Показано с 1 по 18 из 18.

winlogon грузит ЦП на 50% (заявка № 94450)

  1. #1
    Junior Member Репутация
    Регистрация
    03.01.2011
    Сообщений
    14
    Вес репутации
    22

    Thumbs up winlogon грузит ЦП на 50%

    Проверил с помощью AVZ (3й по счёту стандартный скрипт),
    жду ответный скрипт для лечения...
    Вложения Вложения
    Последний раз редактировалось olejah; 03.01.2011 в 13:27. Причина: virusinfo_cure.zip - Карантин в теме!

  2. Реклама
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,044
    Вес репутации
    1254
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
     QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\tempsys.exe','');
     QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
     QuarantineFile('C:\WINDOWS\system32\nrsdxr.exe','');
     QuarantineFile('C:\WINDOWS\system32\sidebar32.exe','');
     QuarantineFile('C:\WINDOWS\system32\sfcfiles.dll','');
     DeleteFile('C:\WINDOWS\system32\sidebar32.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Secure Star');
     DeleteFile('C:\WINDOWS\system32\nrsdxr.exe');
     DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\tempsys.exe');  
     DeleteFile('c:\program files\opera\setupapi.dll');  
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

  4. #3
    Junior Member Репутация
    Регистрация
    03.01.2011
    Сообщений
    14
    Вес репутации
    22
    готово

    Добавлено через 13 минут

    Файл сохранён как 110103_133859_quarantine_4d21a7432e6ae.zip

    Размер файла 3278
    Последний раз редактировалось sidyk; 03.01.2011 в 13:54. Причина: Добавлено

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,044
    Вес репутации
    1254
    Сделайте новые логи. Все три, как в правилах.

  6. #5
    Junior Member Репутация
    Регистрация
    03.01.2011
    Сообщений
    14
    Вес репутации
    22
    а как сделать hijackthis.log ??? (видел в похожей теме)

  7. #6
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,044
    Вес репутации
    1254

  8. #7
    Junior Member Репутация
    Регистрация
    03.01.2011
    Сообщений
    14
    Вес репутации
    22
    Готово
    Вложения Вложения

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,044
    Вес репутации
    1254
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Пофиксите в hijackthis -

    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
    O2 - BHO: MS Media Module - {17C7D763-77CF-B5C2-E99F-F55182ADB317} - (no file)
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     DeleteFile('C:\WINDOWS\system32\mssfc.dll');  
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Файл C:\WINDOWS\system32\sfcfiles.dll поищите с помощью АВЗ(Сервис - Поиск файлов на диске), если найдёте, запакуйте в zip-архив, с паролем virus пришлите по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

  10. #9
    Junior Member Репутация
    Регистрация
    03.01.2011
    Сообщений
    14
    Вес репутации
    22
    Файл сохранён как 110103_160829_Quarantine_4d21ca4dcee1e.zip
    Размер файла 690

    Такой файл нашёл, но в папке AVZ папка Quarantine не архивируется ("Отказано в доступе"), не знаю сгодиться ли такой "Quarantine", который вам отправил?

  11. #10
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,044
    Вес репутации
    1254
    Сделаем так -

    1. скачайте МВАМ,

    2. Установите ее по стандартному пути с настройками по умолчанию.

    3. В проводнике найдите файл C:\WINDOWS\system32\sfcfiles.dll, нажмите на него правой кнопкой мыши и выберите пункт Просканировать Malwarebytes Antimalware

    4. О результатах отпишитесь.

  12. #11
    Junior Member Репутация
    Регистрация
    03.01.2011
    Сообщений
    14
    Вес репутации
    22
    Вуаля
    Вложения Вложения

  13. #12
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,044
    Вес репутации
    1254
    Что с проблемой?

  14. #13
    Junior Member Репутация
    Регистрация
    03.01.2011
    Сообщений
    14
    Вес репутации
    22
    Когда пытался с помощью AVZ скопировать "sfcfiles.dll" в карантин, несколоко раз NOD 32 ругался...

    Добавлено через 55 секунд

    проблема осталась

    А эту библиотеку удалить можно? (C:\WINDOWS\system32\sfcfiles.dll)
    Последний раз редактировалось sidyk; 03.01.2011 в 16:32. Причина: Добавлено

  15. #14
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,044
    Вес репутации
    1254
    Файл C:\WINDOWS\system32\sfcfiles.dll замените чистым с дистрибутива.

  16. #15
    Junior Member Репутация
    Регистрация
    03.01.2011
    Сообщений
    14
    Вес репутации
    22
    не получается заменить, "нет доступа или файл уже используется"

  17. #16
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,044
    Вес репутации
    1254
    В безопасном режиме?

  18. #17
    Junior Member Репутация
    Регистрация
    03.01.2011
    Сообщений
    14
    Вес репутации
    22
    Заменил в безопасном режиме, ребут... щас всё "ОК"!

    Огромное человеческое спасибо!!!

    p.s. Achtung неизбежен))

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,562
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 12
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) sidyk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Winlogon.exe грузит ЦП на 50%
      От seoanaliz в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 23.11.2010, 21:45
    2. winlogon грузит цп на 100%
      От username_ssa в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 20.08.2010, 12:17
    3. winlogon.exe грузит 50% ЦП
      От Titanus в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 25.05.2010, 16:14
    4. Winlogon.exe грузит ЦП
      От game-pro в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 06.04.2010, 07:25
    5. winlogon.exe грузит 50% ЦП
      От Nikorai в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 13.10.2009, 13:01

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01302 seconds with 21 queries