Staind Posted December 7, 2007 Report Share Posted December 7, 2007 при включении компа загрузка 100 %. Ad-aware словил пару троянов win32.че то еще.че то еще но не помогает. при вырублении инета и перезагрузки компа всё норм. хотелось чтобы вы помогли. Заранее спс. Quote Link to comment Share on other sites More sharing options...
Timba Posted December 7, 2007 Report Share Posted December 7, 2007 при включении компа загрузка 100 %. Ad-aware словил пару троянов win32.че то еще.че то еще но не помогает. при вырублении инета и перезагрузки компа всё норм. хотелось чтобы вы помогли. Заранее спс. а какой процесс грузит то комп на 100%? Quote Link to comment Share on other sites More sharing options...
Staind Posted December 7, 2007 Author Report Share Posted December 7, 2007 (edited) вот скрины 1 и 2 понятны. а третий - это прога, которая постоянно залезает в автозагрузку, причем даже при удалении туда запихивается сама. http://dump.ru/files/n/n6708959211/ http://dump.ru/files/n/n096031199/ http://dump.ru/files/n/n5407087236/ Edited December 7, 2007 by Staind Quote Link to comment Share on other sites More sharing options...
lamauser Posted December 7, 2007 Report Share Posted December 7, 2007 а третий - это прога, которая постоянно залезает в автозагрузку, причем даже при удалении туда запихивается сама. это примочка для видеокарты NVidia. Отключай из автозагрузки (nvcpl также надо отключить через Управление службами, иначе он восстановится) - работоспособность системы от этого не пострадает. Quote Link to comment Share on other sites More sharing options...
ser208 Posted December 7, 2007 Report Share Posted December 7, 2007 Скачай Process Explorer XP. Смотри, какой процесс нагружает систему. Щелкни по нему 2 раза мышкой. На вкладке Threads посмотри, какой поток загружает процесс. Показывай. Quote Link to comment Share on other sites More sharing options...
Staind Posted December 8, 2007 Author Report Share Posted December 8, 2007 скачать нашел процесс...а вот на вкладке threads не могу понять какой поток грузит процесс... http://dump.ru/files/n/n5778483785/ http://dump.ru/files/n/n3314304397/ Quote Link to comment Share on other sites More sharing options...
ser208 Posted December 8, 2007 Report Share Posted December 8, 2007 скачать нашел процесс...а вот на вкладке threads не могу понять какой поток грузит процесс... http://dump.ru/files/n/n5778483785/ http://dump.ru/files/n/n3314304397/ Картина примерно ясна. Скачай Cureit , и проверь системный диск в безопасном режиме. Скачай HijackThis сделай лог и выкладывай здесь. Скачай AVZ , распакуй, обнови и перейди в меню Файл-Исследование системы. Полученный лог запакуй и выкладывай здесь. Quote Link to comment Share on other sites More sharing options...
Staind Posted December 8, 2007 Author Report Share Posted December 8, 2007 (edited) HijackThis http://dump.ru/files/n/n2106764514/ AVZ http://dump.ru/files/n/n89175457/ чуть попозже добавлю cureit Edited December 8, 2007 by Staind Quote Link to comment Share on other sites More sharing options...
ser208 Posted December 8, 2007 Report Share Posted December 8, 2007 (edited) В Hijack после сканирования выдели эти строки и нажми Fix checked. O20 - Winlogon Notify: ke64boot - C:\WINDOWS\SYSTEM32\ke64boot.dll O21 - SSODL: 0ECDBC0A - {0FC009E4-340A-5D97-53E5-17491CA516AD} - C:\WINDOWS\System32\Mdfopp32.dll (file missing) В AVZ зайди меню Файл -- Выполнить скрипт. Скопируй код и нажми "Запустить". Компьютер перезагрузится. begin SetAVZGuardStatus(True); SearchRootkit(true, true); BC_DeleteFile('C:\WINDOWS\System32\ke64boot.dll'); BC_DeleteFile('\SystemRoot\system32\drivers\ctl_w32.sys'); BC_DeleteFile('ke64boot.dll'); BC_Activate; RebootWindows(true); end. Edited December 8, 2007 by ser208 Quote Link to comment Share on other sites More sharing options...
Staind Posted December 8, 2007 Author Report Share Posted December 8, 2007 (edited) В Hijack после сканирования выдели эти строки и нажми Fix checked. O20 - Winlogon Notify: ke64boot - C:\WINDOWS\SYSTEM32\ke64boot.dll O21 - SSODL: 0ECDBC0A - {0FC009E4-340A-5D97-53E5-17491CA516AD} - C:\WINDOWS\System32\Mdfopp32.dll (file missing) В AVZ зайди меню Файл -- Выполнить скрипт. Скопируй код и нажми "Запустить". Компьютер перезагрузится. begin SetAVZGuardStatus(True); SearchRootkit(true, true); BC_DeleteFile('C:\WINDOWS\System32\ke64boot.dll'); BC_DeleteFile('\SystemRoot\system32\drivers\ctl_w32.sys'); BC_DeleteFile('ke64boot.dll'); BC_Activate; RebootWindows(true); end. сделал всё, загрузка проца при включении от 50 до 90 %. правда пока в safe mode не сделал...завтра выложу результат. В process XP первый процесс юзает 40 % и последний 40...в среднем Последний и первый процессы на этом скрине http://dump.ru/files/n/n5778483785/ Edited December 8, 2007 by Staind Quote Link to comment Share on other sites More sharing options...
Pili Posted December 10, 2007 Report Share Posted December 10, 2007 Staind: Platform: Windows XP SP1 (WinNT 5.01.2600) Пора уже давно ствить SP2 и др. обновления после него. Выполнить скрипт beginSearchRootkit(true, true); SetAVZGuardStatus(True); BC_DeleteFile('C:\WINDOWS\system32\necsopp.sys'); StopService('Netlogonsrservice'); StopService('NetlogonsrserviceNetDDEdsdm'); BC_QrSvc('Netlogonsrservice'); BC_QrSvc('NetlogonsrserviceNetDDEdsdm'); QuarantineFile('C:\WINDOWS\System32\w32drv9.exe',''); QuarantineFile('C:\WINDOWS\System32\w32drv10.exe',''); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Проверьте w32drv9.exe и w32drv10.exe на virustotal.com Если это вирусы (скорее всего так), выполните скрипт begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('Netlogonsrservice'); StopService('NetlogonsrserviceNetDDEdsdm'); DeleteService('Netlogonsrservice'); DeleteService('NetlogonsrserviceNetDDEdsdm'); BC_DeleteFile('C:\WINDOWS\System32\w32drv9.exe'); BC_DeleteFile('C:\WINDOWS\System32\w32drv10.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Quote Link to comment Share on other sites More sharing options...
Staind Posted December 13, 2007 Author Report Share Posted December 13, 2007 нифига не помогает, надоело мучаться format c: Quote Link to comment Share on other sites More sharing options...
rubin-VInfo Posted December 13, 2007 Report Share Posted December 13, 2007 Вот поможет. Пофиксьте в HiJackThis: O20 - Winlogon Notify: ke64boot - C:\WINDOWS\SYSTEM32\ke64boot.dllO21 - SSODL: 0ECDBC0A - {0FC009E4-340A-5D97-53E5-17491CA516AD} - C:\WINDOWS\System32\Mdfopp32.dll (file missing) Выполните скрипт: beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\System32\Mdfopp32.dll','');QuarantineFile('C:\WINDOWS\SYSTEM32\ke64boot.dll','');DeleteFile('C:\WINDOWS\SYSTEM32\ke64boot.dll');DeleteFile('C:\WINDOWS\System32\Mdfopp32.dll');BC_ImportAll;BC_QrFile('C:\WINDOWS\system32\drivers\ctl_w32.sys');BC_QrFile('\??\C:\WINDOWS\System32\necsopp.sys');BC_QrFile('C:\WINDOWS\System32\w32drv9.exe');BC_QrFile('C:\WINDOWS\System32\w32drv10.exe');BC_DeleteFile('C:\WINDOWS\system32\drivers\ctl_w32.sys');BC_DeleteFile('\??\C:\WINDOWS\System32\necsopp.sys');BC_DeleteFile('C:\WINDOWS\System32\w32drv9.exe');BC_DeleteFile('C:\WINDOWS\System32\w32drv10.exe');BC_QrSvc('ctl_w32');BC_QrSvc('necsopp');BC_QrSvc('Netlogonsrservice');BC_QrSvc('NetlogonsrserviceNetDDEdsdm');BC_DeleteSvc('ctl_w32');BC_DeleteSvc('necsopp');BC_DeleteSvc('Netlogonsrservice');BC_DeleteFile('NetlogonsrserviceNetDDEdsdm');BC_Activate;ExecuteSysClean;RebootWindows(true);end. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.