Некоторые программы грузят ЦП на 100%

[Tanya]

У меня почему-то большинство программ стало загружать ЦП на 100%. Даже icq lite и стандартные типа "сведения о системе". Сама программа не загружается, но по процессам видно, что ее exe загружает ЦП под 100%.
На вирусы проверяла различными антивирусами - ничего подозрительного не нашли. Подозрительных процессов тоже не видно.
Перестановка XP, конечно, поможет... но нет ли более безобидных способов решить проблему?
Сейчас захожу в инет с firefox'a... эксплоер тоже не работает: точнее открывается, но при попытке зайти на какой-нить сайт зависает и загружает систему. =/

Прикладываю логи AVZ и HijackThis...

 

[Trotil]

Да... Вирусы видны. Не хватает virusinfo_syscheck.zip. Его создала AVZ?

 

[Tanya]

Нет, только virusinfo_cure и virusinfo_syscure...

 

[Trotil]

Так. Работы много. В папке AVZ должна создаться папка с Карантином. Следует залить ее содержимое на файлообменник (http://zalil.ru) А я пока скрипт напишу для последующего выполнения.

 

[Tanya]

Ссылку принял.

// Trotil //

 

[Trotil]

c:\windows\system32\smszkpzk.dll - Trojan-Spy.Win32.Goldun.pw
A0389241.dll - Trojan-Spy.Win32.BZub.ip

1) Запустить файл hijackthis.exe. В главном окне программы нужно нажать кнопочку "Do a system scan only"
В открывшемся логе сканирования поставить галочки напротив указанных строк и нажать кнопку "Fix Checked". Затем следует перегрузить компьютер.

 	F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O20 - AppInit_DLLs: C:\WINDOWS\system32\smszkpzk.dll

C:\Program Files\Prevx2 - это что такое?

2) В AVZ Нажать на Файл -> Выполнить скрипт

begin
QuarantineFile('C:\WINDOWS\system32\VXsq12oG.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\Program Files\Prevx2\PXConsole.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\nltdi.sys','');
QuarantineFile('C:\Program Files\Viewpoint\Common\ViewpointService.exe"','');
QuarantineFile('C:\WINDOWS\system32\ShellExt\fhrshext.dll','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('c:\windows\system32\smszkpzk.dll');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится, прислать новые логи и новый карантин.

 

[Tanya]

Trotil

A0389241.dll - Trojan-Spy.Win32.BZub.ip

Это тоже надо удалить?

То, что под первым пунктом у тебя (два файла) - удалила. Уже стали грузится программки =)))

C:\Program Files\Prevx2 - это что такое?

Да это такой anti-malware tool наподобие антивируса. Просто Nod 32 у меня по-прежнему нормально не работает, хоть и переставляла. Уже писала как-то об этом...

 

[Trotil]

Tanya
Судя по логу, оно уже удалилось. Пришли новые логи, там видно будет.

Чтобы получилось два лога AVZ, нужно два раза запускать его с разными параметрами. (пункты 9 и 11)

Перед сканированием обновить базы! (меню файл - обновить базы)

Я тут поправку внес в скрипт AVZ. Если не успела заметить, ничего страшного.

 

[Tanya]

Trotil
QuarantineFile('C:\Program Files\Prevx2\PXConsole.exe'

Наверное не стоит вносить, если это антивирус?

 

[Trotil]

Tanya
Эта команда не удаляет, а помещает(копирует) в карантин. Оно немного не естественным образом себя в логах ведет...

ntos.exe (Trojan-Downloader.Win32.Agent) - очень вредная гадина, может так просто не удалиться. После выполнения скриптов желательно посмотреть в C:\WINDOWS\system32\ - остался он или нет после выполнения скриптов.

 

[Tanya]

Вот новое :

Карантин http://***** (получен)

 

[Trotil]

В папке C:\System Volume Information\ находятся несколько вирусов.

Windows XP:
Пуск > Пpогpаммы > Стандаpтные > Пpоводник Windows. (Start > Programs > Accessories > Windows Explorer)
Кликнуть пpавой кнопкой мыши на "Мой компьютеp" (My Computer). Выбpать "Свойства" (Properties).
Вкладка "Восстановление системы" (System Restore). Поставить птичку на "Запpетить восстановление системных файлов на всех дисках" (Turn off System Restore on all drives)
Hажать "Пpименить" (Apply). Появится сообщение, пpедупpеждающее об удалении всех точек восстановления. Подтвеpдить, нажав "ОК"

 

[Tanya]

Ага.....
В планировщике уже есть около 24 заданий различных..ы.

 

[Trotil]

2) Открой планировщик задач (Панель управления - Назначенные задания)
Там есть какие-то ссылки на C:\WINDOWS\system32\VXsq12oG.exe и На RegCure.exe. Тебе известно их происхождение? Хорошо бы скриншот окна прислать по случаю.

Что это за VXsq12oG.exe такой не знает ни одна поисковая система...

 

[Tanya]

Я планировщиком не пользуюсь никогда, поэтому сама не добавляю туда ничего.
VXsq12oG.exe - это все At.
RegCure.exe - программа для очистки реестра, иногда ее запускаю. Сама она не запускается.

Читать дальше...

 

[Trotil]

Осталось немного. У меня мало опыта работы с этой программой, поэтому действую маленькими шагами.

Выполнить такой скрипт:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\VXsq12oG.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\Program Files\Prevx2\PXConsole.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv.sys','');
QuarantineFile('C:\Program Files\Viewpoint\Common\ViewpointService.exe"','');
QuarantineFile('C:\WINDOWS\system32\ShellExt\fhrshext.dll','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('c:\windows\system32\smszkpzk.dll');
RebootWindows(true);
end.

Прислать карантин.

 

[Tanya]

В карантине ничего нет уже.
Вот на всякий случай этот файл после проверки:

 

[Trotil]

Вот на всякий случай этот файл после проверки:

Какой?

 

[Tanya]

virusinfo_syscure.zip я выше приложила

 

[Trotil]

Удали весь мусор из планировщика задач и лечение можно считать законченным.

Компьютер стал работать лучше?

В обязательном порядке сменить важные пароли. В логах были замечены агрессивные вирусы, ворующие пароли.