Очень медленная работа системы.
Долго загружается компьютер, долго выключается, видео вообще не возможно смотреть - один кадр на несколько секунд показывает
Очень медленная работа системы.
Долго загружается компьютер, долго выключается, видео вообще не возможно смотреть - один кадр на несколько секунд показывает
Уважаемый(ая) Patlatus3, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте!!!
- Пофиксите в HijackThis:
- Выполните в АВЗ:Код:R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file) R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - D:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
Компьютер перезагрузитсяКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('D:\PROGRA~1\ICQTOO~1\toolbaru.dll',''); QuarantineFile('D:\WINDOWS\system32\03.tmp',''); QuarantineFile('D:\WINDOWS\system32\02.tmp',''); DeleteFile('D:\WINDOWS\system32\02.tmp'); DeleteFile('D:\WINDOWS\system32\03.tmp'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); BC_DeleteSvc('dhxhti'); BC_DeleteSvc('epxsbjowd'); BC_DeleteSvc('mhuaqi'); BC_DeleteSvc('seqozgsrw'); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте лог GMER.
Последний раз редактировалось Techno; 06.11.2011 в 14:18. Причина: Добавлено
Отправил карантин
Не получилось сделать лог qmer. Синий экран.
Смотрите скриншот Photo-111.jpg.
Загрузилась система с ошибки.
Смотрите скриншот error.png
Кроме того, каждый раз выскакивает какое-то сообщение о устройстве.
Смотрите скриншот error2.png
Что делать?
Запустил gmer используя AVZGuard.
Получил лог. Но замаскированные служби удалить не удалось.
Сохраните текст ниже как cleanup.bat в ту же папку, где находится hf6bp6ds.exe (gmer)
И запустите cleanup.bat.Код:hf6bp6ds.exe -del service akxqvib hf6bp6ds.exe -del service eaqjmb hf6bp6ds.exe -del service hkhhwwqy hf6bp6ds.exe -del service uliapy hf6bp6ds.exe -del file "D:\WINDOWS\system32\dtzns.dll" hf6bp6ds.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\akxqvib" hf6bp6ds.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\eaqjmb" hf6bp6ds.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hkhhwwqy" hf6bp6ds.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\uliapy" hf6bp6ds.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\akxqvib" hf6bp6ds.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\eaqjmb" hf6bp6ds.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\hkhhwwqy" hf6bp6ds.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\pwjzipl" hf6bp6ds.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\uliapy" hf6bp6ds.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\akxqvib" hf6bp6ds.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\eaqjmb" hf6bp6ds.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\hkhhwwqy" hf6bp6ds.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\uliapy" hf6bp6ds.exe -reboot
Компьютер перезагрузится!
Сделать новый лог gmer.
Сделал лог Комбофикс.
Под час выполнения cleanup.bat получил следущие сообщение:
---------------------------
GMER
---------------------------
DeleteService: Параметр задан неверно.
---------------------------
ОК
---------------------------
---------------------------
GMER
---------------------------
DeleteService: Параметр задан неверно.
---------------------------
ОК
---------------------------
---------------------------
GMER
---------------------------
DeleteService: Параметр задан неверно.
---------------------------
ОК
---------------------------
---------------------------
GMER
---------------------------
An error 0x00000002 occured during the deletion of file: "D:\WINDOWS\system32\dtzns.dll": Не удается найти указанный файл.
---------------------------
ОК
---------------------------
---------------------------
GMER
---------------------------
DeleteKey: Параметр задан неверно.
---------------------------
ОК
---------------------------
---------------------------
GMER
---------------------------
DeleteKey: Параметр задан неверно.
---------------------------
ОК
---------------------------
---------------------------
GMER
---------------------------
DeleteKey: Параметр задан неверно.
---------------------------
ОК
---------------------------
---------------------------
GMER
---------------------------
DeleteKey: Параметр задан неверно.
---------------------------
ОК
---------------------------
---------------------------
GMER
---------------------------
DeleteKey: Параметр задан неверно.
---------------------------
ОК
---------------------------
Но не смотря на это, кажись, с помощью этого и комбофикса маскированные службы удалены.
Кажись, три маскированные службы удалены с помощью комбофикса, а одна с помощью гмера или что-то в этом роде.
Последний раз, перед перезагрузкой, система работала на много быстрее. Сейчас опять тормозит, но меньше, чем до этого.
Прикрепляю последные логи (до перезагрузки).
лог гмер, лог комбофикс (я запустил его еще раз, чтобы удостоверится, что все вредоносные службы удалены), сисчек авз.
Кажись, с этой машиной разобрались. Или не совсем. Не знаю.
Хотя бы на этой машине нашли хотя бы чтото, это уже хорошо.
Спасибо всем хелперам за помощь, переделывать еще раз логи, и если да, то какие?
Как удалить последствия от подобных служб?
Да, кстати, при включенном AVZGuard'e система виснет какбы меньше, чем при отключенном AVZGuard'e.
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: Driver:: NetSvc:: akxqvib eaqjmb uliapy hkhhwwqy pwjzipl Folder:: Registry:: FileLook:: DirLook:: Reboot::
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
Повторите логи virusinfo_syscheck.zip и hijackthis.
Последный раз не мог выключить компьютер средствами Виндовс - меню Пуск, и так далее.
Включал-выключал AVZGuard, в последствии получил синий экран, где было написано:
драйвер uzi4odkw.sys был выгружен и отключен, но какие-то пендинг оперейшинс не были отключены, что-то в этом роде, не успел сделать фотографию.
Этот драйвер, D:\windows\system32\drivers\uzi4odkw.sys, это
AVZ Monitoring Driver, Zaitsev Oleg, Copyright (C) 2004-2006
Добавлено через 2 минуты
счас сделаем
Последний раз редактировалось Patlatus3; 07.11.2011 в 13:45. Причина: Добавлено
счас сделаем
Добавлено через 30 минут
Кстати, каждый раз при запуске системы выскакивает сообщение
Найдено новое оборудование FP155.
И, кстати, системный блок очень сильно жужжал при запуске. Я попытался поотключать некоторые службы используя Управления компьютером.
В том числе:
hpqcxs08
Machine debug manager
MS Software Shadow Copy Provider
Net Driver HPZ12
NetMeeting Remote Desktop Sharing
NMIndexingService
Pml Driver HPZ12
QoS RSVP
Secondary Logon
Telnet
Диспетчер авто-подключений удаленного доступа
Диспетчер сеанса справки для удаленного рабочего тола
Диспетчер сетевого DDE
Маршрутизация и удаленный доступ
Модуль поддержки NetBIOS через TCP/IP
Планировщик заданий
Служба HP CUE DeviceDiscovery
Служба сетевого DDE
Служба сообщений
Смарт-карты
Теневое копирование тома
Удаленный реестр
Их не удавалось отключить раньше ни с помощью гмер ни с помощью авз.
Пытался отключить также
Windows User Mode Driver Framework
но она почему-то опять включена
Меня просто беспокоило большое количество процесов svchost.exe видимых из Диспетчера задач Виндовс
После проведенных манипуляций количество процесов svchost.exe видимых из Диспетчера задач Виндовс, уменьшилось из 11 до 8.
Добавлено через 18 минут
Выполняю.
(хотя это интересно поэкспериментировать, оказывается при включенном AVZGuard'e система виснет какбы меньше, чем при отключенном AVZGuard'e, и оказывается, что если при запуске напрямую GMER'a получаешь синий экран, то при запуске как доверенное приложение из включенного AVZGuard'а не получаешь синего экрана. Это очень даже интересно Хотя на другой машине я уже доэкспериментировался, в погоне поиска вредоносного ПО в реестре я поудалял важные ключи в реестре, но, к удивлению, система еще работает , и я даже с этой машины сижу в интернете, пока выполняется комбофикс на другой машине.)
Кстати, каждый раз при запуске комбофикса в процесе получаю сообщение:
"pev.3xe - обнаружена ошибка, приложение будет закрыто."
Это важно?
где-то между второй и четвертой фазой выполнения комбофикса.
(потом, кажется, еще несколько раз чтото похожее выскакивает)
Последний раз редактировалось Patlatus3; 07.11.2011 в 14:38. Причина: Добавлено
Выполните в АВЗ:
- Удалите ComboFix.Код:begin ExecuteStdScr(3); end.
- Установите SP3 (может потребоваться активация), новый Internet Explorer, а также все доступные обновления для Windows
После обновлений повторите логи АВЗ и hijackthis
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Patlatus3, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.