Нетипичная загрузка процессора, возможно вирус.

Утром 01.09.2008 вышел в Интернет с широкополосным доступом. Работал файрвол Agnitum Outpost Firewall Pro 2008 ver. 6.0.2225.232.0465. Заходил на пару сайтов, в том числе на mail.ru для просмотра почты. В это время начал ругаться Outpost, затем при работе Explorer-а выскочила какая-то ошибка. Отключил Интернет, отключил Outpost. Загрузил KAV 7.0.1.325 (базы от 29.06.2008), выскочила ошибка антивируса и попытка отладки (картинки PrtScr могу выслать). Перед последним выключением компа проверял его на вирусы, все было нормально. После перезагрузки компьютера процессор загрузился на 70%, данная нетипичная загрузка продолжается бесконечно долго при каждой перезагрузки компа. Смотрю Диспетчер Задач, в процессах загружается файл LogWatNT.exe. При загрузки в безопасном режиме, процессор работает нормально. При первом входе в безопасный режим выскочила, какая-то ошибка с “Запуском серверных процессов DCOM”, перегрузился опять в безопасный режим, запустил KAV - была попытка отправить отчет об ошибке KAV – потом запустился.
LogWatNT.exe насколько я понимаю это приложение от программ Computer Associates, программы действительно установлены и нужны, но стоят уже более года и никаких проблем ранее не было.
[Служба Event Log Watch (Тип запуска - Авто).
Так продолжается постоянно.
Сделал все как в правилах. Высылаю файлы Вам. AVZ поместила что-то в карантин, если надо могу выслать.
Проверка KAV в безопасном режиме ничего не дала. Проверка CureIT Ver.4.44.5. в безопасном режиме выявила пару троянов во временных файлах.
Также проверял RootkitRevealer-ом, выскочили какие-то строчки из реестра и в том числе (картинку PrtScr могу выслать):
C\Windows\system32\oembios.exe – 01.09.2008 9:53 – 89 Kb – Hidden from Windows API
C\Windows\system32\sysproc64 – 01.09.2008 9:54 – 0 Kb – Hidden from Windows API
C\Windows\system32\sysproc64\sysproc32.sys – 01.09.2008 9:54 – 12.58 Kb – Hidden from Windows API
C\Windows\system32\sysproc64\sysproc86.sys – 01.09.2008 9:54 – 0 Kb – Hidden from Windows API
- все прописано именно тем временем, когда случился сбой. Самое интересное, что данные файлы я вижу через Total Com., но удалить не могу. Могу попробовать поместить их в карантин AVZ и отослать Вам.

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\oembios.exe','');
QuarantineFile('C:\Documents and Settings\Maxcomp\70314.exe','');
DeleteService('SjyPkt');
QuarantineFile('C:\WINDOWS\System32\Drivers\SjyPkt.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\cvintdrv.sys','');
DeleteService('QRLX');
QuarantineFile('C:\DOCUME~1\Maxcomp\LOCALS~1\Temp\QRLX.exe','');
DeleteFile('C:\DOCUME~1\Maxcomp\LOCALS~1\Temp\QRLX.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\SjyPkt.sys');
DeleteFile('C:\Documents and Settings\Maxcomp\70314.exe');
DeleteFile('C:\WINDOWS\system32\oembios.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите лолги ...

ОК. Сейчас сделаю.

Выполнил данный скрипт. После выполнения комп перегрузился, но при перезагрузки после пропажи Рабочего стола задумался немного. После перезагрузки нетипичная загрузка процессора вроде пропала, файл [FONT='Times New Roman']LogWatNT[/FONT][FONT='Times New Roman'].[/FONT][FONT='Times New Roman']exe[/FONT][FONT='Times New Roman']. [FONT=Verdana][SIZE=2]в процессах Диспетчера задач молчит. [/SIZE][/FONT][/FONT]
[FONT='Times New Roman'][FONT=Verdana][SIZE=2]Высылаю новые логи и карантин. В карантин не стал бросать файлы P-Cad-а, т.к. они вроде должны быть чистые от вирусов, а во вторых весят много при том, что я сейчас в Инет выхожу с древнего компа с плохой скоростью Инета.[/SIZE][/FONT][/FONT]
[FONT='Times New Roman'][FONT=Verdana][SIZE=2]Объясните пожалуйста:[/SIZE][/FONT][/FONT]
[FONT='Times New Roman'][FONT=Verdana][SIZE=2]Что за файлы oembios.exe, sysproc32.sys, sysproc86.sys ??[/SIZE][/FONT][/FONT]
[FONT='Times New Roman'][FONT=Verdana][SIZE=2]Какой и где вирус то был?[/SIZE][/FONT][/FONT]
[FONT='Times New Roman'][FONT=Verdana][/FONT][/FONT]
[FONT='Times New Roman'][FONT=Verdana][SIZE=2]Извиняюсь, что долго не отвечал, комп на котором работаю сейчас, ну очень древний, проблемы со связью.[/SIZE][/FONT][/FONT]

в логах ничего зловредного ...

В карантине я смотрю oembios.exe - 0 kb, хотя утром весил 90 kb.
Что за файл oembios.exe не знаешь?
Файлы sysproc32.sys, sysproc86 безвредные?

[QUOTE=Adrian;278563]
Что за файл oembios.exe не знаешь?[/QUOTE]
oembios.exe - Trojan-Spy.Win32.Zbot.eng
[QUOTE=Adrian;278563]
Файлы sysproc32.sys, sysproc86 безвредные?[/QUOTE]
Угу, как воробушки: [url]http://www.avira.com/ru/threats/section/fulldetails/id_vir/4300/tr_spy.zbot.dfr.html[/url]

Всем огромное СПАСИБО!:>

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\oembios.exe - [B]Trojan-Spy.Win32.Zbot.eng[/B] (DrWEB: Trojan.Proxy.2509)[/LIST][/LIST]