Загрузка ЦП под 100%

Добрый вечер, уважаемые хелперы. Ситуация следующая.
Вчера при нормальной работе ПК выскочило окно с опознавательным знаком от du meter, появилось на секунд 5. Дословно не запомнил, но смысл был в том, что я злостный пират, у меня много не лицензионного ПО, мой IP и то что я буду заражен вирусами :D
От греха, удалил прогу через Uninstall Tool с полной чисткой реестра. Удалялась долго. После перезагрузки, винда долго грузилась, затем и браузер долго стал открываться, а после и любая программа. При этом, процессор по звуку себя не выдал (в порядке вещей).
Затем зашёл в диспетчер задач и увидел загрузка ЦП прыгает от 80-100% :O В списке не было того процесса, который это бы потреблял. И опять же, процессор по звуку себя не выдавал от такой нагрузке.
Затем просканил Вебом, нашёл только заражённые кряки, когда раньше ничего с ними не делал, а проходил мимо. Ситуацию это в корне не поменяло, но стало лучше. Скачки сократились до 60% в спокойном состоянии.

Прощу посмотреть логи. Заранее спасибо.

Уважаемый(ая) [B]Troyanec27[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=57441]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ecc4541b5cc06e47');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteRepair(1);
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
RebootWindows(false);
end.

[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

- Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования МВАМ.[/url]

- Проведите процедуру, которая описана [url=http://virusinfo.info/content.php?r=125-page-uploadclean][B]тут[/B][/url]. Результат загрузки напишите в сообщении здесь.

Файл сохранён как 121219_190327_virusinfo_files_SERGEY-PK_50d20f7fc49d4.zip
Размер файла 11328630
MD5 a6bbce6fc0c1833cfc66877d1e376b37

- [url=http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584]Удалите в MBAM [/url] только

[CODE]Обнаруженные ключи в реестре: 8
HKCR\CLSID\{82184935-B894-4AB2-8590-603BA7D74B71} (Trojan.WebMoner) -> Действие не было предпринято.
HKCR\amerikana.eProtocol (Trojan.WebMoner) -> Действие не было предпринято.
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Действие не было предпринято.

Обнаруженные параметры в реестре: 3
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser|{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Параметры: ;бГzК;XAі0цm»Бµ -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Параметры: -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} (PUP.ToolBar.WA) -> Параметры: -> Действие не было предпринято.
C:\Users\Сергей\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.[/CODE]

- просканируйте заново и приложите новый лог.

- смените пароли!

что с проблемой ?

Сделал как сказали, удалил. Проблема решилась частично, теперь подскакивает на 15-20 %, что раньше было, при нескольких рабочих приложений до 4%, максимум до 7 было.

Прикладываю лог после удаления, как сказано в теме и после нового сканирования.


Да, и ещё при работающем МВАМ фаерволе, стал блокировать IP.
[ATTACH=CONFIG]393174[/ATTACH]
Так же блокирует со скайпа, мозилы, хрома, svchost.

[url=http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584]Удалите в MBAM [/url] только

[CODE]Обнаруженные параметры в реестре: 2
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} (PUP.ToolBar.WA) -> Параметры: -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} (PUP.ToolBar.WA) -> Параметры: Поиск WebAlta -> Действие не было предпринято.
C:\Users\Сергей\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.[/CODE]

после удаления просканируйте заново и приложите новый лог.

В файлах, которые MBAM нашёл в этой папке
[CODE]C:\Users\Сергей\Desktop\всяко разно\geroj\Komplekt\[/CODE]
уверены ? если нет проверьте на [url]http://virustotal.com/[/url]
остальные в каких сомневаетесь тоже.

[LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner (by Xplode)[/B][/COLOR] (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Delete"[/B] и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner[S1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению[/LIST][B]Внимание: [COLOR="Red"]Для успешного удаления может потребоваться [U]перезагрузка компьютера[/U]!!![/COLOR][/B]

Сделал как и просили, прилагаю логи.

По поводу
[CODE]C:\Users\Сергей\Desktop\всяко разно\geroj\Komplekt\[/CODE]
Проверил вирустоталом. Не все антивирусы считают что это вирус, меньше половины только. Но из-за ненадобности я их удалил.

По поводу остальных, такая же история как и в первом варианте, их могу тоже удалить. Хранил программы, на тот случай, если бы в новом билде/версии отсутствовала нужная функция или интерфейс был бы другим и не удобным. Самое интересное то, что в других папках лежат те же самые кейгены/кряки от новых версий и ничего не заражено. Могу удалить всё, что находит, для меня это будет безболезнено.

Вопрос только
[CODE]C:\Windows\KMService.exe (RiskWare.Tool.CK) -> 2216 -> Действие не было предпринято.
C:\Windows\KMService.exe (RiskWare.Tool.CK) -> Действие не было предпринято.[/CODE]

На форумах говорят что это активатор офиса. Тоже могу удалить, если скажите. Жду дальнейших действий.

P.S. Проблема осталась на том же уровне, при написании мной предпоследнего поста.

[quote="Troyanec27;951854"]C:\Windows\KMService.exe (RiskWare.Tool.CK) -> 2216 -> Действие не было предпринято.
C:\Windows\KMService.exe (RiskWare.Tool.CK) -> Действие не было предпринято.[/quote]
это трогать не надо.

[quote="Troyanec27;951854"]Самое интересное то, что в других папках лежат те же самые кейгены/кряки от новых версий и ничего не заражено. Могу удалить всё, что находит, для меня это будет безболезнено.[/quote]
тогда лучше удалите, кроме указанных выше двух строчек.

Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]

Удалил. Сделал лог.

[QUOTE]c:\users\Сергей\AppData\Roaming\Microsoft\Windows\Recent\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt[/QUOTE]
у вас что ещё и файлы заблокированы ?

Скопируйте текст ниже в Блокнот и [COLOR="#0000CD"]сохраните[/COLOR] как файл с названием [B]CFScript.txt[/B] [COLOR="#0000CD"][B]на диск С. [/B][/COLOR]
[code]
KillAll::

File::


Driver::

Folder::


Registry::

Firefox::
FF - prefs.js: browser.search.selectedEngine - Webalta Search
FF - prefs.js: browser.startup.homepage - hxxp://home.webalta.ru
FF - prefs.js: keyword.URL - hxxp://webalta.ru/search?from=FF&q=


FileLook::

DirLook::
Reboot::
[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[img]http://safezone.cc/images/cfscript.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.

[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Search"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner[R1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

[QUOTE=regist;952163]у вас что ещё и файлы заблокированы ? [/QUOTE]

Было дело. Сейчас нет. Вирус зашифровал всю мою коллекцию HD фильмов. Расшифровал. А такой файл был в каждой папке и под папки. Пропустил один. Или по логу ещё что-то от него осталось?

В файле [B]c:\users\Сергей\AppData\Roaming\Mozilla\Firefox\Profiles\8v2x359l.default\prefs.js[/B] удалите строки:
[CODE]browser.search.selectedEngine - Webalta Search
browser.startup.homepage - hxxp://home.webalta.ru
keyword.URL - hxxp://webalta.ru/search?from=FF&q=[/CODE]

Что с проблемами?

[QUOTE=Techno;952702]Что с проблемами?[/QUOTE]
Пока стабильно. 4-7 загрузка, подскакивает иногда до 15. Но этому уже я рад.

МВАМ по прежнему блокирует IP разных процессов, описанных в посте №6.

[quote="Troyanec27;952863"]МВАМ по прежнему блокирует IP разных процессов, описанных в посте №6.[/quote]
Это нормальное его поведение...

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

- [URL="http://virusinfo.info/showthread.php?t=58309&p=500136&viewfull=1#post500136"]Удалите ComboFix.[/URL]

[QUOTE=Techno;952886]Это нормальное его поведение...

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

- [URL="http://virusinfo.info/showthread.php?t=58309&p=500136&viewfull=1#post500136"]Удалите ComboFix.[/URL][/QUOTE]

Не выходит

[ATTACH=CONFIG]393949[/ATTACH]

1) там два способа для удаления комбофикса, воспользуйтесь вторым - утилиткой.
2) MBAM тоже деинсталируйте.
3) - Откройте файл [url=http://df.ru/~kad/ScanVuln.txt][B]ScanVuln.txt[/B][/url]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
4) [url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]

Все сделал. Скачал по ссылке, установил. Уязвимостей больше нету. Webalta правда так и осталась домашней страницей, хотя в браузере гугл прописал.

Проверьте не прописалась ли она в ярлыке браузера...

[QUOTE=Techno;953607]Проверьте не прописалась ли она в ярлыке браузера...[/QUOTE]
А можно по подробней? А то гугл не помогает.

откройте свойства ярлыка и проверьте, чтобы там не было указано ничего лишнего (должен быть только путь для запуска браузера)

[QUOTE=regist;953827]откройте свойства ярлыка и проверьте, чтобы там не было указано ничего лишнего (должен быть только путь для запуска браузера)[/QUOTE]
Так и было. Удалил и все нормально. Спасибо Вам большое. Тему можно закрывать. Или финальные логи надо высылать?

нет, на этом всё :)

Чистого вам интернета!