Система периодически "задумывается"... помогите вылечить.

[Gugenot]

WindowsXP Prof SP3 русская

Изредка задумчивость бывает до зависа мышки на пару тройку секунд. При нажатии на крестик окна эксплорера(не IE) закрытие окна происходит не сразу а через несколько секунд.

Основной глюк - при нажатии на "Пуск"-"Поиск":
Панель задачь(Пуск, трей...) становится недоступной - при наведении на нее курсора мыши курсор выглядит песочными часами при этом в поле рабочего стола курсор нормальный, данное состояние лечится только резетом.

Иногда система вырубает эксплорер извиняясь за причиненные неудобства при этом происходит перезагрузка ярлыков рабочего стола и Панели задачь.



В системе стоит доктор веб, при сканировании нашел и удалил в папке windows и в какой-то подпапке пару файлов обозвав их программой взлома.

AVPTool в безопасном режиме тоже нашла и удалила несколько зараженных файлов в папке "System Volume Information".

Прогнал AVZ скрипты и HijackThis по схеме как положено.

После всех процедур задумчивость осталась.

Прикладываю логи.

[Aleksandra]

Ничего подозрительного. Можем еще покопать. Сделайте такой лог http://virusinfo.info/showthread.php?t=40118

[Gugenot]

Поставил на ночь Gmer развернув его в полный экран.С утра обнаружил что сканирование завершено но пропали кнопки Scan Copy Save. Кнопки вернулись при возвращении обратно из полноэкранного режима.(интересный нюанс) Прикрепляю лог.

[Aleksandra]

Лог чистый.

[Gugenot]

Ладно понаблюдаем денек... почистим реестр... вроде бы окно экплорера стало быстро закрываться... вечером проверю Пуск-Поиск... если не прочихается будем готовится к переустановке системы... сенкс за помощь.

[Rene-gad]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите

Код:

O4 - HKCU\..\Run: [Windows Update Services] "C:\Documents and Settings\Gugi\Local Settings\Application Data\Microsoft\Windows Update\services.exe"

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Gugi\Local Settings\Application Data\Microsoft\Windows Update\services.exe','');
 DeleteFile('C:\Documents and Settings\Gugi\Local Settings\Application Data\Microsoft\Windows Update\services.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.

После перезагрузки:

- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[Gugenot]

Пофиксил, согласно инструкции сделал перезагрузку после фикса.

Выполнил скрипт, компьютер сам пошел в перезагрузку, но довольно интересно - выгрузились ярлыки с рабочего стола и панель задач, осталась голая фоновая картинка... в таком состоянии компьютер находился минут 5 не меньше, я уже подумывал нажать на "ресет" но перезагрузка все же пошла.

После перезагрузки было найдено новое устройство с кодом экземпляра устройства ROOT\LEGACY_UZIYODG1\0000 просило дрова, оставил пока как есть...
Папку Windows\Temp очистить до конца не получилось: Windows\Temp\logishrd\LVPrcInj01.dll не удалился, пару датовских файлов и один лог.

Прогнал скрипты и скан HiJackThis, логи прикрепил
карантин закачал, сообщение об успешной закачке было.

Несколько вопросов:
1. "Восстановление системы" можно включать или пока "воюем" не надо?
2. Что делать с новым устройством?
3. Фикс пока обратно не возвращать?

[Bratez]

Выполните такой скрипт:

Код:

begin
DeleteFile('C:\WINDOWS\Installer\7153e13.msi');
SetAVZPMStatus(false);
ExecuteStdScr(6);
end.

В логах больше ничего плохого не видно.

Несколько вопросов:
1. "Восстановление системы" можно включать или пока "воюем" не надо?
2. Что делать с новым устройством?
3. Фикс пока обратно не возвращать?

1. Теперь можно включать.
2. Удалите в Диспетчере устройств.
3. Фиксили не для того, чтобы возвращать.

[Aleksandra]

2Gugenot Пока не пропадайте! Дело в том, что удаленный файл чистый.

Добавлено через 2 минуты

3. Фиксили не для того, чтобы возвращать.

В случае, если этот файлик за что-то отвечает в системе, его придется вернуть на место.

[Rene-gad]

Папку Windows\Temp очистить до конца не получилось: Windows\Temp\logishrd\LVPrcInj01.dll не удалился,.

Этот файл от Logitech т.е. не зловредный. Жалобы есть?

В случае, если этот файлик за что-то отвечает в системе,

Файлы *.msi= Windows Installer File from Microsoft Corporation в системе ни за что не отвечают, это установочные пакеты.

[Gugenot]

Этот файл от Logitech т.е. не зловредный. Жалобы есть?

Да, пока к сожалению есть.
Единственное, что похоже исправилось это скорость закрытия проводника, закрывается теперь сразу. Глюк Пуск-Поиск-висим остался.

Забыл при оформлении темы сказать еще про один глюк который в процессе лечения пропал:

При выключении(перезагрузке) на экране мелькает и пропадает сообщение со звуковым сигналом(полагаю о какой-то ошибке), к сожалению настолько быстро что текст сообщения уловить не удается.

После выполнения нижеследующего

1. Теперь можно включать.
2. Удалите в Диспетчере устройств.

этот глюк вернулся.

И если быть совсем дотошным, то, возможно это поможет поиску "зловредных", за день несколько раз могу наблюдать обновление ярлыков рабочего стола. А так же можно пожаловаться на скорость загрузки страниц иногда... бывает тупит по страшному и на провайдера тут не свалишь поскольку торент качает на полную и в ус не дует в этот момент(на урезанной скорости, чтоб было понятно что и он не должен мешать).

Файлы *.msi= Windows Installer File from Microsoft Corporation в системе ни за что не отвечают, это установочные пакеты.

Если я правильно понимаю, то Alexandra имела в виду файл который я фиксил по Вашему указанию.

[Aleksandra]

Мне нужна dll-ка с Вашего компьютера.

Выполните скрипт в AVZ:

Код:

begin
 ClearQuarantine;
 QuarantineFile('C:\Documents and Settings\Gugi\Local Settings\Application Data\Microsoft\Windows Update\services.dll','');
end.

Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=50414

[Gugenot]

Aleksandra, Сделано...

[Aleksandra]

services.dll - Trojan-Spy.Win32.KStroke (VBA32)

Программа представляет собой клавиатурный шпион. В той же папке создает лог с именами приложений и какие в них нажимались клавиши.

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
SetAVZGuardStatus(True);
 DeleteFile('C:\Documents and Settings\Gugi\Local Settings\Application Data\Microsoft\Windows Update\services.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. Повторите логи.

p. s. Отдельное спасибо за помощь вирусному аналитику Олегу Купрееву из ВирусБлокАды.

[Gugenot]

Aleksandra, выполнено...

[Gugenot]

Основной глюк - при нажатии на "Пуск"-"Поиск" пропал, поиск запускается и работает
При выключении(перезагрузке) сообщение со звуковым сигналом тоже пропало, две перезагрузки прошли чисто, далее надеюсь не появится.

Единственное что на первый взгляд пока беспокоит - долгая загрузка системного трея при включении(перезагрузке), от 5 до 10 секунд каждый ярлычек. В остальном будем наблюдать пару дней, как будет на счет задумчивости.

PS может быть нужно почистить что нибудь в дирректории C:\Documents and Settings\Gugi\Local Settings\Application Data\Microsoft\Windows Update\ ? Что там ошметки от трояна а что нужные файлы?

[Rene-gad]

может быть нужно почистить что нибудь в дирректории C:\Documents and Settings\Gugi\Local Settings\Application Data\Microsoft\Windows Update\ ? Что там ошметки от трояна а что нужные файлы?

Тут вот какое дело: не все аналитики едины во мнении, что удалённый файл является зловредом, хотя в папке ..\Local Settings\Application Data\Microsoft ни исполняемых файлов, ни библиотек быть не должно.

- Обновите базы АВЗ.

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('mpr_freader');
 QuarantineFile('c:\Program Files\Multi Password Recovery\mpr_freader.sys','');
 DeleteFile('c:\Program Files\Multi Password Recovery\mpr_freader.sys');
 DeleteService('mpr_freader');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('mpr_freader');
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.

После перезагрузки:
- Сделайте лог GMER
- Сделайте повторные логи
virusinfo_syscheck.zip
hijackthis.log
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

[Gugenot]

Rene-gad, выполнено... карантин выслал... прикрепляю логи...

[Rene-gad]

Я ничего плохого в логах не нашёл.
В порядке рекомендации проделайте ещё операцию по очистке трэя: http://virusinfo.info/showthread.php?t=20712

[Aleksandra]

Я тоже в логах ничего подозрительного не вижу.

PS может быть нужно почистить что нибудь в дирректории C:\Documents and Settings\Gugi\Local Settings\Application Data\Microsoft\Windows Update\ ? Что там ошметки от трояна а что нужные файлы?

Там может быть keystrokes.html - хтмл-ка с логом клавишь и errorlog.dat - побочный лог отладки.