Здравствуйте! Подцепил,по-моему, кучу зверья. В диспетчере задач много непонятных процессов, загрузка ЦП 100%. Компьютер не выключается и не перезагружается программно. Прошу помочь! Заранее спасибо.
К сообщению прилагаю логи.
Здравствуйте! Подцепил,по-моему, кучу зверья. В диспетчере задач много непонятных процессов, загрузка ЦП 100%. Компьютер не выключается и не перезагружается программно. Прошу помочь! Заранее спасибо.
К сообщению прилагаю логи.
Прогнал еще раз NOD-ом с обновленными сигатурами базы. Он ничего подозрительного не находит. Однако, судя по логу virusinfo_syscheck "Подозрение на скрытую загрузку библиотек через AppInit_DLLs через файл winmm.dll". Попробую его найти и дропнуть (перед этим его на всяк сохраню на другом диске).
Вообщем процесс devldr32.exe все равно сидит (точнее 20-30 процессов). Не могу отловить источник заразы. И в безопасном режиме тоже никак не получается отключить этот процесс. К тому же, так как нагрузка на ЦП на данный момент составляет 100%, дальнейшая проверка становится просто практически невозможной. Посоветуйте, каким образом можно отключить этот процесс. Пытался также удалить файл Unlocker-ом - попытка претерпела неудачу ((.
Все-таки удалось убить процессы и найти источник. Им оказался сам файл devldr32.exe. Ситуация осложнялась тем, что ни в безопасном, ни в обычном режиме удалить его не получалось из-за того, что зловред маскировался под системный процесс. Пришлось снести драйвера Creative и только так удалось избавиться от процессов, загружающих ЦП на 100%. Потом прогнал Dr.Web в безопасном режиме и он нашел 2 трояна в папке Windows/system32. Теперь сделал еще одни логи. Посмотрите?
Пофиксите в Hijackthis:Отключите компьютер от интернета, а также антивирус и/или файрвол.Код:O20 - Winlogon Notify: crypt - C:\WINDOWS\ O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\ O20 - Winlogon Notify: WinNt64 - C:\WINDOWS\
Закройте все программы, выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится!!!Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\DOCUME~1\26285~1\LOCALS~1\Temp\riirub.bak 1nHAPKGEHD',''); QuarantineFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys',''); DeleteService('ws2_32sik'); DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys'); DeleteFile('C:\DOCUME~1\26285~1\LOCALS~1\Temp\riirub.bak 1nHAPKGEHD'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Очистите темп папки. Сделайте новые логи по правилам
Логи сделал. Почистил все программой CCleaner. Те файлы, что вы поместили в карантин в скрипте, прислать не могу, так как их похоже удалил AVP или Dr Web в ходе очередной проверки. Но в карантин, в ходе проверки AVZ, попали другие файлы, которые я и высылаю.
Здравствуйте еще раз! Вообщем, проблема сохранилась. Источник видно не файл devldr32.exe, а какой-то еще, так как после переустановки драйверов для звука, снова появились многочиленные процессы devldr32.exe, а также постоянно выскакивает окно с сообщением "ошибка при инициализации в .... devldr32.exe". Наверное вирус использует этот файл и плодит процессы. После удаления этого файла - все хорошо, в процессах devldr32.exe нет и все вроде бы чисто (сканировал AVP и CureIt). Однако, что-то мешает нормальному функционированию системы. Как только переустанавливаю драйвера, компонентом которых является файл devldr32.exe,все начинается заново: куча процессов devldr32.exe и полный загруз ЦП. Проверял файл devldr32.exe после установки драйверов - 3-мя антивирусами (NOD, AVP и CureIt) ничего вредноносного не обнаружили. Прошу помочь, а то звук не работает вообще! Прилагаю новые логи.
Напоминаю. Спасибо.Если вдруг на Ваш пост нет ответа дольше одного дня, напомните о себе. Возможно мы не заметили что Вы добавили пост в Вашу тему
В логах заразы не увидел.
Что ж, проблема решена. Помогло scf /scannow и переустановка драйверов на более новые. Спасибо за содействие.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) luk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.