Winlogon.exe использует 50% процессора

[Demonstels]

Winlogon.exe грузит процессор на 50% постоянно. Сначала просто грузил процессор теперь в Windows зайти с 1 раза нельзя висит окно загрузки приходится выходить и заходить через F8(Запуск с проверенной конфигурацией оборудования).
Операционная система WindowsXP SP3
http://virusinfo.info/images/editor/attach.gif

[olejah]

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Выполните скрипт в АВЗ в безопасном режиме -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteService('kyxqxct');
 DeleteService('joplj');
 DeleteService('ywygi');
 QuarantineFile('C:\WINDOWS\system32\01.tmp','');
 QuarantineFile('C:\Documents and Settings\777\Главное меню\Программы\Автозагрузка\monoca32.exe','');
 QuarantineFile('C:\Documents and Settings\777\Главное меню\Программы\Автозагрузка\Thumbs.db','');
 QuarantineFile('C:\WINDOWS\system32\21159f33.exe','');
 QuarantineFile('d:\Приемник(1Уровень)\Приемник(2Уровень)\Проги с сети\фаир фокс\setupapi.dll','');
 QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
 DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
 DeleteFile('d:\Приемник(1Уровень)\Приемник(2Уровень)\Проги с сети\фаир фокс\setupapi.dll');
 DeleteFile('C:\WINDOWS\system32\21159f33.exe');
 DeleteFile('C:\Documents and Settings\777\Главное меню\Программы\Автозагрузка\Thumbs.db');
 DeleteFile('C:\Documents and Settings\777\Главное меню\Программы\Автозагрузка\monoca32.exe');
 DeleteFile('C:\WINDOWS\system32\01.tmp');
 BC_DeleteSvc('ywygi');
 BC_DeleteSvc('joplj');
 BC_DeleteSvc('kyxqxct');   
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Установлен ли браузер Opera?

- Сделайте лог Гмер

[Demonstels]

Браузер FireFox, Оперой никогда не пользовался.
http://virusinfo.info/images/editor/attach.gif

[olejah]

- Сохраните текст ниже как 1.bat в ту же папку, где находится 7y5ir8d5.exe(GMER) и запустите этот батник(1.bat):

Код:

7y5ir8d5.exe -del service gfrpn
7y5ir8d5.exe -del file "C:\WINDOWS\system32\jslxvvp.dll"
7y5ir8d5.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\gfrpn"
7y5ir8d5.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gfrpn"
7y5ir8d5.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\gfrpn"
7y5ir8d5.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\gfrpn"
7y5ir8d5.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gfrpn"
7y5ir8d5.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\gfrpn"
7y5ir8d5.exe -reboot

Компьютер перезагрузится.

После перезагрузки:
- Сделайте повторные логи АВЗ
- Сделайте новый лог Gmer

[Demonstels]

Все выполнил вот логи

[olejah]

Что с проблемой?

[Demonstels]

проблема актуальна

[olejah]

Сделайте лог полного сканирования МВАМ

[Demonstels]

Выполнил сканирование, найдено много троянов и руткитов. Пока не трогал их вот лог.

[olejah]

Удалите в МВАМ -

Код:

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\bthenum (Rootkit.Bubnix) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.

Зараженные файлы:
C:\WINDOWS\system32\drivers\asyncmac.sy0 (Rootkit.Bubnix) -> No action taken.
C:\WINDOWS\system32\drivers\BthEnum.sys (Rootkit.Bubnix) -> No action taken.
D:\Инсталяхи и др\avz4\Quarantine\2010-09-21\avz00001.dta (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\777\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\fjhdyfhsn.bat (Malware.Trace) -> No action taken.

Выполните скрипт в АВЗ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
if FileExists('C:\WINDOWS\System32\dllcache\sfcfiles.dll')then
 begin             
 RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
 CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');      
 QuarantineFile('C:\WINDOWS\System32\sfcfiles.bak','');     
 DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
 end else     
 AddToLog('dllcache\sfcfiles.dll does not exist');
 SaveLog(GetAVZDirectory + 'avz.log');       
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 BC_Activate;
 RebootWindows(true);
end.

- Файл avz.log из папки с АВЗ прикрепите к следующему сообщению

[Demonstels]

Winlogon.exe больше не буянит, спасибо.

[olejah]

Возьмите файл у меня из вложений, распакуйте и поместите по следующим путям - C:\WINDOWS\System32\ и C:\WINDOWS\System32\dllcache\

- Повторите лог МВАМ

[Demonstels]

Сделал

[olejah]

Чисто, что с проблемой?

[Demonstels]

Проблема решилась после удаления файлов в МбАM. Спасибо еще раз.

[olejah]

Рекомендуется -

- Установить все важные обновления.
- Установить IE 8 - даже если Вы им не пользуетесь.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\777\\главное меню\\программы\\автозагрузка\\monoca32.exe - Packed.Win32.Krap.ao ( DrWEB: Trojan.Botnetlog.504, BitDefender: Gen:Variant.Kazy.43, AVAST4: Win32:Crypt-HKP [Drp] )
  2. c:\\program files\\internet explorer\\setupapi.dll - Trojan.Win32.Zapchast.cbh ( DrWEB: Trojan.WinSpy.935, BitDefender: Trojan.Spy.Agent.OFN, NOD32: Win32/Agent.OSS trojan, AVAST4: Win32:Patched-TI [Trj] )