-
Junior Member
- Вес репутации
- 48
Загрузка процессора от 50% ((
Приветствую!
Сильно грузится проц, ноут виснет даже при наборе текста в браузере, работать невозможно ( В диспетчере задач подозрительных процессов не обнаружил. На вирусы все проверил И Аутпостом, и CureIt'ом - ничего найдено не было. MBAM нашел что-то, лог прилагаю.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=99921
Внимание !!! База поcледний раз обновлялась 23.11.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.32
Скачайте актуальную версию AVZ 4.35, обновите базы и переделайте логи!
-
-
Junior Member
- Вес репутации
- 48
Скрипт выполнил. При попытке загрузить файл, выдается ошибка: "Ошибка загрузки, данный файл уже был загружен". Хотя я гружу его впервые.
-
Хорошо, двигайтесь дальше.
-
-
Junior Member
- Вес репутации
- 48
Сообщение от
Aleksandra
Хорошо, двигайтесь дальше.
Обновил все логи
-
Все предписания выполняйте в обычном режиме, а не в Safe Mode!
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%System32%\sfcfiles.dll','');
QuarantineFile('C:\WINDOWS\system32\pwcmuiu.exe','');
QuarantineFile('C:\WINDOWS\system32\nkgsrlf.exe','');
QuarantineFile('C:\WINDOWS\system32\bytbus.exe','');
QuarantineFile('C:\WINDOWS\system32\52d63b67.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\xpsp2res.dll','');
DeleteFile('C:\Program Files\Internet Explorer\xpsp2res.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
DeleteFile('C:\WINDOWS\system32\52d63b67.exe');
DeleteFile('C:\WINDOWS\system32\bytbus.exe');
DeleteFile('C:\WINDOWS\system32\nkgsrlf.exe');
DeleteFile('C:\WINDOWS\system32\pwcmuiu.exe');
DeleteFile('C:\thumbs.db');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
3. Выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=99921
4. Обновите базы AVZ и сделайте повторный лог virusinfo_syscure.
-
-
Junior Member
- Вес репутации
- 48
Файл загрузил. Лог прикрепил. Описанные симптомы пропали. Спасибо за оперативную помощь! )
-
Junior Member
- Вес репутации
- 48
UPD. Все симптомы снова проявились - загрузка процессора от 50% ( Проц грузят в основном FireFox и System.
Добавлено через 26 минут
Нашел подозрительные файлы в C:\Documents and Settings\Admin\Application Data. Вот они: avdrn.dat, chkntfs.dat, default.rss, igxpgd32.dat, jqyrg4inedzz13m, zxcvbd.dat. Переименовал igxpgd32.dat и jqyrg4inedzz13m. Жуткое торможение при наборе текста в браузере исчезло, но загрузка процессора осталась неизменной. KVR ругается на igxpgd32.dat и хочет его снести. Удалять или нет?
Последний раз редактировалось mishaS; 28.03.2011 в 10:38.
Причина: Добавлено
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Сообщение от
mishaS
UPD. Все симптомы снова проявились - загрузка процессора от 50% ( Проц грузят в основном FireFox и System.
Ничего удивительного, так как лечение еще не закончено. Зловред подменил файл sfcfiles.dll. Его нужно будет заменить на чистый из дистрибутива.
Сообщение от
mishaS
Удалять или нет?
Ничего удалять не нужно, а нужно выполнять выданные предписания.
Сообщение от
thyrex
-
-
Junior Member
- Вес репутации
- 48
Понятно. У меня дистрибутива нет под рукой, я могу взять этот файл с другого компа?
-
Сообщение от
mishaS
я могу взять этот файл с другого компа?
Если система аналогичная, то можно
Ждем лог МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 48
Наконец-то закончилась проверка. Надеюсь, 9 часов не зря прошли )
-
c:\WINDOWS\system32\sfcfiles.dll замените чистым с дистрибутива http://virusinfo.info/showthread.php?t=51654 или скопируйте с аналогичной системы
Удалите в МВАМ только указанные ниже записи
Код:
Заражённые ключи в реестре:
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
Заражённые параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> Value: id -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> Value: host -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> Value: del -> No action taken.
Заражённые файлы:
c:\RECYCLER\s-1-5-21-1177238915-1085031214-1801674531-500\Dc1.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\RECYCLER\s-1-5-21-1177238915-1085031214-1801674531-500\Dc2.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\system32\config\systemprofile\local settings\temporary internet files\Content.IE5\3G7GPPPK\1[3].ex (Rogue.SmartEngine) -> No action taken.
c:\documents and settings\Admin\application data\avdrn.dat (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\config\systemprofile\главное меню\программы\security tool.lnk (Rogue.SecurityTool) -> No action taken.
c:\WINDOWS\system32\msxslt.dat (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\config\systemprofile\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.
c:\documents and settings\Admin\application data\chkntfs.dat (Malware.Trace) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 48
Все удалил. Но не могу скачать файл из дистрибутива - у меня на ноуте забарахлил сидишник - не читает диски ( Может у Вас есть sfcfiles.dll для XP Professional SP3 версия 2002?
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 48
Спасибо! Вроде все работает более-менее нормально. Ноут уже не тупит так сильно, но проц все же грузится процесами explorer.exe и system.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\internet explorer\\xpsp2res.dll - Trojan.Win32.BHO.bjxj ( DrWEB: Trojan.WinSpy.1005, BitDefender: Gen:Variant.Buzy.1635, NOD32: Win32/Agent.OSS trojan, AVAST4: Win32:Small-NSZ [Trj] )
- c:\\windows\\system32\\sfcfiles.dll - Trojan.Win32.Patched.lq ( DrWEB: Trojan.WinSpy.997, BitDefender: Gen:Variant.Kazy.10709, AVAST4: Win32:WinSpy-HH [Trj] )
-