Вчера при загрузки поймал затуп. Диспетчер показал, что ЦП грузит с начала не понятный C.exe, потом cmd.exe. Клонится их штук по 5. Сканер от веба и каспера не видят вирусов. Помогите пожалуйста с данной проблемой.

Посмотрю....

- Отключите антивирус/фаервол и интернет;
- Выполните в АВЗ: (http://forum.oszone.net/post-1430637-4.html)
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\admin\application data\c.exe');
TerminateProcessByName('c:\documents and settings\admin\application data\regsrv64.exe');
QuarantineFile('c:\documents and settings\admin\application data\c.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Ruqaqr.exe','');
QuarantineFile('c:\documents and settings\admin\application data\regsrv64.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\2A.exe','');
QuarantineFile('c:\documents and settings\admin\application data\27.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\29.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\11.exe','');
QuarantineFile('c:\documents and settings\admin\application data\10.tmp','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\E.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\6.tmp','');
QuarantineFile('c:\documents and settings\admin\application data\9.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\8.tmp','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\15.exe','');
QuarantineFile('c:\documents and settings\admin\application data\5A.exe','');
DeleteFile('C:\Documents and Settings\Admin\Application Data\5A.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\9.exe');
DeleteFile('c:\documents and settings\admin\application data\8.tmp');
DeleteFile('c:\documents and settings\admin\application data\15.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\10.tmp');
DeleteFile('c:\documents and settings\admin\application data\E.exe');
DeleteFile('c:\documents and settings\admin\application data\6.tmp');
DeleteFile('C:\Documents and Settings\Admin\Application Data\27.exe');
DeleteFile('c:\documents and settings\admin\application data\29.exe');
DeleteFile('c:\documents and settings\admin\application data\11.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\2A.exe');
DeleteFile('c:\documents and settings\admin\application data\c.exe');
DeleteFile('c:\documents and settings\admin\application data\regsrv64.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Ruqaqr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SterupService') ;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','SterupServi ce');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SterupService');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run ','SterupService');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run' ,'SterupService');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ruqaqr');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft DLL Registration');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите через данную форму (http://www.oszone.net/virusnet). Укажите ссылку на тему и ник на форуме.

Установите новый Internet Explorer (http://www.microsoft.com/rus/windows/internet-explorer/default.aspx), а также все доступные обновления для Windows (http://www.update.microsoft.com/)

После обновлений:
- Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Полное сканирование", нажмите "Сканирование", после сканирования - Ok - Показать результаты - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.

Логи выполнил, карантин отправил. Обновление установлю, лог выложу.
Спасибо, проблема решилась, но в диспетчере заметил 21.exe, это в норме?

Да и еще. Переодически каждые 2-3сек. курсор загорается как при процессе загрузки цп и тут же меняется на указатель. И так постоянно. Началось тоже со вчерашнего дня.

но в диспетчере заметил 21.exe, это в норме? »
Нет.

Ждем...
Установите новый Internet Explorer, а также все доступные обновления для Windows
После обновлений:
- Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Полное сканирование", нажмите "Сканирование", после сканирования - Ok - Показать результаты - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. »

Поставил обнову, после перезагрузки 21.exe начал клонировать. аналогично cmd. Начал скан.

Во время скана вылетела след ошибка, сканирование продолжил.

После скана, MBAM не закрывайте и ничего сами без прямого указания не удаляйте

+ сделайте повторный комплект логов AVZ & RSIT

+ сделайте повторный комплект логов AVZ & RSIT »
Только перед этим обновите базы АВЗ (АВЗ -> меню "Файл" -> "Обновление баз" -> "Пуск")

без прямого указания не удаляйте »

Так точно Капитан! :)

Пока делаю скан, дайте советы, какие защитные ПО мне скачать? Особенно какую-нибудь на проверку флешек, просто через мой ПК их проходит большое кол-во.

Особенно какую-нибудь на проверку флешек, просто через мой ПК их проходит большое кол-во. »
Нужно просто отключить автозапуск со съемных носителей, чтобы все подряд с них не лезло...

Пока делаю скан, дайте советы, какие защитные ПО мне скачать? »
Лучшая защита - это обновленная система с обновленными программами, непосредственно работающих в сети.

Почитайте пока Рекомендации после лечения (http://forum.oszone.net/post-1838507-9.html).

Логи Malware

Удалите в MBAM:
C:\Documents and Settings\Admin\Мои документы\Downloads\avz4\Quarantine\2012-01-22\avz00003.dta (Trojan.Zbot) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Мои документы\Downloads\avz4\Quarantine\2012-01-22\avz00009.dta (Trojan.Zbot) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Мои документы\Downloads\avz4\Quarantine\2012-01-22\avz00011.dta (Trojan.Zbot) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Мои документы\Downloads\avz4\Quarantine\2012-01-22\avz00012.dta (Backdoor.Bot.WPMH) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Мои документы\Downloads\avz4\Quarantine\2012-01-22\avz00013.dta (Trojan.Zbot) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Мои документы\Downloads\avz4\Quarantine\2012-01-22\avz00014.dta (Trojan.Zbot) -> Действие не было предпринято.
C:\System Volume Information\_restore{5F941519-595C-44AA-8C71-D61AC922E3AB}\RP3\A0000633.exe (Trojan.Zbot) -> Действие не было предпринято.
C:\System Volume Information\_restore{5F941519-595C-44AA-8C71-D61AC922E3AB}\RP3\A0000634.exe (Trojan.Zbot) -> Действие не было предпринято.
C:\System Volume Information\_restore{5F941519-595C-44AA-8C71-D61AC922E3AB}\RP3\A0000635.exe (Trojan.Zbot) -> Действие не было предпринято.
C:\System Volume Information\_restore{5F941519-595C-44AA-8C71-D61AC922E3AB}\RP3\A0000636.exe (Trojan.Zbot) -> Действие не было предпринято.
C:\System Volume Information\_restore{5F941519-595C-44AA-8C71-D61AC922E3AB}\RP3\A0000642.exe (Trojan.Zbot) -> Действие не было предпринято.

И давайте логи АВЗ и РСИТ посмотрим

Логи. РСИТ Не выдал логов info...

- Выполните в АВЗ: (http://forum.oszone.net/post-1430637-4.html)
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\admin\application data\21.exe');
QuarantineFile('c:\documents and settings\admin\application data\21.exe','');
DeleteFile('c:\documents and settings\admin\application data\21.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SterupService') ;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','SterupServi ce');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SterupService');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run ','SterupService');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run' ,'SterupService');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите через данную форму (http://www.oszone.net/virusnet). Укажите ссылку на тему и ник на форуме.

Обновите уже наконец базы АВЗ :) (АВЗ -> меню "Файл" -> "Обновление баз" -> "Пуск")

- Повторите логи АВЗ и РСИТ.

Сделано :)

Выполните в АВЗ:
var i:integer;
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
for i:=1 to 99 do
begin
QuarantineFile('c:\documents and settings\admin\application data\'+inttostr(i)+'.exe','');
DeleteFile('c:\documents and settings\admin\application data\'+inttostr(i)+'.exe');
end;
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

- Повторите логи АВЗ и РСИТ.

Скачал и установил касперский секьюрити, теперь при активности касперского не могу вообще через хром зайти на любые сайты.

качал и установил касперский секьюрити, теперь при активности касперского не могу вообще через хром зайти на любые сайты. »
Смотрите настройки. Я жду логи...

Логи

Порядок.
Что с проблемой?
Выполните рекомендации после лечения (http://forum.oszone.net/post-1838507-9.html)

Все, все в порядке :) Огромное спасибо вам! Нет слов, для выражения благодарности :)