Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Самопроизвольно меняется нагрузка на ЦП (http://forum.oszone.net/showthread.php?t=278735)

zloy_XaKER 05-03-2014 00:51 2319226
Самопроизвольно меняется нагрузка на ЦП
 
Вложений: 1
Постоянно меняется нагрузка на ЦП, и в результате постоянно меняет обороты кулер. Даже еслиоткрыт только рабочий стол, то кулер сам прыгает от тихого и спокойного состояния до "взлета". Система была переустановлена. Все радиаторы чистые, регулярно продуваю. Температура ЦП в норме (40-50 градусов). Архив с логами из АВЗ прилагаю.
Да, и в процессах постоянно висят некие ctfmon.exe и cmhelper.exe, которые и грузят цп, на 60-100 процентов, в простое. Если их завершить - все приколы прекращаются, процессор и кулер работают как надо

akok 05-03-2014 15:28 2319504
C:\Program Files (x86)\Free Ride Games\GPlayer.exe - что это?

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\System32\comparevers.exe','');
 QuarantineFile('C:\Program Files (x86)\Intel\Intel.exe','');
 QuarantineFile('C:\TЕMP\tools\reg_safe.exe','');
 DeleteFile('C:\TЕMP\tools\reg_safe.exe','32');
 BC_ImportALL;
  ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте при помощи этой формы

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

zloy_XaKER 07-03-2014 03:30 2320209
Вложений: 1
Запрос отправил. Вот лог из MBAM-а.
Цитата:
Цитата akok
C:\Program Files (x86)\Free Ride Games\GPlayer.exe - что это? »
Остатки от детской игры. Что то типа алаваровских игр. Удалил на всякий случай)

iskander-k 07-03-2014 13:56 2320371
Повторите сканирование и удалите всё кроме указанных строчек и ваших креков

Цитата:
C:\Windows\kmsem\KMService.exe (Trojan.FakeAlert) -> Действие не было предпринято.
C:\Program Files (x86)\Microsoft Office\activator.exe (PUP.Hacktool) -> Действие не было предпринято

zloy_XaKER 12-03-2014 04:37 2322387
Вложений: 1
Первый раз я тоже удалил все подозрительные объекты. Но некоторые остались. Было 15 осталось 7. Лог прилагаю.

Код:
C:\TЕMP\tools\ctfmоn.exe (PUP.Riskware.Bitminer) -> Помещено в карантин и успешно удалено.
C:\TЕMP\tools\reg_safe.exe (Trojan.MSIL) -> Помещено в карантин и успешно удалено.
C:\Users\Кристина\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\9COHDTE0\miner64[1].rar (PUP.Riskware.Bitminer) -> Помещено в карантин и успешно удалено.
C:\Users\Кристина\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\9COHDTE0\rw[1].rar (Trojan.MSIL) -> Помещено в карантин и успешно удалено.
Смутили эти строчки. Первая недвусмысленно ссылается на этот самый процесс, который грузит ЦП. Второй находится там же, а значит туда же и улетает за первым.
А вот последние две вообще непонятно что, особенно насторожило miner64, да и идентификация ctfmon.exe как bitminer тоже. Т.е. компьютер, в тайне от пользователя кому то зарабатывал биткойны?

После перезагрузки опять висит в процессах ctfmon.exe и опять грузит комп. Радует что теперь хоть понятно что он делает на компьютере, может хоть с направление борьбы определится.

regist 12-03-2014 16:43 2322659
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS

zloy_XaKER 13-03-2014 00:53 2322824
Вложений: 1
Вот, лог. Он мне еще написал что ctfmon.exe в папке system32 поврежден, но этот файлик располагается в temp -> tools


Время: 20:35.

Время: 20:35.
© OSzone.net 2001-