Сильные тормоза, загрузка проца до 100%, недавно была monoca.
Сильные тормоза, загрузка проца до 100%, недавно была monoca.
Последний раз редактировалось maxi s; 23.10.2010 в 19:12.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Выполните скрипт в АВЗ -Код:R3 - URLSearchHook: (no name) - - (no file) F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\e1ef0fc4.exe,C:\WINDOWS\system32\fd8f31ca.exe,C:\WINDOWS\system32\4c7c2ae1.exe,C:\WINDOWS\system32\42662ae2.exe,
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('c:\les6l232.exe'); QuarantineFile('c:\les6l232.exe',''); QuarantineFile('C:\WINDOWS\system32\e1ef0fc4.exe',''); QuarantineFile('C:\WINDOWS\system32\fd8f31ca.exe',''); QuarantineFile('G:\autorun.inf',''); QuarantineFile('C:\thumbs.db',''); DeleteFile('C:\thumbs.db'); DeleteFile('C:\WINDOWS\system32\fd8f31ca.exe'); DeleteFile('C:\WINDOWS\system32\e1ef0fc4.exe'); BC_ImportAll; ExecuteSysClean; RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделал, только в архиве оказалось три файла по 50 метров (bcqr00002.dat * bcqr00001.dat * avz00001.dta * их я удалил
Файл c:\les6l232.exe запакуйте в zip архив с паролем virus и пришлите по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
Повторите логи.
Новые логи
Последний раз редактировалось maxi s; 23.10.2010 в 19:12.
Что с проблемой?
Сделайте лог полного сканирования МВАМ
Мбам лог
up
Удалите в МВАМ
Сделайте лог ComboFixКод:Зараженные ключи в реестре: HKEY_CLASSES_ROOT\acm.acmfactory (Adware.WhenU) -> No action taken. HKEY_CLASSES_ROOT\acm.acmfactory.1 (Adware.WhenU) -> No action taken. HKEY_CLASSES_ROOT\Interface\{43382522-a846-46f4-ac57-1f71ae6e1086} (Adware.WhenU) -> No action taken. HKEY_CLASSES_ROOT\Interface\{572fb162-c0ba-4edf-8cff-e3846153b9b0} (Adware.WhenU) -> No action taken. HKEY_CLASSES_ROOT\Interface\{72a836d1-bc00-43c0-a941-17960e4fb842} (Adware.WhenU) -> No action taken. HKEY_CLASSES_ROOT\AppID\{127df9b4-d75d-44a6-af78-8c3a8ceb03db} (Adware.WhenU) -> No action taken. HKEY_CLASSES_ROOT\Typelib\{df901432-1b9f-4f5b-9e56-301c553f9095} (Adware.WhenU) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken. HKEY_CLASSES_ROOT\AppID\ACM.dll (Adware.WhenU) -> No action taken. HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> No action taken. HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenU) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FieryAds (Adware.FieryAds) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SaveNow (Adware.WhenU) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave (Adware.WhenU) -> No action taken. Объекты реестра заражены: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system32\95d31b85.exe,) Good: (userinit.exe) -> No action taken. Зараженные папки: C:\Documents and Settings\Администратор\Application Data\FieryAds (Adware.FieryAds) -> No action taken. C:\Program Files\Save (Adware.WhenU) -> No action taken. C:\Documents and Settings\Администратор\Главное меню\Программы\WhenU (Adware.WhenU) -> No action taken. C:\Documents and Settings\Администратор\Local Settings\Application Data\Bron.tok-10-22 (Worm.Brontok) -> No action taken. Зараженные файлы: C:\Program Files\Save\save.cch (Adware.WhenU) -> No action taken. C:\Program Files\Save\save.db (Adware.WhenU) -> No action taken. C:\Program Files\Save\save.htm (Adware.WhenU) -> No action taken. C:\Program Files\Save\SaveNowupdate.exe (Adware.WhenU) -> No action taken. C:\Program Files\Save\store.db (Adware.WhenU) -> No action taken. C:\Documents and Settings\Администратор\Главное меню\Программы\WhenU\Customer Support.lnk (Adware.WhenU) -> No action taken. C:\Documents and Settings\Администратор\Главное меню\Программы\WhenU\Learn More About WhenU Save.url (Adware.WhenU) -> No action taken. C:\Documents and Settings\Администратор\Главное меню\Программы\WhenU\Learn More About WhenU SaveNow.url (Adware.WhenU) -> No action taken. C:\Documents and Settings\Администратор\Главное меню\Программы\WhenU\Uninstall Instructions.lnk (Adware.WhenU) -> No action taken. C:\Documents and Settings\Администратор\Главное меню\Программы\WhenU\WhenU.com Website.url (Adware.WhenU) -> No action taken. C:\Documents and Settings\Администратор\Application Data\avdrn.dat (Malware.Trace) -> No action taken. C:\Documents and Settings\Администратор\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделал все вышеуказанное, вроде прошло
c:\windows\System32\sfcfiles.dll - проверьте наличие этого файла.
Файла не будет. Восстановите его с дистрибутива http://virusinfo.info/showthread.php?t=51654
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: Driver:: gfazzi NetSvc:: gfazzi Folder:: Registry:: [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "1972:TCP"=- FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 12
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) maxi s, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.