Тормозит комп

Printable View

27.09.2010, 21:31
maxi s

Тормозит комп

Сильные тормоза:(, загрузка проца до 100%, недавно была monoca.
27.09.2010, 21:39
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[COLOR="Black"][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в hijackthis[/URL][/COLOR] -

[CODE]R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\e1ef0fc4.exe,C:\WINDOWS\system32\fd8f31ca.exe,C:\WINDOWS\system32\4c7c2ae1.exe,C:\WINDOWS\system32\42662ae2.exe,
[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\les6l232.exe');
QuarantineFile('c:\les6l232.exe','');
QuarantineFile('C:\WINDOWS\system32\e1ef0fc4.exe','');
QuarantineFile('C:\WINDOWS\system32\fd8f31ca.exe','');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('C:\thumbs.db','');
DeleteFile('C:\thumbs.db');
DeleteFile('C:\WINDOWS\system32\fd8f31ca.exe');
DeleteFile('C:\WINDOWS\system32\e1ef0fc4.exe');
BC_ImportAll;
ExecuteSysClean;
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.
27.09.2010, 21:57
maxi s

Сделал, только в архиве оказалось три файла по 50 метров (bcqr00002.dat * bcqr00001.dat * avz00001.dta * их я удалил
27.09.2010, 22:24
olejah

Файл [B]c:\les6l232.exe[/B] запакуйте в zip архив с паролем [B]virus[/B] и пришлите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] над первым сообщением этой темы.
27.09.2010, 22:30
maxi s

[QUOTE=Olejah;713062]Файл [B]c:\les6l232.exe[/B] запакуйте в zip архив с паролем [B]virus[/B] и пришлите по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] над первым сообщением этой темы.[/QUOTE]

Это CureIt
27.09.2010, 22:34
olejah

Повторите логи.
27.09.2010, 23:28
maxi s

Новые логи
27.09.2010, 23:37
olejah

Что с проблемой?
27.09.2010, 23:44
maxi s

[QUOTE=Olejah;713095]Что с проблемой?[/QUOTE]

Проблема все еще актуальна, svchost ест ровно 50% проца:(
27.09.2010, 23:49
olejah

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]полного сканирования МВАМ[/URL]
28.09.2010, 20:56
maxi s

Мбам лог
29.09.2010, 20:24
maxi s

up
30.09.2010, 01:22
thyrex

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url]
[CODE]Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\acm.acmfactory (Adware.WhenU) -> No action taken.
HKEY_CLASSES_ROOT\acm.acmfactory.1 (Adware.WhenU) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{43382522-a846-46f4-ac57-1f71ae6e1086} (Adware.WhenU) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{572fb162-c0ba-4edf-8cff-e3846153b9b0} (Adware.WhenU) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{72a836d1-bc00-43c0-a941-17960e4fb842} (Adware.WhenU) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{127df9b4-d75d-44a6-af78-8c3a8ceb03db} (Adware.WhenU) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{df901432-1b9f-4f5b-9e56-301c553f9095} (Adware.WhenU) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken.
HKEY_CLASSES_ROOT\AppID\ACM.dll (Adware.WhenU) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> No action taken.
HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenU) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FieryAds (Adware.FieryAds) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SaveNow (Adware.WhenU) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave (Adware.WhenU) -> No action taken.

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system32\95d31b85.exe,) Good: (userinit.exe) -> No action taken.

Зараженные папки:
C:\Documents and Settings\Администратор\Application Data\FieryAds (Adware.FieryAds) -> No action taken.
C:\Program Files\Save (Adware.WhenU) -> No action taken.
C:\Documents and Settings\Администратор\Главное меню\Программы\WhenU (Adware.WhenU) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Application Data\Bron.tok-10-22 (Worm.Brontok) -> No action taken.

Зараженные файлы:
C:\Program Files\Save\save.cch (Adware.WhenU) -> No action taken.
C:\Program Files\Save\save.db (Adware.WhenU) -> No action taken.
C:\Program Files\Save\save.htm (Adware.WhenU) -> No action taken.
C:\Program Files\Save\SaveNowupdate.exe (Adware.WhenU) -> No action taken.
C:\Program Files\Save\store.db (Adware.WhenU) -> No action taken.
C:\Documents and Settings\Администратор\Главное меню\Программы\WhenU\Customer Support.lnk (Adware.WhenU) -> No action taken.
C:\Documents and Settings\Администратор\Главное меню\Программы\WhenU\Learn More About WhenU Save.url (Adware.WhenU) -> No action taken.
C:\Documents and Settings\Администратор\Главное меню\Программы\WhenU\Learn More About WhenU SaveNow.url (Adware.WhenU) -> No action taken.
C:\Documents and Settings\Администратор\Главное меню\Программы\WhenU\Uninstall Instructions.lnk (Adware.WhenU) -> No action taken.
C:\Documents and Settings\Администратор\Главное меню\Программы\WhenU\WhenU.com Website.url (Adware.WhenU) -> No action taken.
C:\Documents and Settings\Администратор\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Documents and Settings\Администратор\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.[/CODE]

Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
30.09.2010, 22:25
maxi s

Сделал все вышеуказанное, вроде прошло:)
03.10.2010, 15:28
olejah

[B]c:\windows\System32\sfcfiles.dll[/B] - проверьте наличие этого файла.
03.10.2010, 22:50
thyrex

Файла не будет. Восстановите его с дистрибутива [url]http://virusinfo.info/showthread.php?t=51654[/url]

Скопируйте текст ниже в блокнот и сохраните как файл с названием [B]CFScript.txt[/B] на рабочий стол.
[code]KillAll::

File::

Driver::
gfazzi

NetSvc::
gfazzi

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1972:TCP"=-

FileLook::

DirLook::[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[img]http://virusnet.info/images/cfscript.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
04.10.2010, 22:50
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]