Здравствуйте!
Недавно убрал порно баннер, вроде бы почистил всё за ним
Но сейчас процессор стал грузится на 100%, в основе svchost.exe, да и система стала заметно тормозить
Помогите плз
Заранее благодарен
Здравствуйте!
Недавно убрал порно баннер, вроде бы почистил всё за ним
Но сейчас процессор стал грузится на 100%, в основе svchost.exe, да и система стала заметно тормозить
Помогите плз
Заранее благодарен
Последний раз редактировалось pavbest8; 06.01.2011 в 20:22.
Отключить восстановление системы, защитное ПО.
Профиксить:
Выполнить скрипт:Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\e64966e6.exe,\\?\globalroot\systemroot\system32\VSvJuQF.exe,\\?\globalroot\systemroot\system32\BACPKtV.exe,\\?\globalroot\systemroot\system32\77JfPcD.exe,
Компьютер перезагрузится. Карантин загрузить по красной ссылке. Логи повторить. Какие проблемы наблюдаются?Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\documents and settings\Дом\application data\netprotocol.exe'); QuarantineFile('C:\WINDOWS\system32\VSvJuQF.exe',''); QuarantineFile('C:\WINDOWS\system32\e64966e6.exe',''); QuarantineFile('C:\WINDOWS\system32\drwat32.exe',''); QuarantineFile('C:\DOCUME~1\F184~1\LOCALS~1\Temp\jxhewe.exe',''); QuarantineFile('C:\DOCUME~1\F184~1\LOCALS~1\Temp\esp1E0.tmp',''); QuarantineFile('C:\WINDOWS\system32\BACPKtV.exe',''); QuarantineFile('C:\WINDOWS\system32\77JfPcD.exe',''); QuarantineFile('c:\documents and settings\Дом\application data\netprotocol.exe',''); DeleteFile('c:\documents and settings\Дом\application data\netprotocol.exe'); DeleteFile('\\?\globalroot\systemroot\system32\77JfPcD.exe'); DeleteFile('\\?\globalroot\systemroot\system32\BACPKtV.exe'); DeleteFile('C:\DOCUME~1\F184~1\LOCALS~1\Temp\jxhewe.exe'); DeleteFile('C:\WINDOWS\system32\drwat32.exe'); DeleteFile('C:\WINDOWS\system32\e64966e6.exe'); DeleteFile('\\?\globalroot\systemroot\system32\VSvJuQF.exe'); StopService('Netprotocol'); DeleteService('Netprotocol'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(13); ExecuteWizard('TSW', 2, 2, true); BC_Activate; SetAVZPMStatus(True); RebootWindows(true); end.
+ к ARMA9000,
Выполните в АВЗ:
Аналогично, карантин загрузить.Код:begin SetAVZPMStatus(True); SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('A7CDDCDC-BEEB-4685-A062-978F5E07CEEE'); DelBHO('C5428486-50A0-4a02-9D20-520B59A9F9B3'); DelBHO('C5428486-50A0-4a02-9D20-520B59A9F9B2'); QuarantineFile('C:\Program Files\plugin.exe',''); QuarantineFile('C:\Program Files\AutoClickExtreme\AutoClicker.exe',''); QuarantineFile('C:\Documents and Settings\Дом\Рабочий стол\avtonakrytka\TakRuClicker.exe',''); QuarantineFile('C:\Documents and Settings\Дом\Главное меню\Программы\Автозагрузка\wwwzuc32.exe',''); QuarantineFile('C:\Documents and Settings\Дом\Главное меню\Программы\Автозагрузка\sysfbm32.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\REGSYS.SYS',''); QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe',''); DeleteFile('C:\Documents and Settings\Дом\Главное меню\Программы\Автозагрузка\sysfbm32.exe'); DeleteFile('C:\Documents and Settings\Дом\Главное меню\Программы\Автозагрузка\wwwzuc32.exe'); DeleteFile('C:\Program Files\plugin.exe'); DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe'); DeleteService('FCI'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось polar_owl; 09.05.2010 в 01:17. Причина: Добавил
Всё сделал
1)Система тормозит не так сильно, т.е вообще почти не тормозит
2)spoolsv.exe грузит процессор на 50% и аналогично svchost.exe - тоже на 50% = 100%
3)При запуске Windows система зависает, работает только диспетчер задач, в нём я убиваю процесс drwtsn32.exe (Отладчик DrWatson) после этого система начинает работать
Карантин залил по ссылке
Последний раз редактировалось pavbest8; 06.01.2011 в 20:22.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите Антивирус и Файрвол.
В AVZ выполните скрипт:
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\system32\netprotocol.dll',''); QuarantineFile('C:\DOCUME~1\F184~1\LOCALS~1\Temp\jxhewe.exe',''); DelBHO('{0821580C-9ED5-FBAB-D85A-AA69820A55F7}'); QuarantineFile('C:\Documents and Settings\Дом\Рабочий стол\avtonakrytka\TakRuClicker.exe',''); DeleteFile('C:\Documents and Settings\Дом\Главное меню\Программы\Автозагрузка\sysfbm32.exe'); DeleteFile('C:\Documents and Settings\Дом\Главное меню\Программы\Автозагрузка\wwwzuc32.exe'); DeleteFile('C:\WINDOWS\system32\drwat32.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Dr.Watson'); DeleteFile('C:\DOCUME~1\F184~1\LOCALS~1\Temp\esp1E0.tmp'); DeleteFile('C:\DOCUME~1\F184~1\LOCALS~1\Temp\jxhewe.exe'); DeleteFile('C:\WINDOWS\system32\netprotocol.dll'); DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe'); DeleteFile('C:\WINDOWS\Tasks\Windows Update.job'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('FCI'); BC_Activate; RebootWindows(true); end.
После перезагрузки
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Логи повторите.
quarantine.zip пустой и весит 1 кб
Отладчик ядра вроде бы впорядке, но Демон Тулз из за него не запускается
Пока spoolsv.exe грузит на 50% процессор но svchost впорядке
Логи сделал
Последний раз редактировалось pavbest8; 06.01.2011 в 20:22.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); SetAVZPMStatus(true); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\DOCUME~1\F184~1\LOCALS~1\Temp\esp1E0.tmp',''); DeleteFile('C:\DOCUME~1\F184~1\LOCALS~1\Temp\esp1E0.tmp'); BC_ImportAll; BC_DeleteFile('C:\DOCUME~1\F184~1\LOCALS~1\Temp\esp1E0.tmp'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторныЙ лог virusinfo_syscheck.zip;
- Скачайте http://www.xs4all.nl/~fstaal01/downloads/regsearch.zip,распакуйте, запустите, в первую строчку введите esp1E0.tmp и нажмите ОК, откроется текстовый файл, запакуете его и приложите сюда.
Всё сделал
Последний раз редактировалось pavbest8; 06.01.2011 в 20:22.
Выполните Скрипт:Компьютер перезагрузится.Код:begin RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Control\Print\Providers\6D687226'); RegKeyDel('HKLM', 'SYSTEM\ControlSet003\Control\Print\Providers\6D687226'); RegKeyDel('HKLM', 'SYSTEM\ControlSet004\Control\Print\Providers\6D687226'); RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\6D687226'); DeleteFile('C:\DOCUME~1\F184~1\LOCALS~1\Temp\esp1E0.tmp'); ExecuteSysClean; RegSearch('HKLM', '', 'esp1E0.tmp'); SaveLog(GetAVZDirectory + 'avz.log'); RebootWindows(true); end.
Повторите лог virusinfo_syscheck.zip
И прикрепите к сообщению файл avz.log -- будет лежать в папке с АВЗ.
Готово
Последний раз редактировалось pavbest8; 06.01.2011 в 20:22.
Выполните скрипт:
Код:begin SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Дом\Главное меню\Программы\Автозагрузка\wwwzuc32.exe',''); DeleteFile('C:\Documents and Settings\Дом\Главное меню\Программы\Автозагрузка\wwwzuc32.exe'); ExecuteSysClean; RebootWindows(true); end.Нужно поставить SP3 (может потребоваться активация) + последующие обновления,Код:Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
иначе зараза так и будет к Вам липнуть.
Поставьте IE 8, даже если им не пользуетесь/
Также обновите Java
И поставьте Acrobat Reader 9.3.
после обновления - логи повторите
SP3 поставил + обновил Java + Акробата + ИЕ 8-ку
Логи сделал
Последний раз редактировалось pavbest8; 06.01.2011 в 20:22.
Отключить восстановление системы, защитное ПО.
Выполнить скрипт:
Компьютер перезагрузится. Логи повторить.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Дом\Главное меню\Программы\Автозагрузка\wwwzuc32.exe',''); DeleteFile('C:\Documents and Settings\Дом\Главное меню\Программы\Автозагрузка\wwwzuc32.exe'); BC_ImportAll; ExecuteSysClean; BC_DeleteFile('C:\Documents and Settings\Дом\Главное меню\Программы\Автозагрузка\wwwzuc32.exe'); BC_Activate; SetAVZPMStatus(True); RebootWindows(true); end.
+ выполните еще скрипт:
Карантин загрузите по красной ссылке.Код:begin QuarantineFile('C:\Documents and Settings\Дом\Рабочий стол\такр\222\TopGen.exe.BAK',''); QuarantineFile('C:\Program Files\Alcohol Soft\Alcohol 120\Alcohol.exe.BAK',''); QuarantineFile('C:\Documents and Settings\Дом\Рабочий стол\такр\TopGen.exe.BAK',''); QuarantineFile('C:\Program Files\HardCopy Pro\HardCopy Pro.exe.BAK',''); end.
Последний раз редактировалось ARMA9000; 10.05.2010 в 00:05.
Сделал + залил карантин
Последний раз редактировалось pavbest8; 06.01.2011 в 20:22.
Система не тормозит, огромное спасибо всем кто помогал
P.S Если не сложно то просветите меня что такое spoolsv.exe и можно ли убивать этот процесс?
Залил по красной ссылке, имя - 100510_014514_spoolsv_4be72cea2180f.zip пароль virus
Вроде всё правильно сделал
Ещё раз всем спасибо
Последний раз редактировалось pavbest8; 10.05.2010 в 01:46.
Пришлите, пожалуйста, его нам на анализ.
____________
Файл чистый.
Попробуйте вот что еще:
1)Очистить очередь печати на MS Office
2)Виновен Adobe Acrobat, нужно снести, или поставить новую версию (возможно виновен)
3)Выяснить, не отправляет ли вам по сети кто-нибудь на печать файлы. Это может провоцировать скапливание очереди печати. Очистить очередь, на всякий случай.
Попробуйте выполнить это. О результате отпишитесь.
Последний раз редактировалось ARMA9000; 10.05.2010 в 02:08.
Уважаемый(ая) pavbest8, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.