Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 40.

После подключения к интернету процессор загружается до 100% процессом "бездействие системы" (заявка № 64104)

  1. #1
    Junior Member Репутация
    Регистрация
    16.12.2009
    Сообщений
    24
    Вес репутации
    26

    Thumbs up После подключения к интернету процессор загружается до 100% процессом "бездействие системы"

    Здравствуйте. НОД видимо пропустил какой-то вирус... При подключении к интернету резко увеличивается загрузка процессора до 100% или процессом "бездействие системы" или процессом svchost.exe. При этом появляется исходящий траффик и система начинает работать очень медленно.
    Последний раз редактировалось nadoelo; 20.12.2009 в 02:38.

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    783
    - Закройте/выгрузите все программы кроме Internet Explorer.
    Отключите
    - ПК от интернета/локальной сети.
    - Антивирус и Файрвол.
    - Пофиксите в HiJackThis:
    Код:
    F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
    O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe (file missing)
    O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe (file missing)
    - Выполните скрипт AVZ:
    Код:
    Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
    var
    i : integer; 
    KeyList : TStringList;
    KeyName : string;                           
    begin
    RegKeyResetSecurity(ARoot, AName);
    KeyList := TStringList.Create;
    RegKeyEnumKey(ARoot, AName, KeyList);
    for i := 0 to KeyList.Count-1 do
     begin
     KeyName := AName+'\'+KeyList[i];
     RegKeyResetSecurity(ARoot, KeyName);
     RegKeyResetSecurityEx(ARoot, KeyName);
     end;
    KeyList.Free;
    end;
    Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
    var
     i : integer;
     KeyList : TStringList;
     KeyName : string;                           
    begin
     Result := 0;
     if StopService(AServiceName) then Result := Result or 1;
     if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
     KeyList := TStringList.Create;
     RegKeyEnumKey('HKLM','SYSTEM', KeyList);
     for i := 0 to KeyList.Count-1 do
      if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
       KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
       if RegKeyExistsEx('HKLM', KeyName) then begin
        Result := Result or 4;                  
        RegKeyResetSecurityEx('HKLM', KeyName);
        RegKeyDel('HKLM', KeyName);
        if RegKeyExistsEx('HKLM', KeyName) then               
         Result := Result or 8;                  
       end;
      end;                 
     if AIsSvcHosted then
      BC_DeleteSvcReg(AServiceName)
     else
      BC_DeleteSvc(AServiceName);
     KeyList.Free;
    end;
    
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
     QuarantineFile('C:\WINDOWS\system32\drivers\packet.sys','');
     QuarantineFile('autorun.bat','');
     QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\{55638DD9-D5A9-11D3-B74B-204C4F4F5020}\AMDMSRIO.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\wetkikgd.sys','');
     AddToLog('Удаление скрытого сервиса '+'wetkikgd'+' - Результат:'+inttostr(BC_ServiceKill('wetkikgd')) );
     DeleteFile('C:\WINDOWS\system32\Drivers\wetkikgd.sys');
     BC_ImportAll;
    ExecuteSysClean;
     AddToLog('Файлы на удаление' +GETSERVICEFILE('AppMgmt'));
     SaveLog(GetAVZDirectory+'avz_log.txt');
     SetAVZPMStatus(true);
     BC_Activate;
     RebootWindows(true);
    end.
    Система перезагрузится.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи согласно Правил (Диагностика)
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антивирус и Файрволл
    - Подключите ПК к интернету/локальной сети
    - Загрузите карантин согласно Правил (Приложение 3).
    - Прикрепите новые логи, а также файл avz_log.txt из папки AVZ к новому сообщению в этой ветке.

  4. #3
    Junior Member Репутация
    Регистрация
    16.12.2009
    Сообщений
    24
    Вес репутации
    26
    вроде все сделал... карантин закачал... вот логи...
    Вложения Вложения
    Последний раз редактировалось nadoelo; 20.12.2009 в 02:38.

  5. #4

  6. #5
    Junior Member Репутация
    Регистрация
    16.12.2009
    Сообщений
    24
    Вес репутации
    26
    сделано
    Вложения Вложения
    • Тип файла: log gmer.log (28.3 Кб, 18 просмотров)

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    783
    Сохраните текст ниже как cleanup.bat в ту же папку, где находится GMER (в Блокноте вставьте текст, затем Файл - Сохранить как - Выберите "Тип файла: все файлы" и "Имя файла: cleanup.bat". Не забудьте сохраниться именно в ту папку, где находится GMER!).
    Код:
    eij6f2f8.exe -killall 
    eij6f2f8.exe -killfile "C:\WINDOWS\system32\drivers\wetkikgd.sys"
    eij6f2f8.exe -del service wetkikgd
    eij6f2f8.exe -reboot
    И запустите cleanup.bat
    Запустить, вопросов не пугаться, удаление подтверждать. Система перезагрузится.
    Сделайте новый лог gmer.

  8. #7
    Junior Member Репутация
    Регистрация
    16.12.2009
    Сообщений
    24
    Вес репутации
    26
    вот лог... но вопросов не было.. было пара сообщений типа "неверно указан путь" и "указанный модуль не найден"
    Вложения Вложения
    • Тип файла: log gmer.log (36.1 Кб, 8 просмотров)

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    783
    Повторите набор логов AVZ.

  10. #9
    Junior Member Репутация
    Регистрация
    16.12.2009
    Сообщений
    24
    Вес репутации
    26
    логи
    Вложения Вложения

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    783
    Зараза всё ещё активна. Воспользуйтесь этой утилитой. После запуска в папке появится текстовый файл - пришлите его сюда.

  12. #11
    Junior Member Репутация
    Регистрация
    16.12.2009
    Сообщений
    24
    Вес репутации
    26
    сделал
    Вложения Вложения

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    783
    Вам знаком этот драйвер:
    Код:
    C:\WINDOWS\system32\drivers\wetkikgd.sys
    Мы уже второй день пытаемся его удалить. Давайте попробуем посмотреть, что это.
    Найдите этот файл на диске, сожмите в zip-архив с паролем virus и пришлите в карантин.

    Если файла на диске не окажется - запустите Gmer, после предварительного сканирования нажмите на >>> в меню и выберите вкладку Files. Попытайтесь отыскать этот таинственный C:\WINDOWS\system32\drivers\wetkikgd.sys и нажав кнопку Copy скопируйте его на Рабочий Стол. Точно так же - в zip-архив с паролем и в карантин.

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    В AVZ Сервис -> Модули пространства ядра снимите дамп с подозрительного драйвера и приложите сюда.
    Наша служба, будто сердце, отдыха не знает никогда.

  15. #14
    Junior Member Репутация
    Регистрация
    16.12.2009
    Сообщений
    24
    Вес репутации
    26
    так.. по порядку... драйвер не знаком.. при попытке заархивировать выдало такое сообщение :
    Action: Add (and replace) files Include subfolders: no Save full path: no
    Include system and hidden files: yes
    Adding wetkikgd.sys
    Warning: could not open for reading: C:/WINDOWS/system32/drivers/wetkikgd.sys
    copying Zip file

    Запустил Gmer попытался скопировать на Рабочий Стол... НОД тут же удалил файл в карантин... Win32/Agent.QMR троян

    Дамп сделал но он не прикрепляется.. пишет превысил предел на форуме... какое-то удалить надо вложение?

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Цитата Сообщение от nadoelo Посмотреть сообщение
    Запустил Gmer попытался скопировать на Рабочий Стол... НОД тут же удалил файл в карантин... Win32/Agent.QMR троян
    Хорошо, отключите антивирус и еще раз проделайте все манипуляции. После заархивируйте файл с паролем virus и пришлите его нам. Ссылка для закачки карантина вверху темы.

    Цитата Сообщение от nadoelo Посмотреть сообщение
    Дамп сделал но он не прикрепляется.. пишет превысил предел на форуме... какое-то удалить надо вложение?
    Если пришлете файл, то в дампе нет особой необходимости.
    Наша служба, будто сердце, отдыха не знает никогда.

  17. #16
    Junior Member Репутация
    Регистрация
    16.12.2009
    Сообщений
    24
    Вес репутации
    26
    Отключил антивирус... нашел его в Gmere... жму сохранить, вроде сохраняет, но на Рабочем столе я его не вижу.

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Архиватор есть на машине?
    Наша служба, будто сердце, отдыха не знает никогда.

  19. #18
    Junior Member Репутация
    Регистрация
    16.12.2009
    Сообщений
    24
    Вес репутации
    26
    Цитата Сообщение от Aleksandra Посмотреть сообщение
    Архиватор есть на машине?
    есть WinRar и WinZip

  20. #19
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Запустите WinRar и через него поищите на рабочем столе этот файлик.
    Наша служба, будто сердце, отдыха не знает никогда.

  21. #20
    Junior Member Репутация
    Регистрация
    16.12.2009
    Сообщений
    24
    Вес репутации
    26
    Цитата Сообщение от Aleksandra Посмотреть сообщение
    Запустите WinRar и через него поищите на рабочем столе этот файлик.
    не видно

  • Уважаемый(ая) nadoelo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 3
      Последнее сообщение: 19.09.2011, 23:49
    2. Ответов: 5
      Последнее сообщение: 12.01.2010, 20:52
    3. Ответов: 1
      Последнее сообщение: 23.07.2009, 10:40
    4. Появляется "Подключение к Интернету"
      От ViVeda в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 04:56
    5. Ответов: 3
      Последнее сообщение: 17.01.2008, 15:26

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01350 seconds with 21 queries