Показано с 1 по 9 из 9.

Нетипичная загрузка процессора, возможно вирус. (заявка № 29493)

  1. #1
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    29
    Вес репутации
    33

    Thumbs up Нетипичная загрузка процессора, возможно вирус.

    Утром 01.09.2008 вышел в Интернет с широкополосным доступом. Работал файрвол Agnitum Outpost Firewall Pro 2008 ver. 6.0.2225.232.0465. Заходил на пару сайтов, в том числе на mail.ru для просмотра почты. В это время начал ругаться Outpost, затем при работе Explorer-а выскочила какая-то ошибка. Отключил Интернет, отключил Outpost. Загрузил KAV 7.0.1.325 (базы от 29.06.200, выскочила ошибка антивируса и попытка отладки (картинки PrtScr могу выслать). Перед последним выключением компа проверял его на вирусы, все было нормально. После перезагрузки компьютера процессор загрузился на 70%, данная нетипичная загрузка продолжается бесконечно долго при каждой перезагрузки компа. Смотрю Диспетчер Задач, в процессах загружается файл LogWatNT.exe. При загрузки в безопасном режиме, процессор работает нормально. При первом входе в безопасный режим выскочила, какая-то ошибка с “Запуском серверных процессов DCOM”, перегрузился опять в безопасный режим, запустил KAV - была попытка отправить отчет об ошибке KAV – потом запустился.
    LogWatNT.exe насколько я понимаю это приложение от программ Computer Associates, программы действительно установлены и нужны, но стоят уже более года и никаких проблем ранее не было.
    [Служба Event Log Watch (Тип запуска - Авто).
    Так продолжается постоянно.
    Сделал все как в правилах. Высылаю файлы Вам. AVZ поместила что-то в карантин, если надо могу выслать.
    Проверка KAV в безопасном режиме ничего не дала. Проверка CureIT Ver.4.44.5. в безопасном режиме выявила пару троянов во временных файлах.
    Также проверял RootkitRevealer-ом, выскочили какие-то строчки из реестра и в том числе (картинку PrtScr могу выслать):
    C\Windows\system32\oembios.exe – 01.09.2008 9:53 – 89 Kb – Hidden from Windows API
    C\Windows\system32\sysproc64 – 01.09.2008 9:54 – 0 Kb – Hidden from Windows API
    C\Windows\system32\sysproc64\sysproc32.sys – 01.09.2008 9:54 – 12.58 Kb – Hidden from Windows API
    C\Windows\system32\sysproc64\sysproc86.sys – 01.09.2008 9:54 – 0 Kb – Hidden from Windows API
    - все прописано именно тем временем, когда случился сбой. Самое интересное, что данные файлы я вижу через Total Com., но удалить не могу. Могу попробовать поместить их в карантин AVZ и отослать Вам.
    Вложения Вложения
    Последний раз редактировалось V_Bond; 02.09.2008 в 22:40. Причина: здесь все хорошо видят ... использование нестандартных шрифтов еще раз будет наказываться ....

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\oembios.exe','');
     QuarantineFile('C:\Documents and Settings\Maxcomp\70314.exe','');
     DeleteService('SjyPkt');
     QuarantineFile('C:\WINDOWS\System32\Drivers\SjyPkt.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\cvintdrv.sys','');
     DeleteService('QRLX');
     QuarantineFile('C:\DOCUME~1\Maxcomp\LOCALS~1\Temp\QRLX.exe','');
     DeleteFile('C:\DOCUME~1\Maxcomp\LOCALS~1\Temp\QRLX.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\SjyPkt.sys');
     DeleteFile('C:\Documents and Settings\Maxcomp\70314.exe');
     DeleteFile('C:\WINDOWS\system32\oembios.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите лолги ...

  4. #3
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    29
    Вес репутации
    33
    ОК. Сейчас сделаю.

  5. #4
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    29
    Вес репутации
    33

    Выполнил скрипт

    Выполнил данный скрипт. После выполнения комп перегрузился, но при перезагрузки после пропажи Рабочего стола задумался немного. После перезагрузки нетипичная загрузка процессора вроде пропала, файл LogWatNT.exe. в процессах Диспетчера задач молчит.
    Высылаю новые логи и карантин. В карантин не стал бросать файлы P-Cad-а, т.к. они вроде должны быть чистые от вирусов, а во вторых весят много при том, что я сейчас в Инет выхожу с древнего компа с плохой скоростью Инета.
    Объясните пожалуйста:
    Что за файлы oembios.exe, sysproc32.sys, sysproc86.sys ??
    Какой и где вирус то был?

    Извиняюсь, что долго не отвечал, комп на котором работаю сейчас, ну очень древний, проблемы со связью.
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    в логах ничего зловредного ...

  7. #6
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    29
    Вес репутации
    33
    В карантине я смотрю oembios.exe - 0 kb, хотя утром весил 90 kb.
    Что за файл oembios.exe не знаешь?
    Файлы sysproc32.sys, sysproc86 безвредные?

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от Adrian Посмотреть сообщение
    Что за файл oembios.exe не знаешь?
    oembios.exe - Trojan-Spy.Win32.Zbot.eng
    Цитата Сообщение от Adrian Посмотреть сообщение
    Файлы sysproc32.sys, sysproc86 безвредные?
    Угу, как воробушки: http://www.avira.com/ru/threats/sect....zbot.dfr.html

  9. #8
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    29
    Вес репутации
    33
    Всем огромное СПАСИБО!

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,548
    Вес репутации
    941

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\oembios.exe - Trojan-Spy.Win32.Zbot.eng (DrWEB: Trojan.Proxy.2509)


  • Уважаемый(ая) Adrian, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Загрузка процессора ~100%
      От MIO005 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 10.06.2011, 23:07
    2. 100% загрузка процессора
      От nkt в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 08.06.2010, 19:40
    3. загрузка процессора 100%
      От skipper_nsk в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 28.12.2009, 19:43
    4. Загрузка процессора
      От tarik1969 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 24.12.2009, 15:12
    5. загрузка процессора 100%
      От Beer в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 02:36

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01510 seconds with 22 queries