Letysite.ru

IT Новости с интернет пространства
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Вирус sys exe

System.exe грузит процессор до 30-50%. Что делать?

Вопрос от пользователя

У меня в последнее время стал сильно шуметь и тормозить ноутбук. В диспетчере задач увидел, что большую нагрузку создает процесс «System.exe» (доходит даже до 40-50%!). Что это, и что с ним можно сделать, как найти причину проблемы? Раньше же так не было.

PS Ноутбук ASUS X501, Windows 10 Pro

Доброго времени суток.

Ну вообще, такой системный процесс как «System» — существует, а «System.exe» — насколько я знаю, нет! (и уже само его название выглядит очень подозрительно, как будто маскируется). Это может быть все, что угодно: начиная от вируса, и заканчивая программой для майнинга криптовалюты (в последнее время подобные «дополнения» стали популярны).

И так, перейдем ближе к делу.

Что делать с «подозрительным» процессом.

1) Посмотрите его расположение

Первое, что рекомендую сделать — это в диспетчере задач (для его запуска нажмите сочетание Ctrl+Shift+Esc) нажмите по этому процессу правой кнопкой мышки и выберите «Открыть расположение файла» (если подобной ссылки не будет, выберите «подробно»). На скрине ниже приведен пример.

Далее откройте расположение файла.

Смотрим расположение файла

Вообще, подобную проблему c «System.exe» наблюдал несколько раз:

  • в одном причиной был «Kms-Auto», используемый некоторыми программами для регистрации. Удалив и закрыв эту «утилиту» — проблема была полностью решена.
  • в другом — процесс был связан с Windows Media Center. Удалив оный из установленных программ — больше подобный процесс не нагружал ЦП.

Напомню, что оригинальный «System» ссылается на системную папку C:WindowsSystem32 на файл «ntoskrnl.exe».

Дополнение!

Если «вирусная» папка или файл не будут удаляться, воспользуйтесь антивирусной утилитой AVZ и советами из этой статьи.

2) Если процессор чем-то загружен, но диспетчер задач не показывает этот процесс или расположение файла

Нередко встречается и такое. В этом случае, рекомендую воспользоваться специальной утилитой от Microsoft. Речь идет о Process Explorer.

Эта утилита помогает узнать какая программа открыла тот или иной файл. Программа позволяет просматривать информацию об открытых процессом дескрипторах и загруженных им библиотеках DLL.

Отмечу, что от нее «не уйдет» ни один процесс, запущенный на ПК. Куда информативнее, чем обычный диспетчер задач.

Process Explorer главное окно

3) Как отличить настоящий процесс от фейкового (какой из процессов Svchost, System и пр. не настоящий)

Один из самых простых способов, это использовать антивирусную утилиту AVZ (линк на офиц. сайт). В ее арсенале есть специальный «Диспетчер процессов» ( чтобы открыть его — воспользуйтесь меню «Сервис/Диспетчер процессов») .

Суть этого диспетчера в том, что он умеет различать процессы, которым можно доверять (они помечаются зеленым цветом), и процессы о которых он ничего не знает.

Например, есть у вас подозрение, что один из процессов Svchost или System не настоящий — просто просмотрите список этих процессов. Все «нормальные» будут отмечены зеленым цветом (плюс обратите внимание на столбцы «Описание» и «Производитель», в них будет значится корпорация Майкрософт и Windows).

4) Профилактика

В качестве профилактики (чтобы не подхватить «подобное») можно посоветовать довольно банальные вещи:

filecheck .ru

Большинство антивирусных программ распознает sys.exe как вирус, такой как, Symantec определяет файл как Trojan.Gen, и TrendMicro определяет файл как TROJ_GEN.R44C3IT.
Бесплатный форум с информацией о файлах поможет вам найти информацию, как удалить файл. Если вы знаете что-нибудь об этом файле, пожалуйста, оставьте комментарий для других пользователей.

Вот так, вы сможете исправить ошибки, связанные с sys.exe

  1. Используйте программу Настройщик Windows, чтобы найти причину проблем, в том числе и медленной работы компьютера.
  2. Обновите программу sys.exe. Обновление можно найти на сайте производителя (ссылка приведена ниже).
  3. В следующих пунктах предоставлено описание работы sys.exe.

Информация о файле sys.exe

Описание: sys.exe не является важным для Windows и часто вызывает проблемы. Файл sys.exe находится в подпапках «C:UsersUSERNAME». Известны следующие размеры файла для Windows 10/8/7/XP 411,136 байт (50% всех случаев) или 99,328 байт.
Это не системный файл Windows. Поэтому технический рейтинг надежности 39% опасности.

Если sys.exe находится в подпапках C:Windows, тогда рейтинг надежности 36% опасности. Размер файла 759,296 байт. У процесса есть видимое окно. Нет информации по файлу. Процесс начинает работу при запуске Windows (Смотрите ключ реестра: Run , MACHINERun ). Это не системный процесс Windows. Sys.exe способен записывать ввод данных.

Важно: Вы должны проверить файл sys.exe на вашем компьютере, чтобы убедится, что это вредоносный процесс. Мы рекомендуем Security Task Manager для безопасности вашего компьютера.

Комментарий пользователя

Лучшие практики для исправления проблем с sys

Следующие программы так же полезны для грубокого анализа: Security Task Manager исследует активный процесс sys на вашем компьютере и явно говорит, что он делает. Malwarebytes’ — популярная антивирусная утилита, которая сообщает вам, если sys.exe на вашем компьютере отображает назойливую рекламу, замедляя быстродействие компьютера. Этот тип нежелательной рекламы не рассматривается некоторыми антивирусными программами в качестве вируса и таким образом не удаляется при лечении.

Чистый и аккуратный компьютер является ключевым требованием для избежания проблем с ПК. Это означает: проверка на наличие вредоносных программ, очистка жесткого диска, используя cleanmgr и sfc /scannow, удаление программ, которые вам больше не нужны, проверка Автозагрузки (используя msconfig) и активация Автоматического обновления Windows. Всегда помните о создании периодических бэкапов, или как минимум о создании точек восстановления.

Если у вас актуальная проблема, попытайтесь вспомнить последнее, что вы сделали, или последнюю программу, которую вы установили, прежде чем проблема появилась первый раз. Используйте resmon команду, чтобы определить процесс, который вызывает у вас проблему. Даже если у вас серьезные проблемы с компьютером, прежде чем переустанавливать Windows, лучше попробуйте восстановить целостность установки ОС или для Windows 8 и более поздних версий Windows выполнить команду DISM.exe /Online /Cleanup-image /Restorehealth. Это позволит восстановить операционную систему без потери данных.

Читать еще:  Антивирус удаляет игру что делать

sys сканер

Security Task Manager показывает все запущенные сервисы Windows, включая внедренные скрытые приложения (например, мониторинг клавиатуры или браузера, авто вход). Уникальный рейтинг надежности указывает на вероятность того, что процесс потенциально может быть вредоносной программой-шпионом, кейлоггером или трояном.

Бесплатный aнтивирус находит и удаляет неактивные программы-шпионы, рекламу, трояны, кейлоггеры, вредоносные и следящие программы с вашего жесткого диска. Идеальное дополнение к Security Task Manager.

Reimage бесплатное сканирование, очистка, восстановление и оптимизация вашей системы.

Что такое вирус_exe.exe и как с ним бороться

Компьютерные вирусы всех мастей для Windows-систем являются настоящим бичом. Многие из таких угроз известны еще с тех пор, когда в качестве основной операционной системы использовалась DOS, а Windows только-только начинала свое развитие. К сожалению, несмотря на свое моральное устаревание, угрозы типа «Вирус_exe.exe», где «Вирус» является возможным названием исполняемого апплета, и сегодня продолжают свое деструктивное воздействие на операционные системы от Microsoft. Далее предлагается рассмотреть несколько базовых понятий, связанных с тем, что собой представляют вирусы этой категории, в чем состоит их воздействие на компьютерную систему, и как с ними бороться.

Что такое «Вирус_exe.exe»?

Начать стоит как раз с того, как именно такие апплеты воздействуют на операционные системы, что и позволит объяснить их природу. Как известно, на заре развития компьютерной техники с применением в качестве основной платформы систем Windows сами ОС подвергались исключительно деструктивному воздействию, связанному с нарушениями их работы путем воздействия на определенные важные компоненты, без которых функционирование ОС становилось невозможным. Угрозы типа «Вирус_exe.exe» и сегодня работают подобным образом, но, как уже можно сделать вывод из названия, заражают исключительно исполняемые файлы формата EXE.

После такого воздействия файлы запустить становится невозможно, а сама операционная системы немедленно сообщает пользователю, что искомый объект не найден, хотя на самом деле с жесткого диска он никуда не девается.

Нюансы воздействия угрозы на компьютерную систему

То, что вирусы вроде Some_exe.exe или его аналоги (например, разновидности Virus.Win32.Expiro) нацеливаются исключительно на исполняемые файлы, — далеко не самое страшное, что может подстерегать пользователя современного компьютера. Большинство таких угроз обычно маскируется под системные процессы, например, svchost.exe, и напрямую на EXE-файлы могут не воздействовать, предоставляя это право некоторым антивирусам. Да-да! Именно так! При первичном заражении подвергшийся атаке исполняемый объект начинает распознаваться штатным сканером уже как вирус, после чего может не только блокироваться, но еще и удаляться антивирусом.

Увы, такие ситуации достаточно часто наблюдаются при наличии в системе защитного ПО в виде хваленого антивируса Avast. При таком положении дел становится понятно, что для некоторых угроз категории «Вирус_exe.exe» методы борьбы оставляют желать лучшего. Тем не менее, несмотря даже на такую плачевную ситуацию, несколько вариантов действий по нейтрализации таких апплетов предложить все-таки можно.

Система заражена угрозой «Вирус_exe.exe»: что делать в первую очередь?

Итак, начать стоит с выявления самого вируса в системе. Как уже было сказано, такие угрозы могут достаточно хорошо маскироваться и активироваться даже при установке каких-то программ, загруженных из Интернета, причем даже не в момент запуска инсталлятора, а по окончании процесса установки или даже спустя некоторое время. Если при попытке старта какого-то пользовательского приложения, системного инструмента или даже без всякого на то повода, когда какая-то служба работает в фоновом режиме, Windows начинает выдавать сообщения по поводу отсутствия или недоступности исполняемых файлов, сначала обратите внимание на дерево активных процессов в «Диспетчере задач». Возможно, там будут присутствовать какие-то неизвестные службы вроде ahtomsys.exe или psagor.exe, которые и создаются угрозами типа «Вирус_exe.exe». Смело используйте принудительное завершение их работы.

На всякий случай проверьте все копии процесса svchohst.exe на предмет расположения отвечающего за него файла через меню ПКМ (оригинальный объект должен находиться исключительно в папке System32 и нигде более). Такие копии тоже нужно завершить и, если есть возможность, сразу удалить подозрительные вирусные объекты на жестком диске (при условии, что они не будут заблокированными).

Откат системы

Несмотря на опасность, которую представляют собой угрозы категории «Вирус_exe.exe», иногда для их обезвреживания можно применять и самые простые методы. Так, например, известны случаи, когда избавиться от вируса можно было обычным восстановлением системы до временной точки, предшествующей появлению угрозы на компьютере. Правда, особо рассчитывать на такую методику не стоит только по той простой причине, что определить точно, когда именно угроза проникла в систему, бывает достаточно проблематично (как уже говорилось, вирус может активироваться спустя некоторое время, а не сразу).

Проверка антивирусным ПО

В принципе, для нейтрализации вирусов этого типа можно воспользоваться и портативными утилитами, среди которых наибольшей функциональностью отличаются приложения KVRT и Dr. Web CureIt! при условии немедленного обновления антивирусных баз сразу же после запуска апплетов.

Однако самой мощной программой, которая позволяет находить и удалять вирусы из всех возможных локаций в компьютерной системе, включая даже оперативную память, является дисковая утилита Kaspersky Rescue Disk, при помощи которой можно загрузиться еще до старта операционной системы и выполнить полное сканирование с последующим лечением.

Проверка раздела автозагрузки

Но давайте посмотрим, как удалить «Вирус_exe.exe», если под рукой ни одного из выше перечисленных инструментов нет. Для начала следует проверить все элементы, загружаемые вместе с операционной системой.

Читать еще:  Строка безопасности чпу

В ОС Windows седьмой версии и ниже для этого используется соответствующий раздел в конфигураторе (msconfig), в восьмой и десятой модификациях автозагрузка находится прямо в «Диспетчере задач» (taskmgr). Как уже понятно, если там присутствуют подозрительные элементы, их следует деактивировать, предварительно завершив их процессы. Однако выполнять перезагрузку, предложенную системой, пока не стоит.

Поиск и удаление компонентов вируса на жестком диске

Следующим шагом станет поиск файлов и папок вируса на жестком диске. Если их расположение было определено заранее (например, в «Диспетчере задач»), проблем быть не должно. Также можно задать поиск, скажем, по названию процессов в разделе автостарта и удалить найденные объекты. Если файлы по каким-либо причинам окажутся заблокированными, можно воспользоваться программой Unlocker или установить для себя дополнительные привилегии или права доступа. Отдельно обратите внимание на присутствие в директории System32 каталога deter, и если он есть, удаляйте его без промедления, поскольку большинство угроз типа «Вирус_exe.exe» как раз и используют его для хранения своих программных компонентов. В некоторых случаях для удаления файлов вирусов сначала нужно будет произвести аналогичные операции в реестре, но если с удалением проблем нет, их можно выполнить и после того.

Примечание: для наиболее результативного поиска рекомендуется сразу включить отображение скрытых файлов и каталогов, поскольку в большинстве случаев вирусные угрозы скрываются именно в таких локациях и представлены именно в таком виде.

Действия в системном реестре

В редакторе реестра (regedit) в первую очередь необходимо обратить внимание на папки автозагрузки Run и RunOnce в ветках HKLM и HKCU (их можно найти через обычный поиск при помощи сочетания Ctrl + F). В этих разделах следует удалить все подозрительные записи и ключи.

Кроме того, в ветке HKLM через разделы SOFTWARE, Microsoft и WindowsNT следует найти папку CurrentVersion с подкаталогом Winlogon, где для параметра Shell должно быть указано значение Explorer.exe, а для ключа Userinit – полный путь к одноименному исполняемому файлу (Userinit.exe) в директории System32. Если значения отличаются, их следует изменить. И только теперь можно выполнить полный рестарт системы. По идее, от вирусов указанного типа и следа не останется.

Заключение

Таковы вкратце основные методы поиска и нейтрализации вирусных угроз, воздействующих на исполняемые файлы. Подводя краткий итог всему вышесказанному, остается сказать, что при ручном удалении угроз, если они по каким-либо причинам не смогут быть нейтрализованы антивирусными средствами, после их удаления и полной перезагрузки системы на всякий случай все равно следует произвести сканирование компьютера, но при этом желательно сменить сканер или использовать несколько однотипных программ от разных разработчиков.

Что такое taskhostw.exe? Это вирус?

Taskhostw.exe — это файл операционной системы Windows. Основная функция taskhostw.exe — запускать службы Windows на основе библиотек DLL при загрузке компьютера. Это хост для процессов, отвечающих за выполнение DLL, а не исполняемый или исполняемый файл. В некоторых версиях операционной системы Windows он часто имитируется как taskhost.exe или taskhostex.exe.

Законный файл taskhostw.exe находится по адресу

C: Windows System32 taskhostw.exe

Если вы видите, что он расположен по какому-либо другому пути, он вполне может быть вредоносным. Вы можете запустить антивирусное сканирование.

Что такое taskhostw.exe в Windows 10?

Вы можете увидеть этот файл внутри диспетчера задач.

Taskhostw.exe высокая загрузка процессора

Если с помощью taskhost.exe загружаются неисправные библиотеки DLL, это может привести к высокой загрузке памяти и ЦП. Если вы обнаружите, что файл taskhostw.exe работает подозрительно или использует большое количество оперативной памяти или процессора, попробуйте следующие предложения:

  1. Запустите проверку системных файлов.
  2. Используйте DISM.
  3. Переустановите любую недавно установленную программу
  4. Устранение неполадок в чистом состоянии загрузки.

1] Запустите проверку системных файлов

Запустите CMD от имени администратора и затем выполните следующую команду для запуска средства проверки системных файлов:

Перезагрузите систему после завершения сканирования.

Вы также можете использовать нашу бесплатную программу FixWin для запуска утилиты проверки системных файлов одним щелчком мыши.

2] Используйте DISM для восстановления образа системы

Теперь откройте Командная строка (Admin) и введите следующие три команды последовательно и одну за другой и нажмите Enter:

Дайте этим командам DISM запуститься и после этого перезагрузите компьютер и попробуйте снова.

3] Переустановите все недавно установленные программы

Откройте ControlPanel и переустановите или восстановите все последние программы, которые вы, возможно, установили. Если есть какие-либо обновления для программного обеспечения, загрузите и установите последнюю версию.

4] Устранение неполадок в чистом состоянии загрузки

Вы можете устранить неполадки в Clean Boot State, чтобы увидеть, какая сторонняя служба может вызывать проблему. Чистая загрузка запускает систему с минимальными драйверами и программами запуска. При запуске компьютера в режиме чистой загрузки компьютер запускается с использованием предварительно выбранного минимального набора драйверов и программ запуска, а поскольку компьютер запускается с минимальным набором драйверов, некоторые программы могут работать не так, как ожидалось.

Надеюсь, это очистит воздух.

Хотите знать об этих процессах, файлах или типах файлов?

Вирус sys exe

VirusHunter предупреждает всех пользователей ПК о распространении опасной троянской программы Trojan-PSW.InvisibleThief.32768, принадлежащей к семейству троянцев «PdPinch» и осуществляющей кражу конфиденциальной информации с пораженных машин, а также загрузку через сеть Интернет др. вредоносных программ.

1. Инсталляция троянца в систему.
Данная троянская программа устанавливается в систему через сеть Интернет какой-то др. вредоносной программой. Троянский файл устанавливается в корневой каталог Windows-системы:

Читать еще:  Правила техники безопасности с ртутьсодержащим оборудованием

, после чего все та же неизвестная др. троянская программа запускает данный файл на выполнение, а также создает в системном реестре специальный ключ для возможности активизации троянца при каждом последующем запуске Windows. Класс этого ключа и его содержимое неизвестны, т.к. на зараженной машине, с которой был снят троянец Trojan-PSW.InvisibleThief.32768, установившая его троянская программа обнаружена не была.
После своего запуска Trojan-PSW.InvisibleThief.32768 создает ключ реестра

Данный ключ создается лишь под системами Windows 2K/XP и то только в том случае, если на них установлены системные обновления (SP4 и SP2 соответственно), и дает троянцу возможность работать как внутренний системный сервис с определенными привилегиями, а также скрывать некоторые из своих процедур от определенных системных вызовов. При этом, независимо от версии ОС Windows, троянец может активизироваться после перезапуска компьютера только в том случае, если файл cssrs.exe будет запущен др. вредоносной программой.
Троянский файл cssrs.exe написан на языке Microsoft Visual C+ и имеет размер 32768 байт. Является однокомпонентной программой; никакими утилитами компрессии или криптации не обработан. По своим функциональным возможностям сходен с троянской программой Trojan-PSW.InvisibleThief.23019, однако имеет ряд отличий.

2. Похищение конфиденциальных данных.
Сразу после своего запуска троянец пытается открыть на пораженном компьютере 1034-й порт и передать опознавательные данные в виде слова-идентификатора

на сервер с IP-адресом 69.50.171.170. Если сервер ответил, то троянец создает в системном каталоге Windows файл C:WINDOWSout.bin, в который собирает и затем зашифровывает конфиденциальные данные, найденные на пораженной машине. Для (рас-)шифровки данных троянец использует встроенный в его код механизм криптации.
Перечень похищаемых троянцем секретных данных полностью совпадает со списком, приведенным в описании троянской программы Trojan-PSW.InvisibleThief.23019. Также троянец пытается искать на диске какие-то DAT-файлы.
Похищение адресов электронной почты пользователей осуществляется, очевидно, с целью создания базы данных для последующей рассылки спама.
После выуживания секретных данных троянец генерирует «на лету» почтовое послание, которое отсылает своему автору. Письмо с вложением имеет следующие параметры:

Тема послания: request(%)

Вложение: файл out.bin

Символ «%» в теме обозначает какую-то переменную, в зависимости от которой троянец может дописывать к теме еще какие-то фрагменты.
Для отправки письма троянец использует сетевой HTTP-протокол, подключаясь к вышеуказанному серверу 69.50.171.170. Новый поиск конфиденциальных данных и их отсылку своему автору троянец производит только через определенные промежутки времени.

3. Загрузка других вредоносных программ через сеть Интернет.
При подключении к сети Интернет троянец открывает на пораженной машине 8020-й порт и пытается вызвать на загрузку файлы, расположенные по следующим адресам (часть фрагментов адресов я заменил значком «%» по соображениям безопасности):

При обнаружении файлов троянец открывает 53-й порт, после чего скачивает на диск пораженной машины и запускает на выполнение 2 троянские программы:

Файл sys.exe представляет собой самостоятельную троянскую программу размером 104096 байт (сжата утилитой компрессии «FSG» версии 1.33), производящую какие-то вредоносные действия во время работы в сети Интернет; детально не изучалась.
Файл vr_sys.dll представляет собой плагин-дроппер (программу-пускач, «детонатор» др. троянской программы), содержащий в себе обновленную версию троянца. Данный файл ничем не сжат, размер содержащегося в нем рабочего дроппер-кода составляет 3072 байта, а остальное содержимое — файл с обновленной версией троянца. Таким образом, размер файла vr_sys.dll может быть различным и зависит от размера содержащегося в его теле обновленного файла троянца. vr_sys.dll является программой одноразового действия. Ее деятельность сводится к следующему: при запуске она не создает в реестре никаких ключей, а только ищет в определенной области системной памяти активный процесс «CSSRS.EXE», т.е. нашего троянца, выгружает его из памяти, перезаписывает файл cssrs.exe обновленной версией, которую извлекает из себя, после чего запускает уже этот новый файл на выполнение. На этом vr_sys.dll завершает свою работу и далее представляет собой ничто иное, как файловый мусор.
Также троянец пытается связываться с сервером yafveag.ru для обмена какими-то данными.

4. Прочее.
Отчет об отсылках посланий, скачанных файлах, времени осуществления последних манипуляций в сети Интернет и некоторую др. служебную информацию троянец шифрует и записывает в специально создаваемый им файл C:1.dml. Также создает для этого файла ключ в разделе реестра

, непонятно только зачем.
В коде данной модификации троянца содержится следующий текст:

aPLib v0.42 — the smaller the better 🙂

Copyright (c) 1998-2004 by Joergen Ibsen, All Rights Reserved.

This copy of aPLib is free for non-commercial use.

More information: http://www.%software.com/

5. Детектирование и удаление троянских программ.
На момент создания данного описания антивирусные программы обнаруживают троянца Trojan-PSW.InvisibleThief.32768 и загружаемые им с Интернета троянские файлы под следующими номенклатурными названиями:

Антивирус Kaspersky AntiVirus:
файл cssrs.exe: Trojan-PSW.Win32.PdPinch.gen
файл sys.exe (z.exe): Trojan.Win32.WebSearch.j
файл vr_sys.dll: Trojan-PSW.Win32.LdPinch.os

Антивирус BitDefender Professional:
файл cssrs.exe: Trojan.PWS.PdPinch.K
файл sys.exe (z.exe): Trojan.WebSearch.J
файл vr_sys.dll: Trojan.PWS.LdPinch.OS

Антивирус DrWeb:
файл cssrs.exe: Trojan.PWS.LDPinch.419
файл sys.exe (z.exe): Trojan.Websearch
файл vr_sys.dll: Trojan.PWS.LDPinch.419

При обнаружении в машине указанных троянских файлов необходимо убить в памяти процессы cssrs.exe и sys.exe (например, при помощи Диспетчера задач), после чего удалить данные файлы с диска. Также при желании можно удалить и файл vr_sys.dll. Ключи, прописанные троянцами в системном реестре, удалять не обязательно.
После этого рекомендуется сменить пароли на подключение к сети Интернет, к почтовым ящикам и т.п.

Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 25.07.2005
Дата внесения последних изменений: 25.07.2005
Автор описания: Бройде Герман (aka VirusHunter)

Ссылка на основную публикацию
Adblock
detector