Один из процессов svchost постоянно грузит процессор на 50%.
Забеспокоился, попытался проверить антивирусом (Dr. Web) - а он не запускается.
Запустить HijackThis и AVZ смог, только переименовав экзешники.
Помогите разобраться, пожалуйста.
Один из процессов svchost постоянно грузит процессор на 50%.
Забеспокоился, попытался проверить антивирусом (Dr. Web) - а он не запускается.
Запустить HijackThis и AVZ смог, только переименовав экзешники.
Помогите разобраться, пожалуйста.
В AVZ выполните скрипт:
Код:begin SetAVZPMStatus(True); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('I:\autorun.inf',''); QuarantineFile('G:\autorun.inf',''); QuarantineFile('D:\autorun.inf',''); DelBHO('{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}'); QuarantineFile('cnfgld32.exe',''); QuarantineFile('C:\Documents and Settings\Sergey\Главное меню\Программы\Автозагрузка\siszpe32.exe',''); DeleteService('ws2_32sik'); QuarantineFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys',''); DeleteService('systemntmi'); QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys',''); DeleteService('securentm'); QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys',''); DeleteService('nicsk32'); QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys',''); DeleteService('netsik'); QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys',''); DeleteService('ksi32sk'); QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys',''); DeleteService('i386si'); QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys',''); DeleteService('fips32cup'); QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys',''); QuarantineFile('Eveaud.sys',''); DeleteService('ati64si'); QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys',''); DeleteService('amd64si'); QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys',''); DeleteService('acpi32'); QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys'); DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys'); DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys'); DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys'); DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys'); DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys'); DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys'); DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys'); DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys'); DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys'); DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys'); DeleteFile('C:\Documents and Settings\Sergey\Главное меню\Программы\Автозагрузка\siszpe32.exe'); DeleteFile('cnfgld32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Configuration Loader'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','Configuration Loader'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('ws2_32sik'); BC_DeleteSvc('systemntm'); BC_DeleteSvc('securentm'); BC_DeleteSvc('nicsk32'); BC_DeleteSvc('netsik'); BC_DeleteSvc('ksi32sk'); BC_DeleteSvc('i386si'); BC_DeleteSvc('fips32cup'); BC_DeleteSvc('ati64si'); BC_DeleteSvc('amd64si'); BC_DeleteSvc('acpi32'); BC_Activate; Executerepair(9); RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); ExecuteWizard('TSW',3,3,true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); RegKeyParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'ImagePath', 'REG_EXPAND_SZ', '%systemroot%\system32\svchost.exe -k netsvcs'); RegKeyParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\BITS', 'ImagePath', 'REG_EXPAND_SZ', '%systemroot%\system32\svchost.exe -k netsvcs'); Executerepair(8); Executerepair(14); Executerepair(17); RebootWindows(true); end.
После перезагрузки
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Логи повторите.
Процесс больше не грузит процессор, avz и hijack тоже разблокировались.
Карантин выслал.
Вот новые логи:
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('D:\autorun.inf'); DeleteFile('G:\autorun.inf'); DeleteFile('I:\autorun.inf'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Выполните скрипт из темы http://virusinfo.info/showthread.php?t=43700
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Выполнил оба скрипта.
Новые логи:
С помощью avz поищите файл Eveaud.sys
Если найдется, добавьте его в карантин и пришлите по правилам.
AVZ не нашел такого файла. Можно считать компьютер чистым?
KotBasil, думаю что можно. Установите 3 сервис пак на систему. Обновите Internet Explorer.
Сделаю. Спасибо за помощь.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\sergey\главное меню\программы\автозагрузка\siszpe32.exe - Backdoor.Win32.Bredolab.exb ( DrWEB: Trojan.Botnetlog.126 )
- g:\autorun.inf - Trojan.Win32.AutoRun.ym ( NOD32: Win32/LockScreen.AX trojan, AVAST4: VBS:Malware-gen )
Уважаемый(ая) KotBasil, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.