Спасибо. Помогло.
dwm.exe грузит процессор
11.01.2014 20:10
кнопка Win
dwm.exe - Вообще системный файл, за графику какую-то отвечает..
Но такого ведь он не должен делать.
![](https://2f0526af42.cbaul-cdnwnd.com/7300e0b67d2233cab018cb56b34df7fa/system_preview_detail_200000001-0fee910e8b/1.png)
Ну значит вирус, антивирусника нет, качаем что-нибудь
Сначала Касперский, у них на сайте много всяких пробников и т.п.
![](https://2f0526af42.cbaul-cdnwnd.com/7300e0b67d2233cab018cb56b34df7fa/200000019-5efa55ff20/Каспер1.png)
Касперский Tool говорит что все хорошо, комп чист. А файл(вирус) грузит проц.
Следующий тоже Касперский и тоже все чисто.
![](https://2f0526af42.cbaul-cdnwnd.com/7300e0b67d2233cab018cb56b34df7fa/200000020-0907e0a024/Каспер2.png)
Еще один Касперский. Дружно работают с вирусом в паре
![](https://2f0526af42.cbaul-cdnwnd.com/7300e0b67d2233cab018cb56b34df7fa/200000021-bfa56c09ee/Каспер3.png)
пробуем другие .. Dr.Web
![](https://2f0526af42.cbaul-cdnwnd.com/7300e0b67d2233cab018cb56b34df7fa/200000013-7d4c67e45c/Dr.Web и dwm1-2.png)
Нашел много угроз, но dwm.exe трудится дальше
NOD32 тоже что-то нашел, но..
![](https://2f0526af42.cbaul-cdnwnd.com/7300e0b67d2233cab018cb56b34df7fa/200000014-1b92d1c8d1/nod32 и dwm3.png)
А тепеь Аваст .. тоже вместе работают.
![](https://2f0526af42.cbaul-cdnwnd.com/7300e0b67d2233cab018cb56b34df7fa/200000012-b5e15b6dad/Avast и dwm1.png)
Надоело, выкопал программу Process Explorer , она показывает какая
программа запускает какой файл.
![](https://2f0526af42.cbaul-cdnwnd.com/7300e0b67d2233cab018cb56b34df7fa/system_preview_detail_200000022-b04dbb241a/Process Explorer.png)
файл меж прочим randll32.exe файл windows но запускает вируса
открываем его свойства.
У него в Команде прописан путь к файлу mdi064.dll
который просит runme.. запусти меня.
Чет борзый файл, надо посмотреть внутрь
![](https://2f0526af42.cbaul-cdnwnd.com/7300e0b67d2233cab018cb56b34df7fa/200000023-b3192b4141/Rundll32_Команда.png)
Открываем супер прогой его шеснадцатиричный код,
он его в ассемблер переводит
![](https://2f0526af42.cbaul-cdnwnd.com/7300e0b67d2233cab018cb56b34df7fa/system_preview_detail_200000024-ae138af0d2/OllyDbg.png)
про мышку что-то, мессаги какие-то.
А это я уже видел, в этой папке сидит этот dwm.exe
![](https://2f0526af42.cbaul-cdnwnd.com/7300e0b67d2233cab018cb56b34df7fa/system_preview_detail_200000016-c4924c58c2/OllyDbg2.png)
Их там целая банда
![](https://2f0526af42.cbaul-cdnwnd.com/7300e0b67d2233cab018cb56b34df7fa/200000025-a13b5a235a/В папках.png)
Файл mdi064.dll запускается системным хост файлом rundll.32.exe
точнее прописанной ему извне командой, команду надо удалить:
кнопка Win
+ R, ввести regedit нажать Enter
В открывшемся окне "Редактор реестра" нажать CTRL + F и набрать в поиске tsivideo
и удалить, попробовать найти еще и опять удалить.
далее найти где-то в \AppData\Local\Temp\ и удалить файл modi064.dll , а следом и всю папку iswizard05 с архивом , все это после
перезагрузки, запущенный процесс Винда не дает удалять.
Ну вроде как и все.
Кнц.