Подвисание компьютера,увлечение FPS
После обновления nod32 до последний версии он нашёл троян WinNt32.dll.Поместил его в карантин,компьютер лагать вроде бы перестал,Но после примерно 10-15 минут работы начинает лагать,загрузка обоих ядер поднимается до 80%.В играх FPS падает на 70-90% и появляються жуткие лаги.Помогите пожалуйста)
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Скачать IceSword. В нем удалить:
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\Drivers\Hoq58.sys
C:\WINDOWS\System32\drivers\tcpsr.sys
C:\WINDOWS\System32\Drivers\Winwe14.sys
Затем профиксить в hijackthis
После этого выполнить скрипт:Код:O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
Загрузить по Правилам карантин. Почистить папку C:\WINDOWS\Temp\Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\Temp\BN2.tmp',''); QuarantineFile('WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); DeleteService('tcpsr'); DeleteService('TosIde'); DeleteService('ooQ14'); DeleteService('hoY57'); DeleteService('cjL15'); QuarantineFile('C:\WINDOWS\System32\Drivers\Winwe14.sys',''); SetServiceStart('Winwe14', 4); QuarantineFile('C:\WINDOWS\System32\Drivers\Hoq58.sys',''); DeleteService('Hoq58'); SetServiceStart('Hoq58', 4); DeleteService('xmlprovAppMgmtMSIServer'); DeleteService('WZCSVCoseHidServNetmanWmi'); DeleteService('wscsvcEventSystem'); DeleteService('WmiERSvcProtectedStorage'); DeleteService('WmiERSvcHidServ'); DeleteService('WmiERSvc'); DeleteService('UPSTermService'); DeleteService('TrkWksWmiERSvcHidServ'); DeleteService('TlntSvrPlugPlay'); DeleteService('TapiSrvSpoolerFastUserSwitchingCompatibilityNetmanWmiERSvc'); DeleteService('TapiSrvSpooler'); DeleteService('SSDPSRVwinmgmt'); DeleteService('srserviceAppMgmtMessenger'); DeleteService('ShellHWDetectionNetman'); DeleteService('ScheduleRasAuto'); DeleteService('ScheduleERSvc'); DeleteService('SamSsRasAutoTlntSvr'); DeleteService('RSVPProtectedStorage'); DeleteService('RpcSsThemesEhttpSrv'); DeleteService('RpcSsThemes'); DeleteService('RpcLocatorRpcSs'); DeleteService('RasAutoTlntSvr'); DeleteService('ProtectedStorageSysmonLog'); DeleteService('oseHidServNetmanWmi'); DeleteService('oseEventlog'); DeleteService('NetmanWmiApSrvMessenger'); DeleteService('NetmanWmiApSrv'); DeleteService('MSIServerEventSystem'); DeleteService('MDMxmlprov'); DeleteService('HidServNetmanWmi'); DeleteService('HidServNetman'); DeleteService('FastUserSwitchingCompatibilityNetmanWmiERSvc'); DeleteService('FastUserSwitchingCompatibilityNetman'); DeleteService('EhttpSrvWZCSVCdmserver'); DeleteService('EhttpSrvWZCSVC'); DeleteService('DnscacheScheduleERSvc'); DeleteService('DcomLaunchAudioSrv'); DeleteService('AppMgmtMSIServer'); DeleteService('AppMgmtMessenger'); QuarantineFile('C:\WINDOWS\system32\Drivers\Winwe14.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Hoq58.sys',''); QuarantineFile('c:\windows\temp\bn11.tmp',''); TerminateProcessByName('c:\windows\temp\bn11.tmp'); DeleteFile('c:\windows\temp\bn11.tmp'); DeleteFile('C:\WINDOWS\system32\Drivers\Hoq58.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\Winwe14.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Hoq58.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winwe14.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\cjL15.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\hoY57.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ooQ14.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('WinCtrl32.dll'); DeleteFile('C:\WINDOWS\Temp\BN2.tmp'); DeleteFile('C:\WINDOWS\Temp\BN36.tmp'); DeleteFile('C:\WINDOWS\Temp\BN4.tmp'); DeleteFile('C:\WINDOWS\Temp\BN8.tmp'); DeleteFile('C:\WINDOWS\Temp\BNB.tmp'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделать новые логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
карантин прислал вот логи,посомтрите пожалуйста
Выполнить скрипт:
Сделать новые логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_DeleteSvc('cjL15'); BC_DeleteSvc('Hoq58'); BC_DeleteSvc('xmlprovAppMgmtMSIServer'); BC_DeleteSvc('WZCSVCoseHidServNetmanWmi'); BC_DeleteSvc('wscsvcEventSystem'); BC_DeleteSvc('WmiERSvcProtectedStorage'); BC_DeleteSvc('WmiERSvcHidServ'); BC_DeleteSvc('WmiERSvc'); BC_DeleteSvc('UPSTermService'); BC_DeleteSvc('TrkWksWmiERSvcHidServ'); BC_DeleteSvc('TlntSvrPlugPlay'); BC_DeleteSvc('TapiSrvSpoolerFastUserSwitchingCompatibilityNetmanWmiERSvc'); BC_DeleteSvc('TapiSrvSpooler'); BC_DeleteSvc('SSDPSRVwinmgmt'); BC_DeleteSvc('srserviceAppMgmtMessenger'); BC_DeleteSvc('ShellHWDetectionNetman'); BC_DeleteSvc('ScheduleRasAuto'); BC_DeleteSvc('ScheduleERSvc'); BC_DeleteSvc('SamSsRasAutoTlntSvr'); BC_DeleteSvc('RSVPProtectedStorage'); BC_DeleteSvc('RpcSsThemesEhttpSrv'); BC_DeleteSvc('RpcSsThemes'); BC_DeleteSvc('RpcLocatorRpcSs'); BC_DeleteSvc('RasAutoTlntSvr'); BC_DeleteSvc('ProtectedStorageSysmonLog'); BC_DeleteSvc('oseHidServNetmanWmi'); BC_DeleteSvc('oseEventlog'); BC_DeleteSvc('NetmanWmiApSrvMessenger'); BC_DeleteSvc('NetmanWmiApSrv'); BC_DeleteSvc('MSIServerEventSystem'); BC_DeleteSvc('MDMxmlprov'); BC_DeleteSvc('HidServNetmanWmi'); BC_DeleteSvc('HidServNetman'); BC_DeleteSvc('FastUserSwitchingCompatibilityNetmanWmiERSvc'); BC_DeleteSvc('FastUserSwitchingCompatibilityNetman'); BC_DeleteSvc('EhttpSrvWZCSVCdmserver'); BC_DeleteSvc('EhttpSrvWZCSVC'); BC_DeleteSvc('DnscacheScheduleERSvc'); BC_DeleteSvc('DcomLaunchAudioSrv'); BC_DeleteSvc('AppMgmtMSIServer'); BC_DeleteSvc('AppMgmtMessenger'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Сделал)
Еще чуть-чуть почистим:
Профиксить:Код:begin BC_DeleteSvc('HidServwuauserv'); BC_DeleteSvc('RpcLocatorPolicyAgent'); BC_DeleteSvc('srserviceAppMgmtMessengerMSIServer'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
Если в покер не играете, то еще и вот эти строчки:
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
И снова сделать логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Сделал
Надеюсь последний скрипт:
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_DeleteFile('C:\WINDOWS\system32\Drivers\Winwe14.sys'); BC_DeleteSvc('Winwe14'); BC_DeleteSvc('ooQ14'); BC_DeleteSvc('hoY57'); BC_DeleteSvc('NetDDEdsdmThemes') BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Спс за помошь
Проблемы какие-то наблюдается? Врагов в логах не видать.
ВРоде всё отлично)Спс огромное вам)
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 20
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\user\\рабочий стол\\world of warcraft\\lacd_client.exe.bak - Trojan.Win32.Pakes.jlw
- c:\\windows\\system32\\drivers\\cjl15.sys - Trojan-Dropper.Win32.Agent.stj
- c:\\windows\\system32\\drivers\\hoy57.sys - Trojan-Dropper.Win32.Agent.stj
- c:\\windows\\system32\\drivers\\ooq14.sys - Trojan-Dropper.Win32.Agent.stj
- c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.ait (DrWEB: Trojan.DownLoader.63553)
- c:\\windows\\temp\\bnb.tmp - Trojan.Win32.Pakes.cyu (DrWEB: BackDoor.Bulknet.204)
- c:\\windows\\temp\\bn11.tmp - Trojan-Dropper.Win32.Mutant.a (DrWEB: Trojan.Rntm.6)
- c:\\windows\\temp\\bn2.tmp - Trojan.Win32.Pakes.cyu (DrWEB: BackDoor.Bulknet.204)
- c:\\windows\\temp\\bn3.tmp - Trojan.Win32.Pakes.cyu (DrWEB: BackDoor.Bulknet.204)
- c:\\windows\\temp\\bn36.tmp - Trojan.Win32.Pakes.cyu (DrWEB: BackDoor.Bulknet.204)
- c:\\windows\\temp\\bn4.tmp - Trojan.Win32.Pakes.cyu (DrWEB: BackDoor.Bulknet.204)
- c:\\windows\\temp\\bn8.tmp - Trojan-Dropper.Win32.Agent.smb (DrWEB: BackDoor.Bulknet.206)
- \\2008-07-01\\bcqr00019.dta - Trojan-Downloader.Win32.Mutant.adh (DrWEB: BackDoor.Bulknet.206)
- \\2008-07-01\\bcqr00020.dta - Trojan-Downloader.Win32.Mutant.adh (DrWEB: BackDoor.Bulknet.206)
Уважаемый(ая) KomandoS, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
