-
Junior Member
- Вес репутации
- 55
Помогите пожалуйста разобратся с процесами, думаю там есть вирусы
Добрый день.
Помогите пожалуйста разобратся с процесами на моем компе. После лечения вируса iMax Download антивирус очень часто начал находить вирусы на компьютере. Лечусь с помощью Avast, периодически проверяю систему Dr. Web CureIt. После последнего лечения CureIt сказал что удалил удачно, но при перезагрузке Загрузка ЦП 100%. Также заблокирована возможность управлять востановлением системы, вызов диспетчера задач и доступ к редактированию реестра возобновляла с помощью програмы, название не могу вспомнить.
По списку процесов вижу что их очень много, и кажется что часть из них нужно убрать. Наверное это остатки вируса.
Посмотрите пожалуйста что можно сделать.
Спасибо.
Вложение 197419
Вложение 197420
Вложение 197421
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в hijackthis:
Код:
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\DOCUME~1\sv\LOCALS~1\Temp\b.exe','');
DelCLSID('{6B830884-20E3-4AB6-B672-2629F0F72071}');
QuarantineFile('C:\Documents and Settings\sv\Application Data\CMedia\CMedia.dll','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\TEMP\~TMC.tmp','');
QuarantineFile('C:\Documents and Settings\sv\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys','');
DeleteService('ws2_32sik');
QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
DeleteService('netsik');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');
DeleteFile('C:\Documents and Settings\sv\Главное меню\Программы\Автозагрузка\siszyd32.exe');
DeleteFile('C:\WINDOWS\TEMP\~TMC.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysgif32');
DeleteFile('C:\WINDOWS\system32\KB905474\wgasetup.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\WgaSetup','EventMessageFile');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
DeleteFile('C:\Documents and Settings\sv\Application Data\CMedia\CMedia.dll');
DeleteFileMask('C:\Documents and Settings\sv\Application Data\CMedia','*.*',true);
DeleteDirectory('C:\Documents and Settings\sv\Application Data\CMedia');
DeleteFile('C:\DOCUME~1\sv\LOCALS~1\Temp\b.exe');
DeleteFile('C:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job');
DeleteFileMask('C:\DOCUME~1\sv\LOCALS~1\Temp','*.*',true);
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)
Сделайте новый комплект логов
-
-
Junior Member
- Вес репутации
- 55
Сделала как вы просили.
Вложение 197431
Вложение 197432
Вложение 197433
В списке процесов есть такой - NMIndexStoreSVR.exe , он постоянно загружает ЦП на 50%. Подскажите, пожалуйста, что это за процес? за что он отвечает и нужен ли вообще?
Карантин загрузила:
Файл сохранён как 091224_033124_Quarantine_4b32b65c8d068.zip
Размер файла 36340
MD5 6d05cfa4238dcd7d41a3d58f7af7728d
-
Junior Member
- Вес репутации
- 55
Вы получили карантин? может я счто-то не так сделала?
-
Сообщение от
ketti83
Вы получили карантин?
Карантин получен
Пофиксите строку:
Код:
O20 - AppInit_DLLs: C:\WINDOWS\system32\ckkga.dll
Больше ничего плохого
Сообщение от
ketti83
В списке процесов есть такой - NMIndexStoreSVR.exe
Это процесс Nero Scout
-
-
Junior Member
- Вес репутации
- 55
подскажите а можно ли этот процес убрать из автозапуска, я неркой пользуюсь очень редко и только для записи дисков.
-
Попробуйте так:
В "Мой компьютер" щёлкнуть правой кнопкой по Nero Scout, выбрать "Опции" и в открывшемся окне убрать галочку с "Включить Nero Scout" и нажать ОК. Если при нажатие правой кнопкой на Nero Scout происходит подвисание, то нужно: Пуск -> Выполнить/ скопировать и вставить: C:\Program Files\Common Files\Ahead\Lib\NeroScoutOptions.exe и проделать вышенаписанное.
-
-
Junior Member
- Вес репутации
- 55
Спасибо большое!
Все сделала как вы сказали - и получилось
-
Пожалуйста! С Наступающим!
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\sv\главное меню\программы\автозагрузка\siszyd32.exe - Backdoor.Win32.Bredolab.boo ( DrWEB: Trojan.Botnetlog.126 )
- c:\windows\temp\~tmc.tmp - Trojan-Dropper.Win32.HDrop.am ( DrWEB: Trojan.Botnetlog.124 )
-