PDA

Показать полную графическую версию : win7, conhost, CPU загрузка 100%

vti
03-10-2018, 12:09
Виртуалка на Windows 7, процессор постоянно загружен на 100%, все приложения дико тормозят.

Логи самой ОС ничего интересного не показывают - дескать, все в штатном режиме. Все остальные виртуальные машины на том же сервере ведут себя ОК.
Запустил task manager - а там - известный всем conhost.exe чудит.

cureit, malvware bytes,kasperski virus removal - находят, удаляют, но толку от этого - никакого.
Sandor
03-10-2018, 12:57
Здравствуйте!

Файл
C:\TVschedule.batвам известен?

Уточните, вы точно собираетесь лечить эту виртуальную машину?
vti
03-10-2018, 13:35
Sandor,
день добрый!)

Да, файл этот известен.

Именно лечить. Потому что переустанавливать ОС с нуля и настраивать сервисы - к сожалению - не вариант. Слишком большой простой будет. Рядом еще несколько виртуалок крутятся, и они зависят друг от друга.
Снэпшотов и незараженных точек отката ОС - тоже нет.
Sandor
03-10-2018, 16:46
Снэпшотов и незараженных точек отката ОС - тоже нет »
Вот это плохо.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
TerminateProcessByName('c:\windows\temp\conhost.exe');
QuarantineFile('c:\windows\temp\conhost.exe', '');
DeleteFile('c:\windows\temp\conhost.exe', '');
ExecuteSysClean;
RebootWindows(true);
end.


Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина (http://dragokas.com/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Повторите логи по правилам (http://forum.oszone.net/thread-98169.html). Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog.
vti
03-10-2018, 18:29
Sandor, quarantine.7z отправил через форму отправки карантина.

Имя карантина - 2018.10.03_quarantine_4bf646ee4e642ebdec992a2d40b275ee.7z
Sandor
04-10-2018, 08:31
Скачайте AutorunsVTchecker (https://safezone.cc/resources/211/). Распакуйте и запустите. Не дожидаясь окончания сканирования,
Скачайте Universal Virus Sniffer (https://safezone.cc/resources/7/) (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS. (https://safezone.cc/threads/14508/#post-79351)
vti
04-10-2018, 12:18
Sandor,

Готово.
Sandor
04-10-2018, 12:31
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (https://safezone.cc/threads/18577/).
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

;uVS v4.0.21 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
;---------command-block---------
delref %SystemDrive%\USERS\KKEITH\APPDATA\LOCAL\TEMP\CHROME_BITS_3108_20157\C2986CA03609BA12064F30F60A36E6A BB8707976ADDA5FE76EDEB116923DC6EF.CRXD
apply

zoo %SystemRoot%\TEMP\CONHOST.EXE
bl F7689C53FBA27C5FBDFABDA62762F23E 219648
addsgn 925277BA106AC1CC0B24544E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C04 9D75DEC433C2D1667F3E0707F900 8 Trojan.Win64.Miner.hdc [Kaspersky] 7

zoo %SystemRoot%\DEBUG\LSMOSE.EXE
bl D8AABED51E33BCE278EBD9DAC7903264 3387392
addsgn 19E4FBDD5D6A4C720BD4473C0626EDE7B18CCAC31793E64E35CFAC4566D9F725DAA1745657AC2B0CB2E97D29C96C20034B89 0229ACEC7D007A8EED2F339F24BA 8 Trojan.Win32.Ukpa.a [Kaspersky] 7

zoo %SystemDrive%\INSTALL\AVZ4\QUARANTINE\2018-10-03\AVZ00001.DTA
zoo %SystemRoot%\HELP\LSMOSEE.EXE
bl CFA37459C88481113B827EEBA9B1BB77 2265088
addsgn 19E4408D5D6A4C720BD4472E7DC9128E61AFFC7DDDDF1BF2C9E6CD3D95D4714C23EFCCF2EEDCD96C2F8F3B5BD9704632E10C 0814860A49A36952A44914CE3890 8 HEUR:Trojan.Win32.Generic [Kaspersky] 7

chklst
delvir

deldir %SystemRoot%\DEBUG\
deldir %SystemRoot%\HELP\

czoo
restart

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
Если архив отсутствует, то заархивруйте папку ZOO (https://safezone.cc/threads/19310) с паролем virus.
Полученный архив отправьте с помощью этой формы (https://dragokas.com/virusnet/) или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве (https://safezone.cc/threads/14509/#post-79352).


Соберите и прикрепите контрольный лог uVS.
vti
04-10-2018, 15:23
Контрольный лог.

Имя карантина: 2018.10.04_ZOO_2018-10-04_11-43-16_21fe63655bedd4e85021cd9c6730a70c.zip
Sandor
04-10-2018, 15:48
Обновления системы на эту виртуалку ставите?
vti
04-10-2018, 16:21
Обновления системы - отключены.
Sandor
04-10-2018, 16:31
Загрузите SecurityCheck by glax24 & Severnyj (http://tools.safezone.cc/glax24/SecurityCheck/SecurityCheck.exe) и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.
vti
04-10-2018, 17:15
Готово.
Sandor
05-10-2018, 08:23
------------------------------- [ HotFix ] --------------------------------
HotFix KB3115858 Warning! Download Update (https://technet.microsoft.com/en-us/library/security/ms16-013.aspx)
HotFix KB3140735 Warning! Download Update (https://technet.microsoft.com/en-us/library/security/ms16-026.aspx)
HotFix KB3138910 Warning! Download Update (https://technet.microsoft.com/en-us/library/security/ms16-027.aspx)
HotFix KB3138962 Warning! Download Update (https://technet.microsoft.com/en-us/library/security/ms16-027.aspx)
HotFix KB3145739 Warning! Download Update (https://technet.microsoft.com/en-us/library/security/ms16-039.aspx)
HotFix KB3146963 Warning! Download Update (https://technet.microsoft.com/en-us/library/security/ms16-040.aspx)
HotFix KB3156013 Warning! Download Update (https://technet.microsoft.com/en-us/library/security/ms16-055.aspx)
HotFix KB3156016 Warning! Download Update (https://technet.microsoft.com/en-us/library/security/ms16-055.aspx)
HotFix KB3156019 Warning! Download Update (https://technet.microsoft.com/en-us/library/security/ms16-055.aspx)
HotFix KB3155178 Warning! Download Update (https://technet.microsoft.com/en-us/library/security/ms16-056.aspx)
HotFix KB3153171 Warning! Download Update (https://technet.microsoft.com/en-us/library/security/ms16-061.aspx)
HotFix KB3170455 Warning! Download Update (https://technet.microsoft.com/en-us/library/security/ms16-087.aspx)
HotFix KB3178034 Warning! Download Update (https://technet.microsoft.com/en-us/library/security/ms16-097.aspx)
HotFix KB3185911 Warning! Download Update (https://technet.microsoft.com/en-us/library/security/ms16-106.aspx)
HotFix KB3184122 Warning! Download Update (https://technet.microsoft.com/en-us/library/security/ms16-116.aspx)
HotFix KB3192391 Warning! Download Update (https://technet.microsoft.com/en-us/library/security/ms16-122.aspx)
HotFix KB3197867 Warning! Download Update (https://www.catalog.update.microsoft.com/Search.aspx?q=KB3197867)
HotFix KB3205394 Warning! Download Update (https://www.catalog.update.microsoft.com/Search.aspx?q=KB3205394)
HotFix KB4012212 Warning! Download Update (https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212)
HotFix KB4019263 Warning! Download Update (https://www.catalog.update.microsoft.com/Search.aspx?q=KB4019263)
HotFix KB4022722 Warning! Download Update (https://www.catalog.update.microsoft.com/Search.aspx?q=KB4022722)
HotFix KB4015546 Warning! Download Update (https://www.catalog.update.microsoft.com/Search.aspx?q=KB4015546)
HotFix KB4025337 Warning! Download Update (https://www.catalog.update.microsoft.com/Search.aspx?q=KB4025337)
HotFix KB4034679 Warning! Download Update (https://www.catalog.update.microsoft.com/Search.aspx?q=KB4034679)
HotFix KB4041678 Warning! Download Update (https://www.catalog.update.microsoft.com/Search.aspx?q=KB4041678)
HotFix KB4056894 Warning! Download Update (https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056894)
HotFix KB4056897 Warning! Download Update (https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897)
HotFix KB4074587 Warning! Download Update (https://www.catalog.update.microsoft.com/Search.aspx?q=KB4074587)
HotFix KB4103712 Warning! Download Update (https://www.catalog.update.microsoft.com/Search.aspx?q=KB4103712)
HotFix KB4343899 Warning! Download Update (https://www.catalog.update.microsoft.com/Search.aspx?q=KB4343899)
HotFix KB4457145 Warning! Download Update (https://www.catalog.update.microsoft.com/Search.aspx?q=KB4457145)
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 25 (64-bit) v.8.0.250 Warning! Download Update (http://www.oracle.com/technetwork/java/javase/downloads/jre8-downloads-2133155.html)
Uninstall old version and install new one (jre-8u181-windows-x64.exe).
Java SE Development Kit 8 Update 11 (64-bit) v.8.0.110 Warning! Download Update (http://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html)
Uninstall old version and install new one (jdk-8u181-windows-x64.exe).
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 17 ActiveX v.17.0.0.134 Warning! Download Update (http://download.macromedia.com/pub/flashplayer/latest/help/install_flash_player_ax.exe)


Установите хотфиксы, после чего соберите свежий лог uVS.



© OSzone.net 2001-2012