winlogon грузит ЦП на 50%

[sidyk]

Проверил с помощью AVZ (3й по счёту стандартный скрипт),
жду ответный скрипт для лечения...

[olejah]

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\tempsys.exe','');
 QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
 QuarantineFile('C:\WINDOWS\system32\nrsdxr.exe','');
 QuarantineFile('C:\WINDOWS\system32\sidebar32.exe','');
 QuarantineFile('C:\WINDOWS\system32\sfcfiles.dll','');
 DeleteFile('C:\WINDOWS\system32\sidebar32.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Secure Star');
 DeleteFile('C:\WINDOWS\system32\nrsdxr.exe');
 DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\tempsys.exe');  
 DeleteFile('c:\program files\opera\setupapi.dll');  
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

[sidyk]

готово

Добавлено через 13 минут

Файл сохранён как 110103_133859_quarantine_4d21a7432e6ae.zip

Размер файла 3278

[olejah]

Сделайте новые логи. Все три, как в правилах.

[sidyk]

а как сделать hijackthis.log ??? (видел в похожей теме)

[olejah]

http://virusinfo.info/pravila.html

[sidyk]

Готово

[olejah]

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Пофиксите в hijackthis -

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
O2 - BHO: MS Media Module - {17C7D763-77CF-B5C2-E99F-F55182ADB317} - (no file)

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 DeleteFile('C:\WINDOWS\system32\mssfc.dll');  
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл C:\WINDOWS\system32\sfcfiles.dll поищите с помощью АВЗ(Сервис - Поиск файлов на диске), если найдёте, запакуйте в zip-архив, с паролем virus пришлите по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

[sidyk]

Файл сохранён как 110103_160829_Quarantine_4d21ca4dcee1e.zip
Размер файла 690

Такой файл нашёл, но в папке AVZ папка Quarantine не архивируется ("Отказано в доступе"), не знаю сгодиться ли такой "Quarantine", который вам отправил?

[olejah]

Сделаем так -

1. скачайте МВАМ,

2. Установите ее по стандартному пути с настройками по умолчанию.

3. В проводнике найдите файл C:\WINDOWS\system32\sfcfiles.dll, нажмите на него правой кнопкой мыши и выберите пункт Просканировать Malwarebytes Antimalware

4. О результатах отпишитесь.

[sidyk]

Вуаля

[olejah]

Что с проблемой?

[sidyk]

Когда пытался с помощью AVZ скопировать "sfcfiles.dll" в карантин, несколоко раз NOD 32 ругался...

Добавлено через 55 секунд

проблема осталась

А эту библиотеку удалить можно? (C:\WINDOWS\system32\sfcfiles.dll)

[olejah]

Файл C:\WINDOWS\system32\sfcfiles.dll замените чистым с дистрибутива.

[sidyk]

не получается заменить, "нет доступа или файл уже используется"

[olejah]

В безопасном режиме?

[sidyk]

Заменил в безопасном режиме, ребут... щас всё "ОК"!

Огромное человеческое спасибо!!!

p.s. Achtung неизбежен))

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 12
• В ходе лечения вредоносные программы в карантинах не обнаружены