Комп начал сильно тормозить, svhost жрет 90% процессорного времени

Printable View

26.01.2012, 00:06
Egorik

Вложений: 3

Комп начал сильно тормозить, svhost жрет 90% процессорного времени

Просьба посмотреть логи
26.01.2012, 00:07
Info_bot

Уважаемый(ая) [B]Egorik[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"] правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
26.01.2012, 09:50
Nikkollo

Пофиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"](как пофиксить)[/URL]:
[CODE]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\apppatch\lixixpd.exe,
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\apppatch\lixixpd.exe
O4 - HKCU\..\Policies\Explorer\Run: [run] C:\WINDOWS\apppatch\lixixpd.exe
O4 - Startup: SfWqEcFxStQ.exe

[/CODE]

Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('J:\setup.exe','');
QuarantineFile('J:\autorun.inf','');
QuarantineFile('C:\WINDOWS\apppatch\lixixpd.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\VSPE.sys','');
DeleteFile('C:\WINDOWS\apppatch\lixixpd.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','System');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','run');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

[/CODE]
Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Загрузитесь в безопасном режиме [URL="http://virusinfo.info/showthread.php?t=9279"](как загрузиться)[/URL].

Сделайте заново в безопасном режиме лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела Диагностика правил) и приложите в теме.
27.01.2012, 00:43
Egorik

Вложений: 2

В безопасном режиме загрузиться не смог, логи сделал в обычном
27.01.2012, 09:55
Nikkollo

Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
var StartupFolder:string;
begin
StartupFolder:= RegKeyStrParamRead('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders','Startup');
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
QuarantineFile(StartupFolder + '\SfWqEcFxStQ.exe','');
DeleteFile(StartupFolder + '\SfWqEcFxStQ.exe');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

[/CODE]
Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Сделайте заново лог HijackThis (пункт 3 раздела Диагностика правил) и приложите в теме.
28.01.2012, 01:49
Egorik

Вложений: 1

Сделал
28.01.2012, 13:25
Nikkollo

Что с проблемой?

[size="1"][color="#666686"][B][I]Добавлено через 39 секунд[/I][/B][/color][/size]

В безопасном режиме загружается?
10.03.2012, 10:41
Egorik

Вложений: 3

Проблема опять проявилась
в безопасном режиме не загружается - уходит в перезагрузку.
10.03.2012, 15:03
thyrex

Сделайте логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]
10.03.2012, 21:14
Egorik

Вложений: 2

сделал
11.03.2012, 11:18
Techno

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\a.txt','');
QuarantineFile('C:\plg.txt','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Domino Web Access\GreenChristmasTree.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\C402icU9ItA.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\d5a4kl1od.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Temporary Internet Files\Content.IE5\3M8H43SR\files_load2[1].exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\____991.exe','');
DeleteFile('C:\plg.txt');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\C402icU9ItA.exe');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\d5a4kl1od.exe');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Temporary Internet Files\Content.IE5\3M8H43SR\files_load2[1].exe');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\____991.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','files_load2[1].exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','____991.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Green Christmas Tree');
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\9vO3wAguztYiHFe','*',true);
DeleteFileMask('C:\9vO3wAguztYiHFe','*',true);
DeleteFileMask('C:\cVd1vWcuENuz4Uk','*',true);
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\MicroST','*',true);
DeleteFileMask('C:\AmHEv9Wh1XA6rXi','*',true);
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\9vO3wAguztYiHFe');
DeleteDirectory('C:\9vO3wAguztYiHFe');
DeleteDirectory('C:\cVd1vWcuENuz4Uk');
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\MicroST');
DeleteDirectory('C:\AmHEv9Wh1XA6rXi');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

[COLOR="#FF0000"]Компьютер перезагрузится[/COLOR]

[B]После перезагрузки:[/B]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы.

Файл [B]C:\a.txt[/B] - знаком?

Повторите логи АВЗ и РСИТ.
11.03.2012, 23:02
Egorik

Вложений: 4

Сделал
Файл C:\a.txt не знаком, в нем было:
1 248 93 51

1 192 83 33

удалил его

после лечения очень сильно тормозит клавиатура и мышь - задержка до 10 сек
12.03.2012, 10:11
Techno

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\AppPatch\lixixpd.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\1346.tmp','');
QuarantineFile('C:\Program Files\Glary Utilities\initialize.exe','');
QuarantineFile('C:\systemhost\24FC2AE31AC.exe','');
QuarantineFile('c:\windows\whiskas.scr','');
DeleteFile('C:\WINDOWS\AppPatch\lixixpd.exe');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\1346.tmp');
DeleteFile('C:\systemhost\24FC2AE31AC.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Bluetooth Connection Assistant');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\Admin\Local Settings\Temp\1346.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\AppPatch\lixixpd.exe');
DeleteFileMask('C:\systemhost','*',true);
DeleteDirectory('C:\systemhost');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

[COLOR="#FF0000"]Компьютер перезагрузится[/COLOR]

[B]После перезагрузки:[/B]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы.

[B]c:\windows\whiskas.scr[/B] - знакомо?

[URL="http://virusinfo.info/showthread.php?t=53070"][B]Сделайте лог полного сканирования MBAM[/B][/URL].

[URL="http://support.kaspersky.ru/viruses/solutions?qid=208636926"]Сделайте лог TDSSKiller[/URL]
14.03.2012, 08:17
Egorik

Вложений: 2

Сделал.
c:\windows\whiskas.scr - это заставка для рабочего стола с котенком, жена скачала в интернете давно.

мышь и клава больше не тормозят
14.03.2012, 10:30
Techno

[URL="http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584"]Удалите в MBAM[/URL]:
[CODE]C:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\40\2a3ba328-58efef63 (Trojan.Agent.PE5) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Local Settings\Temp\3D57.tmp (Trojan.Agent.PE5) -> Действие не было предпринято.
c:\documents and settings\admin\главное меню\программы\автозагрузка\6ea6nrs8.exe (Spyware.Zbot.ES) -> Действие не было предпринято.

Z:\Soft\Лекарства\avz4\avz4\Quarantine\2012-01-28\avz00001.dta (Trojan.Agent.PE5) -> Действие не было предпринято.
Z:\Soft\Лекарства\avz4\avz4\Quarantine\2012-01-28\bcqr00001.dat (Trojan.Agent.PE5) -> Действие не было предпринято.
Z:\Soft\Лекарства\avz4\avz4\Quarantine\2012-01-28\bcqr00002.dat (Trojan.Agent.PE5) -> Действие не было предпринято.
Z:\Soft\Лекарства\Новая папка\backups\backup-20120126-234909-965-SfWqEcFxStQ.exe (Trojan.Agent.PE5) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.[/CODE]

Логи MBAM и РСИТ повторите.
15.03.2012, 08:14
Egorik

Вложений: 3

сделал
15.03.2012, 10:43
Techno

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\dmgr134.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\4087deff.sys','');
DeleteFile('C:\WINDOWS\dmgr134.sys');
DeleteService('dmgr134');
DeleteFileMask('C:\WINDOWS\system32\lowsec','*',true);
DeleteDirectory('C:\WINDOWS\system32\lowsec');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

[COLOR="#FF0000"]Компьютер перезагрузится[/COLOR]

[B]После перезагрузки:[/B]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы.

Что с проблемами?

Повторите РСИТ.
15.03.2012, 22:45
Egorik

Вложений: 2

Готово
Проблема вроде не проявляется больше
01.05.2012, 21:29
Egorik

Вложений: 3

Опять выскочил блокиратор, требует пополнтьб счет чужого мобильного
прошел kaspersky rescue cd,
просьба посмотреть не осталось ли заразы
01.05.2012, 22:24
Techno

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\abwWyRx0I48.exe','');
QuarantineFile('C:\WINDOWS\system32\uhjprbc.dll','');
DeleteFile('C:\WINDOWS\system32\uhjprbc.dll');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\abwWyRx0I48.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

[COLOR="#FF0000"]Компьютер перезагрузится[/COLOR]

[B]После перезагрузки:[/B]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы.

- Повторите логи АВЗ.

- [URL="http://virusinfo.info/showthread.php?t=115256"]Сделайте лог RSIT[/URL].
01.05.2012, 23:02
Egorik

Вложений: 2

Готово
01.05.2012, 23:10
Techno

???
[quote="Techno;887299"]- Повторите логи АВЗ.[/quote]
02.05.2012, 02:09
Egorik

Вложений: 2

упс, не заметил -)
03.05.2012, 14:13
Techno

[URL]https://c5zodjqs.mo.gazprombank.ru[/URL] - адрес знаком?

Удалите вручную:
[CODE] C:\plg.txt
C:\Documents and Settings\Admin\Application Data\b4RJh27VYx4FJfk
C:\b4RJh27VYx4FJfk[/CODE]

[COLOR=#FF0000]Смените все пароли!!![/COLOR]

Установите все доступные [URL="http://www.update.microsoft.com/"]обновления для Windows[/URL]

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в AVZ[/URL] скрипт из файла [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]
- Откройте файл [B]avz_log.txt[/B] из под-папки [B]LOG[/B].
- Пройдитесь по ссылкам из файла [B]avz_log.txt[/B] и установите важные обновления.
- Перезагрузите компьютер.
- Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

Что с проблемами?
04.05.2012, 01:55
Egorik

Все проапдейтил кроме обновления для Windows

Вылазит такая ошибка:

[Код ошибки: 0x80070002]
Ошибка на веб-узле. Невозможно отобразить страницу. Предоставленные ниже варианты, возможно, помогут устранить эту проблему.
Варианты самостоятельного устранения проблемы

Вопросы и ответы

Найти решения

Группа новостей Windows Update
Варианты технической поддержки

Microsoft Online Assisted Support (бесплатно по вопросам относительно веб-узла Windows Update)

Пробовал исправить как написано тут
[url]http://www.alleon.name/?p=513[/url]
и тут
[url]http://support.microsoft.com/kb/956701[/url]

не помогло.
вирус мог повредить возможность обновления windows?
04.05.2012, 10:55
Techno

[quote="Egorik;887693"]вирус мог повредить возможность обновления windows?[/quote]
Не обязательно вирус... Попробуйте скачать оффлайн обновление...

???
[quote="Techno;887558"]https://c5zodjqs.mo.gazprombank.ru - адрес знаком?[/quote]
05.05.2012, 10:55
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]6[/B][*]Обработано файлов: [B]56[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\admin\\главное меню\\программы\\автозагрузка\\abwwyrx0i48.exe - [B]Trojan-Spy.Win32.Carberp.khz[/B] ( DrWEB: Trojan.DownLoader6.5096, BitDefender: Gen:Variant.Kazy.68195, AVAST4: Win32:MalOb-KL [Trj] )[*] c:\\documents and settings\\admin\\главное меню\\программы\\автозагрузка\\c402icu9ita.exe - [B]Backdoor.Win32.Gbot.uds[/B] ( DrWEB: Trojan.Carberp.208, BitDefender: Trojan.Generic.7417935, NOD32: Win32/TrojanDownloader.Carberp.AF trojan, AVAST4: Win32:Crypt-LRF [Trj] )[*] c:\\documents and settings\\admin\\главное меню\\программы\\автозагрузка\\d5a4kl1od.exe - [B]Backdoor.Win32.Gbot.ucp[/B] ( DrWEB: Trojan.Carberp.33, BitDefender: Gen:Trojan.Heur.Zbot.6, AVAST4: Win32:MalOb-JT [Cryp] )[*] c:\\documents and settings\\admin\\главное меню\\программы\\автозагрузка\\sfwqecfxstq.exe - [B]Backdoor.Win32.Bredolab.wbt[/B] ( DrWEB: Trojan.Carberp.29, BitDefender: Trojan.Generic.KD.519759, AVAST4: Win32:FakeAlert-CJO [Trj] )[*] c:\\systemhost\\24fc2ae31ac.exe - [B]Trojan-Dropper.Win32.Injector.diqr[/B] ( DrWEB: Trojan.PWS.SpySweep.379, BitDefender: Gen:Variant.Barys.56, AVAST4: Win32:Bot-D [Trj] )[*] c:\\windows\\system32\\uhjprbc.dll - [B]Trojan.Win32.Cidox.gah[/B] ( DrWEB: Trojan.Mayachok.1, BitDefender: Gen:Variant.Barys.2132, AVAST4: Win32:Vundo-RZ [Trj] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]