winesm32.exe в автозагрузке грузит процессор на 100%

[Pyro]

Вот собственно, появился вчера. Антивирусы (Аваст и DrWeb) не помогают. Удаление из автозагрузки тоже не помогает, появляется опять.

Кстати откуда появился не знаю, вроде ничего нового не ставил.

Вот похожая проблема была решена:
http://virusinfo.info/showthread.php?t=72405

Но не стал использовать чужую инструкцию. Надеюсь на вашу помощь.

[thyrex]

Пофиксить в hiJack

Код:

F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe,

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\msconfig.exe','');
 QuarantineFile('C:\Documents and Settings\Pyro\Главное меню\Программы\Автозагрузка\winesm32.exe','');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 DeleteFile('C:\Documents and Settings\Pyro\Главное меню\Программы\Автозагрузка\winesm32.exe');
 DeleteFile('C:\WINDOWS\system32\msconfig.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[Pyro]

Все сделал. Вроде больше не появляется.

Спасибо большое!

Карантин тоже отправил.

[DefesT]

Закройте все программы, выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\sysuser\Logs\SetRights.exe','');
 QuarantineFile('C:\WINDOWS\system32\sysuser\svchost.exe','');
 DeleteService('MSSystem');
 DeleteFile('C:\WINDOWS\system32\sysuser\svchost.exe');
 DeleteFile('C:\WINDOWS\system32\sysuser\Logs\SetRights.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новый лог по правилам virusinfo_syscheck.zip

[Pyro]

Закройте все программы, выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\sysuser\Logs\SetRights.exe','');
 QuarantineFile('C:\WINDOWS\system32\sysuser\svchost.exe','');
 DeleteService('MSSystem');
 DeleteFile('C:\WINDOWS\system32\sysuser\svchost.exe');
 DeleteFile('C:\WINDOWS\system32\sysuser\Logs\SetRights.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новый лог по правилам virusinfo_syscheck.zip

Не пойму. Это нужно сделать с учетом, того что я уже сделал или вы отвечаете на мое первое обращение.

[DefesT]

это дополнение

[thyrex]

Pyro, у Вас LanAgent установлен?

[Pyro]

Pyro, у Вас LanAgent установлен?

Ага, стоит.

[thyrex]

Тогда не стоит выполнять скрипт последний скрипт DefesT

Пофиксите в HiJack

Код:

 R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll

Больше плохого не видно

Установите SP3 (может потребоваться активация) + все новые заплатки
Обновите JavaRE

[Pyro]

Тогда не стоит выполнять скрипт последний скрипт DefesT

Пофиксите в HiJack

Код:

 R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll

Больше плохого не видно

Установите SP3 (может потребоваться активация) + все новые заплатки
Обновите JavaRE

Хорошо, спасибо.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 12
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\pyro\главное меню\программы\автозагрузка\winesm32.exe - Packed.Win32.Krap.ar ( DrWEB: Trojan.Botnetlog.126, BitDefender: Trojan.Generic.3272593, NOD32: Win32/TrojanDownloader.Bredolab.BE trojan, AVAST4: Win32:Malware-gen )