Junior Member
Вес репутации
52
svchost.exe оч сильно грузит процессор, браузер не открывается, с компом невозможно работать
svchost.exe либо explorer.exe грузят проц на всю катушку, опера и IE не загружаются, открывается Google Chrome, но ждать приходится минут 5. Нод сообщает об удаленных вирусах и требует перезагрузки, но после перезагрузки ничего не меняется. Приложения загружаются минут по 5-10((( Подскажите что делать. Файлы логов - ниже . Заранее спасибо.
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пофиксите в hijackthis:
Код:
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe iqfnr
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\acef6803.exe,\\?\globalroot\systemroot\system32\vufsufe.exe,
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее... ):
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\DOCUME~1\GODMOD~1\LOCALS~1\Temp\esp21E6.tmp','');
QuarantineFile('C:\DOCUME~1\GODMOD~1\LOCALS~1\Temp\pdgrri.exe','');
QuarantineFile('C:\WINDOWS\system32\atwtusb.exe','');
QuarantineFile('c:\windows\system32\acef6803.exe','');
QuarantineFile('C:\WINDOWS\system32\vufsufe.exe','');
DeleteFile('C:\WINDOWS\system32\vufsufe.exe');
DeleteFile('c:\windows\system32\acef6803.exe');
DeleteFile('C:\DOCUME~1\GODMOD~1\LOCALS~1\Temp\pdgrri.exe');
DeleteFile('C:\DOCUME~1\GODMOD~1\LOCALS~1\Temp\esp21E6.tmp');
DeleteFileMask('C:\DOCUME~1\GODMOD~1\LOCALS~1\Temp','*.*',true);
RegSearch('HKLM','','esp21E6');
SaveLog(GetAVZDirectory + 'Search.log');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин .
Search.log прикрепите к сообщению.
Сделайте новые логи
Junior Member
Вес репутации
52
файл quarantine.zip отправила, логи тут:
Вложения
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее... ):
Код:
begin
DeleteFile('C:\WINDOWS\Tasks\WindowsCheck.job');
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet001\Control\Print\Providers\E0937DAF');
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet002\Control\Print\Providers\E0937DAF');
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Print\Providers\E0937DAF');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Сделайте и прикрепите лог virusinfo_syscheck.zip
Junior Member
Вес репутации
52
машина заработала, но в процессе работы пару раз наблюдалось подвисание системы(браузеры не грузят страницы, зависание приложений), нод в это время сообщал о вирусах, как не странно, не указывая, что за объект и какой процесс. в общем, сделала все логи по новой
Junior Member
Вес репутации
52
Удалите в МВАМ
Код:
Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\HiSoft\CrackDownloader (CrackTool.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
Зараженные папки:
C:\Program Files\Common Files\wm\keys (Trojan.KeyLog) -> No action taken.
Зараженные файлы:
C:\Documents and Settings\God Mode\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
52
в процессе сканирования mbam нашел еще 1 зараженный файл
C:\WINDOWS\system32\inetsrv\iissync.exe (Virus.Expiro)
нужно ли его удалять?
Последний раз редактировалось Никита Соловьев; 06.09.2010 в 21:50 .
Junior Member
Вес репутации
52
все ок, никакой лишней активности не заметно. спасибо!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 1 В ходе лечения вредоносные программы в карантинах не обнаружены