1 / 1 / 0
Регистрация: 27.10.2021
Сообщений: 21
1

Активность svchost.exe

22.11.2021, 09:28. Показов 1556. Ответов 40
Метки нет (Все метки)

Добрый день.
На файловом сервере запускается процесс svchost.exe и загружает 50% ЦП. Во вкладке быстродействие видно, что процесс загружает каждое второе ядро на 100 процентов. Если процесс выгрузить или сопоставить ему только одно ядро, то спустя какое-то время он перезапускается и все возвращается на исходную.
Касперский определяет MEM:Trojan.Win32.SEPEH.gen в System Memory, затем вроде его удаляет. Но при повторной проверке вирус снова обнаруживается.
Логи по правилам оформления во вложении
Вложения
Тип файла: zip CollectionLog-2021.11.22-12.19.zip (252.7 Кб, 4 просмотров)
__________________
Помощь в написании контрольных, курсовых и дипломных работ здесь
0
Лучшие ответы (1)
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
22.11.2021, 09:28
Ответы с готовыми решениями:

Процесс svchost.exe грузит процессор после подключения к интернету с ноутбука , Svchost.exe, скрытый майнер, узел универ
Здравствуйте. Windows 7 Ultimate x64 Антивирус Kaspersky FREE Уже обращался по поводу данной...

Вирусы dwm.exe dllhost.exe ctfmon.exe svchost.exe
Проблема заключается в том что у меня на компьютере в диспетчере задач стоят задачи которые я не...

Svchost.exe, onion.exe, openvg.exe torrc и куча dll и cl, а также папка tor в Roaming

Самовостанавливающийся svchost.exe.exe (именно с двумя .exe)
Кушает около 50% ЦП. При попытке зайти в папку с файлом, выбивает ошибку. Через свойства получил...

40
Вирусоборец
16848 / 13765 / 2504
Регистрация: 08.10.2012
Сообщений: 55,819
22.11.2021, 10:39 2
Здравствуйте!

Деинсталлируйте бесполезный SpyHunter.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Перед сканированием выгрузите все запущенные приложения.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте в архив).
Подробнее читайте в этом руководстве.
1
1 / 1 / 0
Регистрация: 27.10.2021
Сообщений: 21
22.11.2021, 12:18  [ТС] 3
SpyHunter удалил.
Отчеты во вложении
Вложения
Тип файла: zip Logs.zip (14.5 Кб, 10 просмотров)
0
Вирусоборец
16848 / 13765 / 2504
Регистрация: 08.10.2012
Сообщений: 55,819
22.11.2021, 12:35 4
Файл
C:\Windows\System32\Ms2E4AA882App.dll
проверьте на www.virustotal.com и дайте ссылку на результат проверки.

Перепроверьте настройки фаервола
FirewallRules: [{6E7284DD-778B-4057-8C51-39C09DC3C77D}] => (Allow) LPort=3389
Цитата Сообщение от mc_super Посмотреть сообщение
Касперский определяет MEM:Trojan.Win32.SEPEH.gen в System Memory, затем вроде его удаляет. Но при повторной проверке вирус снова обнаруживается.
У вас установлен Kaspersky Endpoint Security для Windows Version: 11.5.0.590
Устаревшая версия. К тому же на сервере предпочтительнее ставить Kaspersky Security для Windows Server.
0
1 / 1 / 0
Регистрация: 27.10.2021
Сообщений: 21
22.11.2021, 12:40  [ТС] 5
Цитата Сообщение от Sandor Посмотреть сообщение
C:\Windows\System32\Ms2E4AA882App.dll
- по этому пути нет такого файла... И во всей папке Windows нет

Цитата Сообщение от Sandor Посмотреть сообщение
FirewallRules: [{6E7284DD-778B-4057-8C51-39C09DC3C77D}] => (Allow) LPort=3389
Это разрешение на RDP от двух конкретных IP-адресов
0
Вирусоборец
16848 / 13765 / 2504
Регистрация: 08.10.2012
Сообщений: 55,819
22.11.2021, 12:45 6
Цитата Сообщение от mc_super Посмотреть сообщение
разрешение на RDP
нужно прятать за VPN.

Больше по логам не видно ничего плохого (вредоносного).

Если сохранился отчет из этой папки
C:\KVRT2020_Data\report
упакуйте его в архив и прикрепите к следующему сообщению.
0
1 / 1 / 0
Регистрация: 27.10.2021
Сообщений: 21
22.11.2021, 12:54  [ТС] 7
архив во вложении
Вложения
Тип файла: zip Reports.zip (10.6 Кб, 2 просмотров)
0
Вирусоборец
16848 / 13765 / 2504
Регистрация: 08.10.2012
Сообщений: 55,819
22.11.2021, 13:11 8
Цитата Сообщение от Sandor Посмотреть сообщение
на сервере предпочтительнее ставить Kaspersky Security для Windows Server.
Обновлять будете?
0
1 / 1 / 0
Регистрация: 27.10.2021
Сообщений: 21
22.11.2021, 13:15  [ТС] 9
Ну возможно когда-то в будущем, при обновлении ОСи и железа...
А это поможет для устранения вируса?? Тогда наверное могли бы и сейчас
0
Вирусоборец
16848 / 13765 / 2504
Регистрация: 08.10.2012
Сообщений: 55,819
22.11.2021, 13:16 10
Да, поможет.
0
1 / 1 / 0
Регистрация: 27.10.2021
Сообщений: 21
23.11.2021, 11:02  [ТС] 11
установили Kaspersky Security для Windows Server
При проверке ничего не находит

Добавлено через 2 часа 37 минут
Возможно меня неправильно поняли - вирус есть, но Kaspersky Security для Windows Server ничего не находит.
KVRT по-прежнему находит вирус и не может его убить, ну и svchost - без изменений (загружает ЦП на 50%)
1
Вирусоборец
16848 / 13765 / 2504
Регистрация: 08.10.2012
Сообщений: 55,819
23.11.2021, 11:14 12
Скачайте Malwarebytes v.4. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
0
1 / 1 / 0
Регистрация: 27.10.2021
Сообщений: 21
23.11.2021, 15:08  [ТС] 13
Не очень вышел совет... Или приложуха кривая! Завесила наглухо весь сервер, после чего несколько раз уходила в перезагрузку и жестко тупила после перезапуска. Было решено удалить программу, однако это оказалось очень даже не просто... После 6 часов танцев с бубном, таки удалил, вернулся к изначальной картине. Лог естественно собрать не удалось.
0
Вирусоборец
16848 / 13765 / 2504
Регистрация: 08.10.2012
Сообщений: 55,819
23.11.2021, 15:13 14
Цитата Сообщение от mc_super Посмотреть сообщение
После 6 часов танцев с бубном
У них есть собственный инструмент очистки:
• Скачайте и запустите Malwarebytes Support Tool.
• Запустите, согласитесь с лицензионным соглашением, перейдите на вкладку Advanced Options и нажмите кнопку Clean.
• Перезагрузите компьютер при появлении запроса.
• После перезагрузки утилита запустится для окончательной очистки.

Проверку с помощью CureIt делали?
0
1 / 1 / 0
Регистрация: 27.10.2021
Сообщений: 21
23.11.2021, 15:14  [ТС] 15
Делали ранее, могу еще раз запустить
0
Вирусоборец
16848 / 13765 / 2504
Регистрация: 08.10.2012
Сообщений: 55,819
23.11.2021, 15:18 16
Нет, не нужно.

Удалите старые и соберите новые логи FRST.txt и Addition.txt
0
1 / 1 / 0
Регистрация: 27.10.2021
Сообщений: 21
24.11.2021, 11:35  [ТС] 17
FSRT зависает в процессе выполнения... Также обнаружилась проблема, что если завершить процесс через диспетчер задач (так получилось с FSRT и KVRT), то процесс не убивается, продолжает там висеть с нагрузкой 4-6% ЦП.
Если убивать процесс через командную строку (taskkill), не получается по "Причина: Ни один из экземпляров этого задания не запущен."
0
Вирусоборец
16848 / 13765 / 2504
Регистрация: 08.10.2012
Сообщений: 55,819
24.11.2021, 11:50 18
В прежних логах FRST видна некая ошибка:
Системные ошибки:
=============
Error: (11/22/2021 03:11:15 PM) (Source: Schannel) (EventID: 4119) (User: NT AUTHORITY)
Description: Получено следующее предупреждение о неустранимой ошибке: 70.

Error: (11/22/2021 03:11:15 PM) (Source: Schannel) (EventID: 4119) (User: NT AUTHORITY)
Description: Получено следующее предупреждение о неустранимой ошибке: 70.

Error: (11/22/2021 03:11:15 PM) (Source: Schannel) (EventID: 4119) (User: NT AUTHORITY)
Description: Получено следующее предупреждение о неустранимой ошибке: 70.

Error: (11/22/2021 02:13:26 PM) (Source: DCOM) (EventID: 10010) (User: )
Description: Регистрация сервера {BB6DF56B-CACE-11DC-9992-0019B93A3A84} DCOM не прошла за отведенное время ожидания.

Error: (11/22/2021 01:58:15 PM) (Source: Schannel) (EventID: 4119) (User: NT AUTHORITY)
Description: Получено следующее предупреждение о неустранимой ошибке: 70.

Error: (11/22/2021 01:58:15 PM) (Source: Schannel) (EventID: 4119) (User: NT AUTHORITY)
Description: Получено следующее предупреждение о неустранимой ошибке: 70.

Error: (11/22/2021 01:58:15 PM) (Source: Schannel) (EventID: 4119) (User: NT AUTHORITY)
Description: Получено следующее предупреждение о неустранимой ошибке: 70.


Цитата Сообщение от mc_super Посмотреть сообщение
KVRT по-прежнему находит вирус и не может его убить
Утилиту используете ту же или скачиваете заново?
0
1 / 1 / 0
Регистрация: 27.10.2021
Сообщений: 21
24.11.2021, 11:54  [ТС] 19
KVRT сегодня утром скачал свежий, в процессе проверки он нашел вирус и дальше завис. Ну и дальше как писал: при завершении задачи через диспетчер задач окно закрылось, однако процесс остался и висит под нагрузкой в списке
0
Вирусоборец
16848 / 13765 / 2504
Регистрация: 08.10.2012
Сообщений: 55,819
24.11.2021, 13:24 20
Цитата Сообщение от mc_super Посмотреть сообщение
svchost - без изменений (загружает ЦП на 50%)
Проверьте, пожалуйста, это происходит при подключенной сети? А при отключенной?

Соберите лог FRST из среды восстановления.
(В адресной строке слово resources замените на threads)
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
24.11.2021, 13:24

Calc.exe 32, svchost.exe 32, самоустанавливающиеся программы (амиго, мейл и тд), постоянное подвисание
Добрый день! Помогите, пожалуйста, устранить следующие проблемы: в диспетчере задач множество...

Предельная загруженность оперативной памяти. Много процессов chrome.exe *32 и svchost.exe
После многократных безуспешных попыток переустановить драйвера видеокарты и, в конце концов, одной...

Тормозит музыка в браузере из-за сильной загрузки процессора из процессов opera. exe и svchost. exe
тормозит музыка в браузере из-за сильной загрузки процессора из процессов opera.exe и svchost.exe...

Calc.exe*32 и svchost.exe как исправить
У меня недавно случилась такая проблема с этими процессами. Я месяцами не обращал на это внимание,...

Tracert.exe и svchost.exe грузят процессор
Здравствуйте! Процессы tracert.exe и svchost.exe поочередно грузят процессор. Помогите пожалуйста...

Много процессов chrome.exe и svchost.exe
Число процессов chrome.exe в диспетчере задач в разы больше числа открытых вкладок и расширений,...

Вирус svchost. exe chrome. exe
При запуски компьютера данный вирус нагружает процесс до 75 % , пытался чистить с помощью утилиты...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
20
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.