Два процесса (UPHCLEAN.EXE и CSRSS.EXE) забирают всю мощьность процессора. Работать не возможно совсем. :( Первый 70-80%, второй все остальное. Если снять процесс UPHCLEAN.EXE, то все сразу приходит в норму (загрузка ЦП 2%).:O
Логи прилогаю.
Printable View
Два процесса (UPHCLEAN.EXE и CSRSS.EXE) забирают всю мощьность процессора. Работать не возможно совсем. :( Первый 70-80%, второй все остальное. Если снять процесс UPHCLEAN.EXE, то все сразу приходит в норму (загрузка ЦП 2%).:O
Логи прилогаю.
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\twex.exe','');
DeleteService('tcpsr');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
DeleteService('ati7ucxx');
DeleteService('ati6saxx');
DeleteService('ati4ucxx');
DeleteService('ati4lsxx');
DeleteService('ati3tbxx');
DeleteService('ati3gjxx');
DeleteService('ati2pwxx');
DeleteService('ati0xexx');
DeleteService('ati0wexx');
DeleteService('ati0ipxx');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati7ucxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati6saxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati4ucxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati4lsxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati3tbxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati3gjxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati2pwxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati0xexx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati0wexx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati0ipxx.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0ipxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0wexx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0xexx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2pwxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3gjxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3tbxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4lsxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4ucxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6saxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7ucxx.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\system32\twex.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
Скрипт выполнил. Но к сожалению, перед выполнением забыл отключить востановление системы. Если это критично повторю операции. Отправил карантин. Прикрепляю новые логи
логи
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\linkdel.cmd','');
DeleteService('mamotou');
DeleteFile('C:\WINDOWS\system32\DRIVERS\mamotou.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
Карантин отправил.
В логах чисто, установите SP3+all updates...
Огромное Вам спасибо :clapping:
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\twex.exe - [B]Trojan-Spy.Win32.Zbot.oka[/B][/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]