-
Junior Member
- Вес репутации
- 51
winlogon.exe грузит процессор
Ребята пожалуйста помогите.
сначала попробовал CureIt он нашел кучу троянов
потом AVZ
в защищенном режиме ни тот ни другой ничего не находят
а проблемма остается
svhost explorer занимают в памяти по 20 - 50м
подскажите как быть третий день не могу работать
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в Hijackthis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\3PnhP7N.exe,\\?\globalroot\systemroot\system32\9dmuFoF.exe,
Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-1547161642-1935655697-839522115-1003\Dc5354.dll','');
QuarantineFile('\\?\globalroot\systemroot\system32\9dmuFoF.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\3PnhP7N.exe','');
DeleteFile('\\?\globalroot\systemroot\system32\3PnhP7N.exe');
DeleteFile('\\?\globalroot\systemroot\system32\9dmuFoF.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1547161642-1935655697-839522115-1003\Dc5354.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам + Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
-
-
Junior Member
- Вес репутации
- 51
Не помогло
Эффекта никакого
все то же самое
и еще AVZ обновить с инфицированного компьютера мне не удалось я его обновлял с другого и переносил
-
Junior Member
- Вес репутации
- 51
-
Junior Member
- Вес репутации
- 51
rsit LOG
Простите я сделал сначала за месяц
здесь за три
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\WINDOWS\system32\29bca8a1.exe','');
QuarantineFile('C:\WINDOWS\system32\rjlczqg.exe','');
QuarantineFile('C:\WINDOWS\system32\xqrkle.exe','');
QuarantineFile('C:\WINDOWS\system32\a7c89656.exe','');
DeleteFile('C:\WINDOWS\system32\29bca8a1.exe');
DeleteFile('C:\WINDOWS\system32\rjlczqg.exe');
DeleteFile('C:\WINDOWS\system32\xqrkle.exe');
DeleteFile('C:\WINDOWS\system32\a7c89656.exe');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
QuarantineFile('C:\WINDOWS\system32\mssfc.dll','');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
DeleteFile('C:\WINDOWS\system32\mssfc.dll');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог RSIT
-
-
Junior Member
- Вес репутации
- 51
Процессор остановился
Процессор остановился но explorer и один из svhost сразу после загрузки съели по 20 с лишним мегабайт
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Сделал
Сделал как написано при первом запуске все зависло со второго раза все отработало с перезагрузкой теперь сети нет соединение не устанавливается IE стал браузером по умолчанию
Пишу с другого компьютера
-
Junior Member
- Вес репутации
- 51
Explorer и SVHOST продолжают поедать память
-
afd.sys восстановите из карантина ComboFix http://virusinfo.info/showpost.php?p=514765&postcount=3 или с дистрибутива http://virusinfo.info/showthread.php?t=51654
Распакуйте файл во вложении
Информацию из файла afd.reg внесите в реестр двойным кликом левой кнопкой мыши.
Проверьте сеть
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Восстановил
из консоли восстановления. из дистрибутива восстановить не удалось консоль говорит не могу создать файл
я восстановил простым переписыванием с другого компьютера
сеть работает
но память так же отъедается
alg - занимает 3.5м вместо положенного меньше 1
-
Junior Member
- Вес репутации
- 51
Спасибо
пока вроде все работает
правда пришлось переустановить некоторые вещи
Большое спасибо всем кто мне помогал!
-
Установите SP3 (может потребоваться активация) + все новые патчи
Установите Internet Explorer 8 (даже если им не пользуетесь)
Установите Acrobat Reader 9.3 или удалите старый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 24
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\a7c89656.exe - Backdoor.Win32.Shiz.kz ( DrWEB: Trojan.MulDrop.64715, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\mssfc.dll - Trojan-Spy.Win32.Agent.bhyx
- c:\windows\system32\rjlczqg.exe - Trojan.Win32.Jorik.Shiz.az ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.fq0@aahwu4bi, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Spyware-gen [Spy] )
- c:\windows\system32\sfcfiles.dll - Trojan-Spy.Win32.Agent.bhyy
- c:\windows\system32\xqrkle.exe - Trojan.Win32.Jorik.Shiz.ay ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4542246, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-