-
Junior Member
- Вес репутации
- 58
Процесс грузит комп на 100%
процесс svchost.exe грузит процессор на 100 %, комп тормозит, после загрузки компьютера начинают выскакивать сообщения- система увеличит файл подкачки (мало виртуальной памяти). Сканирование AVZ и антивирусами не помогает. Заранее благодарю за помощь.
Последний раз редактировалось buza45; 29.11.2010 в 19:06.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Opera\setupapi.dll','');
QuarantineFile('C:\WINDOWS\system32\nytroh.exe','');
QuarantineFile('C:\WINDOWS\system32\gcyrzb.exe','');
QuarantineFile('C:\WINDOWS\system32\e4fe62ea.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
TerminateProcessByName('c:\documents and settings\Офис\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
QuarantineFile('c:\documents and settings\Офис\Главное меню\Программы\Автозагрузка\wwwznv32.exe','');
DeleteFile('c:\documents and settings\Офис\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
DeleteFile('C:\WINDOWS\system32\e4fe62ea.exe');
DeleteFile('C:\WINDOWS\system32\gcyrzb.exe');
DeleteFile('C:\WINDOWS\system32\nytroh.exe');
DeleteFile('C:\Program Files\Opera\setupapi.dll');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
DeleteFile('%windir%\system32\sfcfiles.bak');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('sfc');
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось buza45; 29.11.2010 в 19:06.
-
Выполните скрипт в AVZ
Код:
begin
QuarantineFileF('C:\WINDOWS\system32', '*.exe,*.bat', false,'', 0, 0, '15.07.2010', '20.07.2010');
end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 58
thyrex, карантин отправил,а лог зделать не могу
Последний раз редактировалось buza45; 28.11.2010 в 22:29.
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\WINDOWS\system32\lkedmol.exe');
DeleteFile('C:\WINDOWS\system32\hjxekhu.exe');
DeleteFile('C:\WINDOWS\system32\pxaeais.exe');
DeleteFile('C:\WINDOWS\system32\xjhodhd.exe');
DeleteFile('C:\WINDOWS\system32\utxapah.exe');
DeleteFile('C:\WINDOWS\system32\lgjtiir.exe');
DeleteFile('C:\WINDOWS\system32\ebuidzv.exe');
DeleteFile('C:\WINDOWS\system32\swvlvor.exe');
DeleteFile('C:\WINDOWS\system32\ttltdms.exe');
DeleteFile('C:\WINDOWS\system32\fb13352.exe');
DeleteFile('C:\WINDOWS\system32\pbwvxja.exe');
DeleteFile('C:\WINDOWS\system32\zvhsyx.exe');
DeleteFile('C:\WINDOWS\system32\ywszytb.exe');
DeleteFile('C:\WINDOWS\system32\cwyjnth.exe');
DeleteFile('C:\WINDOWS\system32\lscfqwb.exe');
DeleteFile('C:\WINDOWS\system32\xwnkxvy.exe');
DeleteFile('C:\WINDOWS\system32\djrhnqw.exe');
DeleteFile('C:\WINDOWS\system32\gjvgmhv.exe');
DeleteFile('C:\WINDOWS\system32\cjglkwg.exe');
DeleteFile('C:\WINDOWS\system32\nqfntkb.exe');
DeleteFile('C:\WINDOWS\system32\oqftmol.exe');
DeleteFile('C:\WINDOWS\system32\eectlgw.exe');
DeleteFile('C:\WINDOWS\system32\tyognuu.exe');
DeleteFile('C:\WINDOWS\system32\vfbprf.exe');
DeleteFile('C:\WINDOWS\system32\gsgfmrw.exe');
DeleteFile('C:\WINDOWS\system32\imfercf.exe');
DeleteFile('C:\WINDOWS\system32\mohxpek.exe');
DeleteFile('C:\WINDOWS\system32\emdyief.exe');
DeleteFile('C:\WINDOWS\system32\jfsmayi.exe');
DeleteFile('C:\WINDOWS\system32\guoryea.exe');
DeleteFile('C:\WINDOWS\system32\aonwzpq.exe');
DeleteFile('C:\WINDOWS\system32\kivbcmj.exe');
DeleteFile('C:\WINDOWS\system32\zvphhab.exe');
DeleteFile('C:\WINDOWS\system32\thryfow.exe');
DeleteFile('C:\WINDOWS\system32\xhoxswm.exe');
DeleteFile('C:\WINDOWS\system32\mhzwitf.exe');
DeleteFile('C:\WINDOWS\system32\wmhmxvk.exe');
DeleteFile('C:\WINDOWS\system32\jrjrowd.exe');
DeleteFile('C:\WINDOWS\system32\jvuoqgg.exe');
DeleteFile('C:\WINDOWS\system32\xfpbzbe.exe');
DeleteFile('C:\WINDOWS\system32\wvsfzlx.exe');
DeleteFile('C:\WINDOWS\system32\zmcvech.exe');
DeleteFile('C:\WINDOWS\system32\ef8ff741.exe');
DeleteFile('C:\WINDOWS\system32\jzvnsal.exe');
DeleteFile('C:\WINDOWS\system32\sfakwsu.exe');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
QuarantineFile('C:\WINDOWS\system32\mssfc.dll','');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
DeleteFile('C:\WINDOWS\system32\mssfc.dll');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip;
- Сделайте повторный лог RSIT
-
-
Junior Member
- Вес репутации
- 58
polword, Делал логи в AVZ перезагрузил ком выдаёт на чёрном экране-
Verifying DMI Pool Data.........
Remove disks or other media
press any key to restart
пишу с другого компа-чё делать????
-
Junior Member
- Вес репутации
- 58
polword,Комп постоял выключенный-потом загрузился но ооочень долго
Последний раз редактировалось buza45; 28.11.2010 в 22:29.
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Documents and Settings\Офис\Local Settings\Temp\jar_cache52532.tmp','');
DeleteFile(' C:\WINDOWS\system32\fjhdyfhsn.bat');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторный лог RSIT
-
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось buza45; 28.11.2010 в 22:29.
-
про карантин я забыл
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
-
-
Junior Member
- Вес репутации
- 58
-
в логах чисто
- Выполните скрипт в AVZ
Код:
begin
DeleteFileMask('C:\Documents and Settings\Офис\Local Settings\Temp', '*.*', true);
RebootWindows(true);
end.
После перезагрузки:
Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
-
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 72
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\офис\главное меню\программы\автозагрузка\wwwznv32.exe - Packed.Win32.Krap.ao ( DrWEB: Trojan.MulDrop1.39578, AVAST4: Win32:Crypt-GWL [Drp] )
- c:\program files\opera\setupapi.dll - Trojan.Win32.BHO.aihr ( DrWEB: Trojan.BhoSiggen.3723, NOD32: Win32/Agent.OSS trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\aonwzpq.exe - Trojan.Win32.Jorik.Shiz.bb ( DrWEB: Trojan.PWS.Ibank.55 )
- c:\windows\system32\cjglkwg.exe - Trojan.Win32.Jorik.Shiz.bo ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aOx2tVai, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\cwyjnth.exe - Trojan.Win32.Jorik.Shiz.bm ( DrWEB: Trojan.PWS.Ibank.55, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Malware-gen )
- c:\windows\system32\djrhnqw.exe - Trojan.Win32.Jorik.Shiz.bo ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aOx2tVai, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\ebuidzv.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@a0mvIIpi, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\eectlgw.exe - Trojan.Win32.Jorik.Shiz.bk ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aa4fQ1hi, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\ef8ff741.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.MulDrop.64715, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\emdyief.exe - Trojan.Win32.Jorik.Shiz.bb ( DrWEB: Trojan.PWS.Ibank.55 )
- c:\windows\system32\e4fe62ea.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.MulDrop.64715, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\fb13352.exe - Trojan.Win32.Jorik.Shiz.br ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.cq0@aCYDq3gi, NOD32: Win32/Spy.Shiz.NAI trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\gcyrzb.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.PWS.Ibank.53, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Malware-gen )
- c:\windows\system32\gjvgmhv.exe - Trojan.Win32.Jorik.Shiz.bo ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aOx2tVai, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\gsgfmrw.exe - Trojan.Win32.Jorik.Shiz.bb ( DrWEB: Trojan.PWS.Ibank.55 )
- c:\windows\system32\guoryea.exe - Trojan.Win32.Jorik.Shiz.bb ( DrWEB: Trojan.PWS.Ibank.55 )
- c:\windows\system32\hjxekhu.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.PWS.Ibank.53 )
- c:\windows\system32\imfercf.exe - Trojan.Win32.Jorik.Shiz.bb ( DrWEB: Trojan.PWS.Ibank.55 )
- c:\windows\system32\jfsmayi.exe - Trojan.Win32.Jorik.Shiz.bb ( DrWEB: Trojan.PWS.Ibank.55 )
- c:\windows\system32\jrjrowd.exe - Trojan.Win32.Jorik.Shiz.bb ( DrWEB: Trojan.PWS.Ibank.55 )
- c:\windows\system32\jvuoqgg.exe - Trojan.Win32.Jorik.Shiz.az ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.fq0@aahwu4bi, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Spyware-gen [Spy] )
- c:\windows\system32\jzvnsal.exe - Backdoor.Win32.Shiz.ky ( DrWEB: Trojan.PWS.Ibank.55, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Spyware-gen [Spy] )
- c:\windows\system32\kivbcmj.exe - Trojan.Win32.Jorik.Shiz.bb ( DrWEB: Trojan.PWS.Ibank.55 )
- c:\windows\system32\lgjtiir.exe - Backdoor.Win32.Shiz.gen ( AVAST4: Win32:Malware-gen )
- c:\windows\system32\lkedmol.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.PWS.Ibank.53 )
- c:\windows\system32\lscfqwb.exe - Trojan.Win32.Jorik.Shiz.bo ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aOx2tVai, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\mhzwitf.exe - Trojan.Win32.Jorik.Shiz.bb ( DrWEB: Trojan.PWS.Ibank.55 )
- c:\windows\system32\mohxpek.exe - Trojan.Win32.Jorik.Shiz.bb ( DrWEB: Trojan.PWS.Ibank.55 )
- c:\windows\system32\mssfc.dll - Trojan-Spy.Win32.Agent.bhyr ( AVAST4: Win32:Spyware-gen [Spy] )
- c:\windows\system32\nqfntkb.exe - Trojan.Win32.Jorik.Shiz.bo ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aOx2tVai, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\nytroh.exe - Trojan.Win32.Jorik.Shiz.ay ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4542246, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\oqftmol.exe - Trojan.Win32.Jorik.Shiz.bk ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aa4fQ1hi, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\pbwvxja.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@a0mvIIpi, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\pxaeais.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.PWS.Ibank.53 )
- c:\windows\system32\sfakwsu.exe - Backdoor.Win32.Shiz.ky ( DrWEB: Trojan.PWS.Ibank.55, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Spyware-gen [Spy] )
- c:\windows\system32\swvlvor.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@a0mvIIpi, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\ttltdms.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@a0mvIIpi, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\tyognuu.exe - Trojan.Win32.Jorik.Shiz.bk ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aa4fQ1hi, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\utxapah.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.PWS.Ibank.53, AVAST4: Win32:Malware-gen )
- c:\windows\system32\vfbprf.exe - Backdoor.Win32.Shiz.mo ( DrWEB: Trojan.PWS.Ibank.53, AVAST4: Win32:Malware-gen )
- c:\windows\system32\wmhmxvk.exe - Trojan.Win32.Jorik.Shiz.bb ( DrWEB: Trojan.PWS.Ibank.55 )
- c:\windows\system32\wvsfzlx.exe - Trojan.Win32.Jorik.Shiz.az ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.fq0@aahwu4bi, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Spyware-gen [Spy] )
- c:\windows\system32\xfpbzbe.exe - Trojan.Win32.Jorik.Shiz.az ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.fq0@aahwu4bi, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Spyware-gen [Spy] )
- c:\windows\system32\xhoxswm.exe - Trojan.Win32.Jorik.Shiz.bb ( DrWEB: Trojan.PWS.Ibank.55 )
- c:\windows\system32\xjhodhd.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aCxOhcji, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\xwnkxvy.exe - Trojan.Win32.Jorik.Shiz.bo ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aOx2tVai, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\ywszytb.exe - Trojan.Win32.Jorik.Shiz.bm ( DrWEB: Trojan.PWS.Ibank.55, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Malware-gen )
- c:\windows\system32\zmcvech.exe - Trojan.Win32.Jorik.Shiz.az ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.fq0@aahwu4bi, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Spyware-gen [Spy] )
- c:\windows\system32\zvhsyx.exe - Backdoor.Win32.Shiz.ms ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4547050, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\zvphhab.exe - Trojan.Win32.Jorik.Shiz.bb ( DrWEB: Trojan.PWS.Ibank.55 )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-