-
Junior Member
- Вес репутации
- 54
Загрузка ЦП - 100%!!!
Пожалуйста, помогите справиться с вирусом. Загрузка ЦП - 100% даже если не запущено ни одно приложение. Основные службы svchost.exe - 50...90%, бездействие системы тоже иногда до 50%. При подключении к интернету NOD постоянно блокирует какие-то "левые" ip и появляется досовское окно с ошибкой. Уже не редкость стал и "синий экран". Заранее благодарен.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) infipash, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Отключите защитный софт.
Отключитесь от сети.
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\admin\application data\winlogon.exe');
QuarantineFile('C:\Program Files\Common Files\msado320.tlb','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\winlogon.exe','');
QuarantineFile('c:\documents and settings\admin\application data\winlogon.exe','');
DeleteFile('c:\documents and settings\admin\application data\winlogon.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\winlogon.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Kernel Drv');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Kernel Drv');
DeleteFile('C:\Program Files\Common Files\msado320.tlb');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
RegKeyParamWrite('HKLM','SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters','ServiceDll','REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll');
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Обновите базы AVZ!
Логи повторите.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 54
Высылаю логи. Карантин не отправляется, пишет что уже высылался, непонятно.
-
Обновите базы AVZ. Логи переделайте.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 54
Извеняюсь, что так поздно. Комп отказывал в запуске - синий экран.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\win32\7D3B99B5D58.exe','');
QuarantineFile('C:\Program Files\Common Files\msado320.tlb','');
TerminateProcessByName('c:\documents and settings\admin\application data\winlogon.exe');
QuarantineFile('c:\documents and settings\admin\application data\winlogon.exe','');
TerminateProcessByName('c:\docume~1\admin\locals~1\temp\ixp000.tmp\sysbm.exe');
QuarantineFile('c:\docume~1\admin\locals~1\temp\ixp000.tmp\sysbm.exe','');
TerminateProcessByName('c:\documents and settings\admin\application data\google.exe');
QuarantineFile('c:\documents and settings\admin\application data\google.exe','');
DeleteFile('c:\documents and settings\admin\application data\google.exe');
DeleteFile('c:\docume~1\admin\locals~1\temp\ixp000.tmp\sysbm.exe');
DeleteFile('c:\documents and settings\admin\application data\winlogon.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{google.exe}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Kernel Drv');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Kernel Drv');
DeleteFile('C:\Program Files\Common Files\msado320.tlb');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters','ServiceDll');
DeleteFile('C:\win32\7D3B99B5D58.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','7X3V9JVF6E8U2D4WSFMXTJLM');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
-
Junior Member
- Вес репутации
- 54
svchost.exe - 48%
sysbm.exe - 48%
-
Хм... как будто и не выполняли ничего...
Давайте еще разок, только в безопасном режиме.
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\admin\application data\winlogon.exe');
TerminateProcessByName('c:\docume~1\admin\locals~1\temp\ixp000.tmp\sysbm.exe');
TerminateProcessByName('c:\documents and settings\admin\application data\google.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\google.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\winlogon.exe');
DeleteFile('C:\Program Files\Common Files\msado320.tlb');
DeleteFile('C:\win32\7D3B99B5D58.exe');
DeleteFile('c:\docume~1\admin\locals~1\temp\ixp000.tmp\sysbm.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика, в норм.режиме).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 54
остался тока svchost.exe -50%, Бездействие системы - 50%
-
Пофиксите в HijackThis:
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxl.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxl.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxl.net
Больше ничего плохого не видно.
На всякий случай:
сделайте лог virusinfo_syscheck из безопасного режима.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 54
Пофиксил. Вот лог. Загрузка ЦП - 50%.
-
Выполните скрипт в AVZ в безопасном режиме:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\igfxtray.exe','');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\igfxtray.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новый лог syscheck в безопасном режиме и такой же в обычном.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 54
Все сделал, но карантин вроде не переписался. Загрузка ЦП в норме.
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 54
Спасибо вам большое, хорошие вещи творите.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\admin\\application data\\winlogon.exe - Trojan.Win32.Llac.zxd ( DrWEB: Trojan.MulDrop2.29151, BitDefender: Trojan.Generic.6203866, NOD32: Win32/AutoRun.IRCBot.HX worm, AVAST4: Win32:Kryptik-DAP [Trj] )
-