Здравствуйте! Подцепил,по-моему, кучу зверья. В диспетчере задач много непонятных процессов, загрузка ЦП 100%. Компьютер не выключается и не перезагружается программно. Прошу помочь! Заранее спасибо.
К сообщению прилагаю логи.
Printable View
Здравствуйте! Подцепил,по-моему, кучу зверья. В диспетчере задач много непонятных процессов, загрузка ЦП 100%. Компьютер не выключается и не перезагружается программно. Прошу помочь! Заранее спасибо.
К сообщению прилагаю логи.
Прогнал еще раз NOD-ом с обновленными сигатурами базы. Он ничего подозрительного не находит. Однако, судя по логу virusinfo_syscheck "Подозрение на скрытую загрузку библиотек через AppInit_DLLs через файл winmm.dll". Попробую его найти и дропнуть (перед этим его на всяк сохраню на другом диске).
Вообщем процесс devldr32.exe все равно сидит (точнее 20-30 процессов). Не могу отловить источник заразы. И в безопасном режиме тоже никак не получается отключить этот процесс. К тому же, так как нагрузка на ЦП на данный момент составляет 100%, дальнейшая проверка становится просто практически невозможной. Посоветуйте, каким образом можно отключить этот процесс. Пытался также удалить файл Unlocker-ом - попытка претерпела неудачу ((.
Все-таки удалось убить процессы и найти источник. Им оказался сам файл devldr32.exe. Ситуация осложнялась тем, что ни в безопасном, ни в обычном режиме удалить его не получалось из-за того, что зловред маскировался под системный процесс. Пришлось снести драйвера Creative и только так удалось избавиться от процессов, загружающих ЦП на 100%. Потом прогнал Dr.Web в безопасном режиме и он нашел 2 трояна в папке Windows/system32. Теперь сделал еще одни логи. Посмотрите?
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в Hijackthis:[CODE]O20 - Winlogon Notify: crypt - C:\WINDOWS\
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
O20 - Winlogon Notify: WinNt64 - C:\WINDOWS\[/CODE]
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\26285~1\LOCALS~1\Temp\riirub.bak 1nHAPKGEHD','');
QuarantineFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys','');
DeleteService('ws2_32sik');
DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');
DeleteFile('C:\DOCUME~1\26285~1\LOCALS~1\Temp\riirub.bak 1nHAPKGEHD');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин [/B][/COLOR]вверху темы. Очистите темп папки. Сделайте новые логи по правилам
Логи сделал. Почистил все программой CCleaner. Те файлы, что вы поместили в карантин в скрипте, прислать не могу, так как их похоже удалил AVP или Dr Web в ходе очередной проверки. Но в карантин, в ходе проверки AVZ, попали другие файлы, которые я и высылаю.
Здравствуйте еще раз! Вообщем, проблема сохранилась. Источник видно не файл devldr32.exe, а какой-то еще, так как после переустановки драйверов для звука, снова появились многочиленные процессы devldr32.exe, а также постоянно выскакивает окно с сообщением "ошибка при инициализации в .... devldr32.exe". Наверное вирус использует этот файл и плодит процессы. После удаления этого файла - все хорошо, в процессах devldr32.exe нет и все вроде бы чисто (сканировал AVP и CureIt). Однако, что-то мешает нормальному функционированию системы. Как только переустанавливаю драйвера, компонентом которых является файл devldr32.exe,все начинается заново: куча процессов devldr32.exe и полный загруз ЦП. Проверял файл devldr32.exe после установки драйверов - 3-мя антивирусами (NOD, AVP и CureIt) ничего вредноносного не обнаружили. Прошу помочь, а то звук не работает вообще! Прилагаю новые логи.
[QUOTE]Если вдруг на Ваш пост нет ответа дольше одного дня, напомните о себе. Возможно мы не заметили что Вы добавили пост в Вашу тему[/QUOTE]
Напоминаю. Спасибо.
В логах заразы не увидел.
Что ж, проблема решена. Помогло scf /scannow и переустановка драйверов на более новые. Спасибо за содействие.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]