Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   cmd.exe грузит ЦП 100% (http://forum.oszone.net/showthread.php?t=225919)

Sp1r1don 22-01-2012 13:23 1841707
cmd.exe грузит ЦП 100%
 
Вчера при загрузки поймал затуп. Диспетчер показал, что ЦП грузит с начала не понятный C.exe, потом cmd.exe. Клонится их штук по 5. Сканер от веба и каспера не видят вирусов. Помогите пожалуйста с данной проблемой.

Techno88 22-01-2012 13:30 1841714
Посмотрю....

- Отключите антивирус/фаервол и интернет;
- Выполните в АВЗ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\documents and settings\admin\application data\c.exe');
 TerminateProcessByName('c:\documents and settings\admin\application data\regsrv64.exe');
 QuarantineFile('c:\documents and settings\admin\application data\c.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\Ruqaqr.exe','');
 QuarantineFile('c:\documents and settings\admin\application data\regsrv64.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\2A.exe','');
 QuarantineFile('c:\documents and settings\admin\application data\27.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\29.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\11.exe','');
 QuarantineFile('c:\documents and settings\admin\application data\10.tmp','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\E.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\6.tmp','');
 QuarantineFile('c:\documents and settings\admin\application data\9.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\8.tmp','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\15.exe','');
 QuarantineFile('c:\documents and settings\admin\application data\5A.exe','');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\5A.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\9.exe');
 DeleteFile('c:\documents and settings\admin\application data\8.tmp');
 DeleteFile('c:\documents and settings\admin\application data\15.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\10.tmp');
 DeleteFile('c:\documents and settings\admin\application data\E.exe');
 DeleteFile('c:\documents and settings\admin\application data\6.tmp');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\27.exe');
 DeleteFile('c:\documents and settings\admin\application data\29.exe');
 DeleteFile('c:\documents and settings\admin\application data\11.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\2A.exe');
 DeleteFile('c:\documents and settings\admin\application data\c.exe');
 DeleteFile('c:\documents and settings\admin\application data\regsrv64.exe');
  DeleteFile('C:\Documents and Settings\Admin\Application Data\Ruqaqr.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SterupService');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','SterupService');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SterupService');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SterupService');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SterupService');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ruqaqr');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft DLL Registration');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите через данную форму. Укажите ссылку на тему и ник на форуме.

Установите новый Internet Explorer, а также все доступные обновления для Windows

После обновлений:
- Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Полное сканирование", нажмите "Сканирование", после сканирования - Ok - Показать результаты - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.

Sp1r1don 22-01-2012 14:07 1841740
Логи выполнил, карантин отправил. Обновление установлю, лог выложу.
Спасибо, проблема решилась, но в диспетчере заметил 21.exe, это в норме?

Да и еще. Переодически каждые 2-3сек. курсор загорается как при процессе загрузки цп и тут же меняется на указатель. И так постоянно. Началось тоже со вчерашнего дня.

Techno88 22-01-2012 14:11 1841743
Цитата:
Цитата Sp1r1don
но в диспетчере заметил 21.exe, это в норме? »
Нет.

Ждем...
Цитата:
Цитата Techno88
Установите новый Internet Explorer, а также все доступные обновления для Windows
После обновлений:
- Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Полное сканирование", нажмите "Сканирование", после сканирования - Ok - Показать результаты - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. »

Sp1r1don 22-01-2012 14:31 1841764
Поставил обнову, после перезагрузки 21.exe начал клонировать. аналогично cmd. Начал скан.

Во время скана вылетела след ошибка, сканирование продолжил.

alex_sev 22-01-2012 14:38 1841770
После скана, MBAM не закрывайте и ничего сами без прямого указания не удаляйте

+ сделайте повторный комплект логов AVZ & RSIT

Techno88 22-01-2012 14:42 1841773
Цитата:
Цитата alex_sev
+ сделайте повторный комплект логов AVZ & RSIT »
Только перед этим обновите базы АВЗ (АВЗ -> меню "Файл" -> "Обновление баз" -> "Пуск")

Sp1r1don 22-01-2012 14:43 1841775
Цитата:
Цитата alex_sev
без прямого указания не удаляйте »
Так точно Капитан! :)

Пока делаю скан, дайте советы, какие защитные ПО мне скачать? Особенно какую-нибудь на проверку флешек, просто через мой ПК их проходит большое кол-во.

Techno88 22-01-2012 14:52 1841786
Цитата:
Цитата Sp1r1don
Особенно какую-нибудь на проверку флешек, просто через мой ПК их проходит большое кол-во. »
Нужно просто отключить автозапуск со съемных носителей, чтобы все подряд с них не лезло...

Цитата:
Цитата Sp1r1don
Пока делаю скан, дайте советы, какие защитные ПО мне скачать? »
Лучшая защита - это обновленная система с обновленными программами, непосредственно работающих в сети.

Почитайте пока Рекомендации после лечения.

Sp1r1don 22-01-2012 16:05 1841843
Логи Malware

Techno88 22-01-2012 16:11 1841847
Удалите в MBAM:
Код:
C:\Documents and Settings\Admin\Мои документы\Downloads\avz4\Quarantine\2012-01-22\avz00003.dta (Trojan.Zbot) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Мои документы\Downloads\avz4\Quarantine\2012-01-22\avz00009.dta (Trojan.Zbot) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Мои документы\Downloads\avz4\Quarantine\2012-01-22\avz00011.dta (Trojan.Zbot) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Мои документы\Downloads\avz4\Quarantine\2012-01-22\avz00012.dta (Backdoor.Bot.WPMH) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Мои документы\Downloads\avz4\Quarantine\2012-01-22\avz00013.dta (Trojan.Zbot) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Мои документы\Downloads\avz4\Quarantine\2012-01-22\avz00014.dta (Trojan.Zbot) -> Действие не было предпринято.
C:\System Volume Information\_restore{5F941519-595C-44AA-8C71-D61AC922E3AB}\RP3\A0000633.exe (Trojan.Zbot) -> Действие не было предпринято.
C:\System Volume Information\_restore{5F941519-595C-44AA-8C71-D61AC922E3AB}\RP3\A0000634.exe (Trojan.Zbot) -> Действие не было предпринято.
C:\System Volume Information\_restore{5F941519-595C-44AA-8C71-D61AC922E3AB}\RP3\A0000635.exe (Trojan.Zbot) -> Действие не было предпринято.
C:\System Volume Information\_restore{5F941519-595C-44AA-8C71-D61AC922E3AB}\RP3\A0000636.exe (Trojan.Zbot) -> Действие не было предпринято.
C:\System Volume Information\_restore{5F941519-595C-44AA-8C71-D61AC922E3AB}\RP3\A0000642.exe (Trojan.Zbot) -> Действие не было предпринято.
И давайте логи АВЗ и РСИТ посмотрим

Sp1r1don 22-01-2012 16:54 1841892
Логи. РСИТ Не выдал логов info...

Techno88 22-01-2012 17:16 1841909
- Выполните в АВЗ:
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\documents and settings\admin\application data\21.exe');
 QuarantineFile('c:\documents and settings\admin\application data\21.exe','');
 DeleteFile('c:\documents and settings\admin\application data\21.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SterupService');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','SterupService');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SterupService');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SterupService');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SterupService');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите через данную форму. Укажите ссылку на тему и ник на форуме.

Обновите уже наконец базы АВЗ :) (АВЗ -> меню "Файл" -> "Обновление баз" -> "Пуск")

- Повторите логи АВЗ и РСИТ.

Sp1r1don 22-01-2012 17:47 1841940
Сделано :)

Techno88 22-01-2012 18:19 1841967
Выполните в АВЗ:
Код:
var i:integer;
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
for i:=1 to 99 do
begin
QuarantineFile('c:\documents and settings\admin\application data\'+inttostr(i)+'.exe','');
DeleteFile('c:\documents and settings\admin\application data\'+inttostr(i)+'.exe');
end;
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
- Повторите логи АВЗ и РСИТ.

Sp1r1don 22-01-2012 18:38 1841982
Скачал и установил касперский секьюрити, теперь при активности касперского не могу вообще через хром зайти на любые сайты.

Techno88 22-01-2012 18:42 1841983
Цитата:
Цитата Sp1r1don
качал и установил касперский секьюрити, теперь при активности касперского не могу вообще через хром зайти на любые сайты. »
Смотрите настройки. Я жду логи...

Sp1r1don 22-01-2012 19:42 1842041
Логи

Techno88 22-01-2012 19:48 1842049
Порядок.
Что с проблемой?
Выполните рекомендации после лечения

Sp1r1don 22-01-2012 23:41 1842285
Все, все в порядке :) Огромное спасибо вам! Нет слов, для выражения благодарности :)

Techno88 22-01-2012 23:46 1842291
+
Установите новый Internet Explorer


Время: 19:55.

Время: 19:55.
© OSzone.net 2001-