Загрузка процессора 50%

Printable View

13.04.2010, 09:50
Rail_tot

Загрузка процессора 50%

Здравствуйте!
У меня следующая проблема:
имеется двух ядерный процессор, и на данный момент постоянно загружен на 50 %.
Загружен сл.процессом:
svchost.exe или же ,если не он, то - winlogon.exe
Выполнил сл.действия:
проверил компьютер в безопасном режиме AVPTool. Было найдено много вирусом и удачно удалено. ( в т.ч. был вирус svchost.exe, а так же много вирусов где в названии есть "shiza")
Выполнил 2 скрипта в avz
Выполнил HijackThis
Помогите побороть загрузку процессора.
P.S. загрузка процессора не постоянна, то появляется, то исчезает. Зависимости не нашел.
13.04.2010, 09:57
polword

1. Профиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"]как "профиксить в HiJackThis"[/URL]
[CODE]
F2 - REG:system.ini: UserInit=F:WINDOWSsystem32userinit.exe,F:WINDOWSsystem32sdra64.exe,F:WIND OWSsystem328791d153.exe,\?globalrootsystemrootsystem32oezI6YI.exe,
[/CODE]
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\WINDOWS\system32\mssfc.dll','');
QuarantineFile('\\?\globalroot\systemroot\system32\oezI6YI.exe','');
QuarantineFile('F:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('F:\WINDOWS\system32\8791d153.exe','');
QuarantineFile('F:\WINDOWS\System32\Drivers\sptd.sys','');
TerminateProcessByName('f:\windows\system32\nod32p.exe');
DeleteService('darkness');
QuarantineFile('f:\windows\system32\nod32p.exe','');
DeleteFile('F:\WINDOWS\system32\8791d153.exe');
DeleteFile('F:\WINDOWS\system32\sdra64.exe');
DeleteFile('\\?\globalroot\systemroot\system32\oezI6YI.exe');
QuarantineFile('F:\WINDOWS\system\svchost.exe','');
DeleteFile('F:\WINDOWS\system\svchost.exe');
DeleteFile('f:\windows\system32\nod32p.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL].
13.04.2010, 12:43
Rail_tot

Вложений: 2

Выполнил все действия. (Windows ,если что, стоит у меня на диске F)
13.04.2010, 13:34
polword

1. удалить в MBAM
[CODE]
Зараженные ключи в реестре:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.

Зараженные папки:
F:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

Зараженные файлы:
F:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
F:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
F:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> No action taken.
F:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
F:\Documents and Settings\Admin\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
[/CODE]
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('F:\WINDOWS\system32\mssfc.dll');
QuarantineFile('F:\WINDOWS\system32\sfcfiles.dll','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи virusinfo_syscheck.zip и MBAM
15.04.2010, 16:02
Rail_tot

Выполнил!
Загруз процессора в основном идет сейчас на winlogon.exe
Проверил в Ccleaner целостность реестра, кидаю доп. лог
15.04.2010, 17:13
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
DeleteFile('F:\WINDOWS\system32\mssfc.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_DeleteFile('C:\WINDOWS\System32\mssfc.dll');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- Сделайте повторные логи MBAM и virusinfo_syscheck.zip;
16.04.2010, 08:07
Rail_tot

Сделано.
16.04.2010, 09:06
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('F:\WINDOWS\system32\mssfc.dll');
QuarantineFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_DeleteFile('C:\WINDOWS\System32\mssfc.dll');
BC_Activate;
RebootWindows(true);

end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip;
16.04.2010, 09:22
Rail_tot

Выполнил.
На данный момент проц не загружен....проверю в течении дня...
16.04.2010, 09:48
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('sfc.SYS','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
DeleteFile('C:\WINDOWS\System32\mssfc.dll');
DeleteFile('sfc.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_DeleteFile('C:\WINDOWS\System32\mssfc.dll');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip;
16.04.2010, 13:57
Rail_tot

выполнил.
16.04.2010, 19:24
Rail_tot

winlogon.exe все ещё грузит на 50 %, теперь почти постоянно.
16.04.2010, 21:52
thyrex

Сделайте лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
17.04.2010, 21:52
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]25[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] f:\windows\system32\mssfc.dll - [B]Trojan.Win32.Patched.fr[/B] ( DrWEB: Trojan.WinSpy.663 )[*] f:\windows\system32\sfcfiles.dll - [B]Trojan.Win32.Patched.fr[/B] ( DrWEB: Trojan.WinSpy.663, AVAST4: Win32:Patched-OT [Trj] )[*] \\?\globalroot\systemroot\system32\oezi6yi.exe - [B]Trojan-Dropper.Win32.Shiz.bl[/B] ( DrWEB: Trojan.Packed.20032, BitDefender: Gen:Variant.FakeAlert.4, AVAST4: Win32:Spyware-gen [Spy] )[/LIST][/LIST]