Показано с 1 по 12 из 12.

winlogon.exe загружает процессор на 50% (заявка № 87737)

  1. #1
    Junior Member Репутация
    Регистрация
    12.09.2010
    Сообщений
    12
    Вес репутации
    50

    Done winlogon.exe загружает процессор на 50%

    Обнаружил это сегодня.. Просканировал антивирусом (установлен NOD32 Antivirus 4.0.314.0) и он нашёл много всего. Затем просканировал с помощью AVPTool в безопасном режиме и тоже много чего удалил. Но проблема, к сожалению, осталась нерешённой. Помогите, пожалуйста!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Пофиксите в Hijackthis:
    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\X8UWhyj.exe,\\?\globalroot\systemroot\system32\4vlUTnO.exe,
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\bpfeed.dll','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qstatsrv.dll','');
     QuarantineFile('C:\WINDOWS\system32\4vlUTnO.exe','');
     QuarantineFile('C:\WINDOWS\system32\X8UWhyj.exe','');
     QuarantineFile('C:\WINDOWS\CTHELPER.EXE','');
     QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
     QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\GPU-Z.sys','');
     DeleteService('GPU-Z');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\GPU-Z.sys');
     DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
     DeleteFile('C:\WINDOWS\system32\X8UWhyj.exe');
     DeleteFile('C:\WINDOWS\system32\4vlUTnO.exe');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qstatsrv.dll');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\bpfeed.dll');
     DelBHO('BHO Helper');
     DelBHO('{6B5863A0-C43F-4C0A-982B-CC0E9125783F}');
     DelBHO('{9D64F819-9380-8473-DAB2-702FCB3D7A3E}');
     DelBHO('{88888888-8888-8888-8888-888888888888}');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
     BC_ImportDeletedList;
     ExecuteSysClean;
     BC_Activate;
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.

    Сделайте новые логи

  4. #3
    Junior Member Репутация
    Регистрация
    12.09.2010
    Сообщений
    12
    Вес репутации
    50
    всё сделал, файл загрузил
    Последний раз редактировалось robodroid; 13.09.2010 в 12:58. Причина: забыл про логи.....

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    12.09.2010
    Сообщений
    12
    Вес репутации
    50
    вот сделал

  7. #6
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Удалите в МВАМ -

    Код:
    Зараженные ключи в реестре:
    HKEY_CLASSES_ROOT\CLSID\{9d64f819-9380-8473-dab2-702fcb3d7a3e} (Trojan.Ransom) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{9d64f819-9380-8473-dab2-702fcb3d7a3e} (Trojan.Ransom) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9d64f819-9380-8473-dab2-702fcb3d7a3e} (Trojan.Ransom) -> No action taken.
    
    
    Зараженные параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
    
    Объекты реестра заражены:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
    
    Зараженные файлы:
    F:\System Volume Information\_restore{50550CF4-88AF-4A33-B601-E7D67F334F50}\RP367\A0090718.exe (Trojan.Agent) -> No action taken.
    C:\Documents and Settings\Admin\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
    C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
    C:\Documents and Settings\Admin\Local Settings\Temp\pdfupd.exe (Trojan.Agent) -> No action taken.
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
      if FileExists('C:\WINDOWS\System32\dllcache\sfcfiles.dll')then
     begin             
     RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
     CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');      
     QuarantineFile('C:\WINDOWS\System32\sfcfiles.bak','');     
     DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
     end else     
     AddToLog('dllcache\sfcfiles.dll does not exist');
     SaveLog(GetAVZDirectory + 'avz.log');       
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Файл avz.log из папки с АВЗ прикрепите к следующему сообщению

  8. #7
    Junior Member Репутация
    Регистрация
    12.09.2010
    Сообщений
    12
    Вес репутации
    50
    всё сделал!

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Повторите лог МВАМ

  10. #9
    Junior Member Репутация
    Регистрация
    12.09.2010
    Сообщений
    12
    Вес репутации
    50
    вот лог МВАМ.. когда включил компьютер, процессор уже ничем не был так загружен

  11. #10
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Кроме кряков плохого нет

  12. #11
    Junior Member Репутация
    Регистрация
    12.09.2010
    Сообщений
    12
    Вес репутации
    50
    Большое Вам всем спасибо!!!!!)))))

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\sfcfiles.bak - Trojan.Win32.Patched.lq ( DrWEB: Trojan.WinSpy.925, BitDefender: Gen:Variant.Kazy.5984, AVAST4: Win32:Small-NTF [Trj] )


  • Уважаемый(ая) robodroid, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. WinLogon.exe загружает процессор на 100%
      От apple_jack в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 21.12.2010, 13:31
    2. winlogon.exe загружает процессор на 50%
      От Taldira в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 17.07.2010, 12:34
    3. Winlogon.exe загружает процессор на 50%
      От yannn в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 30.10.2009, 22:22
    4. Winlogon.exe загружает процессор
      От Вассерман в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 24.09.2009, 23:46
    5. Winlogon.exe загружает процессор на 50%
      От F1rSt_182 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 24.07.2009, 18:13

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01055 seconds with 19 queries