Junior Member
Вес репутации
53
Проблема с explorer.exe и каждые 1-3 часа слетают драйвера на звук
Доброго времени суток.
Такая проблема: каждые 1-3 часа слетают драйвера на звук (звуковая С-media). Переустановка помогает, но снова все на те же 1-3 часа. Проверил на вирусы, появилась проблема с запуском explorer.exe (загружалась система и останавливалась на картинке рабочего стола)
Пролечился AVZ, TrojanRemover-ом, NOD-ом вроде обе проблемы поборол, но все же хотел узнать ваше мнение, а может быть и совет, по состоянию системы. Логи в прикрепленных файлах. Заранее большое спасибо!
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пофиксите в HijackThis:
Код:
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-0524054563-4340218940-069979033-7603\wmfcgr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0524054563-4340218940-069979033-7603\wmfcgr.exe');
BC_ImportALL;
ExecuteRepair(16);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=59892 ).
Сделайте лог gmer .
I am not young enough to know everything...
Junior Member
Вес репутации
53
Спасибо за столь быстрый ответ.
Хотел добавить, с драйверами проблема до конца не решилась (погарачился немного).... драйвера стоят, но аудиофайлы любого типа не хотят воспроизводиться ни одним из проигрывателей. При запуске выдает ошибку: "... аудиоустройство не найдено ..."
Пофиксить и выполнить скрипт получится только утром.
Junior Member
Вес репутации
53
доброго времени суток.
Пофиксить в HijackThis получилось только строку с кодом 03. 04-й просто небыло в списке.
Скрипт AVZ выполнил, но к сожалению, ни в папке с логами ничего нет, ни в папке с карантином ...
лог Gmer-a прилагаю.
Junior Member
Вес репутации
53
да, и хотел бы еще добавить. Проблема с незагружающимся explorer-ом снова всплыла... снова не грузится...
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WIN\system32\jqrsrio.dll','');
DeleteFile('C:\WIN\system32\jqrsrio.dll');
QuarantineFile('C:\WIN\system32\zfyspqu.dll','');
DeleteFile('C:\WIN\system32\zfyspqu.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)
Код:
gmer.exe -del service vwucaju
gmer.exe -del file "C:\WIN\system32\jqrsrio.dll"
gmer.exe -del file "C:\WIN\system32\zfyspqu.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vwucaju"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\ERserv"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\vwucaju"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\vwucaju"
gmer.exe -reboot
И запустите cleanup.bat
Компьютер перезагрузится
Сделать новый лог gmer + стандартный комплект логов
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
53
Скрипт для AVZ выполнился, но в карантине по прежнему ничего нет.
Скрипт для gmer-a выполнился с ошибками (нужных файлов не былов system32 ...)
повторные логи прикрепляю
Вложения
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
QuarantineFile('C:\RECYCLER\S-1-5-21-2584667897-1938058688-291242250-3384\wmfcgr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-2584667897-1938058688-291242250-3384\wmfcgr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи (gmer не нужно) + лог MBAM
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
53
В "...//system32" появляются файлы с именами "00.exe", "02.exe", "04.exe" и т.д. Если я не ошибаюсь их там не должно быть !??!
В прикрепленных файлах логи и карантин AVZ.
Сообщение от
VicD
В "...//system32" появляются файлы с именами "00.exe",
Пока не залатаете дыры
Platform: Windows XP
SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v
7.00 (7.00.6000.16674)
так и будет. Обновляйте систему
Удалите в МВАМ
Код:
Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> No action taken.
Заражено папок:
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken.
Заражено файлов:
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken.
C:\WIN\system32\41.exe (Trojan.FakeAlert) -> No action taken.
Почистите мусор
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
53
Систему обновил. Сделал полную проверку MBAM-ом, нашел помимо тех 4-х зловредов что были в предидущем логе, еще парочку подобных... Все удалил. Как и советовали почистил систему. Проблема с explorer-ом пропала... Со слетающим звуком - посмотрим!
Большое спасибо за работу и помощь!
Junior Member
Вес репутации
53
Пожалуй с выводами я погарячился...
Система продолжает нестабильно работать: через раз загружаются программы которые стоят в автозагрузке. В процессах висят 2 зловреда: ccdriver32.exe и 738.exe.
Прилагаю стандартный набор логов!
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\recycler\s-1-5-21-1591510007-2698253285-600025359-2189\wnzip32.exe','');
TerminateProcessByName('c:\win\ccdrive32.exe');
QuarantineFile('c:\win\ccdrive32.exe','');
TerminateProcessByName('c:\temp\189.exe');
QuarantineFile('c:\temp\189.exe','');
DeleteFile('c:\temp\189.exe');
DeleteFile('c:\win\ccdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('c:\recycler\s-1-5-21-1591510007-2698253285-600025359-2189\wnzip32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
53
Последний раз редактировалось Bratez; 20.11.2009 в 15:13 .
Причина: убрал лишнее вложение
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-3757168358-4247770657-494571498-9637\wnzip32.exe','');
TerminateProcessByName('c:\win\system32\75.exe');
QuarantineFile('c:\win\system32\75.exe','');
TerminateProcessByName('c:\win\system32\47.exe');
QuarantineFile('c:\win\system32\47.exe','');
DeleteFile('c:\win\system32\47.exe');
DeleteFile('c:\win\system32\75.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-3757168358-4247770657-494571498-9637\wnzip32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
53
карантин выслал + новые логи прилагаю
Вложения
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\WIN\system32\zfyspqu.dll','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1000774791-3638887501-172945684-5214\wnzip32.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-1000774791-3638887501-172945684-5214\wnzip32.exe');
DeleteFile('C:\WIN\system32\zfyspqu.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteFile('C:\RECYCLER\S-1-5-21-1000774791-3638887501-172945684-5214\wnzip32.exe');
BC_Activate;
ExecuteWizard('TSW',3,3,true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
SetAVZPMStatus(True);
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)
Код:
gmer.exe -del service qzhzxsoxh
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qzhzxsoxh"
gmer.exe -reboot
И запустите cleanup.bat.
Компьютер перезагрузится!
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте комплект новых логов + лог gmer
Junior Member
Вес репутации
53
карантин отправил, логи прилагаю
Не в обиду будет сказано - не компьютер, а решето. Обновления после SP3 все установлены?
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-7622382334-5870485530-514241226-3863\wnzip32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\gpp3g.exe','');
TerminateProcessByName('c:\win\ccdrive32.exe');
QuarantineFile('c:\win\ccdrive32.exe','');
DeleteFile('c:\win\ccdrive32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\gpp3g.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-7622382334-5870485530-514241226-3863\wnzip32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
53
обновления все стали без ошибок!
Я понимаю что машина наладом дышит.... просто на ней стоит софт который мало кто сможет поставить .... приходится воевать ...