svchost.exe -k netsvcs проц 100%
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
svchost.exe -k netsvcs проц 100% - 2011-10-18 17:43:25.186666
|
|
|
DeSTRo
Сообщений: 1885
Оценки: 20
Присоединился: 2008-01-17 14:28:02.940000
|
Доброго времени суток господа, столкнулась с проблемой. У клиента не компьютер, а просто какая то жопа, простите.
Проц стал загружаться на все 100%, поставила Anvir, он показывает, что проц загружатся 2 файлами svchost.exe с ключом запуска -k netsvcs.
Что делала:
1. Смотрела все службы Windows, большая часть этих служб работает от этого файла с этим ключом.
2. Данный процесс запущен не от имени system, а от имени пользователя.
3. Если добавить этот процесс "К заблокированным (Карантин)" система уходит в перезагрузку, выдавая при этом сообщение.
4. На счет вирусов не знаю, стоит Нод32 корпоративная лицензия. Сам файл лежит как полагается ему в папке system32.
5. Смотрела ветки реестра автозагрузки, там вообще пусто.
6. Msconfig делать опасно, т.к. я все это делаю удаленно, смогу ли потом подключиться.
7. Эти процессы можно просто прибить, но они появляються снова. Причем каждый процесс грузит проц на 50%, а их всего 2.
Если убить обоих, сначала появляется 1 процесс, потом спустя время второй.
AVZ ничего не нашел кстати. Уповаю на ваши советы.
|
|
|
|
|
RE: svchost.exe -k netsvcs проц 100% - 2011-10-18 18:59:22.810000
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Process Explorer ( http://technet.microsoft.com/ru-ru/sysinternals/bb896653 ) по процессу правой кнопкой-Свойства -Смотри какой поток данного процесса жрёт. Там порой даже конкретно файл видно.
|
|
|
|
|
RE: svchost.exe -k netsvcs проц 100% - 2011-10-18 20:16:21.890000
|
|
|
DeSTRo
Сообщений: 1885
Оценки: 20
Присоединился: 2008-01-17 14:28:02.940000
|
quote:
ORIGINAL: zzsnn
Process Explorer ( http://technet.microsoft.com/ru-ru/sysinternals/bb896653 ) по процессу правой кнопкой-Свойства -Смотри какой поток данного процесса жрёт. Там порой даже конкретно файл видно.
Ставлю, сейчас посмотрю, отпишусь.
quote:
ORIGINAL: Flint_ta
Вот тут предлагают различные варианты
http://forum.ru-board.com/topic.cgi?forum=62&topic=8287&start=0
P.S. Антируткитом поищи файл igfxtray.exe
По твоей ссылке пока не ходила Флинт, но указанный тобой файл нашла в папке C:\WINDOWS\Prefetch
+ к этому, я его нашла в автозагрузке! Лежит по пути, где лежит ntuser.dat т.е. данные аккаунта текущего пользователя. Удалить их автозагрузки не могу, пишет занят другим процессом.
|
|
|
|
|
RE: svchost.exe -k netsvcs проц 100% - 2011-10-18 20:19:17.136666
|
|
|
DeSTRo
Сообщений: 1885
Оценки: 20
Присоединился: 2008-01-17 14:28:02.940000
|
Твою мать, он пропал из автозагрузки о_О
quote:
ORIGINAL: zzsnn
Process Explorer ( http://technet.microsoft.com/ru-ru/sysinternals/bb896653 ) по процессу правой кнопкой-Свойства -Смотри какой поток данного процесса жрёт. Там порой даже конкретно файл видно.
Установила, жду пока он появиться [sm=au.gif]
з.ы. СОри за дабл пост =)
|
|
|
|
|
RE: svchost.exe -k netsvcs проц 100% - 2011-10-18 20:23:40.056666
|
|
|
Mатцал Коушек
Сообщений: 10407
Оценки: 91
Присоединился: 2008-07-09 10:27:49.520000
|
У Руссиновича есть утилита, которая удаляет файл при следующей перезагрузки, до начала загрузки винды.
http://technet.microsoft.com/ru-ru/sysinternals/bb897556
|
|
|
|
|
RE: svchost.exe -k netsvcs проц 100% - 2011-10-18 20:35:47.426666
|
|
|
DeSTRo
Сообщений: 1885
Оценки: 20
Присоединился: 2008-01-17 14:28:02.940000
|
Вот скрин, может вы в нем увидите то, что не вижу я.
Блин а чего он не работает то :(
quote:
ORIGINAL: Mатцал Коушек
У Руссиновича есть утилита, которая удаляет файл при следующей перезагрузки, до начала загрузки винды.
http://technet.microsoft.com/ru-ru/sysinternals/bb897556
Моц, дорогой, я бы все сделала, но он сука куда то пропал :( Как? Скажешь ты, я отвечу хрен знает, видела его в автозагрузке, нажала на батон "процессы", потом опять в автозагрузку, а его там уже и след простыл.
Короче подробно о файле, из Process E
Path:
C:\WINDOWS\system32\svchost.exe
Command line:
-k netsvcs
Current directory:
C:\Documents and Settings\Admin\
Parent: explorer.exe(544)
User: ECONOMIK1\Admin
|
|
|
|
|
RE: svchost.exe -k netsvcs проц 100% - 2011-10-18 20:40:01.780000
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
Для теста: Пуск > Программы > Автозагрузка, попробуй там создать файл igfxtray.exe
Если он скрыт - система не даст создать второй файл с таким же названием.
|
|
|
|
|
RE: svchost.exe -k netsvcs проц 100% - 2011-10-18 20:47:43.633333
|
|
|
DeSTRo
Сообщений: 1885
Оценки: 20
Присоединился: 2008-01-17 14:28:02.940000
|
quote:
ORIGINAL: Flint_ta
Для теста: Пуск > Программы > Автозагрузка, попробуй там создать файл igfxtray.exe
Если он скрыт - система не даст создать второй файл с таким же названием.
сейчас сделаю
Флинт система выдала ошибку, что мол такой файл уже существует, задайте другое имя, но блин я его в упор тут не вижу, даже если поставить галочку "Показывать системные скрытые файлы"
+ он опять появился в атозагрузке! В AnvirTaskManager напротив запускного файла в автозагрузке, он пишет название компании/фирмы кому принадлежит этот продукт.
Дык вот напротив этого файла написано CSVVU
|
|
|
|
|
RE: svchost.exe -k netsvcs проц 100% - 2011-10-18 21:03:01.230000
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
Значит суслик точно есть. Попробуем удалить с помощью AVZ, включишь режим AVZ Guard - это загрузит драйвер avz (помогает в борьбе с руткитами). Файл > Отложенное удаление файла, выберешь там его. Затем перезагрузка.
|
|
|
|
|
RE: svchost.exe -k netsvcs проц 100% - 2011-10-18 21:05:44.206666
|
|
|
DeSTRo
Сообщений: 1885
Оценки: 20
Присоединился: 2008-01-17 14:28:02.940000
|
quote:
ORIGINAL: Flint_ta
Значит суслик точно есть. Попробуем удалить с помощью AVZ, включишь режим AVZ Guard - это загрузит драйвер avz (помогает в борьбе с руткитами). Файл > Отложенное удаление файла, выберешь там его. Затем перезагрузка.
Пошла делать, с Богом. Аминь
|
|
|
|
|
RE: svchost.exe -k netsvcs проц 100% - 2011-10-18 21:19:24.100000
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Точно троян.
Смотри файл explorer.exe(544). Даже по ID процесса видно, что это не реальный: explorer.exe. У Майкрософтовских файлов всегда ID с малым числом (относительно), они для себя специально забивают.
Далее смотрим путь, и что видим? C:\Documents and Settings\Admin\ ! А откуда настоящий explorer.exe должен запускаться. Или по другому, где находится настоящий explorer.exe? Правильно в папке Windows. А у тебя где?
А какие права у него? ECONOMIK1\Admin. Значит это пользователь и запустил его у себя. Во всяком случае под его учёткой запустили первый раз, не факт, но обычно именно так.
Делай выводы.
|
|
|
|
|
RE: svchost.exe -k netsvcs проц 100% - 2011-10-18 21:32:29.440000
|
|
|
DeSTRo
Сообщений: 1885
Оценки: 20
Присоединился: 2008-01-17 14:28:02.940000
|
Ну что сказать господа, тьфу тьфу тьфу пока никакой активности.
Из автозагрузки этот файл пропал, этих двух "противных" процессов svchost.exe даже не появляються.
НО
Как я поняла, указанный Флинтом файл, я удалила при помощи AVZ.
Сразу после ребута появилось окно, о том, что было найдено новое оборудование, и в конце данного сообщения, обычно, пишут, что за оборудование, а тут "Нет данных", в диспетчере устройств, висит неизвестное оборудование.
Вот что удалось найти:
Код экземпляра устройства:
ROOT\LEGACY_UTE3MJYW\0000
quote:
ORIGINAL: zzsnn
Точно троян.
Смотри файл explorer.exe(544). Даже по ID процесса видно, что это не реальный: explorer.exe. У Майкрософтовских файлов всегда ID с малым числом (относительно), они для себя специально забивают.
Далее смотрим путь, и что видим? C:\Documents and Settings\Admin\ ! А откуда настоящий explorer.exe должен запускаться. Или по другому, где находится настоящий explorer.exe? Правильно в папке Windows. А у тебя где?
А какие права у него? ECONOMIK1\Admin. Значит это пользователь и запустил его у себя. Во всяком случае под его учёткой запустили первый раз, не факт, но обычно именно так.
Делай выводы.
Сейчас у Explorer.exe PID 1000 вообще.. Он вроде и был 1000, лежит в папке windows
|
|
|
|
|
RE: svchost.exe -k netsvcs проц 100% - 2011-10-18 21:49:57.630000
|
|
|
DeSTRo
Сообщений: 1885
Оценки: 20
Присоединился: 2008-01-17 14:28:02.940000
|
quote:
ORIGINAL: Flint_ta
quote:
ORIGINAL: DeSTRo
ROOT\LEGACY_UTE3MJYW\0000
Возможно это остаток AVZ, удали устройство. Или через сам AVZ отключи режим Guard. И автозапуск не мешало бы теперь посмотреть через Autoruns.
Сделаю
http://www.rapidshare.ru/2728509
Log Autoruns, я очень бегло проглядела.
|
|
|
|
|
RE: svchost.exe -k netsvcs проц 100% - 2011-10-18 22:13:18.480000
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
Вроде все чисто.
|
|
|
|
|
RE: svchost.exe -k netsvcs проц 100% - 2011-10-18 22:27:17.453333
|
|
|
DeSTRo
Сообщений: 1885
Оценки: 20
Присоединился: 2008-01-17 14:28:02.940000
|
С компьютером, пока все в порядке.
Никакой активности))))
Спасибо Флинт, Спасибо Зу [sm=ah.gif][sm=cw.gif] Я вас люблю блин
|
|
|
|
|
|
