Медленная работа компьютера

**CandyMAN** · 21.05.2009, 09:39

Добрый день.
На машине производил установку сервис пака 3. Однако в отличии от других машин процесс проходил значительно дольше.
Возникло подозрение на присутствие заразы в системе.
Установлен антивирус DrWeb. При его запуске в обычном режиме до 36% проверки дошел только через 3 часа. Решил отменить процесс и запустить в безопасном режиме. В этом случае компьютер перегрузился самопроизвольно примерно после 45% проверки.
Решил больше не испытывать судьбу с "паучком" и собрал логи.
Сбор информации полиморфным AVZ выполнялся в течение 4 часов 20 минут

Каких-либо иных подозрительных действий пока не было замечено.
Прошу помощи в проверке.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**PavelA** · 21.05.2009, 10:19

Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
 DelBHO('{AE1AA4FA-C3A2-4c33-90CD-69DD021A35C8}');
 QuarantineFile('C:\WINDOWS\system32\helper.dll','');
 QuarantineFile('C:\WINDOWS\system32\mswns32.exe','');
 DeleteService('Windows Network Serialize');
 QuarantineFile('C:\WINDOWS\System32\rtmservice.exe','');
 DeleteFile('C:\WINDOWS\system32\mswns32.exe');
 DeleteFile('C:\WINDOWS\system32\helper.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Сделать заново логи после перезагрузки.
Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=46206

**CandyMAN** · 21.05.2009, 17:05

Файл сохранён как 090521_113717_virus_4a1504add682a.zip
Размер файла 34714
MD5 d130eba9048a06156f57718f5adb7f81

Логи прилагаю. Хотя на этот раз проверка проходила еще дольше )))
на 30 минут ...

**PavelA** · 21.05.2009, 17:10

not-a-virus:RemoteAdmin.Win32.RemoteTaskManager.c - свежий, но не опасная.

**CandyMAN** · 22.05.2009, 13:16

Я даже не представляю что может быть ...
Поставил обновление MS Office с 2003 на 2007.
Началось в 10-00 а выполнено примерно на 70% к 13-00.
Вчера вечером выполнял дефрагментацию.
Уже не знаю на что думать. Может конечно drweb так тормозит установку.
А машину нельзя назвать полным отстоем по своим характеристикам, хоть и не из последних моделей. Вентиляторы тоже работают на ура ...
Но за помощь в обнаружении и устранении заразы - спасибо.
Но может еще что сможете посоветовать?
----
В дополнение ...
процесс установки завершился в 16:20!

Под завершение установки посмотрел в "диспетчере задач" процессы.
90% загрузки процессора обеспечивал процесс System и в процессах появлялся процесс userinit.
Выполнил самые элементарные логи (HiJackThith и Process Explorer). Их и прикладываю к сообщению, да простят меня модераторы.
К сожалению трудовая неделя заканчивается и дальнейшие мероприятия можно будет провести только в понедельник, если конечно будет что предпринимать

**CandyMAN** · 25.05.2009, 10:13

Добрый день!
Хотелось бы еще уточнить по данной проблеме.
Согласно скрипта на лечение мы помещали в карантин файл

C:\WINDOWS\System32\rtmservice.exe

, но не удаляли его.
Так и должно было быть?

**Rene-gad** · 25.05.2009, 10:24

Сообщение от CandyMAN

мы помещали в карантин файл , но не удаляли его.
Так и должно было быть?

Да

**CyberHelper** · 26.05.2009, 10:24

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 7
В ходе лечения обнаружены вредоносные программы:
1. c:\windows\system32\rtmservice.exe - not-a-virus:RemoteAdmin.Win32.RemoteTaskManager.c

Медленная работа компьютера (заявка № 46206)

Опции темы