Маскировка под процесс svchost.exe
Дорогие друзья.
Помогите разобраться, пожалуйста.
Последние дни комп начал жутко тормозить. Обратил внимание, что в диспетчере 8 процессов svchost.exe, обычно их было 6.
2 из них грузят ЦП по 50% каждый (в сумме 100%)
Что сделано:
- Прокатано антивирусами, АВЗ, отключены все возможные службы, удалено все старое, ненужное и подозрительное, простой поиск svchost.exe копий не выявил - в результате процессов svchost.exe осталось 8, но только 1 из них грузит ЦП на 50%.
Этот самый 1 процесс, который грузит на 50%, запущен от имени пользователя, хотя такого быть не может, ибо легальный svchost.exe всегда имеет владельцев SYSTEM, LOCAL, NETWORК.
Процесс можно просто убить и ничего страшного не происходит, но при перегрузе он появится вновь.
Далее, открываем нехитрую прогу Process Explorer и видим, что 7 процессов svchost.exe рождены процессом services, т.е. легальным процессом Виндоус. В инфо-вкладках отображается список управляемых ими служб, который совпадает с меню управления службами - все ОК.
Но отдельно лежит еще 1 процесс svchost.exe который и ест 50% ЦП. В родителях у него числится explorer.exe от имени пользователя.
Вражина обнаружен! Но в инфо-вкладках не видно его местоположение и исполняемые файлы/команды.
Важное дополнение!!!
Если вынуть сетевой шнур из компа, то процесс перестает грузить ЦП на 50%, но остается в списке. При втыкании шнура на место, снова загруз ЦП 50%.
Исходящего траффика нет.
Все возможные службы принудительно вручную отключены/остановлены.
Вопрос: Что надо сделать чтоб обнаружить заразу и пресечь ее преступную деятельность?
В тему "Безопасность" обращался, логи АВЗ и ХайДжек проверили - ничего критического не видно.
Прилагаю скрин (норм качество, вес 3.8 мб), где все видно. Красным помечены легальные процессы services, синим помечены процессы пользователя, в инфо-подсказке искомого процесса отсутствует описание процесса и исполняемая функция, а в окне свойств видим родителя и владельца. Курсоры в окнах указывают на причину проблемы.
http://webfile.ru/5347264
Заранее благодарен.
(ХР пиратка)
Дорогие друзья.
Помогите разобраться, пожалуйста.
Последние дни комп начал жутко тормозить. Обратил внимание, что в диспетчере 8 процессов svchost.exe, обычно их было 6.
2 из них грузят ЦП по 50% каждый (в сумме 100%)
Что сделано:
- Прокатано антивирусами, АВЗ, отключены все возможные службы, удалено все старое, ненужное и подозрительное, простой поиск svchost.exe копий не выявил - в результате процессов svchost.exe осталось 8, но только 1 из них грузит ЦП на 50%.
Этот самый 1 процесс, который грузит на 50%, запущен от имени пользователя, хотя такого быть не может, ибо легальный svchost.exe всегда имеет владельцев SYSTEM, LOCAL, NETWORК.
Процесс можно просто убить и ничего страшного не происходит, но при перегрузе он появится вновь.
Далее, открываем нехитрую прогу Process Explorer и видим, что 7 процессов svchost.exe рождены процессом services, т.е. легальным процессом Виндоус. В инфо-вкладках отображается список управляемых ими служб, который совпадает с меню управления службами - все ОК.
Но отдельно лежит еще 1 процесс svchost.exe который и ест 50% ЦП. В родителях у него числится explorer.exe от имени пользователя.
Вражина обнаружен! Но в инфо-вкладках не видно его местоположение и исполняемые файлы/команды.
Важное дополнение!!!
Если вынуть сетевой шнур из компа, то процесс перестает грузить ЦП на 50%, но остается в списке. При втыкании шнура на место, снова загруз ЦП 50%.
Исходящего траффика нет.
Все возможные службы принудительно вручную отключены/остановлены.
Вопрос: Что надо сделать чтоб обнаружить заразу и пресечь ее преступную деятельность?
В тему "Безопасность" обращался, логи АВЗ и ХайДжек проверили - ничего критического не видно.
Прилагаю скрин (норм качество, вес 3.8 мб), где все видно. Красным помечены легальные процессы services, синим помечены процессы пользователя, в инфо-подсказке искомого процесса отсутствует описание процесса и исполняемая функция, а в окне свойств видим родителя и владельца. Курсоры в окнах указывают на причину проблемы.
http://webfile.ru/5347264
Заранее благодарен.
(ХР пиратка)
