Общая нестабильность системы (XP SP4)

Printable View

18.11.2010, 21:07
NotReal

Общая нестабильность системы (XP SP4)

Добрый вечер. Прошу помощи с моей запущеной системой. Логи прикреплены.
18.11.2010, 21:24
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[COLOR="Black"][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в hijackthis[/URL][/COLOR] -

[CODE]O2 - BHO: (no name) - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - (no file)
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - AutorunsDisabled - (no file) (HKCU)[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Documents and Settings\User.2DCE4F6095B644C\Application Data\ltzqai.exe','');
DeleteFile('C:\Documents and Settings\User.2DCE4F6095B644C\Application Data\ltzqai.exe');
DeleteService('dojvkdww');
QuarantineFile('C:\WINDOWS\system32\01.tmp','');
DeleteFile('C:\WINDOWS\system32\01.tmp');
BC_DeleteSvc('dojvkdww');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Повторите логи
18.11.2010, 22:01
NotReal

Вот.
18.11.2010, 22:08
olejah

Что с проблемой?
18.11.2010, 22:12
NotReal

Сразу, увы, нельзя сказать. Система загрузилась вроде как ровнее чем прежде. Но большинство проблем начиналось во время работы в самые неожиданные моменты. Самый распространенный случай - компьютер перестает реагировать на попытки открыть мой компьютер или диспетчер задач, а так же панель задач и пуск намертво отпадал. Хотя ярлыки выделяются, exe файлы на рабочем столе запускаются.
18.11.2010, 22:15
olejah

Сделайте на всякий случай лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/URL]
18.11.2010, 22:29
NotReal

когда перехожу по ссылке, 2 раза подряд (до и после ребута)
svchost.exe - ошибка приложения
Инструкция по адресу "0x6fe216e2" обратилась к памяти по адресу "0x0110005c" Память не может быть "Written" Если запустить отладку или завершить процесс- система повиснет. Оставил пока это оповещение открытым.
П.С. занимаюсь пока сканированием.
18.11.2010, 22:31
olejah

Проведите полную проверку утилитой CureIt!
18.11.2010, 22:33
NotReal

[QUOTE=Olejah;734459]Проведите полную проверку утилитой CureIt![/QUOTE]
теперь уже после сканирования Malware?
18.11.2010, 22:36
olejah

Оставим пока про запас этот вариант. Я думал лог МВАМ снять не получается.
18.11.2010, 23:49
NotReal

чувствую, что это не то, что надо, но в месте, указанном в инструкции, никаких файлов не было.
если возможно, продолжим лечение завтра...а то сидеть уже невмоготу.
18.11.2010, 23:52
olejah

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL] всё, [B]кроме[/B]

[CODE]Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
[/CODE]
19.11.2010, 13:04
NotReal

Сделал.
19.11.2010, 13:16
olejah

Повторите лог МВАМ
19.11.2010, 14:41
NotReal

Лог.
19.11.2010, 14:44
olejah

Почему опять всё на месте -

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите[/URL] всё, что нашёл МВАМ
19.11.2010, 14:53
NotReal

Сделал. Некоторые файлы были помещены в карантин, далее последовала перезагрузка.
up. логи забыл. Кажется, Vsbntlo.exe всё по барабану.
19.11.2010, 15:03
olejah

Что с проблемой?
19.11.2010, 15:10
NotReal

Что бы она не значила, выдержка из журнала проактивной защиты Комодо.
Приложение
С\Program Files\Malwarebytes' Anti-Malware\mbam.exe
Флаги
Блокирование файла
Цель
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe
Дата
19.11.2010 15:51:52

Снова появилась ошибка свцхоста
19.11.2010, 15:13
olejah

Когда удаляете в МВАМ, выгружайте защитное ПО. Мешать может.
19.11.2010, 19:51
NotReal

Виноват. Забыл отключить комодо, но только в этот раз, раньше все приложения, висящие в трее убивал. Удалил остатки из карантина, после перезагрузки появилось оповещение от комодо о внедрении свцхостом шелл-кодов. Завершать или пропускать ?

[size="1"][color="#666686"][B][I]Добавлено через 42 секунды[/I][/B][/color][/size]

Про меня не забыли..? Всё до сих пор плохо.
Vsbntlo прописан в атозапуске, через мсконфиг его оттуда убрал, но после полных проверок он всё равно остается.
19.11.2010, 20:51
thyrex

Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
19.11.2010, 21:10
NotReal

отказывает в доступе к комбофиксу даже после переименования.
19.11.2010, 22:26
thyrex

В безопасном режиме пробуйте
19.11.2010, 23:04
NotReal

Логи. \\
19.11.2010, 23:22
thyrex

И где лог CombioFix из безопасного режима???

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] все найденное
20.11.2010, 15:23
NotReal

Вот.

Вообщем, удалил всё что нашел mbab
20.11.2010, 22:13
thyrex

Скопируйте текст ниже в блокнот и сохраните как файл с названием [B]CFScript.txt[/B] на рабочий стол.
[code]KillAll::

File::

Driver::
iksepbzvv

NetSvc::
iksepbzvv

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9259:TCP"=-

FileLook::

DirLook::[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[img]http://virusnet.info/images/cfscript.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
20.11.2010, 23:17
NotReal

Лог.
20.11.2010, 23:47
thyrex

Плохого не видно. Что с проблемой?
20.11.2010, 23:55
NotReal

Всё вроде хорошо, система работает без багов, эксплорер и свцхост не виснет, в мсконфиге авторан чистый. Повторные сканы mbab ничего вообще не нашли.
Кажется, справились. Спасибо Вам, большое дело делаете.
21.11.2010, 12:18
thyrex

[url="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/url]
21.11.2010, 16:10
NotReal

Удалил, еще раз спасибо.
22.11.2010, 16:10
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]