Загрузка ЦП - 100%!!!

Printable View

15.06.2011, 02:37
infipash

Загрузка ЦП - 100%!!!

Пожалуйста, помогите справиться с вирусом. Загрузка ЦП - 100% даже если не запущено ни одно приложение. Основные службы svchost.exe - 50...90%, бездействие системы тоже иногда до 50%. При подключении к интернету NOD постоянно блокирует какие-то "левые" ip и появляется досовское окно с ошибкой. Уже не редкость стал и "синий экран". Заранее благодарен.
15.06.2011, 02:38
Info_bot

Уважаемый(ая) [B]infipash[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/donate/"]поддержите проект[/URL].
15.06.2011, 11:47
миднайт

Отключите защитный софт.
Отключитесь от сети.
В AVZ выполните скрипт:

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\admin\application data\winlogon.exe');
QuarantineFile('C:\Program Files\Common Files\msado320.tlb','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\winlogon.exe','');
QuarantineFile('c:\documents and settings\admin\application data\winlogon.exe','');
DeleteFile('c:\documents and settings\admin\application data\winlogon.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\winlogon.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Kernel Drv');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Kernel Drv');
DeleteFile('C:\Program Files\Common Files\msado320.tlb');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
RegKeyParamWrite('HKLM','SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters','ServiceDll','REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll');
RebootWindows(true);
end.
[/code]

После перезагрузки

[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]

Пришлите карантин [b]quarantine.zip[/b] по красной ссылке [B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B] вверху темы.
[B]Обновите базы AVZ![/B]
Логи повторите.
15.06.2011, 12:47
infipash

Высылаю логи. Карантин не отправляется, пишет что уже высылался, непонятно.
15.06.2011, 20:58
миднайт

Обновите базы AVZ. Логи переделайте.
18.06.2011, 13:18
infipash

Извеняюсь, что так поздно. Комп отказывал в запуске - синий экран.
18.06.2011, 14:02
thyrex

Выполните скрипт в AVZ
[code] begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\win32\7D3B99B5D58.exe','');
QuarantineFile('C:\Program Files\Common Files\msado320.tlb','');
TerminateProcessByName('c:\documents and settings\admin\application data\winlogon.exe');
QuarantineFile('c:\documents and settings\admin\application data\winlogon.exe','');
TerminateProcessByName('c:\docume~1\admin\locals~1\temp\ixp000.tmp\sysbm.exe');
QuarantineFile('c:\docume~1\admin\locals~1\temp\ixp000.tmp\sysbm.exe','');
TerminateProcessByName('c:\documents and settings\admin\application data\google.exe');
QuarantineFile('c:\documents and settings\admin\application data\google.exe','');
DeleteFile('c:\documents and settings\admin\application data\google.exe');
DeleteFile('c:\docume~1\admin\locals~1\temp\ixp000.tmp\sysbm.exe');
DeleteFile('c:\documents and settings\admin\application data\winlogon.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{google.exe}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Kernel Drv');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Kernel Drv');
DeleteFile('C:\Program Files\Common Files\msado320.tlb');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters','ServiceDll');
DeleteFile('C:\win32\7D3B99B5D58.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','7X3V9JVF6E8U2D4WSFMXTJLM');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll');
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
18.06.2011, 14:37
infipash

Высылаю логи
18.06.2011, 14:51
infipash

svchost.exe - 48%
sysbm.exe - 48%
18.06.2011, 15:34
Bratez

Хм... как будто и не выполняли ничего...
Давайте еще разок, только [B]в безопасном режиме[/B].

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\admin\application data\winlogon.exe');
TerminateProcessByName('c:\docume~1\admin\locals~1\temp\ixp000.tmp\sysbm.exe');
TerminateProcessByName('c:\documents and settings\admin\application data\google.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\google.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\winlogon.exe');
DeleteFile('C:\Program Files\Common Files\msado320.tlb');
DeleteFile('C:\win32\7D3B99B5D58.exe');
DeleteFile('c:\docume~1\admin\locals~1\temp\ixp000.tmp\sysbm.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика, в норм.режиме).
18.06.2011, 16:08
infipash

остался тока svchost.exe -50%, Бездействие системы - 50%
18.06.2011, 16:29
Bratez

Пофиксите в HijackThis:
[code]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxl.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxl.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxl.net
[/code]
Больше ничего плохого не видно.

На всякий случай:
сделайте лог [I]virusinfo_syscheck[/I] из безопасного режима.
18.06.2011, 18:06
infipash

Пофиксил. Вот лог. Загрузка ЦП - 50%.
18.06.2011, 18:28
Bratez

Выполните скрипт в AVZ [B]в безопасном режиме[/B]:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\igfxtray.exe','');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\igfxtray.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новый лог [I]syscheck[/I] в безопасном режиме и такой же в обычном.
18.06.2011, 18:50
infipash

Все сделал, но карантин вроде не переписался. Загрузка ЦП в норме.
19.06.2011, 06:39
Bratez

Чисто.
19.06.2011, 15:01
infipash

Спасибо вам большое, хорошие вещи творите.
20.06.2011, 15:01
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\admin\\application data\\winlogon.exe - [B]Trojan.Win32.Llac.zxd[/B] ( DrWEB: Trojan.MulDrop2.29151, BitDefender: Trojan.Generic.6203866, NOD32: Win32/AutoRun.IRCBot.HX worm, AVAST4: Win32:Kryptik-DAP [Trj] )[/LIST][/LIST]