Процесс dwengine.exe отъедает 50-95 % загрузки ЦП

**Андрей Новокрещенных** · 28.10.2010, 20:52

Доброго всем времени суток!
Winows 7 Pro лицензия, DrWeb 6.0.2.10060, Comodo Firewall 5.0.163652.1142.
Процесс dwengine.exe стал загружать процессор на 50-95%. После чего это произошло - непонятно. При этом Windows Update показывает 68% загрузки обновлений и дальше не двигается.
Выполнил все действия по инструкции. Сначала проверил DrWeb (установлена 6-я версия, работала хорошо до описываемых событий), потом AVPTool в безопасном режиме (все логи сохранил, могу приложить). Между проверками различными средствами делались перерывы длиной в сутки - надо же иногда и поработать

Логи AVZ и HijackThis прилагаю.
Буду рад вашим советам...

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**V_Bond** · 28.10.2010, 22:43

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\atmadm.exe','');
 QuarantineFile('C:\Users\Андрей\AppData\Roaming\Vuow\yrva.exe','');
 DeleteFile('C:\Users\Андрей\AppData\Roaming\Vuow\yrva.exe');
 DeleteFile('C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\atmadm.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил

**Андрей Новокрещенных** · 29.10.2010, 03:55

Здравствуйте.
Скрипт выполнил.
Забыл сказать, что вчера программы стали открываться только от имени администратора... Так вот, после выполнения скрипта ничего не изменилось, и dwengine.exe по-прежнему много кушает.
Карантин прикрепил; отпишитесь, пожалуйста, получен ли он...

**Андрей Новокрещенных** · 29.10.2010, 04:35

В карантине только один файл (комп после скрипта затупил, пришлось перезагрузить) за вчера, за сегодня ничего нет. Его прикрепляю к теме...

**Андрей Новокрещенных** · 30.10.2010, 17:41

Сегодня DrWeb ругнулся, что проверки не было неделю:
Вложение 280423

Но я 25-го проверял полной проверкой всю систему.
После этой ошибки выполнил быстрое сканирование. Вирусов не найдено.

Кстати, системе полегчало после скрипта. Это не может не радовать

Спасибо!
Но хотелось бы удостовериться... Какой скрипт выполнить?

**Андрей Новокрещенных** · 30.10.2010, 19:53

dwengine.exe при простое не грузит систему, а если комп нагружен, то также 50-90 % загрузки

и обновления теперь застряли на 72 %

**thyrex** · 30.10.2010, 23:40

Сделайте новые логи

Сделайте лог полного сканирования МВАМ

**Андрей Новокрещенных** · 01.11.2010, 09:26

Сделал новые логи. MBAM лог не открыл в блокноте, нажал "Сохранить отчет" и сохранил лог.
Вложение 280681
Вложение 280680
Вложение 280679
Вложение 280682

**Андрей Новокрещенных** · 01.11.2010, 09:28

Обновления подтолкнул (остановил загрузку и заново запустил) - скачались и установились (ничего критичного: поставился Live 2011 и новый драйвер для телефона).

**V_Bond** · 01.11.2010, 09:45

выполните скрипт

Код:

begin
 DelBHO('{3f5a62e2-51f2-11d3-a075-cc7364cae42a}');
end.

**Андрей Новокрещенных** · 01.11.2010, 16:13

Сообщение от V_Bond

выполните скрипт

Код:

begin
 DelBHO('{3f5a62e2-51f2-11d3-a075-cc7364cae42a}');
end.

Выполнил. Всё, теперь мне можно спать спокойно?

Остальные обнаруженные MBAM'ом подозрительные объекты не представляют угрозы?

Добавлено через 3 минуты

Проверил ручками - раздел в реестре остался и внем один ключ VerCache. Это нормально?

**V_Bond** · 01.11.2010, 16:14

это удалите

Код:

C:\Users\Андрей\AppData\Local\Temp\A9F8.tmp (Spyware.Passwords.XGen) -> No action taken.
C:\Users\Андрей\AppData\Local\Temp\34A1.tmp (Spyware.Passwords.XGen) -> No action taken.

остальное ваши кряки

**Андрей Новокрещенных** · 01.11.2010, 16:29

Спасибо большое, парни! Странно, почему DrWeb не нашёл вирусы...
Сейчас очистил C:\Users\Андрей\AppData\Local\Temp\ вообще, так DrWeb в сообщениях показывал, что файлы содержат вирусы и перемещены в карантин.

Добавлено через 3 минуты

А как насчет:

Код:

C:\Users\Андрей\AppData\Roaming\Desktopicon\eBayShortcuts.exe (Adware.ADON) -> No action taken.
C:\Users\Андрей\AppData\Roaming\Ebzeqo\usgo.exe (Spyware.Passwords.XGen) -> No action taken.

?
Удалил и эти...

**V_Bond** · 01.11.2010, 16:41

все верно

**Андрей Новокрещенных** · 01.11.2010, 21:46

А этот Spyware.Passwords.XGen пароли мои воровал что-ли?

Добавлено через 4 часа 31 минуту

Могу я эту ветку реестра удалить? Она не системная, не критичная?

**V_Bond** · 01.11.2010, 22:11

какую ветку ?

**Андрей Новокрещенных** · 01.11.2010, 23:30

Код:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{3f5a62e2-51f2-11d3-a075-cc7364cae42a} (Trojan.BHO) -> No action taken.

**Bratez** · 02.11.2010, 03:02

Можете удалить.

**Андрей Новокрещенных** · 02.11.2010, 15:44

Всем большое спасибо! Тему, наверное, можно закрыть...

**CyberHelper** · 03.11.2010, 15:44

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения вредоносные программы в карантинах не обнаружены

Процесс dwengine.exe отъедает 50-95 % загрузки ЦП (заявка № 90705)

Опции темы

Процесс dwengine.exe отъедает 50-95 % загрузки ЦП

Антивирусная помощь

Итог лечения

Похожие темы

Процесс dwengine.exe отъедает 50-95 % загрузки ЦП

Процесс грузит процессор под 100% вначале загрузки

dwengine.exe замучал

На ноутбуке процесс explorer.exe съедает 50% загрузки процессора

Что то отъедает оперативную память??

Метки для этой темы

Ваши права в разделе