[решено] Процессор загружен 100% (Winlogon), не открываются антивирусные сайты и программы

vlbee · Отправлено: **16:09, 11-03-2011** | #11

В Safe Mode тоже не запускается AVZ. Кроме того, в безопасном режиме не удается одновременно залогиниться двумя пользователями. Под единственным пользователем вирь и запускается, блокируя AVZ.

SolarSpark · Отправлено: **16:19, 11-03-2011** | #12

скрипт выполнить можете в нормальном режиме? ведь как то логи вы собрали...

vlbee · Отправлено: **16:35, 11-03-2011** | #13

Выполнил под вторым юзером. Всё прошло хорошо! Карантин отправил. Процессор стал остывать, вентилятор не гудит :-)
Спасибо!

Что дальше? По написанному сценарию? ХайДжек и прочее?

SolarSpark · Отправлено: **16:38, 11-03-2011** | #14

Цитата vlbee:

Что дальше? По написанному сценарию? »

точно так)

vlbee · Отправлено: **17:43, 11-03-2011** | #15

Логи AVZ:
virusinfo_syscheck.zip
virusinfo_syscure.zip
virusinfo_cure.zip

Логи RSIT:
rsit.zip

Логи MalWare будут позже (долго работает).

SolarSpark · Отправлено: **17:49, 11-03-2011** | #16

Цитата vlbee:

Логи MalWare будут позже (долго работает). »

пусть работает-все на пользу..
логи гляну и отвечу

SolarSpark · Отправлено: **18:11, 11-03-2011** | #17

virusinfo_cure.zip -это убираем..карантин я сюда не запрашивала

SolarSpark · Отправлено: **18:36, 11-03-2011** | #18

файл проверить на

Код:

http://www.virustotal.com

Код:

c:\program files\10-страйк инвентаризация компьютеров\networkinventoryexplorer.exe.bak
C:\Documents and Settings\aleks\Мои документы\Загрузки\1_ft-tx2300-2200-windrv-whql_v2.06.0.318.zip

ссылку сюда на проверку

C:\WINDOWS\tasks\JkDefragTask.cmd в планировщиках задач ваше?

папочку C:\32788R22FWJFW ищем, смотрим содержимое-если не ваше-удаляем

ну и прогоним животных с монитора, думается, сами ими не развлекаетесь

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\VPets\VPets.exe','');
 DeleteFile('C:\Program Files\VPets\VPets.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VPetsPlayer');
 DeleteFileMask('C:\Program Files\VPets', '*.*', true);
DeleteDirectory('C:\Program Files\VPets');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки отпишитесь о самочувствии

vlbee · Отправлено: **19:01, 11-03-2011** | #19

Результат проверки MalWare

Проверка на Virustotal:

Файл 1
Файл 2

C:\WINDOWS\tasks\JkDefragTask.cmd - остался от предыдущего юзера. Убрал из планировшщика

Папочку C:\32788R22FWJFW - прибил (создана вчера чем-то, не мной)

Животными не пользуюсь, сейчас прибью.

SolarSpark · Отправлено: **19:10, 11-03-2011** | #20

удаляем в mbam

Код:

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.

Заражённые папки:
c:\program files\FieryAds (Adware.Adware.FearAds) -> No action taken.

Заражённые файлы:
c:\system volume information\_restore{eb339802-a6cf-4ab6-9d87-93f1d0045f84}\RP3\A0000372.exe (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\dn\application data\fieryads.dat (Adware.FieryAds) -> No action taken

вот эти на ваше усмотрение. могут содержать трояны

Код:

c:\documents and settings\alex\рабочий стол\Dropbox\kan\fineprint_6.12\ENG\Keygen.exe (RiskWare.Tool.CK) -> No action taken.
c:\documents and settings\alex\рабочий стол\Dropbox\kan\fineprint_6.12\RU\Keygen.exe (RiskWare.Tool.CK) -> No action taken.

как самочувствие больного?