Загружен ЦП. Открыв диспетчер задач,загрузка резко падает.

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

Загружен ЦП. Открыв диспетчер задач,загрузка резко падает.

Здравствуйте. Тут уже была подобная тема.

При работе компьютера начинает сильно шуметь кулер. Загружается ЦП сразу после запуска. Но, как только запускаю диспетчер задач , загрузка ЦП падает с 99% до 0-1% и. Проверял антивирусами (Касперский,Dc.web,) не решили проблему. Прикрепил лог с Farbar и c AutoLogger.

Помогите пожалуйста найти где сидит этот вирус...

Задачу "выключение" (shutdown /s /t 60) сами прописывали?
Spyware Detector - удалите

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

 begin

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

 then

  begin

  SearchRootkit(true, true);

  SetAVZGuardStatus(True);

  end;

QuarantineFile('C:\Windows\help\lsmosee.exe','');

 QuarantineFile('c:\windows\debug\ok.dat','');

 QuarantineFile('c:\windows\debug\item.dat>','');

 QuarantineFile('c:\windows\help\lsmosee.exe>','');

 QuarantineFile('c:\windows\debug\item.dat','');

 QuarantineFile('C:\Windows\IME\svchost.exe','');

 QuarantineFile('C:\Users\HOME\AppData\Roaming\SDService\SDService.exe','');

 QuarantineFile('C:\Windows\system32\drivers\IOMap64.sys','');

 QuarantineFile('C:\Users\HOME\AppData\Local\Temp\ALSysIO64.sys','');

 QuarantineFile('c:\users\home\appdata\roaming\sdservice\sdservice.exe','');

 DeleteFile('C:\Windows\IME\svchost.exe','32');

 DeleteFile('C:\Windows\system32\Tasks\Microsoft Windows UPnP Services','64');

 DeleteFile('c:\windows\debug\item.dat','32');

 DeleteFile('C:\Windows\system32\Tasks\Mysa','64');

 DeleteFile('C:\Windows\system32\Tasks\Mysa1','64');

 DeleteFile('C:\Windows\system32\Tasks\Mysa2','64');

 DeleteFile('C:\Windows\system32\Tasks\Mysa3','64');

 DeleteFile('c:\windows\help\lsmosee.exe>','32');

 DeleteFile('c:\windows\debug\item.dat>','32');

 DeleteFile('c:\windows\debug\ok.dat','32');

 DeleteFile('C:\Windows\help\lsmosee.exe','32');

  BC_Activate;

  ExecuteSysClean;

  ExecuteWizard('SCU', 2, 3, true);

 BC_ImportALL;

RebootWindows(true);

end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Поспешили с FRST, нужен свежий лог после скрипта. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Цитата:

Цитата akok

Задачу "выключение" (shutdown /s /t 60) сами прописывали? »

Да сам.

Цитата:

Цитата akok

Spyware Detector - удалите »

А где он? В программах его нет, в браузере тоже.

Скрипт уже помог(спасибо)
Новый scan после скрипта прикрепил.

Ваше?
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{07fb00e8-c346-40c1-ad6a-0d79656e6977} <==== ATTENTION (Restriction - IP)

Отключите до перезагрузки антивирус.
Выделите следующий код:

Код:

Start:: CreateRestorePoint: VirusTotal: C:\Program Files\Common Files\xpdown.dat;C:\Program Files\Common Files\xp.dat;C:\Program Files (x86)\Common Files\conime.exe;C:\Windows\system32\a.exe c:\windows\debug\ok.dat ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File ContextMenuHandlers1: [TVCShellExt] -> {4E33A7F5-8083-4C08-9D45-C5CED88F5C04} => -> No File Task: {051035B4-29E6-4C7C-A6F0-B291AD6225AC} - \Mysa3 -> No File <==== ATTENTION Task: {470C1D91-6605-498E-891F-AF28FE96EA5C} - \Microsoft Windows UPnP Services -> No File <==== ATTENTION Task: {59CD135B-5754-4B71-AFC3-298B61F5F884} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa Task: {60C5F102-4943-465E-8515-BF103968FE1B} - \Mysa -> No File <==== ATTENTION Task: {68A5EA2A-FECF-4436-987D-041927F49C68} - \HOME -> No File <==== ATTENTION Task: {9B742318-5996-4A66-8991-4D94F426915B} - \Mysa2 -> No File <==== ATTENTION Task: {A635BE69-C091-4D74-8BBE-E6263AA73CB2} - \Mysa1 -> No File <==== ATTENTION WMI_ActiveScriptEventConsumer_fuckyoumm2_consumer: <==== ATTENTION AlternateDataStreams: C:\ProgramData\TEMP:5B975772 [280] AlternateDataStreams: C:\Users\Все пользователи\TEMP:5B975772 [280] EmptyTemp: Reboot: End::
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Цитата:

Цитата akok

Понятия не имею что это вообще, что то в реестре?
Фикс лог прикрепил.

Дополнительно:

Отключите до перезагрузки антивирус.
Выделите следующий код:

Код:

Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{07fb00e8-c346-40c1-ad6a-0d79656e6977} <==== ATTENTION (Restriction - IP) End::
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Сообщите что с проблемой.

Сделал . Лог прикрепил.

Достаточно было одни раз нажать Fix :)

Цитата:

Цитата Sandor

что с проблемой »

Не ответили.

Цитата:

Цитата Sandor

Не ответили. »

Все решено. Спасибо Вам Огромное

1.
Все утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

------------------------------- [ Windows ] -------------------------------
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB3115858 Внимание! Скачать обновления
HotFix KB3140735 Внимание! Скачать обновления
HotFix KB3138910 Внимание! Скачать обновления
HotFix KB3138962 Внимание! Скачать обновления
HotFix KB3145739 Внимание! Скачать обновления
HotFix KB3146963 Внимание! Скачать обновления
HotFix KB3156013 Внимание! Скачать обновления
HotFix KB3156016 Внимание! Скачать обновления
HotFix KB3156019 Внимание! Скачать обновления
HotFix KB3155178 Внимание! Скачать обновления
HotFix KB3153171 Внимание! Скачать обновления
HotFix KB3170455 Внимание! Скачать обновления
HotFix KB3178034 Внимание! Скачать обновления
HotFix KB3185911 Внимание! Скачать обновления
HotFix KB3184122 Внимание! Скачать обновления
HotFix KB3192391 Внимание! Скачать обновления
HotFix KB3197867 Внимание! Скачать обновления
HotFix KB3205394 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4019263 Внимание! Скачать обновления
HotFix KB4022722 Внимание! Скачать обновления
HotFix KB4015546 Внимание! Скачать обновления
HotFix KB4025337 Внимание! Скачать обновления
HotFix KB4034679 Внимание! Скачать обновления
HotFix KB4041678 Внимание! Скачать обновления
HotFix KB4056894 Внимание! Скачать обновления
HotFix KB4056897 Внимание! Скачать обновления
HotFix KB4074587 Внимание! Скачать обновления
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления
FileZilla Client 3.27.0.1 v.3.27.0.1 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.3.44358 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
------------------------------- [ Browser ] -------------------------------
Я.Браузер v.17.11.1.990 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.0.0.2116 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Рекомендации после лечения.