активность

Printable View

03.03.2012, 10:43
Beasty

активность

регулярно некий процесс System занимает 99-100% ЦП, в результате чего тормозят игры и видеозаписи.
антивирь стоит drweb
так же, сегодня заметил некое приложение, отобразившееся на панели как что-то похожее на окно командной строки после выполнения скрипта лечения и сбора информации
03.03.2012, 10:45
Info_bot

Уважаемый(ая) [B]Beasty[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
03.03.2012, 11:18
V_Bond

такой [url]http://virusinfo.info/showthread.php?t=53070[/url] лог сделайте
03.03.2012, 12:12
Beasty

так...

странно, заражение вэбальтой вроде не наблюдаю...

а, понятно, почему-то только неиспользующийся IE заражён оО
03.03.2012, 13:07
Techno

[URL="http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584"]Удалите в MBAM[/URL]:
[CODE]HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\INSTALL.EXE (Trojan.Agent) -> Действие не было предпринято.

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (Hijack.StartPage) -> Плохо: (http://webalta.ru) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (Hijack.Homepage) -> Плохо: (http://webalta.ru/poisk) Хорошо: (http://www.Google.com) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Плохо: (http://webalta.ru) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Search Bar (Hijack.Search) -> Плохо: (http://webalta.ru/poisk) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search|SearchAssistant (Hijack.SearchPage) -> Плохо: (http://webalta.ru/poisk) Хорошо: (http://www.Google.com/) -> Действие не было предпринято.
[/CODE]

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearHostsFile;
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\install.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\QipUpdate2011\QipUpdater.exe','');
QuarantineFile('C:\Program Files\ICCup Launcher\iccwc3.icc','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]

[COLOR="#FF0000"]Компьютер перезагрузится[/COLOR]

[B]После перезагрузки:[/B]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы.
03.03.2012, 14:29
Beasty

карантин отправил, новый лог mbam в соответствии с инструкцией по удалению файлов прилагаю.
Его надо? ещё логи AVZ нужно сделать?
03.03.2012, 20:05
Techno

Что с проблемой?
03.03.2012, 20:11
Beasty

проблема осталась.
Разница в том, что раньше в имени пользователя процесса System было пустое поле, теперь там значится SYSTEM, но потребление ЦП до 90+ процентов продолжает появляться.
03.03.2012, 20:16
Techno

- [URL="http://virusinfo.info/showthread.php?t=58309"]Сделайте лог ComboFix[/URL].
03.03.2012, 23:35
Beasty

что-то удалило, после перезагрузки всплыли Skype, drweb, raidcall, которые стоят на автозагрузке и должны быть там...

за проблемой понаблюдаю, лог приложен...
а да, mbam удалить надо?
04.03.2012, 00:42
Techno

[quote="Beasty;873507"]а да, mbam удалить надо?[/quote]
Удалите.

Что с проблемой?

- [URL="http://virusinfo.info/showthread.php?t=58309&p=500136&viewfull=1#post500136"]Удалите ComboFix.[/URL]
04.03.2012, 01:08
Beasty

пока вроде не ощущаю. завтра отпишусь

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

хмм

Windows не удалось найти 'Combofix'. Проверьте, что имя было введено правильно, и повторите попытку. Чтобы выполнить поиск файла, нажмите кнопку "Пуск", а замем выберите команду "Найти"
04.03.2012, 10:26
Techno

[quote="Beasty;873531"]Windows не удалось найти 'Combofix'. Проверьте, что имя было введено правильно, и повторите попытку.[/quote]

[CODE]Combofix /Uninstall[/CODE]
Вместо [B]Combofix[/B] напишите полный путь к файлу [B]Combofix.exe[/B] [COLOR="#FF0000"]в кавычках[/COLOR], например: [CODE]"C:\рабочий стол\Combofix" /Uninstall[/CODE]
04.03.2012, 12:26
Beasty

[QUOTE=Techno;873578][CODE]Combofix /Uninstall[/CODE]
Вместо [B]Combofix[/B] напишите полный путь к файлу [B]Combofix.exe[/B] [COLOR="#FF0000"]в кавычках[/COLOR], например: [CODE]"C:\рабочий стол\Combofix" /Uninstall[/CODE][/QUOTE]
удалил.
до удаления combofix ещё раз наблюдал проблему.

прошу прощения если где-то затупаю)
04.03.2012, 12:44
Techno

Сделайте дефрагментацию, проверьте диск на наличие ошибок.
04.03.2012, 13:50
Beasty

спасибо, попробую
05.03.2012, 13:50
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]