Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] кушает много ресурсов (http://forum.oszone.net/showthread.php?t=180894)

Stiletto 19-07-2010 02:50 1455808
кушает много ресурсов
 
на компьютере стояла изначально программа Trojan Guard никаких вирусов замеченно не было,все лишнее он удалял.
игры с высокими и нормальными требованиями шли хорошо.( гта4,батл филд бед компани 2)
последнюю неделю все ухудштлось сильно.стоял антивирус нод32-вирусов ненашел,потом был аваст-тоже проблем невидел.
игры идут слайдами на мин настройках графы и прочего.
комп вычищен,охлаждение не идеальное конечно но и не плохое.

сайты с антивирусами не открывал.
после проверки МБАМ нашел 3 вируса (1 в реестре,2 файловых) стал открывать сайты с антивирусами,но проблемы не решились,игры все так же лагают.

Stiletto 19-07-2010 02:53 1455810
при проверке :

Stiletto 19-07-2010 04:34 1455825
AVZ и HijackThis

MotherBoard 19-07-2010 11:15 1455946
Выполните скрипт в AVZ


Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Главное меню\Программы\Автозагрузка\Reboot.exe','');
 QuarantineFile('c:\documents and settings\admin\главное меню\программы\автозагрузка\wwwznv32.exe','');
 DeleteFile('c:\documents and settings\admin\главное меню\программы\автозагрузка\wwwznv32.exe');
DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Главное меню\Программы\Автозагрузка\Reboot.exe');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Комп перезагрузится
Выполните скрипт:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив отправьте на pimenova-08<at>mail.ru c ссылкой на тему.


Пофиксите в HJT(после скрипта в AVZ строчек может не быть)
Код:
O4 - Startup: wwwznv32.exe
O4 - Global Startup: Reboot.exe

IP - ваши? 213.234.192.7 85.21.192.5
если нет, то профиксьте:
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{F2FDF527-7443-4B8B-BDD9-71DAEDC446F1}: NameServer = 213.234.192.7 85.21.192.5

Что с проблемами?

MotherBoard 19-07-2010 13:49 1456018
Забыла оговорить.. <at> это @
А в хиджаке выделите строки галочками, которые я указала и нажмите внизу на кнопку Fix Checked

Повторите логи.

Stiletto 19-07-2010 14:00 1456025
в HJT пофиксила все кроме строчки O4 - Global Startup: Reboot.exe этой строчки не было

на мыло отправить архив не смогла,пишет что оно не существует или заблокированно.

MotherBoard 19-07-2010 14:04 1456026
Stiletto, Всё нормально.. пришёл карантин.)
повторите логи пожалуйста.

Stiletto 19-07-2010 14:17 1456032
222

MotherBoard 19-07-2010 14:49 1456054
Вы скрипты выполняли? судя по логам - не похоже...

Цитата:
Цитата Stiletto
в HJT пофиксила все кроме строчки O4 - Global Startup: Reboot.exe этой строчки не было »
И эта строчка есть и остальные остались(

ответ из лаборатории:
Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

bcqr00003.dat,
bcqr00004.dat,
wwwznv32.exe

Файлы в процессе обработки.

Reboot.exe - not-a-virus:RiskTool.Win32.Reboot.g

Этот файл уже детектируется нашими расширенными базами как потенциально опасное программное обеспечение.

С уважением, Лаборатория Касперского




Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Stiletto 19-07-2010 16:28 1456110
!!!

MotherBoard 20-07-2010 17:18 1456782
проверьте файл:c:\windows\system32\drivers\vdm4njm5.sys на http://www.virustotal.com/

Что с проблемами?
MBAM обновляли? Или как скачали без обновления. так и включили?

Stiletto 20-07-2010 17:35 1456802
проверила...
со вчерашнего дня как были так и остались

мбам после скачивания обновлялся

MotherBoard 20-07-2010 17:48 1456817
Цитата:
Цитата Stiletto
проверила... »
Ссылку на результат проверки можете скинуть?
Как самочуствие? Что с проблемой?

Stiletto 21-07-2010 17:19 1457739
https://www.virustotal.com/ru/reanal...4f6-1279718186

проблема не решилась...
уже незнаю что делать

https://www.virustotal.com/ru/analis...4f6-1279707016


Время: 01:38.

Время: 01:38.
© OSzone.net 2001-