Файлы под именами cuda.exe, ati.exe и cpu.exe грузят бедный процессор на 100% всё виснет! В итоге они закрываются (кроме cuda.exe) и всё становится нормально. Но это не хорошо всё равно. Помогите мне пожалуйста.
Файлы под именами cuda.exe, ati.exe и cpu.exe грузят бедный процессор на 100% всё виснет! В итоге они закрываются (кроме cuda.exe) и всё становится нормально. Но это не хорошо всё равно. Помогите мне пожалуйста.
Последний раз редактировалось DosuG; 08.11.2014 в 17:51.
Уважаемый(ая) DosuG, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); QuarantineFile('C:\Windows\cpu.exe',''); SetServiceStart('Sysconfig', 4); DeleteService('Sysconfig'); SetServiceStart('SuperFitch_x86', 4); DeleteService('SuperFitch_x86'); SetServiceStart('Officecompiler', 4); DeleteService('Officecompiler'); SetServiceStart('MicrosoapFileManager', 4); DeleteService('MicrosoapFileManager'); SetServiceStart('Loadmnge32', 4); DeleteService('Loadmnge32'); SetServiceStart('Host32manager', 4); DeleteService('Host32manager'); SetServiceStart('FirewallIntegrityChecker', 4); DeleteService('FirewallIntegrityChecker'); SetServiceStart('dsp', 4); DeleteService('dsp'); SetServiceStart('DiskAnalysis', 4); DeleteService('DiskAnalysis'); TerminateProcessByName('C:\ProgramData\Sysconfig\Sysconfig.exe'); QuarantineFile('C:\ProgramData\Sysconfig\Sysconfig.exe',''); TerminateProcessByName('C:\Users\Default\AppData\Local\Microsoft\Super Fitch x86\SuperFitch_x86.exe'); QuarantineFile('C:\Users\Default\AppData\Local\Microsoft\Super Fitch x86\SuperFitch_x86.exe',''); TerminateProcessByName('C:\Users\Default\AppData\Local\Microsoft\Windows\Officecompiler\Officecompiler.exe'); QuarantineFile('C:\Users\Default\AppData\Local\Microsoft\Windows\Officecompiler\Officecompiler.exe',''); TerminateProcessByName('C:\Users\Default\AppData\Roaming\Microsoft\Windows\Microsoap File Manager\MicrosoapFileManager.exe'); QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Windows\Microsoap File Manager\MicrosoapFileManager.exe',''); TerminateProcessByName('C:\Users\Default\AppData\Roaming\Microsoft\Windows\Loadmnge32\Loadmnge32.exe'); QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Windows\Loadmnge32\Loadmnge32.exe',''); TerminateProcessByName('C:\ProgramData\Host32manager\Host32manager.exe'); QuarantineFile('C:\ProgramData\Host32manager\Host32manager.exe',''); TerminateProcessByName('C:\ProgramData\Firewall Integrity Checker\FirewallIntegrityChecker.exe'); QuarantineFile('C:\ProgramData\Firewall Integrity Checker\FirewallIntegrityChecker.exe',''); TerminateProcessByName('C:\Users\Default\AppData\Local\Microsoft\Windows\Default settings protector\dsp.exe'); QuarantineFile('C:\Users\Default\AppData\Local\Microsoft\Windows\Default settings protector\dsp.exe',''); TerminateProcessByName('C:\ProgramData\Disk Analysis\DiskAnalysis.exe'); QuarantineFile('C:\ProgramData\Disk Analysis\DiskAnalysis.exe',''); DeleteFile('C:\ProgramData\Disk Analysis\DiskAnalysis.exe','32'); DeleteFile('C:\Users\Default\AppData\Local\Microsoft\Windows\Default settings protector\dsp.exe','32'); DeleteFile('C:\ProgramData\Firewall Integrity Checker\FirewallIntegrityChecker.exe','32'); DeleteFile('C:\ProgramData\Host32manager\Host32manager.exe','32'); DeleteFile('C:\Users\Default\AppData\Roaming\Microsoft\Windows\Loadmnge32\Loadmnge32.exe','32'); DeleteFile('C:\Users\Default\AppData\Roaming\Microsoft\Windows\Microsoap File Manager\MicrosoapFileManager.exe','32'); DeleteFile('C:\Users\Default\AppData\Local\Microsoft\Windows\Officecompiler\Officecompiler.exe','32'); DeleteFile('C:\Users\Default\AppData\Local\Microsoft\Super Fitch x86\SuperFitch_x86.exe','32'); DeleteFile('C:\ProgramData\Sysconfig\Sysconfig.exe','32'); DeleteFile('C:\Windows\cpu.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи версией 4.43, предварительно обновив ее базы
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вот логи (АВЗ обновил):
Последний раз редактировалось DosuG; 08.11.2014 в 21:25.
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: Driver:: Folder:: C:\ProgramData\Sysconfig C:\Users\Default\AppData\Local\Microsoft\Super Fitch x86 C:\Users\Default\AppData\Local\Microsoft\Windows\Officecompiler C:\Users\Default\AppData\Roaming\Microsoft\Windows\Microsoap File Manager C:\Users\Default\AppData\Roaming\Microsoft\Windows\Loadmnge32 C:\ProgramData\Host32manager C:\ProgramData\Firewall Integrity Checker C:\Users\Default\AppData\Local\Microsoft\Windows\Default settings protector C:\ProgramData\Disk Analysis Registry:: FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вот:
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вот:
Поместите в карантин МВАМ всё, кроме
Код:Malware.Gen, D:\1 NTFS\Program Files\Adobe\keygen.exe, , [5ef6a39695e78da99b428ae3c739d22e], Trojan.PWS.OnlineGames, D:\1 NTFS\Program Files\LAII\Alanor.exe, , [5ff5d663d9a3e4520f654cba0cf58a76], PUP.Optional.OpenCandy, D:\1 NTFS\???°??N?N??·????\DTLite4481-0347.exe, , [9db71a1f047837ff0c352a3c5ca929d7], Trojan.PWS.OnlineGames, D:\1 NTFS\???°??N?N??·????\alanor.zip, , [04503aff6517fc3a8aeac14554ad4eb2], PUP.Optional.Installex, D:\1 NTFS\???°??N?N??·????\Download.exe, , [4e06e257fe7e181ed23507179d6446ba], PUP.Optional.OpenCandy, D:\1 NTFS\???°??N?N??·????\Music\2\directx_Jun2010_redist-aoc-jd.exe, , [e0743108562611254ef3bcaa4abbad53], PUP.Optional.LoadMoney, D:\1 NTFS\???°??N?N??·????\Music\2\konec-sveta-2013-apokalipsis-po-gollivudski-this-is-the-end-2013.exe, , [163efb3ec1bb9a9c89c22b071ae726da], RiskWare.Tool.CK, D:\1 NTFS\????N?N??µ??N? ???°??N?N??·????\Downloads\The_Typing_of_the_Dead_[torrents.ru]\???°?±?»?µN????°\???°N?N?_No-CD\The Typing of the Dead ALL VERSIONS NoCD.exe, , [70e4a495bdbfd363ac4dd17f59ac37c9], PUP.RiskwareTool.CK, D:\1 NTFS\????N?N??µ??N? ???°??N?N??·????\Downloads\Warcraft III + The Frozen Throne (RUS)\KeyGens\02. The Frozen Throne KeyGen.exe, , [e4700d2c6d0fd0661e6e64602ed2e917], RiskWare.Tool.CK, D:\1 NTFS\????N?N??µ??N? ???°??N?N??·????\Downloads\Battlefield 2 (2005) Repack by Canek77\?????????»???µ????N?\Keygen\Multi-Keygen.exe, , [66ee99a0c3b9e353bc0bbb8c4db857a9], RiskWare.Tool.CK, D:\1 NTFS\????N?N??µ??N? ???°??N?N??·????\Downloads\Need_For_Speed_Underground2\keygen\keygen.exe, , [d480e158ccb01c1ac007e166ce378977], RiskWare.Tool.CK, E:\Program Files (x86)\SEGA\The Typing of The Dead\The Typing of the Dead ALL VERSIONS NoCD.exe, , [55ffc3762f4d92a42acf2f21bb4a6799],
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделал. Теперь процессы ati.exe и cuda.exe пропали, а вот процесс cpu.exe остался, но он сразу вылетает и появляется окно где стоит выбор "Закрыть" или "Найти решение в интернете"(такое вначале происходило и с ati и cuda). Ещё появились какие-то папки на диске (не на котором установлен Windows): Condig.Msi, found.000, MSOCache, $RECYCLE.BIN. На первых трёх стоит замочек, и когда я попытался открыть found000, то у меня перестал отвечать процесс explorer (пришлось перезагружать компьютер, но он не выключался, завис на экране "Завершение сеанса", выключил зажатой кнопкой вкл\выкл на системном блоке). И ещё некоторые программы стали долго запускаться (5-10 мин). Вот и всё.
Удалите ComboFix
Сделайте еще раз логи AVZ
Это результат сброса настроек системы после работы ComboFix. Отключите показ защищенных файлов, хотя папку found.000 можно и вообще удалить
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Когда я провёл команду в окне "Выполнить" Combofix /Uninstall у меня выдало ошибку, будто такого файла нет, но с помощью программы OTCleanIt он вроде как удалился (пропал значок).
Логи AVZ. У меня тут (в окне "Протокол") выскакивает:
Это выскакивает по мере проведения сбора информации (где-то на середине). Это написал на всякий случай, вдруг. Конечно вы это наверно в логах видите, но, мало лиКод:>>> C:\Windows\core.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности) >>> C:\Windows\cpu.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности) >>> C:\Windows\cuda.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
И насчёт скрытия защищённых папок... Это делается через "Свойства папки=>Вид"? Я там посмотрел, нет такого пункта.
Я просил сделать новые логи, а Вы прислали старый вариант
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вот, извиняюсь, я забыл что оба лога обновляются разными скриптами.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Windows\cuda.exe',''); QuarantineFile('C:\Windows\cpu.exe',''); QuarantineFile('C:\Windows\core.exe',''); TerminateProcessByName('c:\windows\cuda.exe'); QuarantineFile('c:\windows\cuda.exe',''); TerminateProcessByName('c:\windows\core.exe'); QuarantineFile('c:\windows\core.exe',''); TerminateProcessByName('C:\Windows\ati.exe'); QuarantineFile('C:\Windows\ati.exe',''); DeleteFile('C:\Windows\ati.exe','32'); DeleteFile('c:\windows\core.exe','32'); DeleteFile('c:\windows\cuda.exe','32'); DeleteFile('C:\Users\Денис\AppData\Roaming\newnext.me\nengine.dll','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NextLive','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CMD','command'); DeleteFile('C:\Windows\core.exe','32'); DeleteFile('C:\Windows\cpu.exe','32'); DeleteFile('C:\Windows\cuda.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вот:
Проблема решена?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Да, спасибо Вам огромное! Теперь всё отлично
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- c:\programdata\disk analysis\diskanalysis.exe - Trojan.MSIL.Agent.fedb ( BitDefender: Trojan.GenericKD.1824925 )
- c:\programdata\firewall integrity checker\firewallintegritychecker.exe - Trojan.MSIL.Agent.fedb ( BitDefender: Trojan.GenericKD.1824925 )
- c:\programdata\host32manager\host32manager.exe - Trojan.MSIL.Agent.fedb ( BitDefender: Trojan.GenericKD.1824925 )
- c:\programdata\sysconfig\sysconfig.exe - Trojan.MSIL.Agent.fedb ( BitDefender: Trojan.GenericKD.1824925 )
- c:\users\default\appdata\local\microsoft\super fitch x86\superfitch_x86.exe - Trojan.MSIL.Agent.fedb ( BitDefender: Trojan.GenericKD.1824925 )
- c:\users\default\appdata\local\microsoft\windows\d efault settings protector\dsp.exe - Trojan.MSIL.Agent.fedb ( BitDefender: Trojan.GenericKD.1824925 )
- c:\users\default\appdata\local\microsoft\windows\o fficecompiler\officecompiler.exe - Trojan.MSIL.Agent.fedb ( BitDefender: Trojan.GenericKD.1824925 )
- c:\users\default\appdata\roaming\microsoft\windows \loadmnge32\loadmnge32.exe - Trojan.MSIL.Agent.fedb ( BitDefender: Trojan.GenericKD.1824925 )
- c:\users\default\appdata\roaming\microsoft\windows \microsoap file manager\microsoapfilemanager.exe - Trojan.MSIL.Agent.fedb ( BitDefender: Trojan.GenericKD.1824925 )
- c:\windows\core.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.ngs ( DrWEB: Tool.BtcMine.290, BitDefender: Gen:Variant.Strictor.51862, AVAST4: Win32:Malware-gen )
- c:\windows\cpu.exe - Trojan.Win32.Crypt.cuq ( BitDefender: MemScan:Application.BitCoinMiner.BK, AVAST4: Win32:Malware-gen )
- c:\windows\cuda.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.jtz ( DrWEB: Tool.BtcMine.243, AVAST4: Win32:Malware-gen )
Уважаемый(ая) DosuG, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.