Система периодически "задумывается"... помогите вылечить.
WindowsXP Prof SP3 русская
Изредка задумчивость бывает до зависа мышки на пару тройку секунд. При нажатии на крестик окна эксплорера(не IE) закрытие окна происходит не сразу а через несколько секунд.
Основной глюк - при нажатии на "Пуск"-"Поиск":
Панель задачь(Пуск, трей...) становится недоступной - при наведении на нее курсора мыши курсор выглядит песочными часами при этом в поле рабочего стола курсор нормальный, данное состояние лечится только резетом.
Иногда система вырубает эксплорер извиняясь за причиненные неудобства при этом происходит перезагрузка ярлыков рабочего стола и Панели задачь.
В системе стоит доктор веб, при сканировании нашел и удалил в папке windows и в какой-то подпапке пару файлов обозвав их программой взлома.
AVPTool в безопасном режиме тоже нашла и удалила несколько зараженных файлов в папке "System Volume Information".
Прогнал AVZ скрипты и HijackThis по схеме как положено.
После всех процедур задумчивость осталась.
Прикладываю логи.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Поставил на ночь Gmer развернув его в полный экран.С утра обнаружил что сканирование завершено но пропали кнопки Scan Copy Save. Кнопки вернулись при возвращении обратно из полноэкранного режима.(интересный нюанс) Прикрепляю лог.
Ладно понаблюдаем денек... почистим реестр... вроде бы окно экплорера стало быстро закрываться... вечером проверю Пуск-Поиск... если не прочихается будем готовится к переустановке системы... сенкс за помощь.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Gugi\Local Settings\Application Data\Microsoft\Windows Update\services.exe','');
DeleteFile('C:\Documents and Settings\Gugi\Local Settings\Application Data\Microsoft\Windows Update\services.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Пофиксил, согласно инструкции сделал перезагрузку после фикса.
Выполнил скрипт, компьютер сам пошел в перезагрузку, но довольно интересно - выгрузились ярлыки с рабочего стола и панель задач, осталась голая фоновая картинка... в таком состоянии компьютер находился минут 5 не меньше, я уже подумывал нажать на "ресет" но перезагрузка все же пошла.
После перезагрузки было найдено новое устройство с кодом экземпляра устройства ROOT\LEGACY_UZIYODG1\0000 просило дрова, оставил пока как есть...
Папку Windows\Temp очистить до конца не получилось: Windows\Temp\logishrd\LVPrcInj01.dll не удалился, пару датовских файлов и один лог.
Прогнал скрипты и скан HiJackThis, логи прикрепил
карантин закачал, сообщение об успешной закачке было.
Несколько вопросов:
1. "Восстановление системы" можно включать или пока "воюем" не надо?
2. Что делать с новым устройством?
3. Фикс пока обратно не возвращать?
Последний раз редактировалось Gugenot; 22.07.2009 в 22:42.
begin
DeleteFile('C:\WINDOWS\Installer\7153e13.msi');
SetAVZPMStatus(false);
ExecuteStdScr(6);
end.
В логах больше ничего плохого не видно.
Несколько вопросов:
1. "Восстановление системы" можно включать или пока "воюем" не надо?
2. Что делать с новым устройством?
3. Фикс пока обратно не возвращать?
1. Теперь можно включать.
2. Удалите в Диспетчере устройств.
3. Фиксили не для того, чтобы возвращать.
Этот файл от Logitech т.е. не зловредный. Жалобы есть?
Да, пока к сожалению есть.
Единственное, что похоже исправилось это скорость закрытия проводника, закрывается теперь сразу. Глюк Пуск-Поиск-висим остался.
Забыл при оформлении темы сказать еще про один глюк который в процессе лечения пропал:
При выключении(перезагрузке) на экране мелькает и пропадает сообщение со звуковым сигналом(полагаю о какой-то ошибке), к сожалению настолько быстро что текст сообщения уловить не удается.
После выполнения нижеследующего
Сообщение от Bratez
1. Теперь можно включать.
2. Удалите в Диспетчере устройств.
этот глюк вернулся.
И если быть совсем дотошным, то, возможно это поможет поиску "зловредных", за день несколько раз могу наблюдать обновление ярлыков рабочего стола. А так же можно пожаловаться на скорость загрузки страниц иногда... бывает тупит по страшному и на провайдера тут не свалишь поскольку торент качает на полную и в ус не дует в этот момент(на урезанной скорости, чтоб было понятно что и он не должен мешать).
Сообщение от Rene-gad
Файлы *.msi= Windows Installer File from Microsoft Corporation в системе ни за что не отвечают, это установочные пакеты.
Если я правильно понимаю, то Alexandra имела в виду файл который я фиксил по Вашему указанию.
Основной глюк - при нажатии на "Пуск"-"Поиск" пропал, поиск запускается и работает
При выключении(перезагрузке) сообщение со звуковым сигналом тоже пропало, две перезагрузки прошли чисто, далее надеюсь не появится.
Единственное что на первый взгляд пока беспокоит - долгая загрузка системного трея при включении(перезагрузке), от 5 до 10 секунд каждый ярлычек. В остальном будем наблюдать пару дней, как будет на счет задумчивости.
PS может быть нужно почистить что нибудь в дирректории C:\Documents and Settings\Gugi\Local Settings\Application Data\Microsoft\Windows Update\ ? Что там ошметки от трояна а что нужные файлы?
Последний раз редактировалось Gugenot; 30.07.2009 в 22:41.
может быть нужно почистить что нибудь в дирректории C:\Documents and Settings\Gugi\Local Settings\Application Data\Microsoft\Windows Update\ ? Что там ошметки от трояна а что нужные файлы?
Тут вот какое дело: не все аналитики едины во мнении, что удалённый файл является зловредом, хотя в папке ..\Local Settings\Application Data\Microsoft ни исполняемых файлов, ни библиотек быть не должно.
PS может быть нужно почистить что нибудь в дирректории C:\Documents and Settings\Gugi\Local Settings\Application Data\Microsoft\Windows Update\ ? Что там ошметки от трояна а что нужные файлы?
Там может быть keystrokes.html - хтмл-ка с логом клавишь и errorlog.dat - побочный лог отладки.
Сердце решает кого любить... Судьба решает с кем быть...
Уважаемый(ая) Gugenot, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: