-
Priority Member
- Вес репутации
- 60
"Виснет" компьютер сразу после загрузки Рабочего стола.
"Виснет" компьютер сразу после загрузки Рабочего стола. В безопасном режиме всё нормально.
Диском касперского проверил, нашел вирусы в папке Java. Доктором Вебом в безопасном режиме проверка выявила проблемы с файлом hosts, исправил.
Интересно, что где-то часов в 10 вечера комп загружается и работает некоторое время. Вторые сутки так.
Логи делал в безопасном режиме.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) tigr62, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Yahoo! Toolbar, Яндекс.Бар если не нужну удалите.
Профиксите в HijackThis
Код:
- HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Lingvo Launcher] "D:\Program Files\ABBYY Lingvo 11 Six Languages\Lvagent.exe" /STARTUP
O4 - HKLM\..\Run: [LingvoTraining] "D:\Program Files\ABBYY Lingvo 11 Six Languages\Tutor.exe" /ND /NW /AS
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [RemoteControl] "D:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [FinePrint Диспетчер v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
этим отключим эти программы из автозагрузки (если что потом их можно будет включить).
Выполните скрипт AVZ
Код:
begin
ExecuteWizard('SCU',2,2,true);
RebootWindows(false);
end.
компьютер перезагрузится, что с проблемой ?
- - - Добавлено - - -
если проблема осталась постарайтесь сделать логи в обычном режиме.
-
-
Priority Member
- Вес репутации
- 60
Сообщение от
regist
компьютер перезагрузится, что с проблемой ?
- - - Добавлено - - -
если проблема осталась постарайтесь сделать логи в обычном режиме.
Яндекс.бар удаляться не захотел. Остальное пофиксил.
Проблема осталась.
Успел запустить "Диспетчер задач". В закладке "Процессы" имя пользователя запустившего процесс не отображается. Посмотрел загрузку памяти и процессора, всё в норме. Мышка вроде работает (курсор двигается), но через минуту на щелчок мышкой не реагирует ни один значок на столе и на "Панели задач", невозможно закрыть "Диспетчер задач". Клавиатура "Нум_Лок" работает, но никакие команды с клавиатуры тоже не выполняются.
Сделать еще раз логи?
-
сделайте но из обычного режима. В крайнем случае попробуйте использовать полимор из моей подписи.
+ Сделайте лог полного сканирования МВАМ.
-
-
Priority Member
- Вес репутации
- 60
Сообщение от
regist
сделайте но из обычного режима. В крайнем случае попробуйте использовать полимор из моей подписи.
+ Сделайте лог
полного сканирования МВАМ.
Запустить ничего в обычном режиме так и не смог. Но кое-что обнаружил.
Зависает комп сразу после старта службы wmiprvse.exe
И вот еще подозрительная строка в реестре "Steam"="", не решаюсь её удалить.
Код:
Windows Registry Editor Version 5.00
[HKEY_USERS\S-1-5-21-73586283-1592454029-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"Steam"=""
"Punto Switcher"="D:\\Program Files\\Punto Switcher\\ps.exe"
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"amva"="C:\\WINDOWS\\system32\\amvo.exe"
Попытался загрузиться с минимальным количеством служб. Машина не зависает. И в закладке "Процессы" имя пользователя запустившего процесс отображается.
-
Сообщение от
tigr62
"Steam"=""
и
Сообщение от
tigr62
"amva"="C:\\WINDOWS\\system32\\amvo.exe"
удалите, файл если на диске присутствует, то его в карантин.
лог MBAM сделайте в безопасном.
-
-
Priority Member
- Вес репутации
- 60
Сообщение от
regist
и
удалите, файл если на диске присутствует, то его в карантин.
лог MBAM сделайте в безопасном.
Файла на диске нет.
-
Удалите в MBAM только
Код:
Объекты реестра обнаружены: 1
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
смените пароли от онлайн игр, если ими пользуетесь.
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
begin
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
ExitAVZ;
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
что с проблемой ?
-
-
Priority Member
- Вес репутации
- 60
Сообщение от
regist
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
что с проблемой ?
Машина виснет по прежнему. Запустить успеваю только HiJackThis. AVZ если и успеваю запустить то во время исполнения скрипта, винт останавливается и всё виснет. Лог HiJackThis создать успел.
- - - Добавлено - - -
Смог сделать логи! Непонятно. Поигрался с датами и временем на календаре Виндоувс и машина не зависла. Пока работает.
-
Priority Member
- Вес репутации
- 60
Сообщение от
regist
Выполните скрипт в AVZ при наличии доступа в интернет:
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
что с проблемой ?
Проверил на уязвимости
Комп не выключаю и не перегружаю. С того момента как заработал. Есмть у меня подозрение, что это не только со временем и датами связано, но и с кликами мышью по Рабочему столу или ярлыкам на рабочем столе. Все операции выполняю через меню Пуск.
-
-
-
Priority Member
- Вес репутации
- 60
Сообщение от
Techno
Устраняйте уязвимости...
Что смог исправил. Обновление Виндоус поставил, а вот IE8, не смог. Удалил Java после этого еще раз сделал логи. Всё же система, как-то на дату и время реагирует. Или работу с календарём, не знаю.
Вот лог уязвимостей
Код:
Поиск критических уязвимостей
Накопительное обновление безопасности для браузера Internet Explorer
http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=967c9ef3-db48-4c2f-9a67-87851fd54962
Уязвимость общих элементов управления Windows делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=f22593be-d0b6-4b83-b0d6-d872d88241b3
Для установки этого обновления требуется установить SP3 для Office 2003
http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=e25b7049-3e13-433b-b9d2-5e3c1132f206
Обнаружено уязвимостей: 2
-
-
-
Priority Member
- Вес репутации
- 60
Techno,
Не могу. Машина по прежнему виснет. IE8 уже несколько раз пытался поставить.
-
-
-
Priority Member
- Вес репутации
- 60
Сообщение от
Techno
Сделал, но с проблемами. Опять подбирал с помощью календаря дату и время. В общем получается, что если я стартую (в Биосе ставлю время) в 23-33 16 декабря и сразу после загрузки Рабочего стола меняю дату на 15 декабря и затем меняю время на 24-34, а затем возвращаю его опять на 23-34 то комп работает.
таким способом я запустил ComboFix, когда он доработал до конца, то перед перезагрузкой я заметил, что мелькнули три строки:
- 1. удалена папка - Winlock в папке с:\ДокументЭндСеттинг\Мама. 2. какой-то файл в директории Виндоус, 3.и еще что-то.
После перезагрузки ComboFix начал создавать лог-файл и в этот момент комп завис. Вынужден был перезагрузить и запустить ComboFix. еще раз. В этот раз он всё сделал без перезагрузки и создал лог-файл. Так что боюсь, информация будет не полная.
-
смените пароли, что сейчас с проблемой ?
-
-
Priority Member
- Вес репутации
- 60
Сообщение от
regist
смените пароли, что сейчас с проблемой ?
Сменил пароли у всех пользователей их три. Ничего не изменилось.
С помощью WindowsUnLocker (утилита Касперского ) выяснил следующую проблему. Хотя это не помогло, но посмотрите этот лог
Код:
Kaspersky Lab WindowsUnlocker, 2012
version 1.2.1 Sep 19 2012 08:04:02
Пожалуйста, выберите команду для выполнения:
1 - Разблокировать Windows
2 - Сохранить копии загрузочных секторов
0 - Выход
(1) :> 1
Проверка раздела "/discs/C:"
Куст реестра "/discs/C:/windows/system32/config/system" открыт успешно
"AlternateShell" - OK
"AlternateShell" - OK
"AlternateShell" - OK
Куст реестра "/discs/C:/windows/system32/config/software" открыт успешно
Обнаружена ОС Windows: Microsoft Windows XP Service Pack 3 ( 2600.xpsp_sp3_qfe.1
"Shell" - OK
"Userinit" - OK
Проверка раздела "/discs/E:"
Проверка раздела "/discs/Веб-браузер"
Проверка раздела "/discs/Kaspersky Rescue Disk"
Проверка раздела "/discs/D:"
Проверка раздела "/discs/sda3"
Проверка раздела "/discs/Диспетчер файлов"
Проверка раздела "/discs/Kaspersky Registry Editor"
Куст реестра "/discs/C:/Documents and Settings/LocalService/NTUSER.DAT" открыт у
Куст реестра "/discs/C:/Documents and Settings/NetworkService/NTUSER.DAT" открыт
Куст реестра "/discs/C:/Documents and Settings/U1/NTUSER.DAT" открыт успешно
Куст реестра "/discs/C:/Documents and Settings/Mama/NTUSER.DAT" открыт успешно
"praetorian" : "c:\documents and settings\mama\local settings\application data\y
"gamexn go" : ""c:\documents and settings\all users\application data\gamexn\game
praetorian - удалено
gamexn go - удалено
Куст реестра "/discs/C:/Documents and Settings/Администратор/NTUSER.DAT" открыт
Пожалуйста, выберите команду для выполнения:
1 - Разблокировать Windows
2 - Сохранить копии загрузочных секторов
0 - Выход
Далее обнаружил еще одну проблему в Панели задач висит значок "Безопасное извлечение устройства" хотя я никаких устройств не подключал и на компе их нет. Щелкнул по значку и вывесило надпись - "Безопасное извлечение Название Винчестера (С: D: E"
В безопасном режиме открыл "Диспетчер устройств", скринШот прикрепляю
-
Priority Member
- Вес репутации
- 60
Зашел в систему с учеткой без прав админа. Комп не завис. Сделал логи AVZ, когда запустил hijackthis, вывесило окно (см. скриншот). Посмотрел файл hosts, там всё нормально - одна строка размер, 1Кб.
Последний раз редактировалось tigr62; 16.12.2012 в 19:13.