-
Junior Member
- Вес репутации
- 50
ЦП - 100% и очень низкая скорость интернета!
Здравствуйте. У меня при работе компьютера запускаются процессы ntvdm.exe (от 2 до 5 штук за раз), один из них "ест" всё свободное ЦП! Помогите пожалуйста!!! Еще у меня подвисает интернет (скорость 2МБит в секунду, а работает как 128 КБит в секунду(проверял у друга)) буду вам очень признателен если вы решите мою проблему. вкладываю файлы логов:
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{14MAD6M8-1MAD-81AD-JIM6-26OP5G3369085}');
DelCLSID('{67KLN5J0-4OPM-01WE-AAX5-314CCA354112}');
QuarantineFile('C:\OOXD\FILES\dc.exe','');
QuarantineFile('C:\xAVx\ReleAsE\xAVy.exe','');
QuarantineFile('C:\WINDOWS\system32\idsasvstart.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\30326A04.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\02B638AC.sys','');
QuarantineFile('C:\WINDOWS\System32\WinHelp3.url','');
DeleteService('WinHelp3');
QuarantineFile('C:\WINDOWS\system32\t\E001.exe','');
DeleteService('vsd');
QuarantineFile('C:\WINDOWS\system32\Antiffujq.exe','');
DeleteService('MediaCbeeuq');
QuarantineFile('C:\WINDOWS\system32\muikzcb.exe','');
DeleteService('HMDS606Ver2.0');
QuarantineFile('C:\WINDOWS\system32\Z1SNRTWC\H001.exe','');
DeleteService('Distribuyud');
QuarantineFile('C:\WINDOWS\system32\Mcaerfe.exe','');
DeleteService('dbdcbd60');
DeleteService('dbbbed60');
QuarantineFile('C:\WINDOWS\system32\Service.exe','');
DeleteService('ba');
QuarantineFile('C:\WINDOWS\system32\360imcana.exe','');
DeleteService('360iaCjggze');
QuarantineFile('C:\Program Files\Common Files\System\sqlserv.exe','');
SetServiceStart('SqlDebuger', 4);
DeleteService('SqlDebuger');
QuarantineFile('C:\WINDOWS\system32\drivers\tcpz-x86d.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\tcpz-x86d.sys');
DeleteFile('C:\Program Files\Common Files\System\sqlserv.exe');
DeleteFile('C:\WINDOWS\system32\360imcana.exe');
DeleteFile('C:\WINDOWS\system32\Service.exe');
DeleteFile('C:\WINDOWS\system32\Mcaerfe.exe');
DeleteFile('C:\WINDOWS\system32\Z1SNRTWC\H001.exe');
DeleteFile('C:\WINDOWS\system32\muikzcb.exe');
DeleteFile('C:\WINDOWS\system32\Antiffujq.exe');
DeleteFile('C:\WINDOWS\system32\t\E001.exe');
DeleteFile('C:\WINDOWS\System32\WinHelp3.url');
DeleteFile('C:\WINDOWS\system32\idsasvstart.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\IdsSrv\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WinHelp3\Parameters','ServiceDll');
DeleteFile('C:\xAVx\ReleAsE\xAVy.exe');
DeleteFile('C:\OOXD\FILES\dc.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Карантин прислал, теперь логи.
-
Junior Member
- Вес репутации
- 50
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\AntiVC.dll
c:\windows\system32\ezsidmv.dat
c:\program files\Aiceiunrr\srvany.exe
c:\program files\Qrnvnovcc\srvany.exe
Driver::
IdsSrv
HglSrv
HgpSrv
Qrnvnovcc
Aiceiunrr
Folder::
c:\windows\system32\AG63530K
c:\windows\system32\37SOTNSQ
c:\windows\system32\Z1SNRTWC
c:\windows\system32\LOQMSHOS
c:\windows\system32\ARNIBP11
c:\windows\system32\UPSMGQ2Y
c:\windows\system32\Z3IRSDUH
c:\windows\system32\YAIJFFQF
c:\windows\system32\D3MZN3CO
c:\windows\system32\U15C3FQI
c:\windows\system32\F26RYA3V
c:\windows\system32\P6N5O7XH
c:\windows\system32\3VM06JQY
c:\windows\system32\AR8T4M48
c:\windows\system32\UY7K2WTW
c:\windows\system32\S8RDGXS5
c:\program files\Qrnvnovcc
c:\program files\Aiceiunrr
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
"HglSrv"=-
"HgpSrv"=-
"IdsSrv"=-
FileLook::
c:\windows\system32\Drochjuecur.dll
c:\documents and settings\Администратор\Application Data\Opera\Opera\install_flash_player.exe
c:\program files\xccvx
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
-
Junior Member
- Вес репутации
- 50
-
c:\program files\xccvx
c:\windows\system32\Drochjuecur.dll
Эти файлы запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
-
Junior Member
- Вес репутации
- 50
Thyrex, Я всё правильно сделал? Что дальше?
-
Пока ответа нет на карантин
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 36
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\common files\\system\\sqlserv.exe - Trojan-Downloader.MSIL.Small.de ( BitDefender: Trojan.Generic.5342714, AVAST4: Win32:Malware-gen )
-