Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows 2000/XP (http://forum.oszone.net/forumdisplay.php?f=6)
-   -   ЦП загружен на 100% (http://forum.oszone.net/showthread.php?t=235455)

Samarinai 27-05-2012 13:35 1923334

ЦП загружен на 100%
 
Вложений: 3
Здравствуйте,

Очень медленно работает компьютер, тормозит все нещадно (открытие новых вкладок в браузере, печатание текста в документах или на почте, просто щелкнуть мышкой и открыть папку или приложение - уже проблема! :crazygirl: ). При этом показывает загрузку ЦП на 100%, мне не понятна большая часть процессов, отображенных в такс менеджере - прикрепила скриншоты на случай, если это имеет значение.

Перестали отображаться папки на диске С: под пользовательской учетной записью, под администратором - нормально. Проверяла на вирусы недавно, были вроде какие-то трояны. Если надо могу просканировать еще раз, но что с ними делать мне в любом случае не понятно - нажатие на кнопочку "вылечить", боюсь, может привести к обратному эффекту и в них ли проблема (кажется, что нет)...

Логи прикрепила. Помогите, пожалуйста, вернуть компьютер в адекватное состояние.

Samarinai 27-05-2012 14:12 1923354

Вложений: 1
msinfo32 во вложении.

iskander-k 27-05-2012 15:57 1923395

Приветствую .

Временно отключите:
Антивирус/Файерволл


Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\TheBflix\bhoclass.dll','');
 QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\vvdT80QvB6s.exe','');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\TheBflix\bhoclass.dll');
 DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\vvdT80QvB6s.exe');
  DeleteFileMask('C:\8vn6z0v1VniHU0W', '*.*', true);
  DeleteDirectory('C:\8vn6z0v1VniHU0W');
 DelBHO('{B50FE506-F22D-4EE7-A866-DFEFA4E2A468}');
 RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
 AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'Software\Microsoft\Windows\CurrentVersion\Run'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему и её название.

Нужно Пофиксить в эти строки в HiJackThis.
Код:

O4 - S-1-5-21-1060284298-1343024091-1417001333-1004 Startup: vvdT80QvB6s.exe (User 'User')
O4 - S-1-5-21-1060284298-1343024091-1417001333-1004 User Startup: vvdT80QvB6s.exe (User 'User')


Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

Samarinai 27-05-2012 20:26 1923528

iskander-k,

Карантин отправила.

И у меня в логе нет предложенных выше строк, если один в один искать. Есть такая, ее нужно пофиксить -
Цитата:

O4 - HKUS\S-1-5-21-1060284298-1343024091-1417001333-1004\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'User')
?

Спасибо!

iskander-k 27-05-2012 21:09 1923547

Цитата:

Цитата Samarinai
И у меня в логе нет предложенных выше строк, »

Это хорошо значит АВЗ почистила их.
Цитата:

Цитата Samarinai
Есть такая, ее нужно пофиксить - »

Нет !!


где запрошенные логи ?
Цитата:

Цитата iskander-k
Сделайте повторные логи AVZ + RSIT
Скачайте Malwarebytes' Anti-Malware или с зеркала, »

Сначала давайте лог МБАМ потом АВЗ и RSIT.

Samarinai 27-05-2012 21:18 1923551

Логи не делала, так как ждала ответа что исправлять то, как-то не приходилось ранее заниматься подобными вещами :) теперь понятно. Читаю далее...

Samarinai 27-05-2012 22:03 1923576

Цитата:

Цитата iskander-k
Сначала давайте лог МБАМ »

Больше, чем пол часа уже сканирует C: ... Надеюсь, я правильно указала - полное сканирование для всех жестких дисков нужно (а не С: достаточно)?

Samarinai 27-05-2012 22:36 1923600

Вложений: 1
Лог МБАМ во вложении.

Samarinai 27-05-2012 23:38 1923658

Вложений: 2
Логи AVZ+RSIT во вложении.

По ошибке перед всем этим сначала создала карантин еще раз, если это имеет значение...

alex_sev 28-05-2012 11:39 1923825

Выполните следующий скрипт AVZ:

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\User.bak\Главное меню\Программы\Автозагрузка\vvdT80QvB6s.exe','');
 DeleteFile('C:\Documents and Settings\User.bak\Главное меню\Программы\Автозагрузка\vvdT80QvB6s.exe');
 DeleteFile('C:\WINDOWS\system32\ieunitdrf.inf');
 DeleteFile('C:\Documents and Settings\User\Application Data\igfxtray.dat');
 DeleteFile('C:\Documents and Settings\User.bak\Application Data\igfxtray.dat');
 DelBHO('{02478D38-C3F9-4efb-9B51-7695ECA05670}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Повторите сканирование в MBAm и удалите все кроме:

Код:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Параметры: 1 -> Действие не было предпринято.
C:\WINDOWS\KMService.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Мои документы\Загрузки\DownloadSetup(1).exe (Affiliate.Downloader) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Мои документы\Загрузки\DownloadSetup.exe (Affiliate.Downloader) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Рабочий стол\MathType 6.7\keygen.exe (Trojan.Agent.CK) -> Действие не было предпринято.
C:\Documents and Settings\User\Application Data\AD ON Multimedia\eBay Shortcuts\eBayShortcuts.exe (Adware.ADON) -> Действие не было предпринято.
C:\Documents and Settings\User\Мои документы\Downloads\ACDSee Pro 3.0.475\Регистрация\keygen.exe (Trojan.Dropper.PGen) -> Действие не было предпринято.
C:\Documents and Settings\User\Мои документы\Загрузки\DownloadSetup.exe (Affiliate.Downloader) -> Действие не было предпринято.
C:\Documents and Settings\User.bak\Application Data\AD ON Multimedia\eBay Shortcuts\eBayShortcuts.exe (Adware.ADON) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Рабочий стол\MathType 6.7\keygen.exe (Trojan.Agent.CK) -> Действие не было предпринято.
C:\Documents and Settings\User\Application Data\AD ON Multimedia\eBay Shortcuts\eBayShortcuts.exe (Adware.ADON) -> Действие не было предпринято.
C:\Documents and Settings\User\Мои документы\Downloads\ACDSee Pro 3.0.475\Регистрация\keygen.exe (Trojan.Dropper.PGen) -> Действие не было предпринято.
C:\Documents and Settings\User\Мои документы\Загрузки\DownloadSetup.exe (Affiliate.Downloader) -> Действие не было предпринято.
C:\Documents and Settings\User.bak\Application Data\AD ON Multimedia\eBay Shortcuts\eBayShortcuts.exe (Adware.ADON) -> Действие не было предпринято.
C:\Documents and Settings\User.bak\Главное меню\Программы\Автозагрузка\vvdT80QvB6s.exe (Rootkit.0Access) -> Действие не было предпринято.
C:\Documents and Settings\User.bak\Мои документы\Загрузки\DownloadSetup.exe (Affiliate.Downloader) -> Действие не было предпринято.
C:\Documents and Settings\User.bak\Мои документы\Downloads\ACDSee Pro 3.0.475\Регистрация\keygen.exe (Trojan.Dropper.PGen) -> Действие не было предпринято.
C:\System Volume Information\_restore{E75B8668-E2AA-4676-BACC-2FA16259C640}\RP137\A0028302.exe (Trojan.Dropper) -> Действие не было предпринято.
C:\System Volume Information\_restore{E75B8668-E2AA-4676-BACC-2FA16259C640}\RP141\A0038068.exe (Rootkit.0Access) -> Действие не было предпринято.
C:\System Volume Information\_restore{E75B8668-E2AA-4676-BACC-2FA16259C640}\RP141\A0038071.exe (Rootkit.0Access) -> Действие не было предпринято.
C:\System Volume Information\_restore{E75B8668-E2AA-4676-BACC-2FA16259C640}\RP141\A0039000.exe (Rootkit.0Access) -> Действие не было предпринято.
D:\FROM DISC C2\Рабочий стол\Microsoft Visual FoxPro 9.0_2016488098-6398723.rar.exe (Trojan.Dropper) -> Действие не было предпринято.
D:\System Volume Information\_restore{BBC99120-BD99-4B11-B0A8-19BE9BFAFAD9}\RP91\A0064807.exe (RiskWare.Tool.HCK) -> Действие не было предпринято.
D:\System Volume Information\_restore{E75B8668-E2AA-4676-BACC-2FA16259C640}\RP137\A0029775.exe (Trojan.Dropper) -> Действие не было предпринято.
E:\Downloads\[Программы]\A.P.L.v3.2_Multi_incl.kgen__x86x64_DeGun_2010.10\A.P.L.v3.2_Multi_incl.kgen__x86x64_DeGun\key generator.exe (Malware.Packer.Gen) -> Действие не было предпринято.
E:\Downloads\[Программы]\A.P.L.v3.2_Multi_incl.kgen__x86x64_DeGun_2010.10\A.P.L.v3.2_Multi_incl.kgen__x86x64_DeGun\Xtra Adobe Products keygen\CORE10k.EXE (Dont.Steal.Our.Software) -> Действие не было предпринято.
E:\Downloads\[Программы]\A.P.L.v3.2_Multi_incl.kgen__x86x64_DeGun_2010.10\A.P.L.v3.2_Multi_incl.kgen__x86x64_DeGun\Xtra Adobe Products keygen\keygen.exe (Trojan.Agent.CK) -> Действие не было предпринято.
E:\Downloads\[Программы]\Multi Password Recovery 1.2.0\crk\multi.password.recovery.1.x-2.x-patch.exe (Malware.Packer.Gen) -> Действие не было предпринято.
E:\Downloads\[Программы]\Multi Password Recovery 1.2.0\mpr_1.2_port\HookLib.dll (PUP.Hooker) -> Действие не было предпринято.
E:\Downloads\[Программы]\SAMInside 2.6.3.0\SAMInside.exe (PUP.SAMInside) -> Действие не было предпринято.
E:\Downloads\[Программы]\SAMInside 2.6.3.0\Tools\GetHashes.exe (PUP.SAMInside) -> Действие не было предпринято.
E:\Downloads\[Программы]\SAMInside 2.6.3.0\Tools\GetSyskey.exe (PUP.SAMInside) -> Действие не было предпринято.
E:\Downloads\[Программы]\SAMInside 2.6.3.0\Tools\LRConvert.exe (PUP.SAMInside) -> Действие не было предпринято.
E:\Downloads\[Программы]\Thinstall\MicroangeloToolset_6.10\4000003800002i\m6explorer.exe (Trojan.IRCBot) -> Действие не было предпринято.
E:\Downloads\[Программы]\update\Winamp PRO 5.57 Build 2830 FINAL Full Pack\Таблэтка\KeyMaker.exe (RiskWare.Tool.CK) -> Действие не было предпринято.


Samarinai 28-05-2012 22:45 1924174

Скрипт выполнила, карантин отправила. Просканировала.

На всякий случай для подтверждения копирую ниже строки, которые не попадают в выше указанные (на удаление). Все эти объекты можно смело удалять?

Код:

C:\Documents and Settings\Admin\Рабочий стол\avz4\avz4\Quarantine\2012-05-28\avz00001.dta (Rootkit.0Access) -> Действие не было предпринято.
C:\System Volume Information\_restore{E75B8668-E2AA-4676-BACC-2FA16259C640}\RP141\A0039045.exe (Rootkit.0Access) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\TheBflix (PUP.BFlix) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\TheBflix\data (PUP.BFlix) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\TheBflix\background.html (PUP.BFlix) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\TheBflix\content.js (PUP.BFlix) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\TheBflix\pmholphmkflmlgknogfaflfkknjegfje.crx (PUP.BFlix) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\TheBflix\settings.ini (PUP.BFlix) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\TheBflix\uninstall.exe (PUP.BFlix) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\TheBflix\data\content.js (PUP.BFlix) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\TheBflix\data\jsondb.js (PUP.BFlix) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{37476589-E48E-439E-A706-56189E2ED4C4} (PUP.BFlix) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Плохо: (0) Хорошо: (1) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Плохо: (0) Хорошо: (1) -> Действие не было предпринято.


alex_sev 29-05-2012 09:23 1924286

Если сами не ставили тулбар TheBflix то удалите вот эти строки:

Код:

C:\Documents and Settings\All Users\Application Data\TheBflix (PUP.BFlix) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\TheBflix\data (PUP.BFlix) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\TheBflix\background.html (PUP.BFlix) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\TheBflix\content.js (PUP.BFlix) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\TheBflix\pmholphmkflmlgknogfaflfkknjegfje.crx (PUP.BFlix) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\TheBflix\settings.ini (PUP.BFlix) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\TheBflix\uninstall.exe (PUP.BFlix) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\TheBflix\data\content.js (PUP.BFlix) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\TheBflix\data\jsondb.js (PUP.BFlix) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{37476589-E48E-439E-A706-56189E2ED4C4} (PUP.BFlix) -> Действие не было предпринято.

Этот файл в карантине AVZ и более не опасен:

Код:

C:\Documents and Settings\Admin\Рабочий стол\avz4\avz4\Quarantine\2012-05-28\avz00001.dta (Rootkit.0Access) -> Действие не было предпринято.
Этот файл корректнее удалить таким образом

Код:

C:\System Volume Information\_restore{E75B8668-E2AA-4676-BACC-2FA16259C640}\RP141\A0039045.exe (Rootkit.0Access) -> Действие не было предпринято.
Если не настраивали сами скрытие моего компьютера и моих документов в стартовом меню то удалите и эти строки:

Код:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Плохо: (0) Хорошо: (1) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Плохо: (0) Хорошо: (1) -> Действие не было предпринято.

Подготовьте такой лог

Samarinai 29-05-2012 18:21 1924613

Вложений: 1
Удалила. Лог во вложении.

alex_sev 29-05-2012 20:09 1924675

Обновите до последних версий Java и Firefox

Смените все важные пароли.

Как самочувствие системы?

Samarinai 29-05-2012 21:06 1924706

Обновила, IE тоже обновить с официального сайта, если порой именно он мне нужен?

Цитата:

Цитата alex_sev
Смените все важные пароли »

А с какой целью? Спрашиваю, чтобы понять какие из них важные.

Про само чувствие позже отпишусь - нужно понаблюдать.

Samarinai 29-05-2012 21:38 1924713

В диспетчере задач она (он? :) ) показывает загрузку ЦП на 100%. Кажется, с того момента, как я запускаю браузер. Но, кажется, реальную картину это теперь не отображает. Пробую разное..

iskander-k 29-05-2012 22:12 1924727

Цитата:

Цитата Samarinai
А с какой целью? Спрашиваю, чтобы понять какие из них важные. »

У вас система была заражена вирусом ворующего пароли. Поэтому смените все пароли которые используете в интернете - онлайн-банк, учетки на форумах, одноклассники и так далее.

Цитата:

Цитата Samarinai
показывает загрузку ЦП на 100%. Кажется, с того момента, как я запускаю браузер. »

В момент запуска браузера или другого ПО нагрузка того или иного процесса может подскакивать до 100 %

Samarinai 30-05-2012 22:28 1925244

Цитата:

Цитата iskander-k
У вас система была заражена вирусом ворующего пароли. »

И можно ли узнать, был сворован и передан пароль к определенной интересующей меня учетной записи и передан куда-нибудь вовне - не имеет значения куда именно, но сам факт такой возможности желательно бы знать...

Цитата:

В момент запуска браузера или другого ПО нагрузка того или иного процесса может подскакивать до 100 %
Да, но он показывает 100% не только в момент нагрузки, но и после. Сейчас, например (при трех открытых вкладках в IE и Касперском). Это нормально?

По поводу самочувствия - у меня иногда притормаживает IE, когда сейчас набираю текст. Это что-то с интернетом, компьютером или это нормально?

iskander-k 30-05-2012 22:31 1925246

Цитата:

Цитата Samarinai
И можно ли узнать, был сворован и передан пароль »

если система была заражена то пароль уже ушел

Цитата:

Цитата Samarinai
Да, но он показывает 100% не только в момент нагрузки, но и после. »

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
  • Sections
  • IAT/EAT
  • Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.


потом

Сделайте еще лог Universal Virus Sniffer (UVS)

Скачайте Universal Virus Sniffer (UVS)

Как подготовить лог UVS

Извлеките UVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
___________________
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7Zip, то UVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к посту в теме.


___________________
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Samarinai 30-05-2012 23:38 1925293

Пока он сканирует...

Цитата:

Цитата iskander-k
если система была заражена то пароль уже ушел »

Я думала, она сначала заражается, а потом пытается достучаться... Извиняюсь, какие именно пароли (к чему)? (спрашиваю не просто из любопытства).

В браузере постоянно выскакивает сообщение "Отображать только безопасное содержимое веб-страниц?" (эта веб-страница содержит элементы, которые не могут быть загружены с помощью безопасного соединения http) на одном адресе (вне зависимости от того, соглашаюсь я или нет) начиная с ввода пароля, но и потом тоже. Это не говорит ни о чем "опасном"? И как можно это отключить, так как оно выскакивает при каждом шаге. Веб-страница очень важная.

alex_sev 31-05-2012 09:33 1925403

Данный троян может украсть любые пароли. (Перехват клавиатурных нажатий, информация из куки, сохраненные пароли в браузере)

Samarinai 31-05-2012 20:44 1925703

Вложений: 1
Лог GMER во вложении. Иду далее.

Samarinai 31-05-2012 21:10 1925710

Так...

Далее меня три раза выкинуло из системы. Первый раз, когда я нажала "запустить под текущим пользователем", и еще пару раз после перезагрузок. :unsure:
Это нормально? Раньше такого не было. Можно идти далее?

Касперский, кстати, стал блокировать вставку смайликов.

я была под администратором, если это имеет значение.

iskander-k 01-06-2012 16:52 1926200

Цитата:

Цитата Samarinai
Лог GMER »

ничего подозрительного

ждем второй лог

Samarinai 01-06-2012 20:05 1926287

Система не загружается. Появляется окно выбора F2 for setup or F12 for boot device selection menu. Далее не пускает. Только в окно с BIOS еще, если escape нажимаю.

Samarinai 01-06-2012 20:28 1926302

Загрузил в итоге. Первые разы я так долго не ждала. А в третий раз оставила его думать, он минут 15 подумал и начал грузить систему.
Это тоже ожидаемо после обновлений?

Делаю второй лог.

Samarinai 01-06-2012 20:38 1926310

Вложений: 1
Приложила второй лог.

iskander-k 01-06-2012 22:15 1926371

Incredibar Social Toolbar - вы устанавливали ?
Удалите через панель установки- удаления программ.


Цитата:

Цитата Samarinai
Система не загружается. Появляется окно выбора »

сделайте проверку системного диска

по
инструкции выбрав Тщательную проверку (по инструкции)

Примечание

При выборе параметра Автоматически исправлять системные ошибки для используемого диска (например, раздела, содержащего Windows), последует предложение отложить проверку диска до следующего перезапуска компьютера.
согласится с предложением и перезагрузить компьютер

и


Выполните проверку жесткого диска, следуя рекомендациям статьи Проверка и диагностика жесткого диска.

Samarinai 01-06-2012 22:34 1926395

Цитата:

Цитата iskander-k
Incredibar Social Toolbar - вы устанавливали ? »

Это надстройка, которая в IE высвечивается сверху? Просто сейчас ее нет, но давно мозолит глаза, только вчера пыталась ее удалить, но не нашла как, получилось только скрыть. Не устанавливаю всякие надстройки, но если не ошибаюсь она сама "мне себя навязала" - всплыло какое-то окно и я то ли не среагировала, то ли выбора не дали, куда-то кликнула. Если это не этот случай, то понятия не имею откуда она приклеилась.

Нужно же еще выйти отсюда, так как это окно активно и не позволяет свернуть себя, чтобы можно было выбрать параллельно хоть что-то.

Samarinai 01-06-2012 22:50 1926415

Incredibar удалила.

По поводу самочувствие - для системы проблема свернуть панель установка/удаление программ.

Я скоро начну терять терпение от этих экстренных закрытий вместо сворачиваний. То есть, например, есть активное окно. Оно разрешает восстановить (развернуть) только какое-то более приоритетное в соответствии с какой-то логикой окно (может, которое раньше было открыто - не до экспериментов уже). Но первое свернуть нельзя, да и закрыть тоже только через ctrl+alt+del. И когда мне, например, нужно зайти в панель управления, а окно браузера считает, что оно тут самое главное, мне приходится через ctrl+alt+del закрывать браузер, а потом уже открывать панель.

В IE постоянно выскакивает окно "Вы хотите только отображать безопасное подключение веб-страницы". Не понимаю, откуда у него столько вопросов одинаковых постоянно, куда он стучит, но это не может быть как-то связано с тем, что он тормозит, по мимо того, что он сам по себе медленный...? Ну и как это правильно отключить?

Со скайпом, кажется, тоже что-то не так, но я не могу аргументировать - я им не пользуюсь практически. :)

Иду далее, к проверке системы...

Samarinai 02-06-2012 16:23 1926727

Цитата:

Цитата iskander-k
сделайте проверку системного диска
по
инструкции выбрав Тщательную проверку (по инструкции) »

Сделала.
Цитата:

Цитата iskander-k
Выполните проверку жесткого диска, следуя рекомендациям статьи Проверка и диагностика жесткого диска »

Первая часть статьи - это то, что я делала выше. А вторая часть - при помощи сторонних программ. Тут сказано:

Цитата:

Вниманиe! Перед тестированием жесткого диска с помощью сторонних программ необходимо сделать резервное копирование всех данных.
Каким образом? Точно надо это делать?

iskander-k 02-06-2012 16:41 1926737

Цитата:

Цитата Samarinai
Каким образом? Точно надо это делать? »

нет -- необязательно


были-ли обнаружены и исправлены проблемы на диске ?

Активного заражения не вижу по логам.

Samarinai 02-06-2012 17:27 1926767

Цитата:

Цитата iskander-k
были-ли обнаружены и исправлены проблемы на диске ? »

Я не поняла. Просто после проверки комп перезагрузился и как-будто ничего не было. Должно было какое-то окно открыться после перезагрузки?

Samarinai 02-06-2012 17:56 1926793

Цитата:

Цитата iskander-k
нет -- необязательно »

Необязательно делать резервное копирование или проверку сторонними программами?

Просто теперь еще прочитала статьи по проверке диска при помощи MHDD и Victoria. Пришла к выводу, что с моими познаниями в этом деле рискованно экспериментировать, нужно разбираться. Ну или если есть где инструкция "для чайников", но сомневаюсь...

iskander-k 02-06-2012 20:21 1926866

Цитата:

Цитата Samarinai
Пришла к выводу, что с моими познаниями в этом деле рискованно экспериментировать, нужно разбираться. »

да , лучше пока не делайте.
Цитата:

Цитата Samarinai
. Должно было какое-то окно открыться после перезагрузки? »

Если отмечаете оба вида проверки (галки в обоих чекбоксах) - ок и применить, появится сообщение о назначении проверки при следующей загрузке компьютера- выбрать ОК и перезагрузить - далее на синем экране появится сообщении о назначеной проверке и если желаете отменить - нажать любую клавишу (но нам это не нужно - нажимать) если не нажимать клавишу то начинается проверка . В процессе проверки сообщается о найденых ошибках и исправлении в конце общий итог . Общий лог сохраняется на компьютере.

Samarinai 03-06-2012 10:51 1927132

Вложений: 1
Я так и делала. Периодически поглядывала на экран, но, конечно, не все время. Потом уснула, кажется и не застала нужный момент - он же на нем не останавливается и перезагружает комп без согласия значит..

Цитата:

Цитата iskander-k
Общий лог сохраняется на компьютере. »

Это оно?
Панель управления --> Администрирование --> Просмотр событий --> Приложение (или через run eventvwr.msc)
В Winlogon; EventID 1001 есть информация. Да, какие-то проблемы были найдены и исправлены - прикрепила скриншоты, если это имеет значение.

Samarinai 03-06-2012 10:57 1927136

Или нужен лог не о результатах, а еще какой-то?

iskander-k 03-06-2012 13:58 1927210

Это он. Были исправлены некоторые ошибки.


Проблема осталась ?
Вы можете показать данные системы ?
конфигурацию
Температуру
напряжения ?

iskander-k 03-06-2012 14:23 1927227

попробуем еще один лог

•Скачайте ComboFix или здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.



• Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение.
Код:

KillAll::

SkipFix::

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



Когда сохранится отчёт ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.


• или с компьютера выполнить:

Нажать Пуск затем Выполнить
в окне наберите команду ComboFix /SkipFix (обязательно нужен пробел между х и /), нажмите кнопку "ОК"

Samarinai 03-06-2012 18:56 1927355

Он должен что-нибудь делать после перезагрузки? так как он делает что-то странное, сколько времени это должно занимать (после перезагрузки)? мигающие окна от combo.fix - то ли ему плохо, и его остается только выключить принудительно, то ли наоборот у него активный процесс идет? отключить их?.. Nir Cmd.3XE, CF29965.3XE, pev.3XE... ?

Samarinai 03-06-2012 19:23 1927372

В общем, в этот раз я смотрела, что он делает. Но после того, как он все сделал, что хотел и перезагрузился, в системе скачут окна командной строки, c:\ combofix\ CF29965.3XE и др, что делать?

Он автоматически после перезагрузки зашел под пользовательской учетной записью, под админом все ок стало, может совпадение, уже, наверное, не важно - лог выложила.

Samarinai 03-06-2012 19:40 1927378

Код:

ComboFix 12-06-03.01 - Admin 03.06.2012  18:26:40.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1251.7.1049.18.2046.1373 [GMT 4:00]
Running from: c:\documents and settings\Admin\¦рсюўшщ ёЄюы\ComboFix.exe
Command switches used :: c:\documents and settings\Admin\¦рсюўшщ ёЄюы\CFScript.txt
AV: Антивирус Касперского *Disabled/Updated* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Антивирус Касперского *Disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
.
(((((((((((((((((((((((((((((((((((((((  Other Deletions  )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\All Users\Application Data\srtserv
c:\documents and settings\All Users\Application Data\TEMP
c:\documents and settings\All Users\Application Data\xp
c:\documents and settings\User\Application Data\AD ON Multimedia
c:\documents and settings\User\Application Data\AD ON Multimedia\eBay Shortcuts\eBayShortcuts.exe
c:\documents and settings\User\Application Data\mIRC\logs\status.log
c:\program files\Protector by IB\ExTEnsion32.dll
.
.
(((((((((((((((((((((((((  Files Created from 2012-05-03 to 2012-06-03  )))))))))))))))))))))))))))))))
.
.
2012-06-02 13:35 . 2002-01-12 12:30        3567        ----a-w-        c:\windows\system32\drivers\PortTalk.sys
2012-05-29 16:34 . 2012-04-21 01:18        97208        ----a-w-        c:\program files\Mozilla Firefox\components\browsercomps.dll
2012-05-29 16:34 . 2012-04-21 01:16        157352        ----a-w-        c:\program files\Mozilla Firefox\maintenanceservice_installer.exe
2012-05-29 16:34 . 2012-04-21 01:16        129976        ----a-w-        c:\program files\Mozilla Firefox\maintenanceservice.exe
2012-05-27 17:22 . 2012-05-28 17:11        40776        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2012-05-27 17:22 . 2012-05-27 17:22        --------        d-----w-        c:\documents and settings\Admin\Application Data\Malwarebytes
2012-05-27 17:22 . 2012-05-27 17:22        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware
2012-05-27 17:22 . 2012-05-27 17:22        --------        d-----w-        c:\documents and settings\All Users\Application Data\Malwarebytes
2012-05-27 17:22 . 2012-04-04 11:56        22344        ----a-w-        c:\windows\system32\drivers\mbam.sys
2012-05-27 04:52 . 2012-05-27 19:32        --------        d-----w-        c:\program files\trend micro
2012-05-27 04:52 . 2012-05-27 19:33        --------        d-----w-        C:\rsit
2012-05-23 17:41 . 2012-05-23 17:41        --------        d-----w-        c:\program files\Common Files\Java
2012-05-23 17:37 . 2012-05-23 17:37        --------        d-----w-        c:\documents and settings\Admin\Application Data\Oracle
2012-05-23 17:36 . 2012-05-23 17:33        772552        ----a-w-        c:\windows\system32\npDeployJava1.dll
2012-05-17 15:53 . 2008-04-15 08:00        221184        ----a-w-        c:\windows\system32\wmpns.dll
2012-05-17 15:52 . 2012-06-03 15:16        --------        d-----w-        c:\documents and settings\User
2012-05-17 15:35 . 2012-05-17 15:35        419488        ----a-w-        c:\windows\system32\FlashPlayerApp.exe
2012-05-16 18:58 . 2012-05-16 18:58        --------        d-----w-        c:\program files\Macmillan
2012-05-16 18:42 . 2012-05-16 18:42        --------        d-----w-        c:\documents and settings\Admin\Local Settings\Application Data\Temp
2012-05-16 18:32 . 2012-06-01 16:51        --------        d-----w-        c:\documents and settings\Admin\Application Data\Skype
2012-05-07 14:12 . 2012-05-27 04:59        --------        d-----w-        c:\documents and settings\All Users\Application Data\boost_interprocess
2012-05-07 14:11 . 2012-05-07 14:11        --------        d-----w-        c:\program files\Common Files\Skype
2012-05-07 14:11 . 2012-05-07 14:12        --------        d-----r-        c:\program files\Skype
.
.
.
((((((((((((((((((((((((((((((((((((((((  Find3M Report  ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-05-23 17:33 . 2011-02-05 19:22        687560        ----a-w-        c:\windows\system32\deployJava1.dll
2012-05-17 15:35 . 2011-08-11 17:36        70304        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
2012-04-21 01:18 . 2012-05-29 16:34        97208        ----a-w-        c:\program files\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2010-12-23 . 981CA68D4AC0C0E3367B58C7EA157C84 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
(((((((((((((((((((((((((((((((((((((  Reg Loading Points  ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"TFncKy"="TFncKy.exe" [BU]
"CeEKEY"="c:\program files\TOSHIBA\E-KEY\CeEKey.exe" [2007-07-06 651264]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-11-20 888832]
"Process Killer"="c:\program files\Process Killer\prkiller.exe" [2005-07-30 38400]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-15 15360]
.
c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\
Bluetooth Monitor.lnk - c:\program files\TOSHIBA\Bluetooth Monitor\BtMon2.exe [2010-12-23 69632]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableCAD"= 1 (0x1)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMMyDocs"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)
"NoRecentDocsNetHood"= 1 (0x1)
.
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMMyDocs"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)
"ForceClassicControlPanel"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate\au]
"NoAutoUpdate"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\PotPlayer\\PotPlayerMini.exe"=
.
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [23.12.2010 18:59 697328]
R1 LUMDriver;LUMDriver;c:\windows\system32\drivers\LUMDriver.sys [24.04.2007 19:52 16688]
R2 KMService;KMService;c:\windows\system32\srvany.exe [23.12.2010 19:31 8192]
R2 Skype C2C Service;Skype C2C Service;c:\documents and settings\All Users\Application Data\Skype\Toolbars\Skype C2C Service\c2c_service.exe [09.04.2012 11:20 3063968]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [30.05.2007 18:49 24344]
S2 PassThru Service;Internet Pass-Through Service;c:\program files\HTC\Internet Pass-Through\PassThruSvr.exe [31.03.2011 16:08 80896]
S2 Protector by IB Updater;Protector by IB Updater;c:\program files\Protector by IB\ExtensionUpdaterService.exe [30.04.2012 17:50 185856]
S3 HTCAND32;HTC Device Driver;c:\windows\system32\drivers\ANDROIDUSB.sys [11.08.2011 22:09 24576]
S3 htcnprot;HTC NDIS Protocol Driver;c:\windows\system32\drivers\htcnprot.sys [22.06.2010 18:01 21248]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [27.05.2012 21:22 40776]
S3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [09.01.2010 22:37 4640000]
S3 PortTalk;PortTalk;c:\windows\system32\drivers\PortTalk.sys [02.06.2012 17:35 3567]
S4 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [03.05.2012 8:17 158856]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.yandex.ru/?clid=25435
uInternet Settings,ProxyOverride = *.local
IE: &Экспорт в Microsoft Excel - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
Handler: solores - {8FA1F4E9-444B-48BF-98CD-B8ECA88E6BA5} - c:\progra~1\Solo9\SoloRes.dll
Handler: soloresinternetrusengnum - {1B7043A7-84E1-443a-804F-20A75728892C} - c:\progra~1\SOLO9R~1\SoloRes.dll
FF - ProfilePath - c:\documents and settings\Admin\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\
FF - prefs.js: browser.search.selectedEngine - MyStart Search
FF - prefs.js: keyword.URL - hxxp://mystart.incredibar.com/mb139/?loc=IB_DS&a=6PQvY3xtVW&&i=26&search=
FF - user.js: extensions.incredibar_i.newTab - false
FF - user.js: extensions.incredibar_i.tlbrSrchUrl - hxxp://mystart.Incredibar.com/?a=6PQvY3xtVW&loc=IB_TB&i=26&search=
FF - user.js: extensions.incredibar_i.id - 287d90e000000000000000037ade9e0d
FF - user.js: extensions.incredibar_i.instlDay - 15460
FF - user.js: extensions.incredibar_i.vrsn - 1.5.11.14
FF - user.js: extensions.incredibar_i.vrsni - 1.5.11.14
FF - user.js: extensions.incredibar_i.vrsnTs - 1.5.11.1417:50
FF - user.js: extensions.incredibar_i.prtnrId - Incredibar
FF - user.js: extensions.incredibar_i.prdct - incredibar
FF - user.js: extensions.incredibar_i.aflt - orgnl
FF - user.js: extensions.incredibar_i.smplGrp - none
FF - user.js: extensions.incredibar_i.tlbrId - base
FF - user.js: extensions.incredibar_i.instlRef -
FF - user.js: extensions.incredibar_i.dfltLng -
FF - user.js: extensions.incredibar_i.excTlbr - false
FF - user.js: extensions.incredibar_i.ms_url_id -
FF - user.js: extensions.incredibar_i.upn2 - 6PQvY3xtVW
FF - user.js: extensions.incredibar_i.upn2n - 92542804449515748
FF - user.js: extensions.incredibar_i.productid - 26
FF - user.js: extensions.incredibar_i.installerproductid - 26
FF - user.js: extensions.incredibar_i.did - 10650
FF - user.js: extensions.incredibar_i.ppd - 20%5F4
.
- - - - ORPHANS REMOVED - - - -
.
Notify-WgaLogon - (no file)
AddRemove-MoneyTracker - Домашняя бухгалтерия_is1 - c:\program files\MoneyTracker\unins000.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-06-03 19:30
Windows 5.1.2600 Service Pack 3 NTFS
.
scanning hidden processes ... 
.
scanning hidden autostart entries ...
.
scanning hidden files ... 
.
scan completed successfully
hidden files: 0
.
**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------
.
[HKEY_USERS\S-1-5-21-1060284298-1343024091-1417001333-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- DLLs Loaded Under Running Processes ---------------------
.
- - - - - - - > 'winlogon.exe'(1236)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\klogon.dll
.
- - - - - - - > 'winlogon.exe'(2064)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\klogon.dll
c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\adialhk.dll
.
- - - - - - - > 'explorer.exe'(2768)
c:\windows\system32\WININET.dll
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
.
- - - - - - - > 'explorer.exe'(2120)
c:\windows\system32\WININET.dll
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\rundll32.exe
c:\program files\TOSHIBA\TOSHIBA Controls\TFncKy.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\KMService.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Completion time: 2012-06-03  19:33:44 - machine was rebooted
ComboFix-quarantined-files.txt  2012-06-03 15:33
.
Pre-Run: 31*659*323*392 байт свободно
Post-Run: 31*856*050*176 байт свободно
.
- - End Of File - - 31125FECBC2C1B90B205DAD08D5FC936

Цитата:

Цитата iskander-k
Проблема осталась ?
Вы можете показать данные системы ?
конфигурацию
Температуру
напряжения ? »

Данные и конфигурацию - вижу что-то в диспетчере устройств в панели управления, если это то. Проще было бы, если есть готовые команды на это Run --> ...
Температура напряжения - а где она отображается? Ему раньше часто жарко было при нагрузках, даже в ремонт отдавала по этому поводу, он вообще горячий ноут :)
Проблема в том, что притормаживает он, особенно, если браузеры открыты - да, остается. Может, ко мне проще подключиться..

iskander-k 03-06-2012 20:56 1927421

Удалите ComboFix
• Для деинсталяции ComboFix с компьютера необходимо выполнить:
Нажать Пуск затем Выполнить в окне наберите команду Combofix /u (обязательно нужен пробел между х и /), нажмите кнопку "ОК"


Или скачайте OTCleanIt, зеркало OTCleanIt, запустите, нажмите Clean up.


Цитата:

Цитата Samarinai
Он должен что-нибудь делать после перезагрузки? »

ничего
Цитата:

Цитата Samarinai
мигающие окна от combo.fix - то ли ему плохо, и его остается только выключить принудительно, то ли наоборот у него активный процесс идет? отключить их? »

если ничего не происходит минут 15- 30 , то перезагрузите вручную , и посмотреть наличие лога .

Похоже вы запускали утилиту не так как я вам сказал.

По логам я не вижу активного заражения.

Переношу тему в соответствующий раздел.


Модераторам: - вернуть обратно если будет необходимо.


Время: 03:55.

Время: 03:55.
© OSzone.net 2001-2025