Загрузка ЦП под 100%

[Troyanec27]

Добрый вечер, уважаемые хелперы. Ситуация следующая.
Вчера при нормальной работе ПК выскочило окно с опознавательным знаком от du meter, появилось на секунд 5. Дословно не запомнил, но смысл был в том, что я злостный пират, у меня много не лицензионного ПО, мой IP и то что я буду заражен вирусами
От греха, удалил прогу через Uninstall Tool с полной чисткой реестра. Удалялась долго. После перезагрузки, винда долго грузилась, затем и браузер долго стал открываться, а после и любая программа. При этом, процессор по звуку себя не выдал (в порядке вещей).
Затем зашёл в диспетчер задач и увидел загрузка ЦП прыгает от 80-100% В списке не было того процесса, который это бы потреблял. И опять же, процессор по звуку себя не выдавал от такой нагрузке.
Затем просканил Вебом, нашёл только заражённые кряки, когда раньше ничего с ними не делал, а проходил мимо. Ситуацию это в корне не поменяло, но стало лучше. Скачки сократились до 60% в спокойном состоянии.

Прощу посмотреть логи. Заранее спасибо.

[Info_bot]

Уважаемый(ая) Troyanec27, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ecc4541b5cc06e47');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 ExecuteRepair(1);
 ExecuteRepair(2);
 ExecuteRepair(3);
 ExecuteRepair(4);
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

- Сделайте лог полного сканирования МВАМ.

- Проведите процедуру, которая описана тут. Результат загрузки напишите в сообщении здесь.

[Troyanec27]

Файл сохранён как 121219_190327_virusinfo_files_SERGEY-PK_50d20f7fc49d4.zip
Размер файла 11328630
MD5 a6bbce6fc0c1833cfc66877d1e376b37

[regist]

- Удалите в MBAM только

Код:

Обнаруженные ключи в реестре:  8
HKCR\CLSID\{82184935-B894-4AB2-8590-603BA7D74B71} (Trojan.WebMoner) -> Действие не было предпринято.
HKCR\amerikana.eProtocol (Trojan.WebMoner) -> Действие не было предпринято.
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  3
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser|{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Параметры: ;бГzК;XAі0цm»Бµ -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Параметры:  -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} (PUP.ToolBar.WA) -> Параметры:  -> Действие не было предпринято.
C:\Users\Сергей\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.

- просканируйте заново и приложите новый лог.

- смените пароли!

что с проблемой ?

[Troyanec27]

Сделал как сказали, удалил. Проблема решилась частично, теперь подскакивает на 15-20 %, что раньше было, при нескольких рабочих приложений до 4%, максимум до 7 было.

Прикладываю лог после удаления, как сказано в теме и после нового сканирования.


Да, и ещё при работающем МВАМ фаерволе, стал блокировать IP.
Вложение 393174
Так же блокирует со скайпа, мозилы, хрома, svchost.

[regist]

Удалите в MBAM только

Код:

Обнаруженные параметры в реестре:  2
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} (PUP.ToolBar.WA) -> Параметры:  -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} (PUP.ToolBar.WA) -> Параметры: Поиск WebAlta -> Действие не было предпринято.
C:\Users\Сергей\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.

после удаления просканируйте заново и приложите новый лог.

В файлах, которые MBAM нашёл в этой папке

Код:

C:\Users\Сергей\Desktop\всяко разно\geroj\Komplekt\

уверены ? если нет проверьте на http://virustotal.com/
остальные в каких сомневаетесь тоже.

• Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

[Troyanec27]

Сделал как и просили, прилагаю логи.

По поводу

Код:

C:\Users\Сергей\Desktop\всяко разно\geroj\Komplekt\

Проверил вирустоталом. Не все антивирусы считают что это вирус, меньше половины только. Но из-за ненадобности я их удалил.

По поводу остальных, такая же история как и в первом варианте, их могу тоже удалить. Хранил программы, на тот случай, если бы в новом билде/версии отсутствовала нужная функция или интерфейс был бы другим и не удобным. Самое интересное то, что в других папках лежат те же самые кейгены/кряки от новых версий и ничего не заражено. Могу удалить всё, что находит, для меня это будет безболезнено.

Вопрос только

Код:

C:\Windows\KMService.exe (RiskWare.Tool.CK) -> 2216 -> Действие не было предпринято.
C:\Windows\KMService.exe (RiskWare.Tool.CK) -> Действие не было предпринято.

На форумах говорят что это активатор офиса. Тоже могу удалить, если скажите. Жду дальнейших действий.

P.S. Проблема осталась на том же уровне, при написании мной предпоследнего поста.

[regist]

C:\Windows\KMService.exe (RiskWare.Tool.CK) -> 2216 -> Действие не было предпринято.
C:\Windows\KMService.exe (RiskWare.Tool.CK) -> Действие не было предпринято.

это трогать не надо.

Самое интересное то, что в других папках лежат те же самые кейгены/кряки от новых версий и ничего не заражено. Могу удалить всё, что находит, для меня это будет безболезнено.

тогда лучше удалите, кроме указанных выше двух строчек.

Сделайте лог ComboFix

[Troyanec27]

Удалил. Сделал лог.

[regist]

c:\users\Сергей\AppData\Roaming\Microsoft\Windows\ Recent\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt

у вас что ещё и файлы заблокированы ?

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt на диск С.

Код:

KillAll::

File::


Driver::

Folder::


Registry::

Firefox::
FF - prefs.js: browser.search.selectedEngine - Webalta Search
FF - prefs.js: browser.startup.homepage - hxxp://home.webalta.ru
FF - prefs.js: keyword.URL - hxxp://webalta.ru/search?from=FF&q=


FileLook::

DirLook::
Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
• Прикрепите отчет к своему следующему сообщению.

[Troyanec27]

у вас что ещё и файлы заблокированы ?

Было дело. Сейчас нет. Вирус зашифровал всю мою коллекцию HD фильмов. Расшифровал. А такой файл был в каждой папке и под папки. Пропустил один. Или по логу ещё что-то от него осталось?

[Techno]

В файле c:\users\Сергей\AppData\Roaming\Mozilla\Firefox\Pr ofiles\8v2x359l.default\prefs.js удалите строки:

Код:

browser.search.selectedEngine - Webalta Search
browser.startup.homepage - hxxp://home.webalta.ru
keyword.URL - hxxp://webalta.ru/search?from=FF&q=

Что с проблемами?

[Troyanec27]

Что с проблемами?

Пока стабильно. 4-7 загрузка, подскакивает иногда до 15. Но этому уже я рад.

МВАМ по прежнему блокирует IP разных процессов, описанных в посте №6.

[Techno]

МВАМ по прежнему блокирует IP разных процессов, описанных в посте №6.

Это нормальное его поведение...

- - - Добавлено - - -

- Удалите ComboFix.

[Troyanec27]

Это нормальное его поведение...

- - - Добавлено - - -

- Удалите ComboFix.

Не выходит

Вложение 393949

[regist]

1) там два способа для удаления комбофикса, воспользуйтесь вторым - утилиткой.
2) MBAM тоже деинсталируйте.
3) - Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
4) Советы и рекомендации после лечения компьютера

[Troyanec27]

Все сделал. Скачал по ссылке, установил. Уязвимостей больше нету. Webalta правда так и осталась домашней страницей, хотя в браузере гугл прописал.

[Techno]

Проверьте не прописалась ли она в ярлыке браузера...

[Troyanec27]

Проверьте не прописалась ли она в ярлыке браузера...

А можно по подробней? А то гугл не помогает.