-
Junior Member
- Вес репутации
- 60
активность
регулярно некий процесс System занимает 99-100% ЦП, в результате чего тормозят игры и видеозаписи.
антивирь стоит drweb
так же, сегодня заметил некое приложение, отобразившееся на панели как что-то похожее на окно командной строки после выполнения скрипта лечения и сбора информации
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Beasty, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
-
-
Junior Member
- Вес репутации
- 60
так...
странно, заражение вэбальтой вроде не наблюдаю...
а, понятно, почему-то только неиспользующийся IE заражён оО
Последний раз редактировалось Beasty; 03.03.2012 в 12:49.
-
Удалите в MBAM:
Код:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\INSTALL.EXE (Trojan.Agent) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (Hijack.StartPage) -> Плохо: (http://webalta.ru) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (Hijack.Homepage) -> Плохо: (http://webalta.ru/poisk) Хорошо: (http://www.Google.com) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Плохо: (http://webalta.ru) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Search Bar (Hijack.Search) -> Плохо: (http://webalta.ru/poisk) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search|SearchAssistant (Hijack.SearchPage) -> Плохо: (http://webalta.ru/poisk) Хорошо: (http://www.Google.com/) -> Действие не было предпринято.
- Выполните в АВЗ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearHostsFile;
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\install.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\QipUpdate2011\QipUpdater.exe','');
QuarantineFile('C:\Program Files\ICCup Launcher\iccwc3.icc','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
После перезагрузки:
- Выполните в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
-
-
Junior Member
- Вес репутации
- 60
карантин отправил, новый лог mbam в соответствии с инструкцией по удалению файлов прилагаю.
Его надо? ещё логи AVZ нужно сделать?
-
-
-
Junior Member
- Вес репутации
- 60
проблема осталась.
Разница в том, что раньше в имени пользователя процесса System было пустое поле, теперь там значится SYSTEM, но потребление ЦП до 90+ процентов продолжает появляться.
-
-
-
Junior Member
- Вес репутации
- 60
что-то удалило, после перезагрузки всплыли Skype, drweb, raidcall, которые стоят на автозагрузке и должны быть там...
за проблемой понаблюдаю, лог приложен...
а да, mbam удалить надо?
-
Сообщение от
Beasty
а да, mbam удалить надо?
Удалите.
Что с проблемой?
- Удалите ComboFix.
-
-
Junior Member
- Вес репутации
- 60
пока вроде не ощущаю. завтра отпишусь
Добавлено через 3 минуты
хмм
Windows не удалось найти 'Combofix'. Проверьте, что имя было введено правильно, и повторите попытку. Чтобы выполнить поиск файла, нажмите кнопку "Пуск", а замем выберите команду "Найти"
Последний раз редактировалось Beasty; 04.03.2012 в 01:08.
Причина: Добавлено
-
Сообщение от
Beasty
Windows не удалось найти 'Combofix'. Проверьте, что имя было введено правильно, и повторите попытку.
Вместо Combofix напишите полный путь к файлу Combofix.exe в кавычках, например:
Код:
"C:\рабочий стол\Combofix" /Uninstall
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
Techno
Вместо
Combofix напишите полный путь к файлу
Combofix.exe в кавычках, например:
Код:
"C:\рабочий стол\Combofix" /Uninstall
удалил.
до удаления combofix ещё раз наблюдал проблему.
прошу прощения если где-то затупаю)
-
Сделайте дефрагментацию, проверьте диск на наличие ошибок.
-
-
Junior Member
- Вес репутации
- 60
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения вредоносные программы в карантинах не обнаружены
-