Сильно тормозит Windows (Процессор грузится на 100% - svchost.exe - 75%) + есть подозрения на вирусы

Здравствуйте!
Недавно убрал порно баннер, вроде бы почистил всё за ним
Но сейчас процессор стал грузится на 100%, в основе svchost.exe, да и система стала заметно тормозить
Помогите плз
Заранее благодарен

Отключить восстановление системы, защитное ПО.
Профиксить:
[CODE]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\e64966e6.exe,\\?\globalroot\systemroot\system32\VSvJuQF.exe,\\?\globalroot\systemroot\system32\BACPKtV.exe,\\?\globalroot\systemroot\system32\77JfPcD.exe,
[/CODE]
Выполнить скрипт:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\Дом\application data\netprotocol.exe');
QuarantineFile('C:\WINDOWS\system32\VSvJuQF.exe','');
QuarantineFile('C:\WINDOWS\system32\e64966e6.exe','');
QuarantineFile('C:\WINDOWS\system32\drwat32.exe','');
QuarantineFile('C:\DOCUME~1\F184~1\LOCALS~1\Temp\jxhewe.exe','');
QuarantineFile('C:\DOCUME~1\F184~1\LOCALS~1\Temp\esp1E0.tmp','');
QuarantineFile('C:\WINDOWS\system32\BACPKtV.exe','');
QuarantineFile('C:\WINDOWS\system32\77JfPcD.exe','');
QuarantineFile('c:\documents and settings\Дом\application data\netprotocol.exe','');
DeleteFile('c:\documents and settings\Дом\application data\netprotocol.exe');
DeleteFile('\\?\globalroot\systemroot\system32\77JfPcD.exe');
DeleteFile('\\?\globalroot\systemroot\system32\BACPKtV.exe');
DeleteFile('C:\DOCUME~1\F184~1\LOCALS~1\Temp\jxhewe.exe');
DeleteFile('C:\WINDOWS\system32\drwat32.exe');
DeleteFile('C:\WINDOWS\system32\e64966e6.exe');
DeleteFile('\\?\globalroot\systemroot\system32\VSvJuQF.exe');
StopService('Netprotocol');
DeleteService('Netprotocol');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(13);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится. Карантин загрузить по красной ссылке. Логи повторить. Какие проблемы наблюдаются?

+ к [B]ARMA9000[/B],
Выполните в АВЗ:
[CODE]begin
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('A7CDDCDC-BEEB-4685-A062-978F5E07CEEE');
DelBHO('C5428486-50A0-4a02-9D20-520B59A9F9B3');
DelBHO('C5428486-50A0-4a02-9D20-520B59A9F9B2');
QuarantineFile('C:\Program Files\plugin.exe','');
QuarantineFile('C:\Program Files\AutoClickExtreme\AutoClicker.exe','');
QuarantineFile('C:\Documents and Settings\Дом\Рабочий стол\avtonakrytka\TakRuClicker.exe','');
QuarantineFile('C:\Documents and Settings\Дом\Главное меню\Программы\Автозагрузка\wwwzuc32.exe','');
QuarantineFile('C:\Documents and Settings\Дом\Главное меню\Программы\Автозагрузка\sysfbm32.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\REGSYS.SYS','');
QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe','');
DeleteFile('C:\Documents and Settings\Дом\Главное меню\Программы\Автозагрузка\sysfbm32.exe');
DeleteFile('C:\Documents and Settings\Дом\Главное меню\Программы\Автозагрузка\wwwzuc32.exe');
DeleteFile('C:\Program Files\plugin.exe');
DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
DeleteService('FCI');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Аналогично, карантин загрузить.

Всё сделал
1)Система тормозит не так сильно, т.е вообще почти не тормозит
2)spoolsv.exe грузит процессор на 50% и аналогично svchost.exe - тоже на 50% = 100%
3)При запуске Windows система зависает, работает только диспетчер задач, в нём я убиваю процесс drwtsn32.exe (Отладчик DrWatson) после этого система начинает работать
Карантин залил по ссылке

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите Антивирус и Файрвол.

В AVZ выполните скрипт:

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\netprotocol.dll','');
QuarantineFile('C:\DOCUME~1\F184~1\LOCALS~1\Temp\jxhewe.exe','');
DelBHO('{0821580C-9ED5-FBAB-D85A-AA69820A55F7}');
QuarantineFile('C:\Documents and Settings\Дом\Рабочий стол\avtonakrytka\TakRuClicker.exe','');
DeleteFile('C:\Documents and Settings\Дом\Главное меню\Программы\Автозагрузка\sysfbm32.exe');
DeleteFile('C:\Documents and Settings\Дом\Главное меню\Программы\Автозагрузка\wwwzuc32.exe');
DeleteFile('C:\WINDOWS\system32\drwat32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Dr.Watson');
DeleteFile('C:\DOCUME~1\F184~1\LOCALS~1\Temp\esp1E0.tmp');
DeleteFile('C:\DOCUME~1\F184~1\LOCALS~1\Temp\jxhewe.exe');
DeleteFile('C:\WINDOWS\system32\netprotocol.dll');
DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
DeleteFile('C:\WINDOWS\Tasks\Windows Update.job');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('FCI');
BC_Activate;
RebootWindows(true);
end.
[/code]



После перезагрузки

[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Логи повторите.

quarantine.zip пустой и весит 1 кб
Отладчик ядра вроде бы впорядке, но Демон Тулз из за него не запускается
Пока spoolsv.exe грузит на 50% процессор но svchost впорядке
Логи сделал

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\DOCUME~1\F184~1\LOCALS~1\Temp\esp1E0.tmp','');
DeleteFile('C:\DOCUME~1\F184~1\LOCALS~1\Temp\esp1E0.tmp');
BC_ImportAll;
BC_DeleteFile('C:\DOCUME~1\F184~1\LOCALS~1\Temp\esp1E0.tmp');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторныЙ лог virusinfo_syscheck.zip;
- Скачайте [URL="http://www.xs4all.nl/~fstaal01/downloads/regsearch.zip"]http://www.xs4all.nl/~fstaal01/downloads/regsearch.zip[/URL],распакуйте, запустите, в первую строчку введите esp1E0.tmp и нажмите ОК, откроется текстовый файл, запакуете его и приложите сюда.

Всё сделал

Выполните Скрипт:[CODE]begin
RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Control\Print\Providers\6D687226');
RegKeyDel('HKLM', 'SYSTEM\ControlSet003\Control\Print\Providers\6D687226');
RegKeyDel('HKLM', 'SYSTEM\ControlSet004\Control\Print\Providers\6D687226');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\6D687226');
DeleteFile('C:\DOCUME~1\F184~1\LOCALS~1\Temp\esp1E0.tmp');
ExecuteSysClean;
RegSearch('HKLM', '', 'esp1E0.tmp');
SaveLog(GetAVZDirectory + 'avz.log');
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
Повторите лог [B]virusinfo_syscheck.zip [/B]
И прикрепите к сообщению файл [B]avz.log[/B] -- будет лежать в папке с АВЗ.

Готово

Выполните скрипт:
[CODE]begin
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Дом\Главное меню\Программы\Автозагрузка\wwwzuc32.exe','');
DeleteFile('C:\Documents and Settings\Дом\Главное меню\Программы\Автозагрузка\wwwzuc32.exe');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]

[CODE]Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)[/CODE]
Нужно поставить SP3 (может потребоваться активация) + последующие обновления,
иначе зараза так и будет к Вам липнуть.
Поставьте IE 8, даже если им не пользуетесь/
Также обновите Java
И поставьте Acrobat Reader 9.3.

после обновления - логи повторите

SP3 поставил + обновил Java + Акробата + ИЕ 8-ку
Логи сделал

Отключить восстановление системы, защитное ПО.
Выполнить скрипт:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Дом\Главное меню\Программы\Автозагрузка\wwwzuc32.exe','');
DeleteFile('C:\Documents and Settings\Дом\Главное меню\Программы\Автозагрузка\wwwzuc32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\Documents and Settings\Дом\Главное меню\Программы\Автозагрузка\wwwzuc32.exe');
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится. Логи повторить.
+ выполните еще скрипт:
[CODE]
begin
QuarantineFile('C:\Documents and Settings\Дом\Рабочий стол\такр\222\TopGen.exe.BAK','');
QuarantineFile('C:\Program Files\Alcohol Soft\Alcohol 120\Alcohol.exe.BAK','');
QuarantineFile('C:\Documents and Settings\Дом\Рабочий стол\такр\TopGen.exe.BAK','');
QuarantineFile('C:\Program Files\HardCopy Pro\HardCopy Pro.exe.BAK','');
end.
[/CODE]
Карантин загрузите по красной ссылке.

Сделал + залил карантин

Плохого не увидел. Жалобы имеются?

Система не тормозит, [B]огромное спасибо[/B] всем кто помогал

P.S Если не сложно то просветите меня что такое spoolsv.exe и можно ли убивать этот процесс?

[QUOTE=pavbest8;634757]
P.S Если не сложно то просветите меня что такое spoolsv.exe и можно ли убивать этот процесс?[/QUOTE]
Ни в коем случае удалять нельзя. [B]spoolsv[/B].[B]exe[/B] - [B]это[/B] Диспетчер очереди печати.

Залил по красной ссылке, имя - 100510_014514_spoolsv_4be72cea2180f.zip пароль virus
Вроде всё правильно сделал

Ещё раз всем спасибо

Пришлите, пожалуйста, его нам на анализ.
____________
Файл чистый.
Попробуйте вот что еще:
1)Очистить очередь печати на MS Office
2)Виновен Adobe Acrobat, нужно снести, или поставить новую версию (возможно виновен)
3)Выяснить, не отправляет ли вам по сети кто-нибудь на печать файлы. Это может провоцировать скапливание очереди печати. Очистить очередь, на всякий случай.
Попробуйте выполнить это. О результате отпишитесь.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]33[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\дом\application data\netprotocol.exe - [B]Backdoor.Win32.Buterat.iv[/B] ( DrWEB: Trojan.Click1.1201, BitDefender: Gen:Heur.Krypt.29, AVAST4: Win32:MalOb-AR [Cryp] )[*] c:\documents and settings\дом\главное меню\программы\автозагрузка\sysfbm32.exe - [B]Backdoor.Win32.Bredolab.efh[/B] ( AVAST4: Win32:Crypt-GIQ [Drp] )[*] c:\documents and settings\дом\главное меню\программы\автозагрузка\wwwzuc32.exe - [B]Trojan-Dropper.Win32.Agent.caju[/B] ( DrWEB: Trojan.Botnetlog.126, BitDefender: Gen:Variant.Koobface.1, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\documents and settings\дом\главное меню\программы\автозагрузка\wwwzuc32.exe - [B]Trojan-Proxy.Win32.Small.agr[/B] ( DrWEB: Trojan.Proxy.15152, BitDefender: Trojan.Generic.3837412 )[*] c:\windows\system32\bacpktv.exe - [B]Trojan.Win32.Inject.aptx[/B] ( DrWEB: Trojan.DownLoad.64043, BitDefender: Rootkit.35610, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\drwat32.exe - [B]Trojan-Spy.Win32.BZub.hty[/B] ( DrWEB: Trojan.Packed.20087, BitDefender: Rootkit.35489, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\77jfpcd.exe - [B]Trojan-Spy.Win32.Zbot.ajev[/B] ( DrWEB: Trojan.PWS.Ibank.39 )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]