Файлы под именами cuda.exe, ati.exe и cpu.exe грузят бедный процессор на 100% всё виснет! В итоге они закрываются (кроме cuda.exe) и всё становится нормально. Но это не хорошо всё равно. Помогите мне пожалуйста.
Printable View
Файлы под именами cuda.exe, ati.exe и cpu.exe грузят бедный процессор на 100% всё виснет! В итоге они закрываются (кроме cuda.exe) и всё становится нормально. Но это не хорошо всё равно. Помогите мне пожалуйста.
Уважаемый(ая) [B]DosuG[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Windows\cpu.exe','');
SetServiceStart('Sysconfig', 4);
DeleteService('Sysconfig');
SetServiceStart('SuperFitch_x86', 4);
DeleteService('SuperFitch_x86');
SetServiceStart('Officecompiler', 4);
DeleteService('Officecompiler');
SetServiceStart('MicrosoapFileManager', 4);
DeleteService('MicrosoapFileManager');
SetServiceStart('Loadmnge32', 4);
DeleteService('Loadmnge32');
SetServiceStart('Host32manager', 4);
DeleteService('Host32manager');
SetServiceStart('FirewallIntegrityChecker', 4);
DeleteService('FirewallIntegrityChecker');
SetServiceStart('dsp', 4);
DeleteService('dsp');
SetServiceStart('DiskAnalysis', 4);
DeleteService('DiskAnalysis');
TerminateProcessByName('C:\ProgramData\Sysconfig\Sysconfig.exe');
QuarantineFile('C:\ProgramData\Sysconfig\Sysconfig.exe','');
TerminateProcessByName('C:\Users\Default\AppData\Local\Microsoft\Super Fitch x86\SuperFitch_x86.exe');
QuarantineFile('C:\Users\Default\AppData\Local\Microsoft\Super Fitch x86\SuperFitch_x86.exe','');
TerminateProcessByName('C:\Users\Default\AppData\Local\Microsoft\Windows\Officecompiler\Officecompiler.exe');
QuarantineFile('C:\Users\Default\AppData\Local\Microsoft\Windows\Officecompiler\Officecompiler.exe','');
TerminateProcessByName('C:\Users\Default\AppData\Roaming\Microsoft\Windows\Microsoap File Manager\MicrosoapFileManager.exe');
QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Windows\Microsoap File Manager\MicrosoapFileManager.exe','');
TerminateProcessByName('C:\Users\Default\AppData\Roaming\Microsoft\Windows\Loadmnge32\Loadmnge32.exe');
QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Windows\Loadmnge32\Loadmnge32.exe','');
TerminateProcessByName('C:\ProgramData\Host32manager\Host32manager.exe');
QuarantineFile('C:\ProgramData\Host32manager\Host32manager.exe','');
TerminateProcessByName('C:\ProgramData\Firewall Integrity Checker\FirewallIntegrityChecker.exe');
QuarantineFile('C:\ProgramData\Firewall Integrity Checker\FirewallIntegrityChecker.exe','');
TerminateProcessByName('C:\Users\Default\AppData\Local\Microsoft\Windows\Default settings protector\dsp.exe');
QuarantineFile('C:\Users\Default\AppData\Local\Microsoft\Windows\Default settings protector\dsp.exe','');
TerminateProcessByName('C:\ProgramData\Disk Analysis\DiskAnalysis.exe');
QuarantineFile('C:\ProgramData\Disk Analysis\DiskAnalysis.exe','');
DeleteFile('C:\ProgramData\Disk Analysis\DiskAnalysis.exe','32');
DeleteFile('C:\Users\Default\AppData\Local\Microsoft\Windows\Default settings protector\dsp.exe','32');
DeleteFile('C:\ProgramData\Firewall Integrity Checker\FirewallIntegrityChecker.exe','32');
DeleteFile('C:\ProgramData\Host32manager\Host32manager.exe','32');
DeleteFile('C:\Users\Default\AppData\Roaming\Microsoft\Windows\Loadmnge32\Loadmnge32.exe','32');
DeleteFile('C:\Users\Default\AppData\Roaming\Microsoft\Windows\Microsoap File Manager\MicrosoapFileManager.exe','32');
DeleteFile('C:\Users\Default\AppData\Local\Microsoft\Windows\Officecompiler\Officecompiler.exe','32');
DeleteFile('C:\Users\Default\AppData\Local\Microsoft\Super Fitch x86\SuperFitch_x86.exe','32');
DeleteFile('C:\ProgramData\Sysconfig\Sysconfig.exe','32');
DeleteFile('C:\Windows\cpu.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи версией 4.43, предварительно обновив ее базы
Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
Вот логи (АВЗ обновил):
Скопируйте текст ниже в Блокнот и сохраните как файл с названием [B]CFScript.txt[/B] [B][COLOR="#0000CD"]в корень диска С[/COLOR][/B]
[code]KillAll::
File::
Driver::
Folder::
C:\ProgramData\Sysconfig
C:\Users\Default\AppData\Local\Microsoft\Super Fitch x86
C:\Users\Default\AppData\Local\Microsoft\Windows\Officecompiler
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Microsoap File Manager
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Loadmnge32
C:\ProgramData\Host32manager
C:\ProgramData\Firewall Integrity Checker
C:\Users\Default\AppData\Local\Microsoft\Windows\Default settings protector
C:\ProgramData\Disk Analysis
Registry::
FileLook::
DirLook::[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[img]http://savepic.org/5315621m.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
Вот:
Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
Вот:
Поместите в карантин МВАМ всё, [B]кроме[/B]
[CODE]Malware.Gen, D:\1 NTFS\Program Files\Adobe\keygen.exe, , [5ef6a39695e78da99b428ae3c739d22e],
Trojan.PWS.OnlineGames, D:\1 NTFS\Program Files\LAII\Alanor.exe, , [5ff5d663d9a3e4520f654cba0cf58a76],
PUP.Optional.OpenCandy, D:\1 NTFS\???°??N?N??·????\DTLite4481-0347.exe, , [9db71a1f047837ff0c352a3c5ca929d7],
Trojan.PWS.OnlineGames, D:\1 NTFS\???°??N?N??·????\alanor.zip, , [04503aff6517fc3a8aeac14554ad4eb2],
PUP.Optional.Installex, D:\1 NTFS\???°??N?N??·????\Download.exe, , [4e06e257fe7e181ed23507179d6446ba],
PUP.Optional.OpenCandy, D:\1 NTFS\???°??N?N??·????\Music\2\directx_Jun2010_redist-aoc-jd.exe, , [e0743108562611254ef3bcaa4abbad53],
PUP.Optional.LoadMoney, D:\1 NTFS\???°??N?N??·????\Music\2\konec-sveta-2013-apokalipsis-po-gollivudski-this-is-the-end-2013.exe, , [163efb3ec1bb9a9c89c22b071ae726da],
RiskWare.Tool.CK, D:\1 NTFS\????N?N??µ??N? ???°??N?N??·????\Downloads\The_Typing_of_the_Dead_[torrents.ru]\???°?±?»?µN????°\???°N?N?_No-CD\The Typing of the Dead ALL VERSIONS NoCD.exe, , [70e4a495bdbfd363ac4dd17f59ac37c9],
PUP.RiskwareTool.CK, D:\1 NTFS\????N?N??µ??N? ???°??N?N??·????\Downloads\Warcraft III + The Frozen Throne (RUS)\KeyGens\02. The Frozen Throne KeyGen.exe, , [e4700d2c6d0fd0661e6e64602ed2e917],
RiskWare.Tool.CK, D:\1 NTFS\????N?N??µ??N? ???°??N?N??·????\Downloads\Battlefield 2 (2005) Repack by Canek77\?????????»???µ????N?\Keygen\Multi-Keygen.exe, , [66ee99a0c3b9e353bc0bbb8c4db857a9],
RiskWare.Tool.CK, D:\1 NTFS\????N?N??µ??N? ???°??N?N??·????\Downloads\Need_For_Speed_Underground2\keygen\keygen.exe, , [d480e158ccb01c1ac007e166ce378977],
RiskWare.Tool.CK, E:\Program Files (x86)\SEGA\The Typing of The Dead\The Typing of the Dead ALL VERSIONS NoCD.exe, , [55ffc3762f4d92a42acf2f21bb4a6799], [/CODE]
Сделал. Теперь процессы [B]ati.exe[/B] и [B]cuda.exe [/B]пропали, а вот процесс [B]cpu.exe[/B] остался, но он сразу вылетает и появляется окно где стоит выбор "Закрыть" или "Найти решение в интернете"(такое вначале происходило и с ati и cuda). Ещё появились какие-то папки на диске (не на котором установлен Windows): [B]Condig.Msi[/B], [B]found.000[/B], [B]MSOCache[/B], [B]$RECYCLE.BIN[/B]. На первых трёх стоит замочек, и когда я попытался открыть [B]found000[/B], то у меня перестал отвечать процесс explorer [B]([/B]пришлось перезагружать компьютер, но он не выключался, завис на экране "Завершение сеанса", выключил зажатой кнопкой вкл\выкл на системном блоке[B])[/B]. И ещё некоторые программы стали долго запускаться (5-10 мин). Вот и всё.:)
[url="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/url]
Сделайте еще раз логи AVZ
[quote="DosuG;1185675"]Condig.Msi, found.000, MSOCache, $RECYCLE.BIN[/quote]Это результат сброса настроек системы после работы ComboFix. Отключите показ защищенных файлов, хотя папку found.000 можно и вообще удалить
Когда я провёл команду в окне "Выполнить" [B]Combofix /Uninstall[/B] у меня выдало ошибку, будто такого файла нет, но с помощью программы [B]OTCleanIt[/B] он вроде как удалился (пропал значок).
Логи AVZ. У меня тут (в окне "Протокол") выскакивает:
[CODE]>>> C:\Windows\core.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
>>> C:\Windows\cpu.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
>>> C:\Windows\cuda.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)[/CODE]
Это выскакивает по мере проведения сбора информации (где-то на середине). Это написал на всякий случай, вдруг. Конечно вы это наверно в логах видите, но, мало ли :D
И насчёт скрытия защищённых папок... Это делается через "Свойства папки=>Вид"? Я там посмотрел, нет такого пункта.
Я просил сделать новые логи, а Вы прислали старый вариант
Вот, извиняюсь, я забыл что оба лога обновляются разными скриптами.:(
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Windows\cuda.exe','');
QuarantineFile('C:\Windows\cpu.exe','');
QuarantineFile('C:\Windows\core.exe','');
TerminateProcessByName('c:\windows\cuda.exe');
QuarantineFile('c:\windows\cuda.exe','');
TerminateProcessByName('c:\windows\core.exe');
QuarantineFile('c:\windows\core.exe','');
TerminateProcessByName('C:\Windows\ati.exe');
QuarantineFile('C:\Windows\ati.exe','');
DeleteFile('C:\Windows\ati.exe','32');
DeleteFile('c:\windows\core.exe','32');
DeleteFile('c:\windows\cuda.exe','32');
DeleteFile('C:\Users\Денис\AppData\Roaming\newnext.me\nengine.dll','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NextLive','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CMD','command');
DeleteFile('C:\Windows\core.exe','32');
DeleteFile('C:\Windows\cpu.exe','32');
DeleteFile('C:\Windows\cuda.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Вот:
Проблема решена?
Да, спасибо Вам огромное! Теперь всё отлично :D
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\programdata\disk analysis\diskanalysis.exe - [B]Trojan.MSIL.Agent.fedb[/B] ( BitDefender: Trojan.GenericKD.1824925 )[*] c:\programdata\firewall integrity checker\firewallintegritychecker.exe - [B]Trojan.MSIL.Agent.fedb[/B] ( BitDefender: Trojan.GenericKD.1824925 )[*] c:\programdata\host32manager\host32manager.exe - [B]Trojan.MSIL.Agent.fedb[/B] ( BitDefender: Trojan.GenericKD.1824925 )[*] c:\programdata\sysconfig\sysconfig.exe - [B]Trojan.MSIL.Agent.fedb[/B] ( BitDefender: Trojan.GenericKD.1824925 )[*] c:\users\default\appdata\local\microsoft\super fitch x86\superfitch_x86.exe - [B]Trojan.MSIL.Agent.fedb[/B] ( BitDefender: Trojan.GenericKD.1824925 )[*] c:\users\default\appdata\local\microsoft\windows\default settings protector\dsp.exe - [B]Trojan.MSIL.Agent.fedb[/B] ( BitDefender: Trojan.GenericKD.1824925 )[*] c:\users\default\appdata\local\microsoft\windows\officecompiler\officecompiler.exe - [B]Trojan.MSIL.Agent.fedb[/B] ( BitDefender: Trojan.GenericKD.1824925 )[*] c:\users\default\appdata\roaming\microsoft\windows\loadmnge32\loadmnge32.exe - [B]Trojan.MSIL.Agent.fedb[/B] ( BitDefender: Trojan.GenericKD.1824925 )[*] c:\users\default\appdata\roaming\microsoft\windows\microsoap file manager\microsoapfilemanager.exe - [B]Trojan.MSIL.Agent.fedb[/B] ( BitDefender: Trojan.GenericKD.1824925 )[*] c:\windows\core.exe - [B]not-a-virus:RiskTool.Win32.BitCoinMiner.ngs[/B] ( DrWEB: Tool.BtcMine.290, BitDefender: Gen:Variant.Strictor.51862, AVAST4: Win32:Malware-gen )[*] c:\windows\cpu.exe - [B]Trojan.Win32.Crypt.cuq[/B] ( BitDefender: MemScan:Application.BitCoinMiner.BK, AVAST4: Win32:Malware-gen )[*] c:\windows\cuda.exe - [B]not-a-virus:RiskTool.Win32.BitCoinMiner.jtz[/B] ( DrWEB: Tool.BtcMine.243, AVAST4: Win32:Malware-gen )[/LIST][/LIST]