Два процесса (UPHCLEAN.EXE и CSRSS.EXE) забирают всю мощьность процессора. Работать не возможно совсем.Первый 70-80%, второй все остальное. Если снять процесс UPHCLEAN.EXE, то все сразу приходит в норму (загрузка ЦП 2%).
Логи прилогаю.
100% загрузка ЦП
Два процесса (UPHCLEAN.EXE и CSRSS.EXE) забирают всю мощьность процессора. Работать не возможно совсем.
Логи прилогаю.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
выполните скрипт
пришлите карантин согласно приложения 3 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\twex.exe',''); DeleteService('tcpsr'); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); DeleteService('ati7ucxx'); DeleteService('ati6saxx'); DeleteService('ati4ucxx'); DeleteService('ati4lsxx'); DeleteService('ati3tbxx'); DeleteService('ati3gjxx'); DeleteService('ati2pwxx'); DeleteService('ati0xexx'); DeleteService('ati0wexx'); DeleteService('ati0ipxx'); QuarantineFile('C:\WINDOWS\System32\Drivers\ati7ucxx.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ati6saxx.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ati4ucxx.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ati4lsxx.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ati3tbxx.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ati3gjxx.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ati2pwxx.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ati0xexx.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ati0wexx.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ati0ipxx.sys',''); DeleteFile('C:\WINDOWS\System32\Drivers\ati0ipxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati0wexx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati0xexx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati2pwxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati3gjxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati3tbxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati4lsxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati4ucxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati6saxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati7ucxx.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\system32\twex.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи
Скрипт выполнил. Но к сожалению, перед выполнением забыл отключить востановление системы. Если это критично повторю операции. Отправил карантин. Прикрепляю новые логи
логи
выполните скрипт
пришлите карантин согласно приложения 3 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\linkdel.cmd',''); DeleteService('mamotou'); DeleteFile('C:\WINDOWS\system32\DRIVERS\mamotou.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи
Карантин отправил.
В логах чисто, установите SP3+all updates...
Огромное Вам спасибо
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\twex.exe - Trojan-Spy.Win32.Zbot.oka
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) hiding, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
