Показано с 1 по 14 из 14.

Система ведет себя крайне странно.. (заявка № 101909)

  1. #1
    Junior Member Репутация
    Регистрация
    07.05.2011
    Сообщений
    8
    Вес репутации
    48

    Exclamation Система ведет себя крайне странно..

    Здравствуйте.
    Рассказываю предысторию.. ноут начал сильно тупить.. система установлена Виндовс ХР Хоум Едишон сп3 рашен.. антивирь НОД32 4.2, обновляется нормально и своевременно..

    Как лечил.. Я повыключал всякие надстройки в ИЕ.. и еще поубивал несколько процессов, которые грузили проц и память.. ноут немного задышал.. но остались проблемы - главная из которых - Не работает авто-обновление.. Сервис БИТС вообще не стартует, файл не находится.. и вообще ощущаю присутствие зверьков в системе..

    Еще пропадает окно "Выполнить" - я нажимаю Пуск - Выполнить.. оно мелькает на долю секунды и исчезает.. батч-файлы тоже не выполняются.. я хотел запустить регедит, не смог..

    Чтобы обойтись малой кровью - я пытался накатить поверх системы СервисПак3 из дистрибутива, он доходит процентов до 20, после чего говорит "недостаточно полномочий там на что-то" примерно сразу после исследования системы.. запускается под админом..

    ДрВеб в безопасном режиме прогнал, почти ничего не нашел.. файлов 5 может вытер..

    Остается конечно последний аргумент - переустановить систему полностью с нуля, но это как-то совсем не хочется делать.. Спасайте меня гуру, плизззз

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    1.Профиксите в HijackThis
    Код:
    R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll (file missing)
    R3 - URLSearchHook: (no name) -  - (no file)
    F2 - REG:system.ini: Shell=Explorer.exe, C:\Program Files\Common Files\Program Shared\Isass.exe
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
    O1 - Hosts: 109.94.220.65 www.vkontakte.ru
    O1 - Hosts: 109.94.220.65 www.vk.com
    O1 - Hosts: 109.94.220.65 vkontakte.ru
    O1 - Hosts: 109.94.220.65 vk.com
    O1 - Hosts: 109.94.220.65 www.odnoklassniki.ru
    O1 - Hosts: 109.94.220.65 odnoklassniki.ru
    O2 - BHO: TBSB00196 - {1236D836-E9BA-4175-894F-2072A14D5A26} - C:\Program Files\WebMoney Advisor\wmadvisor.dll (file missing)
    O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll (file missing)
    O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll (file missing)
    O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe (file missing)
    O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe (file missing)
    2.Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
      DeleteService('userinit');
     QuarantineFile('globalroot\systemroot\system32\usеrinit.exe','');
     QuarantineFile('c:\program files\common files\program shared\isass.exe','');
     TerminateProcessByName('c:\program files\common files\program shared\isass.exe');
     DeleteFile('c:\program files\common files\program shared\isass.exe');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     ExecuteRepair(13);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    Последний раз редактировалось Bratez; 09.05.2011 в 15:34. Причина: чуть-чуть подправил :)

  4. #3
    Junior Member Репутация
    Регистрация
    07.05.2011
    Сообщений
    8
    Вес репутации
    48
    Пункт 1 выполнился.. после перезагрузки остались вот эти строки
    F2 - REG:system.ini: Shell=Explorer.exe, C:\Program Files\Common Files\Program Shared\Isass.exe
    O1 - Hosts: 109.94.220.65 www.vkontakte.ru
    O1 - Hosts: 109.94.220.65 www.vk.com
    O1 - Hosts: 109.94.220.65 vkontakte.ru
    O1 - Hosts: 109.94.220.65 vk.com
    O1 - Hosts: 109.94.220.65 www.odnoklassniki.ru
    O1 - Hosts: 109.94.220.65 odnoklassniki.ru

    Пункт 2 не выполняется.. АВЗ запускается, но после выбора в меню "Выполнить скрипт" окно опять же появляется на долю секунды и потом пропадает в модальное никуда.. АВЗ приходится срубать через "снять задачу"..

    Переименовал авз в тест.ком как рекомендовано в ЧАВО.. эффекта не возымело..

  5. #4
    Junior Member Репутация
    Регистрация
    07.05.2011
    Сообщений
    8
    Вес репутации
    48
    Поздравляю всех с праздником!

    Так что мне делать-то?? Скрипт в АВЗ прогнать не удается.. диалог ввода скрипта не открывается мне для ввода.. в какой-либо внешний файл его можно сохранить и дать команду АВЗ взять скрипт из него??

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Попробуйте загрузиться в безопасном режиме с поддержкой командной строки.
    В командной строке наберите
    explorer.exe
    Далее все как обычно. Должно получиться.
    Если не получится, то -
    Цитата Сообщение от Martynov Посмотреть сообщение
    в какой-либо внешний файл его можно сохранить и дать команду АВЗ взять скрипт из него??
    Можно, в обычный текстовый файл.
    Затем надо запустить AVZ из командной строки так:
    avz.exe script=имя_файла_со_скриптом
    Предварительно перейти в папку с AVZ.
    Последний раз редактировалось Bratez; 09.05.2011 в 15:39.
    I am not young enough to know everything...

  7. #6
    Junior Member Репутация
    Регистрация
    07.05.2011
    Сообщений
    8
    Вес репутации
    48
    Спасибо, получилось.. из внешнего файла удалось выполнить скрипт..

    Карантин выложил.. логи сейчас прикреплю..

  8. #7
    Junior Member Репутация
    Регистрация
    07.05.2011
    Сообщений
    8
    Вес репутации
    48

    Аттач

    Аттач

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - выполните такой скрипт
    Код:
    var
    i : integer;
    KeyList : TStringList;                      
    begin
    KeyList := TStringList.Create;
    RegKeyEnumKey('HKLM','SYSTEM', KeyList);
    for i := 0 to KeyList.Count-1 do
    if pos('controlset', LowerCase(KeyList[i])) > 0 then
     begin
     if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS') then
      begin
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\BITS исправлено на оригинальное.');
      end;
     if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv') then
      begin 
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\wuauserv исправлено на оригинальное.');
      end;
     end;
    KeyList.Free;
    SaveLog(GetAVZDirectory + 'fystemRoot.log');
    end.
    - Сделайте повторный лог virusinfo_syscheck.zip;

  10. #9
    Junior Member Репутация
    Регистрация
    07.05.2011
    Сообщений
    8
    Вес репутации
    48
    Добрый день!
    Спасибо большое.. вроде уже лучше.. выкладываю логи..
    Последний раз редактировалось Bratez; 19.05.2011 в 02:25.

  11. #10
    Junior Member Репутация
    Регистрация
    07.05.2011
    Сообщений
    8
    Вес репутации
    48
    Однако проблемы сохраняются.. авто-обновление не работает.. система БИТС не стартует.. и попытка установки сервис-пака 3 из дистрибутива вылетает на том же этапе с той же ошибкой.. на этапе когда оно пишет - редактирование реестра "отказано в доступе".. Все выполняется под админом.. Как быть?

  12. #11
    Junior Member Репутация
    Регистрация
    07.05.2011
    Сообщений
    8
    Вес репутации
    48
    Добрый вечер!
    Уважаемые гуру, вы меня совсем игнорируете.. возможно вирусов в системе не осталось.. но как быть дальше-то?? я так понимаю проблема еще не решена..

    Спасибо заранее.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
     RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
    end.
    Больше ничего плохого не видно.
    I am not young enough to know everything...

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Сделайте лог MBAM

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\program files\\common files\\program shared\\isass.exe - Trojan.Win32.VBKrypt.cudh ( DrWEB: Trojan.Qhost.3439, BitDefender: Trojan.Generic.5969987, AVAST4: Win32:VB-YGQ [Trj] )


  • Уважаемый(ая) Martynov, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Система ведет себя странно
      От Zaikamoya в разделе Помогите!
      Ответов: 24
      Последнее сообщение: 29.08.2011, 16:22
    2. Система странно себя ведет
      От niknah в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 08.06.2011, 16:03
    3. Странно себя ведет (Т16)
      От Delion в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 30.01.2011, 18:06
    4. Странно ведет себя
      От nvhost в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 06.12.2008, 11:49
    5. IE ведет себя странно
      От Generalissimus в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 07.08.2008, 16:51

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00107 seconds with 19 queries