ЦП загружен на 100%

Samarinai · Отправлено: **19:23, 03-06-2012** | #41

В общем, в этот раз я смотрела, что он делает. Но после того, как он все сделал, что хотел и перезагрузился, в системе скачут окна командной строки, c:\ combofix\ CF29965.3XE и др, ~~что делать?~~

Он автоматически после перезагрузки зашел под пользовательской учетной записью, под админом все ок стало, может совпадение, уже, наверное, не важно - лог выложила.

Samarinai · Отправлено: **19:40, 03-06-2012** | #42

Код:

ComboFix 12-06-03.01 - Admin 03.06.2012  18:26:40.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1251.7.1049.18.2046.1373 [GMT 4:00]
Running from: c:\documents and settings\Admin\¦рсюўшщ ёЄюы\ComboFix.exe
Command switches used :: c:\documents and settings\Admin\¦рсюўшщ ёЄюы\CFScript.txt
AV: Антивирус Касперского *Disabled/Updated* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Антивирус Касперского *Disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
.
(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\All Users\Application Data\srtserv
c:\documents and settings\All Users\Application Data\TEMP
c:\documents and settings\All Users\Application Data\xp
c:\documents and settings\User\Application Data\AD ON Multimedia
c:\documents and settings\User\Application Data\AD ON Multimedia\eBay Shortcuts\eBayShortcuts.exe
c:\documents and settings\User\Application Data\mIRC\logs\status.log
c:\program files\Protector by IB\ExTEnsion32.dll
.
.
(((((((((((((((((((((((((   Files Created from 2012-05-03 to 2012-06-03  )))))))))))))))))))))))))))))))
.
.
2012-06-02 13:35 . 2002-01-12 12:30	3567	----a-w-	c:\windows\system32\drivers\PortTalk.sys
2012-05-29 16:34 . 2012-04-21 01:18	97208	----a-w-	c:\program files\Mozilla Firefox\components\browsercomps.dll
2012-05-29 16:34 . 2012-04-21 01:16	157352	----a-w-	c:\program files\Mozilla Firefox\maintenanceservice_installer.exe
2012-05-29 16:34 . 2012-04-21 01:16	129976	----a-w-	c:\program files\Mozilla Firefox\maintenanceservice.exe
2012-05-27 17:22 . 2012-05-28 17:11	40776	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2012-05-27 17:22 . 2012-05-27 17:22	--------	d-----w-	c:\documents and settings\Admin\Application Data\Malwarebytes
2012-05-27 17:22 . 2012-05-27 17:22	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2012-05-27 17:22 . 2012-05-27 17:22	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2012-05-27 17:22 . 2012-04-04 11:56	22344	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-05-27 04:52 . 2012-05-27 19:32	--------	d-----w-	c:\program files\trend micro
2012-05-27 04:52 . 2012-05-27 19:33	--------	d-----w-	C:\rsit
2012-05-23 17:41 . 2012-05-23 17:41	--------	d-----w-	c:\program files\Common Files\Java
2012-05-23 17:37 . 2012-05-23 17:37	--------	d-----w-	c:\documents and settings\Admin\Application Data\Oracle
2012-05-23 17:36 . 2012-05-23 17:33	772552	----a-w-	c:\windows\system32\npDeployJava1.dll
2012-05-17 15:53 . 2008-04-15 08:00	221184	----a-w-	c:\windows\system32\wmpns.dll
2012-05-17 15:52 . 2012-06-03 15:16	--------	d-----w-	c:\documents and settings\User
2012-05-17 15:35 . 2012-05-17 15:35	419488	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-05-16 18:58 . 2012-05-16 18:58	--------	d-----w-	c:\program files\Macmillan
2012-05-16 18:42 . 2012-05-16 18:42	--------	d-----w-	c:\documents and settings\Admin\Local Settings\Application Data\Temp
2012-05-16 18:32 . 2012-06-01 16:51	--------	d-----w-	c:\documents and settings\Admin\Application Data\Skype
2012-05-07 14:12 . 2012-05-27 04:59	--------	d-----w-	c:\documents and settings\All Users\Application Data\boost_interprocess
2012-05-07 14:11 . 2012-05-07 14:11	--------	d-----w-	c:\program files\Common Files\Skype
2012-05-07 14:11 . 2012-05-07 14:12	--------	d-----r-	c:\program files\Skype
.
.
.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-05-23 17:33 . 2011-02-05 19:22	687560	----a-w-	c:\windows\system32\deployJava1.dll
2012-05-17 15:35 . 2011-08-11 17:36	70304	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-04-21 01:18 . 2012-05-29 16:34	97208	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2010-12-23 . 981CA68D4AC0C0E3367B58C7EA157C84 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"TFncKy"="TFncKy.exe" [BU]
"CeEKEY"="c:\program files\TOSHIBA\E-KEY\CeEKey.exe" [2007-07-06 651264]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-11-20 888832]
"Process Killer"="c:\program files\Process Killer\prkiller.exe" [2005-07-30 38400]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-15 15360]
.
c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\
Bluetooth Monitor.lnk - c:\program files\TOSHIBA\Bluetooth Monitor\BtMon2.exe [2010-12-23 69632]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableCAD"= 1 (0x1)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMMyDocs"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)
"NoRecentDocsNetHood"= 1 (0x1)
.
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMMyDocs"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)
"ForceClassicControlPanel"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate\au]
"NoAutoUpdate"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\PotPlayer\\PotPlayerMini.exe"=
.
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [23.12.2010 18:59 697328]
R1 LUMDriver;LUMDriver;c:\windows\system32\drivers\LUMDriver.sys [24.04.2007 19:52 16688]
R2 KMService;KMService;c:\windows\system32\srvany.exe [23.12.2010 19:31 8192]
R2 Skype C2C Service;Skype C2C Service;c:\documents and settings\All Users\Application Data\Skype\Toolbars\Skype C2C Service\c2c_service.exe [09.04.2012 11:20 3063968]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [30.05.2007 18:49 24344]
S2 PassThru Service;Internet Pass-Through Service;c:\program files\HTC\Internet Pass-Through\PassThruSvr.exe [31.03.2011 16:08 80896]
S2 Protector by IB Updater;Protector by IB Updater;c:\program files\Protector by IB\ExtensionUpdaterService.exe [30.04.2012 17:50 185856]
S3 HTCAND32;HTC Device Driver;c:\windows\system32\drivers\ANDROIDUSB.sys [11.08.2011 22:09 24576]
S3 htcnprot;HTC NDIS Protocol Driver;c:\windows\system32\drivers\htcnprot.sys [22.06.2010 18:01 21248]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [27.05.2012 21:22 40776]
S3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [09.01.2010 22:37 4640000]
S3 PortTalk;PortTalk;c:\windows\system32\drivers\PortTalk.sys [02.06.2012 17:35 3567]
S4 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [03.05.2012 8:17 158856]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.yandex.ru/?clid=25435
uInternet Settings,ProxyOverride = *.local
IE: &Экспорт в Microsoft Excel - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
Handler: solores - {8FA1F4E9-444B-48BF-98CD-B8ECA88E6BA5} - c:\progra~1\Solo9\SoloRes.dll
Handler: soloresinternetrusengnum - {1B7043A7-84E1-443a-804F-20A75728892C} - c:\progra~1\SOLO9R~1\SoloRes.dll
FF - ProfilePath - c:\documents and settings\Admin\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\
FF - prefs.js: browser.search.selectedEngine - MyStart Search
FF - prefs.js: keyword.URL - hxxp://mystart.incredibar.com/mb139/?loc=IB_DS&a=6PQvY3xtVW&&i=26&search=
FF - user.js: extensions.incredibar_i.newTab - false
FF - user.js: extensions.incredibar_i.tlbrSrchUrl - hxxp://mystart.Incredibar.com/?a=6PQvY3xtVW&loc=IB_TB&i=26&search=
FF - user.js: extensions.incredibar_i.id - 287d90e000000000000000037ade9e0d
FF - user.js: extensions.incredibar_i.instlDay - 15460
FF - user.js: extensions.incredibar_i.vrsn - 1.5.11.14
FF - user.js: extensions.incredibar_i.vrsni - 1.5.11.14
FF - user.js: extensions.incredibar_i.vrsnTs - 1.5.11.1417:50
FF - user.js: extensions.incredibar_i.prtnrId - Incredibar
FF - user.js: extensions.incredibar_i.prdct - incredibar
FF - user.js: extensions.incredibar_i.aflt - orgnl
FF - user.js: extensions.incredibar_i.smplGrp - none
FF - user.js: extensions.incredibar_i.tlbrId - base
FF - user.js: extensions.incredibar_i.instlRef - 
FF - user.js: extensions.incredibar_i.dfltLng - 
FF - user.js: extensions.incredibar_i.excTlbr - false
FF - user.js: extensions.incredibar_i.ms_url_id - 
FF - user.js: extensions.incredibar_i.upn2 - 6PQvY3xtVW
FF - user.js: extensions.incredibar_i.upn2n - 92542804449515748
FF - user.js: extensions.incredibar_i.productid - 26
FF - user.js: extensions.incredibar_i.installerproductid - 26
FF - user.js: extensions.incredibar_i.did - 10650
FF - user.js: extensions.incredibar_i.ppd - 20%5F4
.
- - - - ORPHANS REMOVED - - - -
.
Notify-WgaLogon - (no file)
AddRemove-MoneyTracker - Домашняя бухгалтерия_is1 - c:\program files\MoneyTracker\unins000.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-06-03 19:30
Windows 5.1.2600 Service Pack 3 NTFS
.
scanning hidden processes ...  
.
scanning hidden autostart entries ... 
.
scanning hidden files ...  
.
scan completed successfully
hidden files: 0
.
**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------
.
[HKEY_USERS\S-1-5-21-1060284298-1343024091-1417001333-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- DLLs Loaded Under Running Processes ---------------------
.
- - - - - - - > 'winlogon.exe'(1236)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\klogon.dll
.
- - - - - - - > 'winlogon.exe'(2064)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\klogon.dll
c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\adialhk.dll
.
- - - - - - - > 'explorer.exe'(2768)
c:\windows\system32\WININET.dll
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
.
- - - - - - - > 'explorer.exe'(2120)
c:\windows\system32\WININET.dll
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\rundll32.exe
c:\program files\TOSHIBA\TOSHIBA Controls\TFncKy.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\KMService.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Completion time: 2012-06-03  19:33:44 - machine was rebooted
ComboFix-quarantined-files.txt  2012-06-03 15:33
.
Pre-Run: 31*659*323*392 байт свободно
Post-Run: 31*856*050*176 байт свободно
.
- - End Of File - - 31125FECBC2C1B90B205DAD08D5FC936

Цитата iskander-k:

Проблема осталась ?
Вы можете показать данные системы ?
конфигурацию
Температуру
напряжения ? »

Данные и конфигурацию - вижу что-то в диспетчере устройств в панели управления, если это то. Проще было бы, если есть готовые команды на это Run --> ...
Температура напряжения - а где она отображается? Ему раньше часто жарко было при нагрузках, даже в ремонт отдавала по этому поводу, он вообще горячий ноут

Проблема в том, что притормаживает он, особенно, если браузеры открыты - да, остается. Может, ко мне проще подключиться..

iskander-k · Конфигурация компьютера

Удалите ComboFix
• Для деинсталяции ComboFix с компьютера необходимо выполнить:
Нажать Пуск затем Выполнить в окне наберите команду Combofix /u (обязательно нужен пробел между х и /), нажмите кнопку "ОК"

Или скачайте OTCleanIt, зеркало OTCleanIt, запустите, нажмите Clean up.

Цитата Samarinai:

Он должен что-нибудь делать после перезагрузки? »

ничего

Цитата Samarinai:

мигающие окна от combo.fix - то ли ему плохо, и его остается только выключить принудительно, то ли наоборот у него активный процесс идет? отключить их? »

если ничего не происходит минут 15- 30 , то перезагрузите вручную , и посмотреть наличие лога .

Похоже вы запускали утилиту не так как я вам сказал.

По логам я не вижу активного заражения.

Переношу тему в соответствующий раздел.

Модераторам: - вернуть обратно если будет необходимо.