Процес System и SPIDERML.EXE съедают всю память

Printable View

17.11.2010, 23:59
Petr1961

Процес System и SPIDERML.EXE съедают всю память

Компьютер сильно тормозит процесы SPIDERML.EXE 100 000KB System 90000KB iexplorer.exe 57000kb Проверил на вирусы AVPTool и Dr.Web не помогло выполнил операции с AVZ и HiJackThis файлы прилагаю . Если можете помогите .Заранее спасибо
18.11.2010, 07:15
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[COLOR="Black"][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в hijackthis[/URL][/COLOR] -

[CODE]R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: Shell=explorer.exe rundll32.exe tapi.nfo beforeglav
O1 - Hosts: 210.51.10.184 odnoklassniki.ru
O1 - Hosts: 210.51.10.184 microsof.com
O1 - Hosts: 210.51.10.184 odnoklassniki.ru
O1 - Hosts: 210.51.10.184 microsof.com
O1 - Hosts: 210.51.10.184 odnoklassniki.ru
O1 - Hosts: 210.51.10.184 microsof.com
[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('tapi.nfo','');
QuarantineFile('C:\DOCUME~1\Petr\LOCALS~1\Temp\..\fpkbju.old 0yAAAAAAAA','');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\WINDOWS\system32\16E.exe','');
QuarantineFile('C:\WINDOWS\system32\pr2ak2jb.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\pr2ak2jb.exe');
DeleteFile('C:\DOCUME~1\Petr\LOCALS~1\Temp\..\fpkbju.old');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(16);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.
18.11.2010, 14:55
Petr1961

[B]Petr1961[/B], Скрипты выполнил файл закачал.
18.11.2010, 15:12
olejah

Должен попросить у Вас прощения, случайно в скрипт попал легитимный файл. Нужно сделать следующее - Открыть программу АВЗ - Файл - Просмотр карантина, найти и пометить галочкой следующий файл [B]C:\WINDOWS\system32\pr2ak2jb.exe[/B], нажать кнопку Восстановить отмеченные.

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\WINDOWS\services.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

- повторите логи
18.11.2010, 17:30
Petr1961

Файл востановил скрипт выполнил Извените немного не понял какие действия повторить
18.11.2010, 17:33
olejah

Как в первом сообщении логи, то есть выполнить заново правила диагностики.
18.11.2010, 18:54
Petr1961

Выполнил скрипты АVZ из первого сообщения опять загрузил файл quarantine.zip
которое прислали вы или надо было выполнить диагностику которую я делал в самом начале?
18.11.2010, 18:56
olejah

Нужны новые три лога, как в первом сообщении.
18.11.2010, 19:59
Petr1961

Выполнил логины отпр файлы
18.11.2010, 20:03
olejah

[B]C:\Program Files\PartyGaming\PartyPoker\RunApp.exe[/B] - сами ставили, пользуетесь?
18.11.2010, 20:49
Petr1961

Ставил сын он пользуется я его сейчас удалил
18.11.2010, 20:50
olejah

Больше ничего подозрительного.
18.11.2010, 21:31
Petr1961

Спасибо за проделанную работу . Но пока все тоже процесы имеют тотже размер
и комп переодически тормозит по полной . А что еще может быть кроме вирусов. Может драйверы или вы их тоже проверили
18.11.2010, 21:40
olejah

Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/URL]
19.11.2010, 00:33
Petr1961

Лог сканирования MBAM
19.11.2010, 00:36
olejah

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL]

[CODE]Заражено ключей реестра:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\fci (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> No action taken.

Заражено значений реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\systme (Trojan.Downloader) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> No action taken.

Заражено папок:
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

Заражено файлов:
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\Program Files\ICQToolbar\tbuA\toolbaru.dll (Trojan.BHO) -> No action taken.
[/CODE]
19.11.2010, 12:47
Petr1961

Удалил но пока все тоже. Чтоже это за гадость сидит? Еще не знаю праильно это или нет, когда загружаюсь в безопасном режиме то в пользователях 3 пользователя;Администртор (администратор),Petr (администратор),Гость (отключен) а если в обычном то а пользователях только Petr (администратор) и Гость (отключен)
19.11.2010, 12:58
olejah

Сейчас какие симптомы?
19.11.2010, 14:22
Petr1961

Комп вроде шевелится быстре но всеравно тормозит если откр3-4 окна Экспоера то сразу тормозит Процесы SPIDERML.EXE 110 000KB System 92000KB DWENGINE.EXE 99000KB даже при выключеном антивирусе отключенной сети и выгруженном трее.
Всепроцесы занимают 686МБ памяти вегло 1г оперативки
20.11.2010, 13:51
Petr1961

Может это антивирус шалит? Или всетаки надо переустанвливать винду?
22.11.2010, 13:14
Petr1961

Удалил DW устанавил Avira Antivir все процесы пришли внорму . Спасибо за чистку от вирусов.
23.11.2010, 13:14
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]25[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]