Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   CMD.exe грузит проц на 100% (еще один случай) (http://forum.oszone.net/showthread.php?t=186329)

LingLing 24-09-2010 01:26 1503008
CMD.exe грузит проц на 100% (еще один случай)
 
Вложений: 1
Собственно 2 недели назад поставил винду 7-ю и у меня такая же проблема как и у этого пользователя: http://forum.oszone.net/thread-186002.html. NOD ничего не видит. Когда это появилось точно определить не могу. Компьютер только на обслуживании. Вообщем вот все логи:

icotonev 24-09-2010 13:00 1503269
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

+
Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RebootWindows(true);
end.
Повторять логи АВЗ...!

LingLing 25-09-2010 00:30 1503690
Вложений: 3
Выполнил вашу инструкцию. Malwarebytes' Anti-Malware что-то нашел, но я не стал ничего придпринимать. Логи прилагаю:

Arbitr 25-09-2010 01:06 1503694
есть подозрение что это от вашего активатора который создал файл C:\Windows\System32\hale.exe
который уже непосредственно и грузит..проверьте его на virustotal.com ссылку на результат приложите

и нам его тоже отправьте на дополнительную проверку

Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\hale.exe');
 QuarantineFile('c:\windows\system32\hale.exe','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive('c:\quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, в названии темы укажите – "Проверка карантина". В теле сообщения укажите адрес своей темы на форуме. Результаты ответа сообщите здесь, в теме.

LingLing 26-09-2010 01:33 1504394
Пустой отчёт от Virustotal.com ссылка

Сейчас отправлю на почту файл и буду ждать ответа.

UPDATE
почта не отправилась...(((
вот что пишется в ответном письме

читать дальше »
This message was created automatically by mail delivery software. A message that you sent could not be delivered to one or more of its recipients. This is a permanent error. The following address(es) failed: quarantine@virusnet.info SMTP error from remote mailer after end of data: host ASPMX.L.GOOGLE.COM [74.125.43.27]: 552-5.7.0 Our system detected an illegal attachment on your message. Please 552-5.7.0 visit http://mail.google.com/support/bin/a...py?answer=6590 to 552 5.7.0 review our attachment guidelines. u15si10369212bkz.94 ------ This is a copy of the message, including all the headers. ------ ------ The body of the message is 2928610 characters long; only the first ------ 1024 or so are included here.

LingLing 28-09-2010 00:19 1506057
Не подскажите, что делать? Письмо по указанному адресу не отправляется

Arbitr 28-09-2010 00:55 1506074
заражения по этим логам не вижу..
можно применить комбо проверить, но ваша активация если не лицензия, слетит.
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в [b]combo-fix.exe[/b

предварительно сделайте с помощью Erunt копию реестра.


Время: 06:36.

Время: 06:36.
© OSzone.net 2001-