.

Sandor 04-10-2018 12:31 2834346
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.0.21 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    BREG
    ;---------command-block---------
    delref %SystemDrive%\USERS\KKEITH\APPDATA\LOCAL\TEMP\CHROME_BITS_3108_20157\C2986CA03609BA12064F30F60A36E6ABB8707976ADDA5FE76EDEB116923DC6EF.CRXD
    apply

    zoo %SystemRoot%\TEMP\CONHOST.EXE
    bl F7689C53FBA27C5FBDFABDA62762F23E 219648
    addsgn 925277BA106AC1CC0B24544E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Trojan.Win64.Miner.hdc [Kaspersky] 7

    zoo %SystemRoot%\DEBUG\LSMOSE.EXE
    bl D8AABED51E33BCE278EBD9DAC7903264 3387392
    addsgn 19E4FBDD5D6A4C720BD4473C0626EDE7B18CCAC31793E64E35CFAC4566D9F725DAA1745657AC2B0CB2E97D29C96C20034B890229ACEC7D007A8EED2F339F24BA 8 Trojan.Win32.Ukpa.a [Kaspersky] 7

    zoo %SystemDrive%\INSTALL\AVZ4\QUARANTINE\2018-10-03\AVZ00001.DTA
    zoo %SystemRoot%\HELP\LSMOSEE.EXE
    bl CFA37459C88481113B827EEBA9B1BB77 2265088
    addsgn 19E4408D5D6A4C720BD4472E7DC9128E61AFFC7DDDDF1BF2C9E6CD3D95D4714C23EFCCF2EEDCD96C2F8F3B5BD9704632E10C0814860A49A36952A44914CE3890 8 HEUR:Trojan.Win32.Generic [Kaspersky] 7

    chklst
    delvir

    deldir %SystemRoot%\DEBUG\
    deldir %SystemRoot%\HELP\

    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.
  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.


Соберите и прикрепите контрольный лог uVS.

vti 04-10-2018 15:23 2834397
Вложений: 1
Контрольный лог.

Имя карантина: 2018.10.04_ZOO_2018-10-04_11-43-16_21fe63655bedd4e85021cd9c6730a70c.zip

Sandor 04-10-2018 15:48 2834399
Обновления системы на эту виртуалку ставите?

vti 04-10-2018 16:21 2834408
Обновления системы - отключены.

Sandor 04-10-2018 16:31 2834411
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

vti 04-10-2018 17:15 2834418
Вложений: 1
Готово.

Sandor 05-10-2018 08:23 2834512
------------------------------- [ HotFix ] --------------------------------
HotFix KB3115858 Warning! Download Update
HotFix KB3140735 Warning! Download Update
HotFix KB3138910 Warning! Download Update
HotFix KB3138962 Warning! Download Update
HotFix KB3145739 Warning! Download Update
HotFix KB3146963 Warning! Download Update
HotFix KB3156013 Warning! Download Update
HotFix KB3156016 Warning! Download Update
HotFix KB3156019 Warning! Download Update
HotFix KB3155178 Warning! Download Update
HotFix KB3153171 Warning! Download Update
HotFix KB3170455 Warning! Download Update
HotFix KB3178034 Warning! Download Update
HotFix KB3185911 Warning! Download Update
HotFix KB3184122 Warning! Download Update
HotFix KB3192391 Warning! Download Update
HotFix KB3197867 Warning! Download Update
HotFix KB3205394 Warning! Download Update
HotFix KB4012212 Warning! Download Update
HotFix KB4019263 Warning! Download Update
HotFix KB4022722 Warning! Download Update
HotFix KB4015546 Warning! Download Update
HotFix KB4025337 Warning! Download Update
HotFix KB4034679 Warning! Download Update
HotFix KB4041678 Warning! Download Update
HotFix KB4056894 Warning! Download Update
HotFix KB4056897 Warning! Download Update
HotFix KB4074587 Warning! Download Update
HotFix KB4103712 Warning! Download Update
HotFix KB4343899 Warning! Download Update
HotFix KB4457145 Warning! Download Update
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 25 (64-bit) v.8.0.250 Warning! Download Update
Uninstall old version and install new one (jre-8u181-windows-x64.exe).
Java SE Development Kit 8 Update 11 (64-bit) v.8.0.110 Warning! Download Update
Uninstall old version and install new one (jdk-8u181-windows-x64.exe).
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 17 ActiveX v.17.0.0.134 Warning! Download Update


Установите хотфиксы, после чего соберите свежий лог uVS.


Время: 23:11.

Время: 23:11.
© OSzone.net 2001-