Сообщения без ответов | Активные темы


Список форумов » Техподдержка » Комплексные проблемы » Софтовая часть

Часовой пояс: UTC + 3 часа




Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 12 
  Версия для печати (полностью) Пред. тема | След. тема 
В случае проблем с отображением форума, отключите блокировщик рекламы
Автор Сообщение
  Coldreaver

Member
Статус: Не в сети
Регистрация: 18.03.2013
Откуда: Иркутск
В системе появился троян, который загружает процессор на 80-95 процентов.

Конфиг:
ОС Win 7 x64
Motherboard - ASRock Fatal1ty Z77 Professional.
Processor - Intel Core i5 3570K 3.4 GHz.
Video Card - HD/Graphics4k.
RAM - 2x4Gb Samsung.

Появился на днях, судя по всему после того когда я искал драйвер на звук к другому компьютеру, потому что был на многих сомнительных сайтах по моему мнению. Решить проблему я не могу. Сам процесс находится по адресу: %SystemDrive%\WINDOWS\Winshell\phoenix.exe (+ phoenix.cfg, и папка plugins) Из диспетчера задач легко выгружается и легко удаляется, казалось бы проблема решена. Но при повторном старте системы, процесс появляется снова в активных, а файлы которые удаляю по вышеназванному адресу восстанавливаются в точно таком же составе. Об этом вирусе пишется очень много в интернете, но решения проблемы, именно в моем случае нет нигде.

В папках Program Files(x86)\MSDS нечего нету, ровно как и самой папки. В папке Program Files(x86)\Intel\ отсутствует Intel.exe, IntelSetup.exe , только утилиты и драйвера для материнской карты, которые были установлены с официального диска от материнской платы, нечего сомнительного там не было найдено. В Program Files(x86)\Windows NT\ также нечего нету. Видимо у меня какая-то другая ревизия этого вируса. Прошу помочь. И да, никакие антивирусы не помогают с этим трояном.
Спасибо за внимание.
Реклама

Партнер
  NORD_WIND

Member
Статус: Не в сети
Регистрация: 22.10.2004
Откуда: Волгоград. обл.
В автозагрузке лишние/неизвестные строки есть?
  Coldreaver

Member
Статус: Не в сети
Регистрация: 18.03.2013
Откуда: Иркутск
NORD_WIND да вроде нет, сами посмотрите.
http://puu.sh/3CwjA.png
http://puu.sh/3CwiQ.png
http://puu.sh/3Cwid.png
http://puu.sh/3Cwhn.png
  Аффторитет

Member
Статус: Не в сети
Регистрация: 12.08.2008
Откуда: Простоквашино
Фото: 7
Coldreaver
Процесс снять и удлаить местоположение
выполнить в cmd "sfc /scannow" без кавычек
убедиться, что в планировщике задач нет ничего подозрительного


----------------
Загрузвшись в безопасном режиме эта хрень появляется?

Добавлено спустя 3 минуты 18 секунд:
посмотреть автозапуск можно через cmd->msconfig - автозагрузка
  Coldreaver

Member
Статус: Не в сети
Регистрация: 18.03.2013
Откуда: Иркутск
Аффторитет через безопасный не пробовал. Да, извиняюсь совсем забыл про эту автозагрузку.

Есть строка непонятная Wintool Microsoft Program Files(x86)\Common Files\System\ado\ntsydriver.exe

выполняю вашу команду в cmd только что она дает? впервые использую :)
  Аффторитет

Member
Статус: Не в сети
Регистрация: 12.08.2008
Откуда: Простоквашино
Фото: 7
Coldreaver писал(а):
выполняю вашу команду в cmd только что она дает? впервые использую

проверка системных файлов на девственность
  Coldreaver

Member
Статус: Не в сети
Регистрация: 18.03.2013
Откуда: Иркутск
Аффторитет
Цитата:
C:\>sfc /scannow

Начато сканирование системы. Этот процесс может занять некоторое время.

Начало стадии проверки при сканировании системы.
Проверка 100% завершена.

Защита ресурсов Windows не обнаружила нарушений целостности.
  NORD_WIND

Member
Статус: Не в сети
Регистрация: 22.10.2004
Откуда: Волгоград. обл.
Покажите все строки в автозагрузке
  Coldreaver

Member
Статус: Не в сети
Регистрация: 18.03.2013
Откуда: Иркутск
"Автозагрузка"
Цитата:
Диспетчер RealtekHD; Realtek Semiconductor; Program Files\Realtek\Audio\HDA\RAVCpl64.exe -s
cFosSpeed Window; cFos Software GmbH; Program Files\ASRock\XFast LAN\cFosSpeed.exe
ESET Smart Security; ESET; Program Files\ESET Smart Security\egui.exe" /hide /waitservice
Intel(R) Common User Interface; Intel Corparation; windows\system32\igfxtray.exe
Intel(R) Common User Interface; Intel Corparation; windows\system32\hkcmd.exe
Intel(R) Common User Interface; Intel Corparation; windows\system32\igfxpers.exe
Alcohol Virtual Drive Auto-mount Service; Alcohol Soft Development Team; Program Files (x86)\Alcohol 120\AxAutoMntSrv.exe" -automount
puush; Нет данных; Program Files (x86)\puush\puush.exe
ICQ; ICQ; Users\rootit\AppData\Roaming\ICQM\icq.exe -CU
Garena Plus; Нет данных; Program Files (x86)\Garena Plus\GarenaMessenger.exe" -autolaunch
Wintool; Microsoft; Program Files(x86)\Common Files\System\ado\ntsydriver.exe
IAStorIcon; Intel Corparation; Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
Intel(R) USB 3.0 Monitor; Intel Corparation; Program Files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe
XFastUSB; FNet Co., Ltd.; Program Files (x86)\XFastUSB\XFastUsb.exe
MultiScreen Application; Нет данных; Program Files\MultiScreen\MultiScreen.exe


Добавлено спустя 7 минут 43 секунды:
"Отчет ADWCleaner v2.305"
# AdwCleaner v2.305 - Logfile created 07/14/2013 at 17:55:27
# Updated 11/07/2013 by Xplode
# Operating system : Windows 7 Ultimate Service Pack 1 (64 bits)
# User : rootit - COLDREAVER
# Boot Mode : Normal
# Running from : C:\Users\rootit\Desktop\adwcleaner.exe
# Option [Search]


***** [Services] *****


***** [Files / Folders] *****


***** [Registry] *****

Key Found : HKCU\Software\AppDataLow\Software\SmartBar
Key Found : HKCU\Software\Conduit
Key Found : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}
Key Found : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}
Key Found : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\IM
Key Found : HKLM\SOFTWARE\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}
Key Found : HKLM\SOFTWARE\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}

***** [Internet Browsers] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Registry is clean.

-\\ Google Chrome v28.0.1500.72

File : C:\Users\rootit\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] File is clean.

*************************

AdwCleaner[R1].txt - [1197 octets] - [14/07/2013 17:55:27]

########## EOF - C:\AdwCleaner[R1].txt - [1257 octets] ##########
  Аффторитет

Member
Статус: Не в сети
Регистрация: 12.08.2008
Откуда: Простоквашино
Фото: 7
винтул надо убрать как минимум
хотя я бы все убрал кроме аськи и анивиря )))
  Coldreaver

Member
Статус: Не в сети
Регистрация: 18.03.2013
Откуда: Иркутск
Аффторитет обязательно попробую, как смогу ребутнуть комп, примерно через часа 3-6.
  Coldreaver

Member
Статус: Не в сети
Регистрация: 18.03.2013
Откуда: Иркутск
Всем доброго времени суток, в общем проблема решена. Спасибо отдельное Аффторитет'у. :D Как и предлагалось строчка
Цитата:
Wintool; Microsoft; Program Files(x86)\Common Files\System\ado\ntsydriver.exe

ведет на исполняемый файл вируса, именно он пересоздает и активирует файлы находящиеся по адресу ... Windows\Winshell . Лечение обыкновенное. Открываем диспетчер здачач, смотрим есть ли у вас там процесс phoenix.exe, если да, выгружаем его. Проверяем папку %SystemDrive%\Windows\Winshell , если присутствует удаляем. Позже смотрим по адресу %SystemDrive%\Program Files(x86)\Common Files\System\ado\ntsydriver.exe и удаляем конечный файл. После этого выполняем regedit и удаляем в реестре ключ автозагрузки HKCU\SOFWARE\Microsoft\Windows\CurrentVersion\Run - Wintool. И вуаля, проблемы нет.

"Файлики"
Если кому то интересно изучить сами файлы вируса или кому то пригодятся, то я упаковал их Winrar'ом и поместил на мегу.

https://mega.co.nz/#!xFw3zB4A (10.2 MB)
Ключ: LH0O03HTCua6G9O933GI7SBvGS58aTDN300Z6I71QoM
Показать сообщения за:  Поле сортировки  
Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 12 
-

Список форумов » Техподдержка » Комплексные проблемы » Софтовая часть

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB | Kolobok smiles © Aiwan