Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

после загрузки виндовс все жутко затормаживается, деятельность svchost и explorer (заявка № 74163)

  1. #1
    Junior Member Репутация
    Регистрация
    20.09.2007
    Сообщений
    45
    Вес репутации
    38

    Thumbs up после загрузки виндовс все жутко затормаживается, деятельность svchost и explorer

    эта тема является аналогичным случаем http://virusinfo.info/showthread.php?t=73568, речь идет о компьютере, который первоначально заразил тот, с которым разбирались в этой ветке. причина кроется в появлении вредоносных процессов на основе svchost и explorer.

    на этой машине после загрузки виндовс все жутко затормаживается, так что запуск каких-либо процессов невозможен. загружался с livecd, в autoruns ничего дурного не нашел, в AVZ сделал следующие логи:
    Последний раз редактировалось d.schmitz; 24.03.2010 в 01:13.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Это логи LiveCD. Они бесполезны
    А почему не использовали Registry Editor для просмотра ключей автозапуска?

    Попробуйте проверить еще это http://virusinfo.info/showthread.php?t=51777
    Последний раз редактировалось thyrex; 21.03.2010 в 19:58.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    20.09.2007
    Сообщений
    45
    Вес репутации
    38
    А почему не использовали Registry Editor для просмотра ключей автозапуска?
    если вы имеете ввиду ветку реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run , то там я ничего подозрительного не увидел. а где еще смотреть, я не знаю

    Попробуйте проверить еще это http://virusinfo.info/showthread.php?t=51777
    с userinit все как надо, он там, где ему и положено быть.

    сейчас прохожусь по системе вот этим: http://www.freedrweb.com/livecd/ . посмотрим, ругнется ли он на что-нибудь...

    Добавлено через 9 часов 30 минут

    drweb нашел несколько троянов, уже знакомые по этому компу: всякие temp1231.exe и т.п. его лог, к сожалению сохранить не удалось,хотя пытался. но полная заторможенность системы при загрузке никуда не делась . блин, что еще попробовать, с переустановкой это такая долгая песня будет...

    Добавлено через 1 минуту
    Последний раз редактировалось d.schmitz; 22.03.2010 в 13:20. Причина: Добавлено

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Вариантов два.
    1. Несмотря на суперторможение попытаться сделать логи
    2. Переустановить систему с полным форматированием раздела
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    20.09.2007
    Сообщений
    45
    Вес репутации
    38
    пытался делать, минут 40 ждал без результата - у avz так и не хватило сил запуститься. попробую еще воскресить safe mode по этой методике:

    http://blog.didierstevens.com/2008/1...and-a-live-cd/

    Добавлено через 4 минуты

    Цитата Сообщение от thyrex Посмотреть сообщение
    Переустановить систему с полным форматированием раздела
    это дело мне на недели полторы. столько всего установлено и веник надо покупать, чтобы все слить. ну очень хочется этого избежать
    Последний раз редактировалось d.schmitz; 22.03.2010 в 15:10. Причина: Добавлено

  7. #6
    Junior Member Репутация
    Регистрация
    20.09.2007
    Сообщений
    45
    Вес репутации
    38
    удалось снять логи в безопасном режиме. прилагаю...
    Последний раз редактировалось d.schmitz; 24.03.2010 в 22:15.

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Насколько я понимаю, основной антивирус - AVG

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteService('FireSvc');
     DeleteService('FirePM');
     DeleteService('SYMIDSCO');
     DeleteService('ICF');
    QuarantineFile('C:\WINDOWS\system32\svchost.exe:exe.exe','');
    DeleteFile('C:\WINDOWS\system32\svchost.exe:exe.exe');
    QuarantineFile('C:\Programme\Internet Explorer\iexplore.exe','');
     QuarantineFile('E:\autorun.inf','');
     QuarantineFile('C:\System Volume Information\_restore{B32AEE6A-215A-4A68-95FC-9CABBF245D43}\RP399\A0090140.exe:exe.exe:$DATA','');
     QuarantineFile('C:\System Volume Information\_restore{B32AEE6A-215A-4A68-95FC-9CABBF245D43}\RP399\A0087153.exe:exe.exe:$DATA','');
     QuarantineFile('C:\System Volume Information\_restore{B32AEE6A-215A-4A68-95FC-9CABBF245D43}\RP399\A0081290.exe:userini.exe:$DATA','');
     QuarantineFile('C:\System Volume Information\_restore{B32AEE6A-215A-4A68-95FC-9CABBF245D43}\RP399\A0081282.exe:exe.exe:$DATA','');
     DeleteFile('C:\System Volume Information\_restore{B32AEE6A-215A-4A68-95FC-9CABBF245D43}\RP399\A0081282.exe:exe.exe:$DATA');
     DeleteFile('C:\System Volume Information\_restore{B32AEE6A-215A-4A68-95FC-9CABBF245D43}\RP399\A0081290.exe:userini.exe:$DATA');
     DeleteFile('C:\System Volume Information\_restore{B32AEE6A-215A-4A68-95FC-9CABBF245D43}\RP399\A0087153.exe:exe.exe:$DATA');
     DeleteFile('C:\System Volume Information\_restore{B32AEE6A-215A-4A68-95FC-9CABBF245D43}\RP399\A0090140.exe:exe.exe:$DATA');
     DeleteFile('E:\autorun.inf');
     DeleteFile('c:\PROGRA~1\mcafee\mqc\QcConsol.exe');
    DeleteFile('C:\Windows\Tasks\McQcTask.job');
    DeleteFile('C:\Windows\Tasks\McDefragTask.job');
     DeleteFile('C:\PROGRA~1\GEMEIN~1\SYMANT~1\SymcData\idsdefs\20080122.002\symidsco.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\FirePM.sys');
     DeleteFile('C:\Programme\Network Associates\McAfee Desktop Firewall for Windows XP\FireSvc.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(9);
    RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); 
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    20.09.2007
    Сообщений
    45
    Вес репутации
    38
    Насколько я понимаю, основной антивирус - AVG
    на момент падения системы был им. но при первой возможности пойдет в корзину скорее всего. E:\autorun.inf надо будет потом как-то восстановить. на E заводская консоль восстановления, ей этот файлик, наверное, необходим.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Так уберите из скрипта вот это:
    Код:
    DeleteFile('E:\autorun.inf');
    Или уже?

  11. #10
    Junior Member Репутация
    Регистрация
    20.09.2007
    Сообщений
    45
    Вес репутации
    38
    скрипт прогнал, вот логи. и карантин.
    Последний раз редактировалось d.schmitz; 24.03.2010 в 22:15.

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    В нормальном режиме сделать логи по-прежнему не удается?

    Удалите все следы ненужных антивирусных программ http://forum.kaspersky.com/index.php...&#entry1054993 и попробуйте сделать логи в обычном режиме обычным AVZ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    20.09.2007
    Сообщений
    45
    Вес репутации
    38
    следы поудалял, и нормальный режим вроде заворочался. вот логи:

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteService('McAfeeFramework');
     DeleteFile('C:\Programme\Network Associates\Common Framework\FrameworkService.exe');
     DeleteFile('avgrsstx.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\avgrsstarter','DLLName');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новый лог virusinfo_syscheck.zip
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    Junior Member Репутация
    Регистрация
    20.09.2007
    Сообщений
    45
    Вес репутации
    38
    новый лог

  16. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Ничего плохого не наблюдается
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #16
    Junior Member Репутация
    Регистрация
    20.09.2007
    Сообщений
    45
    Вес репутации
    38
    а Combofix не надо прогнать? просто теперь установить SP3 и заплатки, как в этом случае с первым компом: http://virusinfo.info/showthread.php?t=73568
    ?

  18. #17
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Цитата Сообщение от d.schmitz Посмотреть сообщение
    а Combofix не надо прогнать?
    Давайте прогоним
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  19. #18
    Junior Member Репутация
    Регистрация
    20.09.2007
    Сообщений
    45
    Вес репутации
    38
    прилагаю...

  20. #19
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\windows\system32\drivers\usbf25.sys
    
    Driver::
    
    Folder::
    
    Registry::
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  21. #20
    Junior Member Репутация
    Регистрация
    20.09.2007
    Сообщений
    45
    Вес репутации
    38
    прикрепляю

  • Уважаемый(ая) d.schmitz, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 4
      Последнее сообщение: 22.11.2011, 20:00
    2. Ответов: 4
      Последнее сообщение: 11.12.2010, 05:18
    3. Ответов: 10
      Последнее сообщение: 26.05.2009, 12:59
    4. Ответов: 1
      Последнее сообщение: 21.04.2009, 18:30
    5. Зависание после загрузки виндовс
      От AlBin в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 09.10.2008, 02:02

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01262 seconds with 16 queries