Загрузка процессора 100%

Процессор загружен на 100% постоянно. Ресурсы распределяются между системными процессами. В Диспетчере задач напротив процессов исчезло имя пользователя. Работать невозможно даже печатаю сейчас с секундной задержкой после каждой буквы. Кис 7, Куреит ничего не нашли. Логи Авз сделать не получается, виснет . Лог Ав ремовал тул вешает систему доходя до 52% , строка Исследование системы. Бестолку, но сделал в безопасном режиме. Лог Hijack в обычном. В данный момент процесс cisvc.exe грузит до 66% проц. Раньше его не было.

Для начала попробуйте пофиксить в HijackThis следующую строку:

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

Это должно снять загрузку процессора. Попытайтесь загрузиться и получить логи AVZ в обычном режиме после выполнения этой процедуры. Сообщите о результате.

Пофиксил не помогло, нагрузка осталась. Свежий лог Hijack прилагаю. Попытаюсь еще раз сделать логи Авз, но это при такой нагрузке пара часов, если под конец не зависнет. Опера просто в режиме ожидания, пока пишу до 82 % грузит, explorer.exe до 19 %, taskmgr.exe до 13%.

Не получается обновить базы Авз. Пишет: main 017 поврежден. Дайте пожалуйста ссылку на переименованный Авз.

AVZ запустилась?
скачайте обновления авз архивом [url]http://z-oleg.com/secur/avz_up/avzbase.zip[/url] ... затем распакуете ...

[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\WPDShServiceObj.dll','');
QuarantineFile('C:\WINDOWS\system32\spoolsv.exe','');
QuarantineFile('C:\WINDOWS\system32\msdtc.exe','');
QuarantineFile('C:\WINDOWS\system32\clipsrv.exe','');
QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил

Пришлите карантин и повторите логи в обычном режиме.

...и C:\Windows\explorer.exe туда же на всякий случай. Можно скопировать в карантин из диспетчера процессов или добавить в скрипт строку [code]QuarantineFile('C:\WINDOWS\explorer.exe');[/code]

Авз обновил, скрипт выполнил, карантин выслал. Сейчас попробую сделать логи.
Кстати при попытке отключения от интернета пишет:
"При отключении подключения произошла ошибка.
Невозможно отключить подключение в данный момент. Возможно, данное подключение использует один из протоколов, которые не поддерживают Plug-and-Play? либо оно было инициированно другим пользователем или системной учетной записью."
Выдернем шнурок .
Explorer следующим карантином вышлю.

[size="1"][color="#666686"][B][I]Добавлено через 14 минут[/I][/B][/color][/size]

Карантин с explorer выслал. Буду вымучивать логи.

clipsrv.exe_,
msdtc.exe_,
ntoskrnl.exe_,
spoolsv.exe_,
WPDShServiceObj.dll
explorer.exe_

Вредоносный код в файлах не обнаружен.

Пока вымучиваются логи, скажите, пожалуйста: давно все это началось? Мне не нравится, что у вашего explorer.exe дата изменения - вчерашний день, и размер на полмегабайта больше положенного.

Спасибо, будем ждать анализа логов. Если получится их сделать. Осталось 1,5 часа до готовности первого.

[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]

Спасибо, будем ждать анализа логов. Если получится их сделать. Осталось 1,5 часа до готовности первого. Началось около недели назад. 3ы Кис ругался как-то: explorer изменен. Закончится приг. лога, пороюсь в отчетах Киса.

[size="1"][color="#666686"][B][I]Добавлено через 59 минут[/I][/B][/color][/size]

Комп повис , лог не закончен. Авз успел один файл упечь в карантин. Высылаю.

Тогда давайте попробуем вот как:

в обычном режиме откройте AVZ - Сервис - Диспетчер процессов. Проверьте по Диспетчеру задач, какие процессы потребляют наибольшее количество ресурсов CPU, и по очереди проделайте с ними следующую процедуру:

выделите процесс в списке Диспетчера процессов одинарным щелчком и в нижней части окна, где появится список DLL, нажмите кнопку Сохранить. Если таких процессов будет больше 1, то при сохранении списка DLL нужно назначить разные имена протоколов.

Проследите, чтобы протокол был сохранен именно для той копии процесса, которая вызывает торможение (проверяйте по PID).

Все полученные протоколы соберите в архив и загрузите сюда.

Кроме этого, давайте пофиксим в HijackThis следующие строки:

[CODE]O4 - HKUS\S-1-5-20\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User '?')
O4 - HKUS\S-1-5-18\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User '?')
O4 - HKUS\.DEFAULT\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'Default user')[/CODE]

Эти команды в любом случае уже выполнены, поскольку вы перезагружались, и теперь только мешают.

Вымучил лог за 16 с половиной часов, ужас. Прилагаю.
Строчки пофиксил. Лог Hijack прилагаю.
P.S. Протоколы dll делать надо?

Давайте.

Протоколы сделал, высылаю. Смотрел сам , криминального вроде ничего нет. Так как комп тормозит, а нагрузка на процессор от процесса скачет, то возможно протоколы сохранены не в пик нагрузки. При загрузке процессора программой, например Авз системные процессы нагрузку на проц. снижают, но общая 100%. Подозрение на железо отпало, на другой логический диск установлена новая ось, летает. Я могу старую конечно снести, но если это все-таки зверек, то хотелось бы разобраться до конца.
P.S Из предистории: перед началом тормозов был установлен файрвол от Аутпост, была пара Бсодов с руганью на файл или драйвер Аутпоста. Аутпост снес, может криво? Есть ли какие-нибудь рекомендации по зачистке компьютера после удаления продуктов от Агнитум.

Нет, остатков Agnitum я у вас не вижу.

AVZ - Файл - Выполнить скрипт, скопировать код, вставить и выполнить:

[CODE]begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\RPCRT4.dll','');
QuarantineFile('C:\WINDOWS\system32\kernel32.dll','');
QuarantineFile('C:\WINDOWS\system32\GDI32.dll','');
end.[/CODE]

Загрузите полученный карантин в соответствии с правилами, посмотрим еще эти файлы на предмет возможной инфекции.

Сейчас у вас вообще есть какой-либо брандмауэр?

Скрипт выполнил. Карантин загрузил. У меня стоит(и стоял) Кис 7.

Присланные файлы тоже чистые.

Вы сказали, что у вас установлено две копии ОС. Посмотрите, пожалуйста, одинакового ли размера C:\WINDOWS\explorer.exe в этих двух системах.

[quote=NickGolovko;305733]Мне не нравится, что у вашего explorer.exe дата изменения - вчерашний день[/quote]
Я с новой системы его воткнул, думал старый глючит. Так что размеры один в один.:(

[size="1"][color="#666686"][B][I]Добавлено через 7 часов 5 минут[/I][/B][/color][/size]

Лекарства нет? Сносить систему?

Ответьте пожалуйста.

Из дистрибутива достаньте.