Большая загрузка процессора. Блок AVZ

[-Алексей-]

Добрый день!
У друга вновь возникла проблема.
У него стал сильно нагружаться процессор, медленно работать компьютер.
Температура процессора оказалась 84 гр.!!!
Прочистили пылесосом все внутри, промыли радиатор процессора, поменяли термопасту. Но причина была скорей всего в зловреде, который нагружал процессор постоянно и в холостом ходу. Решили провести лечение согласно правил.
1. Родной антивирус (Eset NOD 32) пропал в трэе. AVZ не запускался. AVP Tool не запускался. CureIt не запускался. Последний удалось запустить только после того, как была запущена система на CD и в папке Temp был удален файл 25.tmp размером 68 кб.
2. Полная проверка CureIt ускорила работу системы (было обнаружено и удалено порядка 20 различных вирусов), но не решила проблему запуска AVZ. Правда раньше никакой реакции вообще не наблюдалось, то теперь происходит сворачивание всех открытых окон, появляется пустой рабочий стол и затем значки на рабочем столе.
3. Воспользовался предложением в одной из веток со схожей проблемой и запустил mink.pif с параметрами AM=Y AG=Y. Получилось получить лог сбора информации. Прилагаю к сообщению.
И прошу помощи в лечении.

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
  QuarantineFile('C:\Program Files\LoviVkontakte\lovivkontakte.exe','');
 QuarantineFile('C:\Program Files\pchd\PCHDPlayer.exe','');
 QuarantineFile('c:\windows\system32\rwtdlqf.exe','');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\A0YXOF7H.sys','');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\A0YXOF7H.sys');
 DeleteFile('c:\windows\system32\rwtdlqf.exe');
 DeleteFile('C:\Program Files\pchd\PCHDPlayer.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PCHDPlayer');
 DeleteFileMask('C:\Program Files\pchd', '*.*', true);
 DeleteDirectory('C:\Program Files\pchd');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(20);
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)

[-Алексей-]

Файл сохранён как 101118_162019_quarantine_4ce528135d494.zip
Размер файла 1411357
MD5 eac7e127cc3add015232b14ed1a09d45

Прошу прощения. Вернулся от друга (его машинку пока к сети не подключаем) и только сейчас вспомнил, что не сделал лог hijackthis.log.
Пока отправляю остальные. Недостающий будет чуть позже ...

[polword]

что с проблемой?

[-Алексей-]

Что касается проблемы, то машинка стала гораздо шустрей. После перезагрузки компьютера смог запуститься AVP Tool. Я его запусти на проверку. Он говорит, что "Лови в контакте" инфицирован. Но ни лечить, ни удалять я пока не стал. Жду все-таки рекомендаций.

[light59]

Чем инфицирован?

[-Алексей-]

Если честно, то не запомнил точно .... что то типа Trojan.Generic.
Да я думаю вы сможете точнее посмотреть. Файл был в карантине. который я выкладывал.

[light59]

Он его никак не детектит.
Trojan.Generic - это подозрение. Может лучше будет, если программу переустановите

[polword]

Профиксите в HijackThis

Код:

R3 - URLSearchHook: (no name) -  - (no file)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe (file missing)

В остальном подозрительного нет.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 10
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\rwtdlqf.exe - Trojan.Win32.Jorik.Shiz.ho ( DrWEB: Trojan.MulDrop1.52533, BitDefender: Trojan.Generic.5138062, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-IJ [Cryp] )