Svhost.exe грузит процессор до 100%

@taif · Регистрация: 03.06.2014

Студворк — интернет-сервис помощи студентам

Доброй ночи.
Win sp1 7x64, Svhost.exe грузит процессор до 100%
пока не могу обнаружить что подцепил. Похоже на майнер.

Заранее благодарю за помощь

@taif · 13.10.2017, 01:00 **[ТС]**

Еще появляется звук рекламы, но нет открытых браузеров. Висел процесс процесс spsvc.exe*32 описание_firefox завершил его и звук рекламы пропал, процесс запускается периодически.

@Sandor · 13.10.2017, 11:08

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя taif. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Code
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files\common files\microsoft shared\hp\webisida.browser.exe');
 TerminateProcessByName('c:\windows\fonts\svchost.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000a\0010\vmms.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\lsm.exe');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe');
 StopService('spoolsrvrs');
 StopService('werlsfks');
 QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\HP\autch.exe', '');
 QuarantineFile('c:\program files\common files\microsoft shared\hp\webisida.browser.exe', '');
 QuarantineFile('C:\supermegabest\run_setup.bat', '');
 QuarantineFile('C:\Users\KOLIDE~1\AppData\Local\Temp\DF9AAD7EE630F388A8\lines.bat', '');
 QuarantineFile('c:\windows\fonts\svchost.exe', '');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\000a\0010\vmms.exe', '');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe', '');
 QuarantineFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe', '');
 QuarantineFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe', '');
 QuarantineFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe', '');
 QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe', '');
 QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe', '');
 QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\lsm.exe', '');
 QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe', '');
 DeleteFile('C:\Program Files\Common Files\Microsoft Shared\HP\autch.exe', '32');
 DeleteFile('c:\program files\common files\microsoft shared\hp\webisida.browser.exe', '32');
 DeleteFile('C:\supermegabest\run_setup.bat', '32');
 DeleteFile('C:\Users\KOLIDE~1\AppData\Local\Temp\DF9AAD7EE630F388A8\lines.bat', '32');
 DeleteFile('c:\windows\fonts\svchost.exe', '32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\000a\0010\vmms.exe', '32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe', '32');
 DeleteFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe', '32');
 DeleteFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe', '32');
 DeleteFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe', '32');
 DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe', '32');
 DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe', '32');
 DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\lsm.exe', '32');
 DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "Adobe Reader" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "DRPNPS" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateTask" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateTaskMashine" /F', 0, 15000, true);
 DeleteService('spoolsrvrs');
 DeleteService('werlsfks');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'SPReview');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'SuperMegaBest');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'YSetupDel');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Подготовьте новый CollectionLog.

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Реализация движения на Box2D v3 - трение и коллизии с повёрнутыми стенами 8Observer8 20.02.2026 Содержание блога Box2D позволяет легко создать главного героя, который не проходит сквозь стены и перемещается с заданным трением о препятствия, которые можно располагать под углом, как верхнее. . .	Конвертировать закладки radiotray-ng в m3u-плейлист damix 19.02.2026 Это можно сделать скриптом для PowerShell. Использование . \СonvertRadiotrayToM3U. ps1 <path_to_bookmarks. json> Рядом с файлом bookmarks. json появится файл bookmarks. m3u с результатом. # Check if. . .	Семь CDC на одном интерфейсе: 5 U[S]ARTов, 1 CAN и 1 SSI Eddy_Em 18.02.2026 Постепенно допиливаю свою "многоинтерфейсную плату". Выглядит вот так: https:/ / www. cyberforum. ru/ blog_attachment. php?attachmentid=11617&stc=1&d=1771445347 Основана на STM32F303RBT6. На борту пять. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .
И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»	SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .

@taif 0 / 0 / 0 Регистрация: 03.06.2014 Сообщений: 28
	13.10.2017, 01:00 [ТС]
	Еще появляется звук рекламы, но нет открытых браузеров. Висел процесс процесс spsvc.exe*32 описание_firefox завершил его и звук рекламы пропал, процесс запускается периодически. 0