сильно тормозит комп

Printable View

09.12.2010, 12:36
Deya_

сильно тормозит комп

при загрузке выскакивает окно, что при загрузке не удалось подгрузить smss.exe
обычными методами удалять не получается
09.12.2010, 12:46
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[COLOR="Black"][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в hijackthis[/URL][/COLOR] -

[CODE]F2 - REG:system.ini: Shell=explorer.exe c:\Recycler\smss.exe
[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\RECYCLER\S-1-5-21-6776556558-8718796786-538465867-9065\hdav.exe','');
QuarantineFile('H:\autorun.inf','');
QuarantineFile('c:\Recycler\smss.exe','');
DeleteFile('c:\Recycler\smss.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-6776556558-8718796786-538465867-9065\hdav.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(8);
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Прокси Вы прописывали? - [CODE]R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:3128
[/CODE]

[B]- Обновите базы АВЗ[/B]

- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]Гмер[/URL]
09.12.2010, 12:49
Deya_

да, у нас локалка. и в настройках именно этот прокси указан.
спасибо, что так быстро. пошла выполнять
10.12.2010, 07:06
Deya_

лог Гмер выполнить не удалось вчера. после экспресс-проверки появлялось сообщение - система модифицирована руткитами, и предложение начать новую полную проверку. начиналась проверка и все повисало. пробовала три раза. сегодня попробую поотключать все службы, и еще раз попробовать сделать лог, но мне кажется, что это мало поможет
пока могу прислать только карантин, как приду на работу. надо?
10.12.2010, 07:12
olejah

Конечно надо -
[QUOTE='Olejah;743241']Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.[/QUOTE]
10.12.2010, 10:30
Deya_

[QUOTE=Olejah;743577]Конечно надо -[/QUOTE]
я просто думала что без гмера он вам шибко нужен.
снесла авиру, получилось сделать лог гмер. и высылаю карантин.
апд.только пароль забыла к архиву сделать)), каюсь
10.12.2010, 10:35
olejah

- Сохраните текст ниже как [B]1.bat[/B] в ту же папку, где находится [B]le1vpjn7.exe[/B](GMER) и запустите этот батник(1.bat):

[CODE]le1vpjn7.exe -del service bopdyt
le1vpjn7.exe -del service flosmn
le1vpjn7.exe -del service kkbcai
le1vpjn7.exe -del file "C:\WINDOWS\system32\srvawxtb.dll"
le1vpjn7.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\bopdyt"
le1vpjn7.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\flosmn"
le1vpjn7.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kkbcai"
le1vpjn7.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\bopdyt"
le1vpjn7.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\flosmn"
le1vpjn7.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\kkbcai"
le1vpjn7.exe -reboot[/CODE]

Компьютер перезагрузится.

После перезагрузки:
- Сделайте повторные логи АВЗ
- Сделайте новый лог Gmer
10.12.2010, 14:54
Deya_

запускаю батник. три сроки на черном экране и вываливается в синий экран
10.12.2010, 15:50
snifer67

- Сделайте повторные логи АВЗ
- Сделайте новый лог Gmer
10.12.2010, 17:10
Deya_

2 часа пыталась сделать лог гмер. не выходит. виснет и все тут. не получается меня с ним. на экспресс проверке руткитов не нашел.

логи авз + картинка при загрузке

теперь наверное попробую лог гмер только в пн сделать. спасибо за помощь
12.12.2010, 13:44
Deya_

специально ходила на работу - не могу переделать лог гмер. виснет на полном сканировании. беспричинно. что делать?
12.12.2010, 13:53
olejah

Обращаю Ваше внимание - Файл quarantine.zip Вами не был прислан [B]правильно[/B], вместо него в форму загрузки попал какой-то мусор в виде баз АВЗ. Будьте впредь внимательны, такого повториться не должно.

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('c:\recycler\smss.exe','');
DeleteFile('c:\recycler\smss.exe');
QuarantineFile('C:\WINDOWS\system32\XP-6F81531A.EXE','');
QuarantineFile('C:\WINDOWS\system32\kavo.exe','');
DeleteFile('C:\WINDOWS\system32\kavo.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kava');
DeleteFile('C:\WINDOWS\system32\XP-6F81531A.EXE');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Повторите логи
13.12.2010, 13:14
Deya_

простите, даже не знаю как я так...
новые логи
13.12.2010, 17:45
olejah

Что с проблемой? Плохого не вижу.
13.12.2010, 18:19
Deya_

окно выскакивает про smss.exe при загрузке. работает лучше. можно его убрать?
13.12.2010, 22:13
thyrex

Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
14.12.2010, 12:17
Deya_

вот
и при загрузке по прежнему вот это сообщение про точку входа
[url]http://virusinfo.info/attachment.php?attachmentid=289090&d=1291990229[/url]
14.12.2010, 21:05
Deya_

ну пожалуйста, не бросайте нас. допомогите уж до конца
15.12.2010, 02:01
thyrex

Скопируйте текст ниже в блокнот и сохраните как файл с названием [B]CFScript.txt[/B] на рабочий стол.
[code]KillAll::

File::

Driver::
kkbcai
flosmn
bopdyt

NetSvc::
kkbcai
flosmn
bopdyt

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8665:TCP"=-

FileLook::

DirLook::[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[img]http://virusnet.info/images/cfscript.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
15.12.2010, 11:12
Deya_

лог.
вскакивают те же окошки + новое добавилось :(
16.12.2010, 16:15
Deya_

все, у нас чисто? или еще какое лечение нужно?
17.12.2010, 16:23
thyrex

[QUOTE='Deya_;745535']вскакивают те же окошки + новое добавилось[/QUOTE]О чем речь?
17.12.2010, 18:54
Deya_

[QUOTE=thyrex;746514]О чем речь?[/QUOTE]

плохо что с работы уже ушла...
но, при загрузке компа по прежнему
первым идет сообщение про то, что файл по адресу c:\Recycler\smss.exe не может быть загружен, проверьте правильность пути.

жму ок, появляется второе.

вторым идет сообщение [url]http://virusinfo.info/attachment.php?attachmentid=289090&d=1291990229[/url]

теперь появилось и третье. сейчас точно не вспомню, но тоже про какой-то файл с расширением ubs ( или usb :mad: пятница, склероз )
иногда все три окошка как-то ловко выпрыгивают сразу. и пока я на все три ОК не нажму, вся система ощутимо притормаживает.

как-то так
17.12.2010, 21:07
thyrex

Скопируйте текст ниже в блокнот и сохраните как файл с названием [B]CFScript.txt[/B] на рабочий стол.
[code]KillAll::

File::

Driver::

Folder::

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MbWzdFPAP-EXL600"=-

FileLook::

DirLook::[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[img]http://virusnet.info/images/cfscript.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Выполните скрипт в AVZ
[code]begin
RegSearch('HKLM', '', 'c:\Recycler\smss.exe');
SaveLog('c:\avz00.log');
end. [/code]Файл [B]c:\avz00.log[/B] прикрепите к сообщению
21.12.2010, 10:00
Deya_

лог комбо, а avz00.log - пустой
21.12.2010, 10:09
Deya_

после перегрузки осталось только одно окошко
21.12.2010, 14:25
Bratez

Сделайте логи по п.2 и 3 раздела [I]Диагностика[/I] правил.
23.12.2010, 12:34
Deya_

логи
23.12.2010, 13:13
polword

1.[URL="http://virusinfo.info/showthread.php?t=4491"]Профиксите[/URL] в HijackThis
[CODE]
O4 - HKLM\..\Run: [Съемный диск] "C:\WINDOWS\System32\wscript.exe" "C:\Program Files\Съемный диск\usb.wsf" //Job:Work
[/CODE]
2. Отключите[B][COLOR="Red"] Системное восстановление!!![/COLOR][/B][URL="http://avptool.ru/ru/AVPTool_helpdesk_sysrestore.htm"] как- посмотреть можно тут[/URL]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\Recycler\smss.exe','');
DeleteFile('c:\Recycler\smss.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы

- [URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]

- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
27.12.2010, 11:57
Deya_

карантин отправила, логи. Комбофикс удален. и вроде полный порядок
27.12.2010, 12:24
polword

Обновите систему
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
- поставте [URL="http://get.adobe.com/reader/otherversions/"]Adobe Reader 9.4[/URL] или удалите старый.
27.12.2010, 14:05
Deya_

[QUOTE=polword;749941]Обновите систему
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
- поставте [URL="http://get.adobe.com/reader/otherversions/"]Adobe Reader 9.4[/URL] или удалите старый.[/QUOTE]
все обновления ставила в ходе лечения. единственное - с сайта майкрософта почему-то не удается поставить имено 8 ИЕ. хотя он постоянно висит в обновлениях. как его напрямую закачать - я не нашла.
27.12.2010, 14:55
polword

[url]http://www.microsoft.com/rus/windows/internet-explorer/worldwide-sites.aspx[/url]
28.12.2010, 14:55
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]101[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]