Любой браузер грузит процессор на 30-50% [Trojan.Win32.Patched.pj ]

[Jackmartinsf1]

Началось всё с того как я просто сидел в интернете и компьютер вдруг сам собой перезагрузился. Теперь при запуске любого браузера загрузка ЦП примерно 30-50%, независимо от того есть подключение интернет или нет, причём эта проблема есть даже в безопасном режиме. Ещё обратил внимание что при этом ещё активизируется процесс csrss.exe, его загрузка подскакивает до 10%. Восстановление системы не помогло.

Да у меня стоит старый internet explorer 6, хоть и не пользуюсь, использую firefox и тоже давно не обновлял, но теперь это уже не помогает. И ещё система FAT32).

Антивирус стоит eset smart security, пробовал ставить касперского (KIS лицензионный) но там отдельная тема, видимо конфликтует какое то ПО, постоянно синий экран появляется, с eset такого нет.

[Info_bot]

Уважаемый(ая) Djekmartinsl, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Nikkollo]

Пофиксите в HijackThis только указанные строки (как пофиксить):

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxxi.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search

Выполните скрипт в AVZ (как выполнить):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\DOCUME~1\Sam\LOCALS~1\Temp\cg\run.exe','');
 QuarantineFile('c:\windows\system32\rpcss.dll','');
 DeleteFile('C:\DOCUME~1\Sam\LOCALS~1\Temp\cg\run.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','svchost');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:

Код:

 begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 end.

Загрузите quarantine.zip из папки AVZ по красной ссылке в шапке этой темы "Прислать запрошенный карантин".

Скачайте приложенный архив, проверьте его целостность.
Переименуйте файл

Код:

c:\windows\system32\rpcss.dll

В rpcss.bak.
Из скачанного архива распакуйте rpcss.dll в папку
c:\windows\system32
Перезагрузите компьютер.
Проверьте что с проблемой.

Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела "Диагностика" правил) и приложите в теме.

[Jackmartinsf1]

Пофиксил то что вы сказали, выполнил код, на перезагрузке слишком долго было окошко "завершение сеанса", пришлось перезагрузить с кнопки. После выполнил второй скрипт, quarantine.zip прислал. Когда переименовывал файл c:\windows\system32\rpcss.dll в rpcss.bak он тут же снова создаётся и когда заменил его на ваш файл он вроде тоже заменяется на файл со старым размером, это так и должно быть?

Однако после перезагрузки проблема исчезла, загрузка от браузера если нет flash приложений около 0%, процесс csrss.exe вообще молчит. Спасибо! Хотелось бы знать что это было и как уменьшить вероятность его появления вновь.

Новые логи сделал с включённым eset.

[Nikkollo]

DrWEB 6.0=Зловред Trojan.Syspatch.9 (rpcss.dll был пропатчен).
По логам его уже не видно, но на всякий случай замените его сначала в папке C:\WINDOWS\system32\dllcache,
а потом в C:\WINDOWS\system32.

Рекомендую:
Обновите Internet Explorer до актуальной версии (даже если не используете):
http://windows.microsoft.com/ru-RU/i...r/downloads/ie

Выполните скрипт в AVZ отсюда, скопировав там весь текст (как выполнить):
http://dataforce.ru/~kad/ScanVuln.txt
Если будут найдены уязвимости, в папке AVZ\LOG появится файл avz_log.txt. Приложите его в теме.
Затем откройте его в блокноте, пройдите по всем ссылкам и установите указанные там обновления.
Перезагрузите компьютер, выполните еще раз этот скрипт и убедитесь, что обновления установились.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 5
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\rpcss.dll - Trojan.Win32.Patched.pj ( DrWEB: Trojan.Syspatch.9, BitDefender: Gen:Variant.Symmi.18770 )