Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 40.

После подключения к интернету процессор загружается до 100% процессом "бездействие системы" (заявка № 64104)

  1. #1
    Junior Member Репутация
    Регистрация
    16.12.2009
    Сообщений
    24
    Вес репутации
    53

    Thumbs up После подключения к интернету процессор загружается до 100% процессом "бездействие системы"

    Здравствуйте. НОД видимо пропустил какой-то вирус... При подключении к интернету резко увеличивается загрузка процессора до 100% или процессом "бездействие системы" или процессом svchost.exe. При этом появляется исходящий траффик и система начинает работать очень медленно.
    Последний раз редактировалось nadoelo; 20.12.2009 в 02:38.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    - Закройте/выгрузите все программы кроме Internet Explorer.
    Отключите
    - ПК от интернета/локальной сети.
    - Антивирус и Файрвол.
    - Пофиксите в HiJackThis:
    Код:
    F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
    O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe (file missing)
    O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe (file missing)
    - Выполните скрипт AVZ:
    Код:
    Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
    var
    i : integer; 
    KeyList : TStringList;
    KeyName : string;                           
    begin
    RegKeyResetSecurity(ARoot, AName);
    KeyList := TStringList.Create;
    RegKeyEnumKey(ARoot, AName, KeyList);
    for i := 0 to KeyList.Count-1 do
     begin
     KeyName := AName+'\'+KeyList[i];
     RegKeyResetSecurity(ARoot, KeyName);
     RegKeyResetSecurityEx(ARoot, KeyName);
     end;
    KeyList.Free;
    end;
    Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
    var
     i : integer;
     KeyList : TStringList;
     KeyName : string;                           
    begin
     Result := 0;
     if StopService(AServiceName) then Result := Result or 1;
     if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
     KeyList := TStringList.Create;
     RegKeyEnumKey('HKLM','SYSTEM', KeyList);
     for i := 0 to KeyList.Count-1 do
      if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
       KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
       if RegKeyExistsEx('HKLM', KeyName) then begin
        Result := Result or 4;                  
        RegKeyResetSecurityEx('HKLM', KeyName);
        RegKeyDel('HKLM', KeyName);
        if RegKeyExistsEx('HKLM', KeyName) then               
         Result := Result or 8;                  
       end;
      end;                 
     if AIsSvcHosted then
      BC_DeleteSvcReg(AServiceName)
     else
      BC_DeleteSvc(AServiceName);
     KeyList.Free;
    end;
    
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
     QuarantineFile('C:\WINDOWS\system32\drivers\packet.sys','');
     QuarantineFile('autorun.bat','');
     QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\{55638DD9-D5A9-11D3-B74B-204C4F4F5020}\AMDMSRIO.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\wetkikgd.sys','');
     AddToLog('Удаление скрытого сервиса '+'wetkikgd'+' - Результат:'+inttostr(BC_ServiceKill('wetkikgd')) );
     DeleteFile('C:\WINDOWS\system32\Drivers\wetkikgd.sys');
     BC_ImportAll;
    ExecuteSysClean;
     AddToLog('Файлы на удаление' +GETSERVICEFILE('AppMgmt'));
     SaveLog(GetAVZDirectory+'avz_log.txt');
     SetAVZPMStatus(true);
     BC_Activate;
     RebootWindows(true);
    end.
    Система перезагрузится.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи согласно Правил (Диагностика)
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антивирус и Файрволл
    - Подключите ПК к интернету/локальной сети
    - Загрузите карантин согласно Правил (Приложение 3).
    - Прикрепите новые логи, а также файл avz_log.txt из папки AVZ к новому сообщению в этой ветке.

  4. #3
    Junior Member Репутация
    Регистрация
    16.12.2009
    Сообщений
    24
    Вес репутации
    53
    вроде все сделал... карантин закачал... вот логи...
    Последний раз редактировалось nadoelo; 20.12.2009 в 02:38.

  5. #4

  6. #5
    Junior Member Репутация
    Регистрация
    16.12.2009
    Сообщений
    24
    Вес репутации
    53
    сделано

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    Сохраните текст ниже как cleanup.bat в ту же папку, где находится GMER (в Блокноте вставьте текст, затем Файл - Сохранить как - Выберите "Тип файла: все файлы" и "Имя файла: cleanup.bat". Не забудьте сохраниться именно в ту папку, где находится GMER!).
    Код:
    eij6f2f8.exe -killall 
    eij6f2f8.exe -killfile "C:\WINDOWS\system32\drivers\wetkikgd.sys"
    eij6f2f8.exe -del service wetkikgd
    eij6f2f8.exe -reboot
    И запустите cleanup.bat
    Запустить, вопросов не пугаться, удаление подтверждать. Система перезагрузится.
    Сделайте новый лог gmer.

  8. #7
    Junior Member Репутация
    Регистрация
    16.12.2009
    Сообщений
    24
    Вес репутации
    53
    вот лог... но вопросов не было.. было пара сообщений типа "неверно указан путь" и "указанный модуль не найден"

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    Повторите набор логов AVZ.

  10. #9
    Junior Member Репутация
    Регистрация
    16.12.2009
    Сообщений
    24
    Вес репутации
    53
    логи

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    Зараза всё ещё активна. Воспользуйтесь этой утилитой. После запуска в папке появится текстовый файл - пришлите его сюда.

  12. #11
    Junior Member Репутация
    Регистрация
    16.12.2009
    Сообщений
    24
    Вес репутации
    53
    сделал

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    Вам знаком этот драйвер:
    Код:
    C:\WINDOWS\system32\drivers\wetkikgd.sys
    Мы уже второй день пытаемся его удалить. Давайте попробуем посмотреть, что это.
    Найдите этот файл на диске, сожмите в zip-архив с паролем virus и пришлите в карантин.

    Если файла на диске не окажется - запустите Gmer, после предварительного сканирования нажмите на >>> в меню и выберите вкладку Files. Попытайтесь отыскать этот таинственный C:\WINDOWS\system32\drivers\wetkikgd.sys и нажав кнопку Copy скопируйте его на Рабочий Стол. Точно так же - в zip-архив с паролем и в карантин.

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    В AVZ Сервис -> Модули пространства ядра снимите дамп с подозрительного драйвера и приложите сюда.
    Сердце решает кого любить... Судьба решает с кем быть...

  15. #14
    Junior Member Репутация
    Регистрация
    16.12.2009
    Сообщений
    24
    Вес репутации
    53
    так.. по порядку... драйвер не знаком.. при попытке заархивировать выдало такое сообщение :
    Action: Add (and replace) files Include subfolders: no Save full path: no
    Include system and hidden files: yes
    Adding wetkikgd.sys
    Warning: could not open for reading: C:/WINDOWS/system32/drivers/wetkikgd.sys
    copying Zip file

    Запустил Gmer попытался скопировать на Рабочий Стол... НОД тут же удалил файл в карантин... Win32/Agent.QMR троян

    Дамп сделал но он не прикрепляется.. пишет превысил предел на форуме... какое-то удалить надо вложение?

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Цитата Сообщение от nadoelo Посмотреть сообщение
    Запустил Gmer попытался скопировать на Рабочий Стол... НОД тут же удалил файл в карантин... Win32/Agent.QMR троян
    Хорошо, отключите антивирус и еще раз проделайте все манипуляции. После заархивируйте файл с паролем virus и пришлите его нам. Ссылка для закачки карантина вверху темы.

    Цитата Сообщение от nadoelo Посмотреть сообщение
    Дамп сделал но он не прикрепляется.. пишет превысил предел на форуме... какое-то удалить надо вложение?
    Если пришлете файл, то в дампе нет особой необходимости.
    Сердце решает кого любить... Судьба решает с кем быть...

  17. #16
    Junior Member Репутация
    Регистрация
    16.12.2009
    Сообщений
    24
    Вес репутации
    53
    Отключил антивирус... нашел его в Gmere... жму сохранить, вроде сохраняет, но на Рабочем столе я его не вижу.

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Архиватор есть на машине?
    Сердце решает кого любить... Судьба решает с кем быть...

  19. #18
    Junior Member Репутация
    Регистрация
    16.12.2009
    Сообщений
    24
    Вес репутации
    53
    Цитата Сообщение от Aleksandra Посмотреть сообщение
    Архиватор есть на машине?
    есть WinRar и WinZip

  20. #19
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Запустите WinRar и через него поищите на рабочем столе этот файлик.
    Сердце решает кого любить... Судьба решает с кем быть...

  21. #20
    Junior Member Репутация
    Регистрация
    16.12.2009
    Сообщений
    24
    Вес репутации
    53
    Цитата Сообщение от Aleksandra Посмотреть сообщение
    Запустите WinRar и через него поищите на рабочем столе этот файлик.
    не видно

  • Уважаемый(ая) nadoelo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 3
      Последнее сообщение: 19.09.2011, 23:49
    2. Ответов: 5
      Последнее сообщение: 12.01.2010, 20:52
    3. Ответов: 1
      Последнее сообщение: 23.07.2009, 10:40
    4. Появляется "Подключение к Интернету"
      От ViVeda в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 04:56
    5. Ответов: 3
      Последнее сообщение: 17.01.2008, 15:26

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00762 seconds with 19 queries