Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 33.

"Виснет" компьютер сразу после загрузки Рабочего стола. (заявка № 128510)

  1. #1
    Priority Member Репутация
    Регистрация
    02.10.2008
    Сообщений
    436
    Вес репутации
    32

    "Виснет" компьютер сразу после загрузки Рабочего стола.

    "Виснет" компьютер сразу после загрузки Рабочего стола. В безопасном режиме всё нормально.
    Диском касперского проверил, нашел вирусы в папке Java. Доктором Вебом в безопасном режиме проверка выявила проблемы с файлом hosts, исправил.

    Интересно, что где-то часов в 10 вечера комп загружается и работает некоторое время. Вторые сутки так.
    Логи делал в безопасном режиме.

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,267
    Вес репутации
    326
    Уважаемый(ая) tigr62, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,561
    Вес репутации
    708
    Yahoo! Toolbar, Яндекс.Бар если не нужну удалите.

    Профиксите в HijackThis

    Код:
    - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [Lingvo Launcher] "D:\Program Files\ABBYY Lingvo 11 Six Languages\Lvagent.exe" /STARTUP
    O4 - HKLM\..\Run: [LingvoTraining] "D:\Program Files\ABBYY Lingvo 11 Six Languages\Tutor.exe" /ND /NW /AS
    O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
    O4 - HKLM\..\Run: [RemoteControl] "D:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [FinePrint Диспетчер v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
    этим отключим эти программы из автозагрузки (если что потом их можно будет включить).

    Выполните скрипт AVZ

    Код:
    begin
    ExecuteWizard('SCU',2,2,true);
    RebootWindows(false);
    end.
    компьютер перезагрузится, что с проблемой ?

    - - - Добавлено - - -

    если проблема осталась постарайтесь сделать логи в обычном режиме.

  5. regist получил(а) благодарность за это сообщение от


  6. #4
    Priority Member Репутация
    Регистрация
    02.10.2008
    Сообщений
    436
    Вес репутации
    32
    Цитата Сообщение от regist Посмотреть сообщение
    компьютер перезагрузится, что с проблемой ?

    - - - Добавлено - - -

    если проблема осталась постарайтесь сделать логи в обычном режиме.
    Яндекс.бар удаляться не захотел. Остальное пофиксил.
    Проблема осталась.

    Успел запустить "Диспетчер задач". В закладке "Процессы" имя пользователя запустившего процесс не отображается. Посмотрел загрузку памяти и процессора, всё в норме. Мышка вроде работает (курсор двигается), но через минуту на щелчок мышкой не реагирует ни один значок на столе и на "Панели задач", невозможно закрыть "Диспетчер задач". Клавиатура "Нум_Лок" работает, но никакие команды с клавиатуры тоже не выполняются.

    Сделать еще раз логи?

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,561
    Вес репутации
    708
    сделайте но из обычного режима. В крайнем случае попробуйте использовать полимор из моей подписи.

    + Сделайте лог полного сканирования МВАМ.

  8. #6
    Priority Member Репутация
    Регистрация
    02.10.2008
    Сообщений
    436
    Вес репутации
    32
    Цитата Сообщение от regist Посмотреть сообщение
    сделайте но из обычного режима. В крайнем случае попробуйте использовать полимор из моей подписи.

    + Сделайте лог полного сканирования МВАМ.
    Запустить ничего в обычном режиме так и не смог. Но кое-что обнаружил.
    Зависает комп сразу после старта службы wmiprvse.exe
    И вот еще подозрительная строка в реестре "Steam"="", не решаюсь её удалить.

    Код:
    Windows Registry Editor Version 5.00
    
    [HKEY_USERS\S-1-5-21-73586283-1592454029-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run]
    "Steam"=""
    "Punto Switcher"="D:\\Program Files\\Punto Switcher\\ps.exe"
    "CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
    "amva"="C:\\WINDOWS\\system32\\amvo.exe"
    Попытался загрузиться с минимальным количеством служб. Машина не зависает. И в закладке "Процессы" имя пользователя запустившего процесс отображается.

  9. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,561
    Вес репутации
    708
    Цитата Сообщение от tigr62 Посмотреть сообщение
    "Steam"=""
    и
    Цитата Сообщение от tigr62 Посмотреть сообщение
    "amva"="C:\\WINDOWS\\system32\\amvo.exe"
    удалите, файл если на диске присутствует, то его в карантин.

    лог MBAM сделайте в безопасном.

  10. #8
    Priority Member Репутация
    Регистрация
    02.10.2008
    Сообщений
    436
    Вес репутации
    32
    Цитата Сообщение от regist Посмотреть сообщение
    и

    удалите, файл если на диске присутствует, то его в карантин.

    лог MBAM сделайте в безопасном.
    Файла на диске нет.

  11. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,561
    Вес репутации
    708
    Удалите в MBAM только

    Код:
    Объекты реестра обнаружены:  1
    HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
    смените пароли от онлайн игр, если ими пользуетесь.

    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код:
    begin
     if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
     If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
     Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
     if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
    ExitAVZ;
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    что с проблемой ?

  12. regist получил(а) благодарность за это сообщение от


  13. #10
    Priority Member Репутация
    Регистрация
    02.10.2008
    Сообщений
    436
    Вес репутации
    32
    Цитата Сообщение от regist Посмотреть сообщение

    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    что с проблемой ?
    Машина виснет по прежнему. Запустить успеваю только HiJackThis. AVZ если и успеваю запустить то во время исполнения скрипта, винт останавливается и всё виснет. Лог HiJackThis создать успел.

    - - - Добавлено - - -

    Смог сделать логи! Непонятно. Поигрался с датами и временем на календаре Виндоувс и машина не зависла. Пока работает.

  14. #11
    Priority Member Репутация
    Регистрация
    02.10.2008
    Сообщений
    436
    Вес репутации
    32
    Цитата Сообщение от regist Посмотреть сообщение
    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код:
    .
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    что с проблемой ?
    Проверил на уязвимости

    Комп не выключаю и не перегружаю. С того момента как заработал. Есмть у меня подозрение, что это не только со временем и датами связано, но и с кликами мышью по Рабочему столу или ярлыкам на рабочем столе. Все операции выполняю через меню Пуск.

    Код:
    Поиск критических уязвимостей
    Уязвимость службы сервера делает возможным удаленное выполнение кода
    http://www.microsoft.com/downloads/d...3-0140b887ec6f
    
    Уязвимости в протоколе SMB делают возможным удаленное выполнение кода
    http://www.microsoft.com/downloads/d...B-3FD4FE217987
    
    Уязвимости в Microsoft DirectShow делают возможным удаленное выполнение кода
    http://www.microsoft.com/downloads/d...c-3ed41d8736ff
    
    Накопительное обновление безопасности для браузера Internet Explorer
    http://www.microsoft.com/downloads/d...7-87851fd54962
    
    Уязвимость в Центре справки и поддержки Windows
    http://www.microsoft.com/downloads/d...A-6FB862F603C5
    
    Уязвимость обработки графики в оболочке Windows делает возможным удаленное выполнение кода
    http://www.microsoft.com/downloads/d...3-A40325FD2DE3
    
    Уязвимость в службе диспетчера очереди печати делает возможным удаленное выполнение кода
    http://www.microsoft.com/downloads/d...7-A012BBF56B13
    
    Обновление функции автозапуска в Windows
    http://www.microsoft.com/downloads/d...5-8cfc0bbf4c35
    
    Уязвимость драйверов режима ядра Windows, делает возможным удаленное выполнение кода
    http://www.microsoft.com/downloads/d...e-2141a04a321e
    
    Уязвимости в ядре Windows могут привести к несанкционированному получению прав
    http://www.microsoft.com/downloads/d...5-9D97390DE7D1
    
    Уязвимости в Windows Media делают возможным удаленное выполнение кода
    http://www.microsoft.com/downloads/d...b-470213c028ac
    
    Несанкционированные цифровые сертификаты делают возможным подмену содержимого
    http://www.microsoft.com/ru-ru/downl....aspx?id=29975 (требуется лицензионный Windows) или
    http://download.microsoft.com/downlo...04-x86-RUS.exe
    
    Уязвимость в MSXML делает возможным удаленное выполнение кода
    http://www.microsoft.com/downloads/d...1-93fb25058866
    
    Уязвимость в MSXML делает возможным удаленное выполнение кода
    http://www.microsoft.com/downloads/d...a-086e6ee26ffa
    
    Уязвимость общих элементов управления Windows делает возможным удаленное выполнение кода
    http://www.microsoft.com/downloads/d...6-d872d88241b3
    Для установки этого обновления требуется установить SP3 для Office 2003
    http://www.microsoft.com/downloads/d...2-5e3c1132f206
    
    Уязвимости в Adobe Flash Player для Internet Explorer
    http://download.macromedia.com/get/f...1_active_x.exe
    
    Уязвимости в Adobe Flash Player для Firefox/Safari/Opera
    http://download.macromedia.com/get/f..._11_plugin.exe
    
    Множественные уязвимости в Sun Java JDK и JRE (32-разрядная версия). Деинсталлируйте старую версию и установите новую:
    http://www.java.com/ru/download/manual.jsp
    
    Обнаружено уязвимостей: 18

  15. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    379
    Устраняйте уязвимости...


  16. #13
    Priority Member Репутация
    Регистрация
    02.10.2008
    Сообщений
    436
    Вес репутации
    32
    Цитата Сообщение от Techno Посмотреть сообщение
    Устраняйте уязвимости...
    Что смог исправил. Обновление Виндоус поставил, а вот IE8, не смог. Удалил Java после этого еще раз сделал логи. Всё же система, как-то на дату и время реагирует. Или работу с календарём, не знаю.

    Вот лог уязвимостей
    Код:
    Поиск критических уязвимостей
    Накопительное обновление безопасности для браузера Internet Explorer
    http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=967c9ef3-db48-4c2f-9a67-87851fd54962
    
    Уязвимость общих элементов управления Windows делает возможным удаленное выполнение кода
    http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=f22593be-d0b6-4b83-b0d6-d872d88241b3
    Для установки этого обновления требуется установить SP3 для Office 2003
    http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=e25b7049-3e13-433b-b9d2-5e3c1132f206
    
    Обнаружено уязвимостей: 2

  17. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    379
    Установите новый Internet Explorer, а также все доступные обновления для Windows


  18. #15
    Priority Member Репутация
    Регистрация
    02.10.2008
    Сообщений
    436
    Вес репутации
    32
    Techno,

    Не могу. Машина по прежнему виснет. IE8 уже несколько раз пытался поставить.

  19. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    379


  20. #17
    Priority Member Репутация
    Регистрация
    02.10.2008
    Сообщений
    436
    Вес репутации
    32
    Цитата Сообщение от Techno Посмотреть сообщение
    Сделал, но с проблемами. Опять подбирал с помощью календаря дату и время. В общем получается, что если я стартую (в Биосе ставлю время) в 23-33 16 декабря и сразу после загрузки Рабочего стола меняю дату на 15 декабря и затем меняю время на 24-34, а затем возвращаю его опять на 23-34 то комп работает.

    таким способом я запустил ComboFix, когда он доработал до конца, то перед перезагрузкой я заметил, что мелькнули три строки:
    - 1. удалена папка - Winlock в папке с:\ДокументЭндСеттинг\Мама. 2. какой-то файл в директории Виндоус, 3.и еще что-то.

    После перезагрузки ComboFix начал создавать лог-файл и в этот момент комп завис. Вынужден был перезагрузить и запустить ComboFix. еще раз. В этот раз он всё сделал без перезагрузки и создал лог-файл. Так что боюсь, информация будет не полная.

  21. #18

  22. regist получил(а) благодарность за это сообщение от


  23. #19
    Priority Member Репутация
    Регистрация
    02.10.2008
    Сообщений
    436
    Вес репутации
    32
    Цитата Сообщение от regist Посмотреть сообщение
    смените пароли, что сейчас с проблемой ?
    Сменил пароли у всех пользователей их три. Ничего не изменилось.

    С помощью WindowsUnLocker (утилита Касперского ) выяснил следующую проблему. Хотя это не помогло, но посмотрите этот лог
    Код:
    Kaspersky Lab WindowsUnlocker, 2012
    version 1.2.1 Sep 19 2012 08:04:02
    
    Пожалуйста, выберите команду для выполнения:
    1 - Разблокировать Windows
    2 - Сохранить копии загрузочных секторов
    0 - Выход
    
    (1) :> 1
    Проверка раздела "/discs/C:"
    
    Куст реестра "/discs/C:/windows/system32/config/system" открыт успешно
    "AlternateShell" - OK
    "AlternateShell" - OK
    "AlternateShell" - OK
    
    Куст реестра "/discs/C:/windows/system32/config/software" открыт успешно
    Обнаружена ОС Windows: Microsoft Windows XP Service Pack 3 ( 2600.xpsp_sp3_qfe.1
    "Shell" - OK
    "Userinit" - OK
    Проверка раздела "/discs/E:"
    Проверка раздела "/discs/Веб-браузер"
    Проверка раздела "/discs/Kaspersky Rescue Disk"
    Проверка раздела "/discs/D:"
    Проверка раздела "/discs/sda3"
    Проверка раздела "/discs/Диспетчер файлов"
    Проверка раздела "/discs/Kaspersky Registry Editor"
    
    Куст реестра "/discs/C:/Documents and Settings/LocalService/NTUSER.DAT" открыт у
    
    Куст реестра "/discs/C:/Documents and Settings/NetworkService/NTUSER.DAT" открыт
    
    Куст реестра "/discs/C:/Documents and Settings/U1/NTUSER.DAT" открыт успешно
    
    Куст реестра "/discs/C:/Documents and Settings/Mama/NTUSER.DAT" открыт успешно
    "praetorian" : "c:\documents and settings\mama\local settings\application data\y
    "gamexn go" : ""c:\documents and settings\all users\application data\gamexn\game
    praetorian - удалено
    gamexn go - удалено
                                                                                    
    Куст реестра "/discs/C:/Documents and Settings/Администратор/NTUSER.DAT" открыт 
                                                                                    
    Пожалуйста, выберите команду для выполнения:                                    
    1 - Разблокировать Windows                                                      
    2 - Сохранить копии загрузочных секторов                                        
    0 - Выход
    Далее обнаружил еще одну проблему в Панели задач висит значок "Безопасное извлечение устройства" хотя я никаких устройств не подключал и на компе их нет. Щелкнул по значку и вывесило надпись - "Безопасное извлечение Название Винчестера (С: D: E"

    В безопасном режиме открыл "Диспетчер устройств", скринШот прикрепляю

  24. #20
    Priority Member Репутация
    Регистрация
    02.10.2008
    Сообщений
    436
    Вес репутации
    32
    Зашел в систему с учеткой без прав админа. Комп не завис. Сделал логи AVZ, когда запустил hijackthis, вывесило окно (см. скриншот). Посмотрел файл hosts, там всё нормально - одна строка размер, 1Кб.
    Последний раз редактировалось tigr62; 16.12.2012 в 19:13.

  • Уважаемый(ая) tigr62, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Компьютер виснет сразу после загрузки
      От piter.zh в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 23.04.2012, 16:11
    2. Ответов: 7
      Последнее сообщение: 09.09.2011, 09:23
    3. Ответов: 5
      Последнее сообщение: 17.08.2011, 14:31
    4. Ответов: 14
      Последнее сообщение: 22.12.2009, 20:39
    5. Виснет система сразу после загрузки
      От maks408 в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 11.08.2009, 20:07

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01039 seconds with 21 queries