Показано с 1 по 7 из 7.

Помогите!!! загрузка процесса winlogon на 50 % (заявка № 65054)

  1. #1
    Junior Member Репутация
    Регистрация
    24.12.2009
    Сообщений
    3
    Вес репутации
    30

    Exclamation Помогите!!! загрузка процесса winlogon на 50 %

    процесс winlogon грузит систему на 50 %, при сканировании системы dr.web на 80 % ловит трояна и при попытке лечения уходит на перезагрузку

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    740
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

    - Отключите ПК от интернета/локалки
    - Отключите Антивирус и Файрвол.
    - Отключите Системное восстановление.

    В HiJackThis пофиксите:

    Код:
    R3 - URLSearchHook: (no name) - - (no file)
    R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
    F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\system32\msmgr.exe"
    O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
    O4 - HKLM\..\Run: [explore] "C:\WINDOWS\system32\msmgr.exe"
    O4 - HKLM\..\Run: [plugin] "C:\Program Files\plugin.exe"
    O4 - HKLM\..\Run: [Generic Host for Win32 Services] $‘|ЂА—|ъ‘|$O
    O23 - Service: Рабочая станция lanmanworkstationRemoteAccess (lanmanworkstationRemoteAccess) - Unknown owner - C:\WINDOWS\system32\2052n.exe (file missing)
    O23 - Service: Рабочая станция lanmanworkstationRSVP (lanmanworkstationRSVP) - Unknown owner - C:\WINDOWS\system32\accesst.exe
    O23 - Service: Диспетчер очереди печати Spoolerdrwagntd (Spoolerdrwagntd) - Unknown owner - C:\WINDOWS\system32\3076w.exe (file missing)
    O23 - Service: Инструментарий управления Windows winmgmtCiSvc (winmgmtCiSvc) - Unknown owner - C:\WINDOWS\system32\Ac3audioc.exe (file missing)

    В AVZ выполните скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
     TerminateProcessByName('c:\windows\system32\msmgr.exe');
     QuarantineFile('C:\WINDOWS\System32\Drivers\SPTD8381.SYS','');
     QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
     QuarantineFile('C:\WINDOWS\services.exe','');
     QuarantineFile('C:\WINDOWS\system32\MCScripX.dll','');
     QuarantineFile('C:\WINDOWS\1TVNEW~1.SCR','');
     QuarantineFile('C:\Program Files\plugin.exe','');
     DeleteService('winmgmtCiSvc');
     QuarantineFile('C:\WINDOWS\system32\Ac3audioc.exe','');
     DeleteService('lanmanworkstationRemoteAccess');
     QuarantineFile('C:\WINDOWS\system32\2052n.exe','');
     DeleteService('lanmanworkstationRSVP');
     QuarantineFile('C:\WINDOWS\system32\accesst.exe','');
     DeleteService('Spoolerdrwagntd');
     QuarantineFile('C:\WINDOWS\system32\3076w.exe','');
     QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
     QuarantineFile('c:\windows\system32\msmgr.exe','');
     DeleteFile('c:\windows\system32\msmgr.exe');
     DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
     DeleteFile('C:\WINDOWS\system32\3076w.exe');
     DeleteFile('C:\WINDOWS\system32\accesst.exe');
     DeleteFile('C:\WINDOWS\system32\2052n.exe');
     DeleteFile('C:\WINDOWS\system32\Ac3audioc.exe');
     DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Generic Host for Win32 Services');
     DeleteFile('C:\Program Files\plugin.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','explore');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','WebCheck');
     DeleteFile('C:\WINDOWS\services.exe');
     DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
    DeleteFileMask('%Tmp%', '*.*', true);
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('winmgmtCiSvc');
     BC_DeleteSvc('lanmanworkstationRemoteAccess');
     BC_DeleteSvc('lanmanworkstationRSVP');
     BC_DeleteSvc('Spoolerdrwagntd');
    BC_Activate;
    ExecuteRepair(9);
    ExecuteRepair(8);
    ExecuteRepair(16);
    ExecuteRepair(5);
    ExecuteWizard('TSW',3,3,true);
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    После перезагрузки

    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи.
    Последний раз редактировалось миднайт; 25.12.2009 в 15:11.

  4. #3
    Junior Member Репутация
    Регистрация
    24.12.2009
    Сообщений
    3
    Вес репутации
    30
    Все сделал как вы написали, проблема осталась!
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    Пофиксить в HijackThis
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Program Files\Internet Explorer\svcnost.exe
    ПК перезагрузите.

    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
    DeleteFile('C:\Program Files\Internet Explorer\svcnost.exe');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Сделаете лог HijackThis.

  6. #5
    Junior Member Репутация
    Регистрация
    24.12.2009
    Сообщений
    3
    Вес репутации
    30
    все равно загрузка winlogon 50 %

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    C:\WINDOWS\system32\userinit.exe пришлите согласно Приложения 2 правил
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 31
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files\microsoft common\svchost.exe - Packed.Win32.Krap.w ( NOD32: Win32/AutoRun.FakeAlert.DO worm, AVAST4: Win32:Agent-AINR [Trj] )
      2. c:\windows\services.exe - Trojan.Win32.Siscos.jg ( BitDefender: Trojan.Generic.2901696, AVAST4: Win32:Malware-gen )
      3. c:\windows\system32\accesst.exe - Trojan-Spy.Win32.Zbot.adll ( BitDefender: Backdoor.IRC.ZGQ, AVAST4: Win32:Malware-gen )
      4. c:\windows\system32\msmgr.exe - Backdoor.Win32.Knokk.cq ( BitDefender: Backdoor.Generic.244217, AVAST4: Win32:Malware-gen )
      5. c:\windows\system32\msvcrt57.dll - Trojan-PSW.Win32.WebMoner.nc ( AVAST4: Win32:Malware-gen )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) Dambler, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 5
      Последнее сообщение: 07.02.2012, 10:54
    2. Ответов: 4
      Последнее сообщение: 23.12.2010, 17:23
    3. Загрузка процесса SYSTEM 90%
      От BMW в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 24.09.2009, 09:25
    4. Ответов: 6
      Последнее сообщение: 12.09.2009, 16:53
    5. Ответов: 11
      Последнее сообщение: 31.03.2009, 13:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00103 seconds with 17 queries