Комп начал сильно тормозить, svhost жрет 90% процессорного времени

Просьба посмотреть логи

Уважаемый(ая) [B]Egorik[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"] правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Пофиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"](как пофиксить)[/URL]:
[CODE]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\apppatch\lixixpd.exe,
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\apppatch\lixixpd.exe
O4 - HKCU\..\Policies\Explorer\Run: [run] C:\WINDOWS\apppatch\lixixpd.exe
O4 - Startup: SfWqEcFxStQ.exe

[/CODE]

Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('J:\setup.exe','');
QuarantineFile('J:\autorun.inf','');
QuarantineFile('C:\WINDOWS\apppatch\lixixpd.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\VSPE.sys','');
DeleteFile('C:\WINDOWS\apppatch\lixixpd.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','System');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','run');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

[/CODE]
Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Загрузитесь в безопасном режиме [URL="http://virusinfo.info/showthread.php?t=9279"](как загрузиться)[/URL].

Сделайте заново в безопасном режиме лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела Диагностика правил) и приложите в теме.

В безопасном режиме загрузиться не смог, логи сделал в обычном

Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
var StartupFolder:string;
begin
StartupFolder:= RegKeyStrParamRead('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders','Startup');
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
QuarantineFile(StartupFolder + '\SfWqEcFxStQ.exe','');
DeleteFile(StartupFolder + '\SfWqEcFxStQ.exe');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

[/CODE]
Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Сделайте заново лог HijackThis (пункт 3 раздела Диагностика правил) и приложите в теме.

Сделал

Что с проблемой?

[size="1"][color="#666686"][B][I]Добавлено через 39 секунд[/I][/B][/color][/size]

В безопасном режиме загружается?

Проблема опять проявилась
в безопасном режиме не загружается - уходит в перезагрузку.

Сделайте логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]

сделал

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\a.txt','');
QuarantineFile('C:\plg.txt','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Domino Web Access\GreenChristmasTree.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\C402icU9ItA.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\d5a4kl1od.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Temporary Internet Files\Content.IE5\3M8H43SR\files_load2[1].exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\____991.exe','');
DeleteFile('C:\plg.txt');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\C402icU9ItA.exe');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\d5a4kl1od.exe');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Temporary Internet Files\Content.IE5\3M8H43SR\files_load2[1].exe');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\____991.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','files_load2[1].exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','____991.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Green Christmas Tree');
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\9vO3wAguztYiHFe','*',true);
DeleteFileMask('C:\9vO3wAguztYiHFe','*',true);
DeleteFileMask('C:\cVd1vWcuENuz4Uk','*',true);
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\MicroST','*',true);
DeleteFileMask('C:\AmHEv9Wh1XA6rXi','*',true);
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\9vO3wAguztYiHFe');
DeleteDirectory('C:\9vO3wAguztYiHFe');
DeleteDirectory('C:\cVd1vWcuENuz4Uk');
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\MicroST');
DeleteDirectory('C:\AmHEv9Wh1XA6rXi');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

[COLOR="#FF0000"]Компьютер перезагрузится[/COLOR]

[B]После перезагрузки:[/B]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы.

Файл [B]C:\a.txt[/B] - знаком?

Повторите логи АВЗ и РСИТ.

Сделал
Файл C:\a.txt не знаком, в нем было:
1 248 93 51

1 192 83 33

удалил его

после лечения очень сильно тормозит клавиатура и мышь - задержка до 10 сек

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\AppPatch\lixixpd.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\1346.tmp','');
QuarantineFile('C:\Program Files\Glary Utilities\initialize.exe','');
QuarantineFile('C:\systemhost\24FC2AE31AC.exe','');
QuarantineFile('c:\windows\whiskas.scr','');
DeleteFile('C:\WINDOWS\AppPatch\lixixpd.exe');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\1346.tmp');
DeleteFile('C:\systemhost\24FC2AE31AC.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Bluetooth Connection Assistant');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\Admin\Local Settings\Temp\1346.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\AppPatch\lixixpd.exe');
DeleteFileMask('C:\systemhost','*',true);
DeleteDirectory('C:\systemhost');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

[COLOR="#FF0000"]Компьютер перезагрузится[/COLOR]

[B]После перезагрузки:[/B]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы.

[B]c:\windows\whiskas.scr[/B] - знакомо?

[URL="http://virusinfo.info/showthread.php?t=53070"][B]Сделайте лог полного сканирования MBAM[/B][/URL].

[URL="http://support.kaspersky.ru/viruses/solutions?qid=208636926"]Сделайте лог TDSSKiller[/URL]

Сделал.
c:\windows\whiskas.scr - это заставка для рабочего стола с котенком, жена скачала в интернете давно.

мышь и клава больше не тормозят

[URL="http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584"]Удалите в MBAM[/URL]:
[CODE]C:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\40\2a3ba328-58efef63 (Trojan.Agent.PE5) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Local Settings\Temp\3D57.tmp (Trojan.Agent.PE5) -> Действие не было предпринято.
c:\documents and settings\admin\главное меню\программы\автозагрузка\6ea6nrs8.exe (Spyware.Zbot.ES) -> Действие не было предпринято.

Z:\Soft\Лекарства\avz4\avz4\Quarantine\2012-01-28\avz00001.dta (Trojan.Agent.PE5) -> Действие не было предпринято.
Z:\Soft\Лекарства\avz4\avz4\Quarantine\2012-01-28\bcqr00001.dat (Trojan.Agent.PE5) -> Действие не было предпринято.
Z:\Soft\Лекарства\avz4\avz4\Quarantine\2012-01-28\bcqr00002.dat (Trojan.Agent.PE5) -> Действие не было предпринято.
Z:\Soft\Лекарства\Новая папка\backups\backup-20120126-234909-965-SfWqEcFxStQ.exe (Trojan.Agent.PE5) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.[/CODE]

Логи MBAM и РСИТ повторите.

сделал

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\dmgr134.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\4087deff.sys','');
DeleteFile('C:\WINDOWS\dmgr134.sys');
DeleteService('dmgr134');
DeleteFileMask('C:\WINDOWS\system32\lowsec','*',true);
DeleteDirectory('C:\WINDOWS\system32\lowsec');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

[COLOR="#FF0000"]Компьютер перезагрузится[/COLOR]

[B]После перезагрузки:[/B]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы.

Что с проблемами?

Повторите РСИТ.

Готово
Проблема вроде не проявляется больше

Опять выскочил блокиратор, требует пополнтьб счет чужого мобильного
прошел kaspersky rescue cd,
просьба посмотреть не осталось ли заразы

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\abwWyRx0I48.exe','');
QuarantineFile('C:\WINDOWS\system32\uhjprbc.dll','');
DeleteFile('C:\WINDOWS\system32\uhjprbc.dll');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\abwWyRx0I48.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

[COLOR="#FF0000"]Компьютер перезагрузится[/COLOR]

[B]После перезагрузки:[/B]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы.

- Повторите логи АВЗ.


- [URL="http://virusinfo.info/showthread.php?t=115256"]Сделайте лог RSIT[/URL].