Тормозит explorer при входе в Мой компьютер

[Bjorn]

Здравствуйте.
Есть подозрения на вирус или его последствия на компьютере, где хранятся важные данные.

Сразу бы хотел извиниться, если описываю слишком подробно. Файлы важные, и их сохранность меня волнует. Хотя их бэкапы есть и делаются. Включена стандартная Служба восстановления системы, но на более ранние точки восстановления откатиться не получается. После перезагрузки Windows пишет, что не удалось восстановить систему до более раннего состояния.

Описание проблемы и состояния системы

Основным симптомом, который меня встревожил, стало то, что около двух дней назад после выхода из Спящего режима пропала иконка сетевого подключения в трее, папка Сетевые подключения не отображала существующие подключения, ссылаясь на то, что Служба сетевых соединений недоступна. В оснастке Службы перезапускал службу, она работала, но папка Сетевые подключения её видеть упорно не хотела. Почитал Интернет, исправил какие-то значения в реестре, иконки появились, папка стала снова отображать всё, что нужно.

С того же момента, как я подозреваю, стали наблюдаться тормоза при открытии Мой компьютер. Сама система загружается быстро. Мой компьютер открывается за 2.5 минуты, раньше открывался быстро. + В большинстве случаев при работе с выпадающими списками в Проводнике приложение зависает, его можно только убить. То есть со списками, за которые отвечает explorer.exe. Например, если в Файрфоксе пытаться добавить что-то через кнопку Обзор, то подвисает Файрфокс. Проводником я не пользуюсь, но симптом явно нехороший. По моим наблюдениям стали останавливаться или в нужный момент не запускаться некоторые службы. Например, Служба автоматического обновления. Пару раз были другие службы. Сейчас работает.

Стоит XP Pro, компьютер подключен к хабу, за которым находится ADSL-модем. На компьютере расшарена папка с документами , с которыми работают сотрудники. Всё это происходит в рабочей группе. В то же время на компьютере приходится устанавливать и удалять программы, драйверы и т.п. Происходит довольно много изменений, поэтому, допускаю, что некоторые моменты из того, что я описываю, могут быть на самом деле незначимыми и лишними при описании. И да, так нельзя, но начальство не переубедить.

На компьютере постоянно работает монитор Касперского, производил полную проверку им и CureIt Dr.Web. Вирусов не обнаружено. Обновления Windows ставятся регулярно. Пытаясь восстановить системные файлы, запускал sfc /scannow, результатов не дало. Сканировал Spybot S&D на наличие шпионов, не нашлись.

Проблемы с explorer возникли и на другом компьютере сети, но симптомы другие. Более опытный системный администратор сказал, что разбираться надо с этим компьютером, а тот случай вряд ли имеет в этому отношение. Мне важно, чтобы работал именно этот компьютер, поэтому, может, и нет смысла говорить о той машине. Хотя ниже я о ней всё-таки напишу.


Возможные причины, описание недавних изменений в системе

Вчера был BSOD при загрузке системы после установки драйверов для сканера. BAD_POOL_CALLER. Решилось выбором пункта Загрузка последней удачной версии с работоспособными параметрами. Драйвера снёс. Событие заметное, но тормоза explorer начались ещё до этого.

Недавно устанавливал Nero 8. Она добавляет много всего в реестр, может, из-за неё всё. Хотя связь довольно странная. Сама Nero работает без глюков. И прямой зависимости установки Nero и тормозов, по крайней мере, сразу я не заметил.

Стоял файрвол Comodo, система работала стабильно. После возникновения проблем и консультаций с человеком, которого я считаю более сведущим, чем я сам, файрвол удалил.

Хотел приложить лог журнала Windows. Например, в Просмотре событий, пункт Приложение выскакивает довольно много предупреждений и ошбиок. Как я посмотрел, они были и раньше. Но, может, связь есть.
Потом подумал, что он может содержаться в тех файлах, которые генерирует AVZ и HiJackThis. Если надо, готов выложить отдельно всё, что понадобится.


Другой компьютер

Есть компьютер, который по всей видимости был зараженным до того, как я пришёл в сеть. Он был подключён, так что вирус мог распространиться. На всех компьютерах, кроме этого, запущен монитор Касперского, базы обновляются автоматически, но хороший вирус мог и проскочить. Прогнал на нём CureIt, потом просканировал с DrWeb LiveCD и Касперским, вирусы нашлись только в первый раз. Нашёлся HLLW.Win32.Shadowcopy.based, HLLW.Win32.Lime.4 и несколько троянов. По информации, которую нашёл, это сетевые черви. У меня мысль, что вирус мог полиморфировать и несмотря на то, что обновления Windows ставятся регулярно, заразить этот компьютер. Другие компьютеры он, по моей версии, не заразил, потому что там работают лишь под учётной записью пользователя.

После удаления вируса несколько дней компьютер работал. Сейчас мне кажется, что он притормаживал примерно, как первый, но точно я уже не помню. Я не обращал особого внимания. Потом при логоне перестал грузиться explorer. Вернее загржается примерно через 5 минут. Потом можно кое-как работать, но explorer почти каждую минуту подвисает. Боюсь, что такое Могу рассказать, что я делал с тем компьютером, перепробовал много способов, восстановить мне его так пока и не удалось. Там я, наверное, переустановлю всё-таки Windows. Но этот случай прошу рассматривать лишь как возможный симптом для излечения первой машины.

Если что-то нужно выложить, пишите.

[Bjorn]

Сейчас перезагрузился (в логах ещё остались следы от файрвола, этот компьютер перезагружается нечасто) остановились службы Сервер, Обозреватель компьютеров, Темы Windows и несколько других. Перезагрузился ещё раз. Вылезла табличка Предотвращение выполнения данных - Microsoft Windows. Хотел сделать скриншот и вставить в Paint - обнаружил, что Paint тоже запускается с большой задержкой, в районе двух минут.
Чёрт с ним, со скриншотом. В окне написано следующее:
Для защиты компьютера эта программа была закрыта системой.
Имя: Generic Host Process for Win32 Services
Издатель: Microsoft Corporation

В общем, система разваливается к чертям собачьим. Сделал дополнительный бэкап документов, в понедельник, чувствую, будет весело...

Добавлено через 18 минут

Остановились Рабочая станция, Служба восстановления системы, Служба обеспечения сети, Служба сообщений, Фоновая интеллектуальная служба BITS, Планировщик, Уведомление о системных событиях, Центр обеспечения безопасности, Маршрутизация и удалённый доступ, Диспетчер логических дисков, Windows Audio, Служба регистрации ошибок, Служба криптографии. При попытке запуска Службы обеспечения IPv6, которая тоже стоит Авто, останавливаются все эти службы. Её отключил, но что-то мне подсказывает, что причина не просто в одной службе, которая до этого работала без сбоев.

+ На третьем компьютере, про который речь пока не шла, повисли окна. После перезагрузки вылезала ошибка при работе с mail.ru. hosts чистый, хотя Spybot, мб и есть смысл запустить с утра в понедельник. Жалею, что удалил файрвол. Он, может, хотя бы препятствовал тому, чтобы вирус не распространялся. Хотя человек, к мнению которого есть смысл прислушаться, говорит, что нормальному вирусу пофиг на все эти файрволы.

[AndreyKa]

Установите свежий билд Kaspersky Anti-Virus 6.0 for Windows Workstations.
То, что надо перезагружать компьютер между 3-м и 2-м скриптами вы не заметили в Правилах?

Обновите базы AVZ.
Сделайте новые логи AVZ и приложите к этой теме.

Про другие компьютеры в этой теме не пишите.

Включена стандартная Служба восстановления системы, но на более ранние точки восстановления откатиться не получается.

И выключить её не получается?

[Bjorn]

Да, извиняюсь за свою невнимательность. Базы обновил, службу восстановления отключил.

[AndreyKa]

Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
SetAVZGuardStatus(True);
 ExecuteRepair(14);
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
DelCLSID('67XOR2B0-3GMC-89VV-JIJ1-32KL5R3424444');
DelCLSID('12LOP3S8-1VRX-81VS-JKL6-61OP5G7774441');
 QuarantineFile('C:\Removable\Device\DEW.exe','');
 QuarantineFile('C:\WIN\DOWS\LAX.exe','');
 DeleteFile('C:\WIN\DOWS\LAX.exe');
 DeleteFile('C:\Removable\Device\DEW.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.

Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Выполните в AVZ скрипт ScanVuln.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

[Bjorn]

Карантин попытался приложить, пользуясь ссылкой. Но в теме никаких сообщений о нём не вижу. Надеюсь, получилось.
Прикладываю virusinfo_syscheck.zip, который я делал до выполнения скрипта ScanVuln.txt. Я понял, что нужен этот.

Некоторые из обновлений Adobe Acrobat из avz_log пока не установил, т.к. устанавливать нужно последовательно и почти каждое требует перезагрузки. Возможности перезагрузить сегодня пока не было.

Основной симптом, открывание Мой компьютер и Paint 2.5-3 минуты, не прошёл. Хотя если больше вирусов нет, то это не так и важно. Один троян всё же нашли.

В конце рабочего дня собираюсь установить оставшиеся обновления Adobe Acrobat, завтра постараюсь отписаться.

UPD: Билд Касперского я обновил тоже после создания virusinfo_syscheck.zip.

[AndreyKa]

Карантин чист.
В логе нет ничего подозрительного.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения вредоносные программы в карантинах не обнаружены