-
Junior Member
- Вес репутации
- 50
winlogon.exe загружает процессор на 50%
Обнаружил это сегодня.. Просканировал антивирусом (установлен NOD32 Antivirus 4.0.314.0) и он нашёл много всего. Затем просканировал с помощью AVPTool в безопасном режиме и тоже много чего удалил. Но проблема, к сожалению, осталась нерешённой. Помогите, пожалуйста!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в Hijackthis:
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\X8UWhyj.exe,\\?\globalroot\systemroot\system32\4vlUTnO.exe,
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\Admin\Application Data\bpfeed.dll','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qstatsrv.dll','');
QuarantineFile('C:\WINDOWS\system32\4vlUTnO.exe','');
QuarantineFile('C:\WINDOWS\system32\X8UWhyj.exe','');
QuarantineFile('C:\WINDOWS\CTHELPER.EXE','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\GPU-Z.sys','');
DeleteService('GPU-Z');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\GPU-Z.sys');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('C:\WINDOWS\system32\X8UWhyj.exe');
DeleteFile('C:\WINDOWS\system32\4vlUTnO.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qstatsrv.dll');
DeleteFile('C:\Documents and Settings\Admin\Application Data\bpfeed.dll');
DelBHO('BHO Helper');
DelBHO('{6B5863A0-C43F-4C0A-982B-CC0E9125783F}');
DelBHO('{9D64F819-9380-8473-DAB2-702FCB3D7A3E}');
DelBHO('{88888888-8888-8888-8888-888888888888}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.
Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 50
всё сделал, файл загрузил
Последний раз редактировалось robodroid; 13.09.2010 в 12:58.
Причина: забыл про логи.....
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
-
Удалите в МВАМ -
Код:
Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{9d64f819-9380-8473-dab2-702fcb3d7a3e} (Trojan.Ransom) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{9d64f819-9380-8473-dab2-702fcb3d7a3e} (Trojan.Ransom) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9d64f819-9380-8473-dab2-702fcb3d7a3e} (Trojan.Ransom) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
Зараженные файлы:
F:\System Volume Information\_restore{50550CF4-88AF-4A33-B601-E7D67F334F50}\RP367\A0090718.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Admin\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
C:\Documents and Settings\Admin\Local Settings\Temp\pdfupd.exe (Trojan.Agent) -> No action taken.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
if FileExists('C:\WINDOWS\System32\dllcache\sfcfiles.dll')then
begin
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.bak','');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
end else
AddToLog('dllcache\sfcfiles.dll does not exist');
SaveLog(GetAVZDirectory + 'avz.log');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Файл avz.log из папки с АВЗ прикрепите к следующему сообщению
-
-
Junior Member
- Вес репутации
- 50
всё сделал!
-
-
-
Junior Member
- Вес репутации
- 50
вот лог МВАМ.. когда включил компьютер, процессор уже ничем не был так загружен
-
-
-
Junior Member
- Вес репутации
- 50
Большое Вам всем спасибо!!!!!)))))
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\sfcfiles.bak - Trojan.Win32.Patched.lq ( DrWEB: Trojan.WinSpy.925, BitDefender: Gen:Variant.Kazy.5984, AVAST4: Win32:Small-NTF [Trj] )
-