ЦП загружен на 100% - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Microsoft Windows 2000/XP (http://forum.oszone.net/forumdisplay.php?f=6)

- - ЦП загружен на 100% (http://forum.oszone.net/showthread.php?t=235455)

ЦП загружен на 100%

Здравствуйте,

Очень медленно работает компьютер, тормозит все нещадно (открытие новых вкладок в браузере, печатание текста в документах или на почте, просто щелкнуть мышкой и открыть папку или приложение - уже проблема! :crazygirl: ). При этом показывает загрузку ЦП на 100%, мне не понятна большая часть процессов, отображенных в такс менеджере - прикрепила скриншоты на случай, если это имеет значение.

Перестали отображаться папки на диске С: под пользовательской учетной записью, под администратором - нормально. Проверяла на вирусы недавно, были вроде какие-то трояны. Если надо могу просканировать еще раз, но что с ними делать мне в любом случае не понятно - нажатие на кнопочку "вылечить", боюсь, может привести к обратному эффекту и в них ли проблема (кажется, что нет)...

Логи прикрепила. Помогите, пожалуйста, вернуть компьютер в адекватное состояние.

msinfo32 во вложении.

Приветствую .

Временно отключите:
Антивирус/Файерволл

• Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('C:\Documents and Settings\All Users\Application Data\TheBflix\bhoclass.dll','');

 QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\vvdT80QvB6s.exe','');

 DeleteFile('C:\Documents and Settings\All Users\Application Data\TheBflix\bhoclass.dll');

 DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\vvdT80QvB6s.exe');

  DeleteFileMask('C:\8vn6z0v1VniHU0W', '*.*', true);

  DeleteDirectory('C:\8vn6z0v1VniHU0W');

 DelBHO('{B50FE506-F22D-4EE7-A866-DFEFA4E2A468}');

 RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');

 AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'Software\Microsoft\Windows\CurrentVersion\Run'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

 ExecuteWizard('SCU', 2, 3, true);

RebootWindows(true);

end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему и её название.

• Нужно Пофиксить в эти строки в HiJackThis.

Код:

O4 - S-1-5-21-1060284298-1343024091-1417001333-1004 Startup: vvdT80QvB6s.exe (User 'User')

O4 - S-1-5-21-1060284298-1343024091-1417001333-1004 User Startup: vvdT80QvB6s.exe (User 'User')

Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

iskander-k,

Карантин отправила.

И у меня в логе нет предложенных выше строк, если один в один искать. Есть такая, ее нужно пофиксить -

Цитата:

O4 - HKUS\S-1-5-21-1060284298-1343024091-1417001333-1004\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'User')

?

Спасибо!

Цитата:

Цитата Samarinai

И у меня в логе нет предложенных выше строк, »

Это хорошо значит АВЗ почистила их.

Цитата:

Цитата Samarinai

Есть такая, ее нужно пофиксить - »

Нет !!

где запрошенные логи ?

Цитата:

Цитата iskander-k

Сделайте повторные логи AVZ + RSIT
Скачайте Malwarebytes' Anti-Malware или с зеркала, »

Сначала давайте лог МБАМ потом АВЗ и RSIT.

Логи не делала, так как ждала ответа что исправлять то, как-то не приходилось ранее заниматься подобными вещами :) теперь понятно. Читаю далее...

Цитата:

Цитата iskander-k

Сначала давайте лог МБАМ »

Больше, чем пол часа уже сканирует C: ... Надеюсь, я правильно указала - полное сканирование для всех жестких дисков нужно (а не С: достаточно)?

Лог МБАМ во вложении.

Логи AVZ+RSIT во вложении.

По ошибке перед всем этим сначала создала карантин еще раз, если это имеет значение...

Выполните следующий скрипт AVZ:

Код:

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('C:\Documents and Settings\User.bak\Главное меню\Программы\Автозагрузка\vvdT80QvB6s.exe','');

 DeleteFile('C:\Documents and Settings\User.bak\Главное меню\Программы\Автозагрузка\vvdT80QvB6s.exe');

 DeleteFile('C:\WINDOWS\system32\ieunitdrf.inf');

 DeleteFile('C:\Documents and Settings\User\Application Data\igfxtray.dat');

 DeleteFile('C:\Documents and Settings\User.bak\Application Data\igfxtray.dat');

 DelBHO('{02478D38-C3F9-4efb-9B51-7695ECA05670}');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

 ExecuteWizard('SCU',2,3,true);

RebootWindows(true);

end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Повторите сканирование в MBAm и удалите все кроме:

Код:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Параметры: 1 -> Действие не было предпринято.

C:\WINDOWS\KMService.exe (RiskWare.Tool.CK) -> Действие не было предпринято.

C:\Documents and Settings\Admin\Мои документы\Загрузки\DownloadSetup(1).exe (Affiliate.Downloader) -> Действие не было предпринято.

C:\Documents and Settings\Admin\Мои документы\Загрузки\DownloadSetup.exe (Affiliate.Downloader) -> Действие не было предпринято.

C:\Documents and Settings\Admin\Рабочий стол\MathType 6.7\keygen.exe (Trojan.Agent.CK) -> Действие не было предпринято.

C:\Documents and Settings\User\Application Data\AD ON Multimedia\eBay Shortcuts\eBayShortcuts.exe (Adware.ADON) -> Действие не было предпринято.

C:\Documents and Settings\User\Мои документы\Downloads\ACDSee Pro 3.0.475\Регистрация\keygen.exe (Trojan.Dropper.PGen) -> Действие не было предпринято.

C:\Documents and Settings\User\Мои документы\Загрузки\DownloadSetup.exe (Affiliate.Downloader) -> Действие не было предпринято.

C:\Documents and Settings\User.bak\Application Data\AD ON Multimedia\eBay Shortcuts\eBayShortcuts.exe (Adware.ADON) -> Действие не было предпринято.

C:\Documents and Settings\Admin\Рабочий стол\MathType 6.7\keygen.exe (Trojan.Agent.CK) -> Действие не было предпринято.

C:\Documents and Settings\User\Application Data\AD ON Multimedia\eBay Shortcuts\eBayShortcuts.exe (Adware.ADON) -> Действие не было предпринято.

C:\Documents and Settings\User\Мои документы\Downloads\ACDSee Pro 3.0.475\Регистрация\keygen.exe (Trojan.Dropper.PGen) -> Действие не было предпринято.

C:\Documents and Settings\User\Мои документы\Загрузки\DownloadSetup.exe (Affiliate.Downloader) -> Действие не было предпринято.

C:\Documents and Settings\User.bak\Application Data\AD ON Multimedia\eBay Shortcuts\eBayShortcuts.exe (Adware.ADON) -> Действие не было предпринято.

C:\Documents and Settings\User.bak\Главное меню\Программы\Автозагрузка\vvdT80QvB6s.exe (Rootkit.0Access) -> Действие не было предпринято.

C:\Documents and Settings\User.bak\Мои документы\Загрузки\DownloadSetup.exe (Affiliate.Downloader) -> Действие не было предпринято.

C:\Documents and Settings\User.bak\Мои документы\Downloads\ACDSee Pro 3.0.475\Регистрация\keygen.exe (Trojan.Dropper.PGen) -> Действие не было предпринято.

C:\System Volume Information\_restore{E75B8668-E2AA-4676-BACC-2FA16259C640}\RP137\A0028302.exe (Trojan.Dropper) -> Действие не было предпринято.

C:\System Volume Information\_restore{E75B8668-E2AA-4676-BACC-2FA16259C640}\RP141\A0038068.exe (Rootkit.0Access) -> Действие не было предпринято.

C:\System Volume Information\_restore{E75B8668-E2AA-4676-BACC-2FA16259C640}\RP141\A0038071.exe (Rootkit.0Access) -> Действие не было предпринято.

C:\System Volume Information\_restore{E75B8668-E2AA-4676-BACC-2FA16259C640}\RP141\A0039000.exe (Rootkit.0Access) -> Действие не было предпринято.

D:\FROM DISC C2\Рабочий стол\Microsoft Visual FoxPro 9.0_2016488098-6398723.rar.exe (Trojan.Dropper) -> Действие не было предпринято.

D:\System Volume Information\_restore{BBC99120-BD99-4B11-B0A8-19BE9BFAFAD9}\RP91\A0064807.exe (RiskWare.Tool.HCK) -> Действие не было предпринято.

D:\System Volume Information\_restore{E75B8668-E2AA-4676-BACC-2FA16259C640}\RP137\A0029775.exe (Trojan.Dropper) -> Действие не было предпринято.

E:\Downloads\[Программы]\A.P.L.v3.2_Multi_incl.kgen__x86x64_DeGun_2010.10\A.P.L.v3.2_Multi_incl.kgen__x86x64_DeGun\key generator.exe (Malware.Packer.Gen) -> Действие не было предпринято.

E:\Downloads\[Программы]\A.P.L.v3.2_Multi_incl.kgen__x86x64_DeGun_2010.10\A.P.L.v3.2_Multi_incl.kgen__x86x64_DeGun\Xtra Adobe Products keygen\CORE10k.EXE (Dont.Steal.Our.Software) -> Действие не было предпринято.

E:\Downloads\[Программы]\A.P.L.v3.2_Multi_incl.kgen__x86x64_DeGun_2010.10\A.P.L.v3.2_Multi_incl.kgen__x86x64_DeGun\Xtra Adobe Products keygen\keygen.exe (Trojan.Agent.CK) -> Действие не было предпринято.

E:\Downloads\[Программы]\Multi Password Recovery 1.2.0\crk\multi.password.recovery.1.x-2.x-patch.exe (Malware.Packer.Gen) -> Действие не было предпринято.

E:\Downloads\[Программы]\Multi Password Recovery 1.2.0\mpr_1.2_port\HookLib.dll (PUP.Hooker) -> Действие не было предпринято.

E:\Downloads\[Программы]\SAMInside 2.6.3.0\SAMInside.exe (PUP.SAMInside) -> Действие не было предпринято.

E:\Downloads\[Программы]\SAMInside 2.6.3.0\Tools\GetHashes.exe (PUP.SAMInside) -> Действие не было предпринято.

E:\Downloads\[Программы]\SAMInside 2.6.3.0\Tools\GetSyskey.exe (PUP.SAMInside) -> Действие не было предпринято.

E:\Downloads\[Программы]\SAMInside 2.6.3.0\Tools\LRConvert.exe (PUP.SAMInside) -> Действие не было предпринято.

E:\Downloads\[Программы]\Thinstall\MicroangeloToolset_6.10\4000003800002i\m6explorer.exe (Trojan.IRCBot) -> Действие не было предпринято.

E:\Downloads\[Программы]\update\Winamp PRO 5.57 Build 2830 FINAL Full Pack\Таблэтка\KeyMaker.exe (RiskWare.Tool.CK) -> Действие не было предпринято.

Скрипт выполнила, карантин отправила. Просканировала.

На всякий случай для подтверждения копирую ниже строки, которые не попадают в выше указанные (на удаление). Все эти объекты можно смело удалять?

Код:

C:\Documents and Settings\Admin\Рабочий стол\avz4\avz4\Quarantine\2012-05-28\avz00001.dta (Rootkit.0Access) -> Действие не было предпринято.

C:\System Volume Information\_restore{E75B8668-E2AA-4676-BACC-2FA16259C640}\RP141\A0039045.exe (Rootkit.0Access) -> Действие не было предпринято.

C:\Documents and Settings\All Users\Application Data\TheBflix (PUP.BFlix) -> Действие не было предпринято.

C:\Documents and Settings\All Users\Application Data\TheBflix\data (PUP.BFlix) -> Действие не было предпринято.

C:\Documents and Settings\All Users\Application Data\TheBflix\background.html (PUP.BFlix) -> Действие не было предпринято.

C:\Documents and Settings\All Users\Application Data\TheBflix\content.js (PUP.BFlix) -> Действие не было предпринято.

C:\Documents and Settings\All Users\Application Data\TheBflix\pmholphmkflmlgknogfaflfkknjegfje.crx (PUP.BFlix) -> Действие не было предпринято.

C:\Documents and Settings\All Users\Application Data\TheBflix\settings.ini (PUP.BFlix) -> Действие не было предпринято.

C:\Documents and Settings\All Users\Application Data\TheBflix\uninstall.exe (PUP.BFlix) -> Действие не было предпринято.

C:\Documents and Settings\All Users\Application Data\TheBflix\data\content.js (PUP.BFlix) -> Действие не было предпринято.

C:\Documents and Settings\All Users\Application Data\TheBflix\data\jsondb.js (PUP.BFlix) -> Действие не было предпринято.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{37476589-E48E-439E-A706-56189E2ED4C4} (PUP.BFlix) -> Действие не было предпринято.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Плохо: (0) Хорошо: (1) -> Действие не было предпринято.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Плохо: (0) Хорошо: (1) -> Действие не было предпринято.

Если сами не ставили тулбар TheBflix то удалите вот эти строки:

Код:

C:\Documents and Settings\All Users\Application Data\TheBflix (PUP.BFlix) -> Действие не было предпринято.

C:\Documents and Settings\All Users\Application Data\TheBflix\data (PUP.BFlix) -> Действие не было предпринято.

C:\Documents and Settings\All Users\Application Data\TheBflix\background.html (PUP.BFlix) -> Действие не было предпринято.

C:\Documents and Settings\All Users\Application Data\TheBflix\content.js (PUP.BFlix) -> Действие не было предпринято.

C:\Documents and Settings\All Users\Application Data\TheBflix\pmholphmkflmlgknogfaflfkknjegfje.crx (PUP.BFlix) -> Действие не было предпринято.

C:\Documents and Settings\All Users\Application Data\TheBflix\settings.ini (PUP.BFlix) -> Действие не было предпринято.

C:\Documents and Settings\All Users\Application Data\TheBflix\uninstall.exe (PUP.BFlix) -> Действие не было предпринято.

C:\Documents and Settings\All Users\Application Data\TheBflix\data\content.js (PUP.BFlix) -> Действие не было предпринято.

C:\Documents and Settings\All Users\Application Data\TheBflix\data\jsondb.js (PUP.BFlix) -> Действие не было предпринято.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{37476589-E48E-439E-A706-56189E2ED4C4} (PUP.BFlix) -> Действие не было предпринято.

Этот файл в карантине AVZ и более не опасен:

Код:

C:\Documents and Settings\Admin\Рабочий стол\avz4\avz4\Quarantine\2012-05-28\avz00001.dta (Rootkit.0Access) -> Действие не было предпринято.

Этот файл корректнее удалить таким образом

Код:

C:\System Volume Information\_restore{E75B8668-E2AA-4676-BACC-2FA16259C640}\RP141\A0039045.exe (Rootkit.0Access) -> Действие не было предпринято.

Если не настраивали сами скрытие моего компьютера и моих документов в стартовом меню то удалите и эти строки:

Код:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Плохо: (0) Хорошо: (1) -> Действие не было предпринято.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Плохо: (0) Хорошо: (1) -> Действие не было предпринято.

Подготовьте такой лог

Удалила. Лог во вложении.

Обновите до последних версий Java и Firefox

Смените все важные пароли.

Как самочувствие системы?

Обновила, IE тоже обновить с официального сайта, если порой именно он мне нужен?

Цитата:

Цитата alex_sev

Смените все важные пароли »

А с какой целью? Спрашиваю, чтобы понять какие из них важные.

Про само чувствие позже отпишусь - нужно понаблюдать.

В диспетчере задач она (он? :) ) показывает загрузку ЦП на 100%. Кажется, с того момента, как я запускаю браузер. Но, кажется, реальную картину это теперь не отображает. Пробую разное..

Цитата:

Цитата Samarinai

А с какой целью? Спрашиваю, чтобы понять какие из них важные. »

У вас система была заражена вирусом ворующего пароли. Поэтому смените все пароли которые используете в интернете - онлайн-банк, учетки на форумах, одноклассники и так далее.

Цитата:

Цитата Samarinai

показывает загрузку ЦП на 100%. Кажется, с того момента, как я запускаю браузер. »

В момент запуска браузера или другого ПО нагрузка того или иного процесса может подскакивать до 100 %

Цитата:

Цитата iskander-k

У вас система была заражена вирусом ворующего пароли. »

И можно ли узнать, был сворован и передан пароль к определенной интересующей меня учетной записи и передан куда-нибудь вовне - не имеет значения куда именно, но сам факт такой возможности желательно бы знать...

Цитата:

В момент запуска браузера или другого ПО нагрузка того или иного процесса может подскакивать до 100 %

Да, но он показывает 100% не только в момент нагрузки, но и после. Сейчас, например (при трех открытых вкладках в IE и Касперском). Это нормально?

По поводу самочувствия - у меня иногда притормаживает IE, когда сейчас набираю текст. Это что-то с интернетом, компьютером или это нормально?

Цитата:

Цитата Samarinai

И можно ли узнать, был сворован и передан пароль »

если система была заражена то пароль уже ушел

Цитата:

Цитата Samarinai

Да, но он показывает 100% не только в момент нагрузки, но и после. »

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

Sections
IAT/EAT
Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

потом

Сделайте еще лог Universal Virus Sniffer (UVS)

Скачайте Universal Virus Sniffer (UVS)

Как подготовить лог UVS

Извлеките UVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
___________________
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7Zip, то UVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к посту в теме.

___________________
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Пока он сканирует...

Цитата:

Цитата iskander-k

если система была заражена то пароль уже ушел »

Я думала, она сначала заражается, а потом пытается достучаться... Извиняюсь, какие именно пароли (к чему)? (спрашиваю не просто из любопытства).

В браузере постоянно выскакивает сообщение "Отображать только безопасное содержимое веб-страниц?" (эта веб-страница содержит элементы, которые не могут быть загружены с помощью безопасного соединения http) на одном адресе (вне зависимости от того, соглашаюсь я или нет) начиная с ввода пароля, но и потом тоже. Это не говорит ни о чем "опасном"? И как можно это отключить, так как оно выскакивает при каждом шаге. Веб-страница очень важная.

Данный троян может украсть любые пароли. (Перехват клавиатурных нажатий, информация из куки, сохраненные пароли в браузере)

Лог GMER во вложении. Иду далее.

Так...

Далее меня три раза выкинуло из системы. Первый раз, когда я нажала "запустить под текущим пользователем", и еще пару раз после перезагрузок. :unsure:
Это нормально? Раньше такого не было. Можно идти далее?

Касперский, кстати, стал блокировать вставку смайликов.

я была под администратором, если это имеет значение.

Цитата:

Цитата Samarinai

Лог GMER »

ничего подозрительного

ждем второй лог

Система не загружается. Появляется окно выбора F2 for setup or F12 for boot device selection menu. Далее не пускает. Только в окно с BIOS еще, если escape нажимаю.

Загрузил в итоге. Первые разы я так долго не ждала. А в третий раз оставила его думать, он минут 15 подумал и начал грузить систему.
Это тоже ожидаемо после обновлений?

Делаю второй лог.

Приложила второй лог.

Incredibar Social Toolbar - вы устанавливали ?
Удалите через панель установки- удаления программ.

Цитата:

Цитата Samarinai

Система не загружается. Появляется окно выбора »

сделайте проверку системного диска

по
инструкции выбрав Тщательную проверку (по инструкции)

Примечание

При выборе параметра Автоматически исправлять системные ошибки для используемого диска (например, раздела, содержащего Windows), последует предложение отложить проверку диска до следующего перезапуска компьютера.
согласится с предложением и перезагрузить компьютер

и

Выполните проверку жесткого диска, следуя рекомендациям статьи Проверка и диагностика жесткого диска.

Цитата:

Цитата iskander-k

Incredibar Social Toolbar - вы устанавливали ? »

Это надстройка, которая в IE высвечивается сверху? Просто сейчас ее нет, но давно мозолит глаза, только вчера пыталась ее удалить, но не нашла как, получилось только скрыть. Не устанавливаю всякие надстройки, но если не ошибаюсь она сама "мне себя навязала" - всплыло какое-то окно и я то ли не среагировала, то ли выбора не дали, куда-то кликнула. Если это не этот случай, то понятия не имею откуда она приклеилась.

Нужно же еще выйти отсюда, так как это окно активно и не позволяет свернуть себя, чтобы можно было выбрать параллельно хоть что-то.

Incredibar удалила.

По поводу самочувствие - для системы проблема свернуть панель установка/удаление программ.

Я скоро начну терять терпение от этих экстренных закрытий вместо сворачиваний. То есть, например, есть активное окно. Оно разрешает восстановить (развернуть) только какое-то более приоритетное в соответствии с какой-то логикой окно (может, которое раньше было открыто - не до экспериментов уже). Но первое свернуть нельзя, да и закрыть тоже только через ctrl+alt+del. И когда мне, например, нужно зайти в панель управления, а окно браузера считает, что оно тут самое главное, мне приходится через ctrl+alt+del закрывать браузер, а потом уже открывать панель.

В IE постоянно выскакивает окно "Вы хотите только отображать безопасное подключение веб-страницы". Не понимаю, откуда у него столько вопросов одинаковых постоянно, куда он стучит, но это не может быть как-то связано с тем, что он тормозит, по мимо того, что он сам по себе медленный...? Ну и как это правильно отключить?

Со скайпом, кажется, тоже что-то не так, но я не могу аргументировать - я им не пользуюсь практически. :)

Иду далее, к проверке системы...

Цитата:

Цитата iskander-k

сделайте проверку системного диска
по
инструкции выбрав Тщательную проверку (по инструкции) »

Сделала.

Цитата:

Цитата iskander-k

Выполните проверку жесткого диска, следуя рекомендациям статьи Проверка и диагностика жесткого диска »

Первая часть статьи - это то, что я делала выше. А вторая часть - при помощи сторонних программ. Тут сказано:

Цитата:

Вниманиe! Перед тестированием жесткого диска с помощью сторонних программ необходимо сделать резервное копирование всех данных.

Каким образом? Точно надо это делать?

Цитата:

Цитата Samarinai

Каким образом? Точно надо это делать? »

нет -- необязательно

были-ли обнаружены и исправлены проблемы на диске ?

Активного заражения не вижу по логам.

Цитата:

Цитата iskander-k

были-ли обнаружены и исправлены проблемы на диске ? »

Я не поняла. Просто после проверки комп перезагрузился и как-будто ничего не было. Должно было какое-то окно открыться после перезагрузки?

Цитата:

Цитата iskander-k

нет -- необязательно »

Необязательно делать резервное копирование или проверку сторонними программами?

Просто теперь еще прочитала статьи по проверке диска при помощи MHDD и Victoria. Пришла к выводу, что с моими познаниями в этом деле рискованно экспериментировать, нужно разбираться. Ну или если есть где инструкция "для чайников", но сомневаюсь...

Цитата:

Цитата Samarinai

Пришла к выводу, что с моими познаниями в этом деле рискованно экспериментировать, нужно разбираться. »

да , лучше пока не делайте.

Цитата:

Цитата Samarinai

. Должно было какое-то окно открыться после перезагрузки? »

Если отмечаете оба вида проверки (галки в обоих чекбоксах) - ок и применить, появится сообщение о назначении проверки при следующей загрузке компьютера- выбрать ОК и перезагрузить - далее на синем экране появится сообщении о назначеной проверке и если желаете отменить - нажать любую клавишу (но нам это не нужно - нажимать) если не нажимать клавишу то начинается проверка . В процессе проверки сообщается о найденых ошибках и исправлении в конце общий итог . Общий лог сохраняется на компьютере.

Я так и делала. Периодически поглядывала на экран, но, конечно, не все время. Потом уснула, кажется и не застала нужный момент - он же на нем не останавливается и перезагружает комп без согласия значит..

Цитата:

Цитата iskander-k

Общий лог сохраняется на компьютере. »

Это оно?
Панель управления --> Администрирование --> Просмотр событий --> Приложение (или через run eventvwr.msc)
В Winlogon; EventID 1001 есть информация. Да, какие-то проблемы были найдены и исправлены - прикрепила скриншоты, если это имеет значение.

Или нужен лог не о результатах, а еще какой-то?

Это он. Были исправлены некоторые ошибки.

Проблема осталась ?
Вы можете показать данные системы ?
конфигурацию
Температуру
напряжения ?

попробуем еще один лог

•Скачайте ComboFix или здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

• Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение.

Код:

KillAll::



SkipFix::



Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится отчёт ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

• или с компьютера выполнить:

Нажать Пуск затем Выполнить
в окне наберите команду ComboFix /SkipFix (обязательно нужен пробел между х и /), нажмите кнопку "ОК"

Он должен что-нибудь делать после перезагрузки? так как он делает что-то странное, сколько времени это должно занимать (после перезагрузки)? мигающие окна от combo.fix - то ли ему плохо, и его остается только выключить принудительно, то ли наоборот у него активный процесс идет? отключить их?.. Nir Cmd.3XE, CF29965.3XE, pev.3XE... ?

В общем, в этот раз я смотрела, что он делает. Но после того, как он все сделал, что хотел и перезагрузился, в системе скачут окна командной строки, c:\ combofix\ CF29965.3XE и др, ~~что делать?~~

Он автоматически после перезагрузки зашел под пользовательской учетной записью, под админом все ок стало, может совпадение, уже, наверное, не важно - лог выложила.

Код:

ComboFix 12-06-03.01 - Admin 03.06.2012  18:26:40.1.2 - x86

Microsoft Windows XP Professional  5.1.2600.3.1251.7.1049.18.2046.1373 [GMT 4:00]

Running from: c:\documents and settings\Admin\¦рсюўшщ ёЄюы\ComboFix.exe

Command switches used :: c:\documents and settings\Admin\¦рсюўшщ ёЄюы\CFScript.txt

AV: Антивирус Касперского *Disabled/Updated* {2C4D4BC6-0793-4956-A9F9-E252435469C0}

FW: Антивирус Касперского *Disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}

.

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\documents and settings\All Users\Application Data\srtserv

c:\documents and settings\All Users\Application Data\TEMP

c:\documents and settings\All Users\Application Data\xp

c:\documents and settings\User\Application Data\AD ON Multimedia

c:\documents and settings\User\Application Data\AD ON Multimedia\eBay Shortcuts\eBayShortcuts.exe

c:\documents and settings\User\Application Data\mIRC\logs\status.log

c:\program files\Protector by IB\ExTEnsion32.dll

.

.

(((((((((((((((((((((((((   Files Created from 2012-05-03 to 2012-06-03  )))))))))))))))))))))))))))))))

.

.

2012-06-02 13:35 . 2002-01-12 12:30        3567        ----a-w-        c:\windows\system32\drivers\PortTalk.sys

2012-05-29 16:34 . 2012-04-21 01:18        97208        ----a-w-        c:\program files\Mozilla Firefox\components\browsercomps.dll

2012-05-29 16:34 . 2012-04-21 01:16        157352        ----a-w-        c:\program files\Mozilla Firefox\maintenanceservice_installer.exe

2012-05-29 16:34 . 2012-04-21 01:16        129976        ----a-w-        c:\program files\Mozilla Firefox\maintenanceservice.exe

2012-05-27 17:22 . 2012-05-28 17:11        40776        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2012-05-27 17:22 . 2012-05-27 17:22        --------        d-----w-        c:\documents and settings\Admin\Application Data\Malwarebytes

2012-05-27 17:22 . 2012-05-27 17:22        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware

2012-05-27 17:22 . 2012-05-27 17:22        --------        d-----w-        c:\documents and settings\All Users\Application Data\Malwarebytes

2012-05-27 17:22 . 2012-04-04 11:56        22344        ----a-w-        c:\windows\system32\drivers\mbam.sys

2012-05-27 04:52 . 2012-05-27 19:32        --------        d-----w-        c:\program files\trend micro

2012-05-27 04:52 . 2012-05-27 19:33        --------        d-----w-        C:\rsit

2012-05-23 17:41 . 2012-05-23 17:41        --------        d-----w-        c:\program files\Common Files\Java

2012-05-23 17:37 . 2012-05-23 17:37        --------        d-----w-        c:\documents and settings\Admin\Application Data\Oracle

2012-05-23 17:36 . 2012-05-23 17:33        772552        ----a-w-        c:\windows\system32\npDeployJava1.dll

2012-05-17 15:53 . 2008-04-15 08:00        221184        ----a-w-        c:\windows\system32\wmpns.dll

2012-05-17 15:52 . 2012-06-03 15:16        --------        d-----w-        c:\documents and settings\User

2012-05-17 15:35 . 2012-05-17 15:35        419488        ----a-w-        c:\windows\system32\FlashPlayerApp.exe

2012-05-16 18:58 . 2012-05-16 18:58        --------        d-----w-        c:\program files\Macmillan

2012-05-16 18:42 . 2012-05-16 18:42        --------        d-----w-        c:\documents and settings\Admin\Local Settings\Application Data\Temp

2012-05-16 18:32 . 2012-06-01 16:51        --------        d-----w-        c:\documents and settings\Admin\Application Data\Skype

2012-05-07 14:12 . 2012-05-27 04:59        --------        d-----w-        c:\documents and settings\All Users\Application Data\boost_interprocess

2012-05-07 14:11 . 2012-05-07 14:11        --------        d-----w-        c:\program files\Common Files\Skype

2012-05-07 14:11 . 2012-05-07 14:12        --------        d-----r-        c:\program files\Skype

.

.

.

((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-05-23 17:33 . 2011-02-05 19:22        687560        ----a-w-        c:\windows\system32\deployJava1.dll

2012-05-17 15:35 . 2011-08-11 17:36        70304        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2012-04-21 01:18 . 2012-05-29 16:34        97208        ----a-w-        c:\program files\mozilla firefox\components\browsercomps.dll

.

.

------- Sigcheck -------

Note: Unsigned files aren't necessarily malware.

.

[-] 2010-12-23 . 981CA68D4AC0C0E3367B58C7EA157C84 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll

.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]

"TFncKy"="TFncKy.exe" [BU]

"CeEKEY"="c:\program files\TOSHIBA\E-KEY\CeEKey.exe" [2007-07-06 651264]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-11-20 888832]

"Process Killer"="c:\program files\Process Killer\prkiller.exe" [2005-07-30 38400]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-15 15360]

.

c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\

Bluetooth Monitor.lnk - c:\program files\TOSHIBA\Bluetooth Monitor\BtMon2.exe [2010-12-23 69632]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"DisableCAD"= 1 (0x1)

.

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoSMMyDocs"= 1 (0x1)

"NoSMMyPictures"= 1 (0x1)

"NoRecentDocsNetHood"= 1 (0x1)

.

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"NoSMMyDocs"= 1 (0x1)

"NoSMMyPictures"= 1 (0x1)

"ForceClassicControlPanel"= 1 (0x1)

.

[HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate\au]

"NoAutoUpdate"= 1 (0x1)

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]

"DisableMonitoring"=dword:00000001

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\PotPlayer\\PotPlayerMini.exe"=

.

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [23.12.2010 18:59 697328]

R1 LUMDriver;LUMDriver;c:\windows\system32\drivers\LUMDriver.sys [24.04.2007 19:52 16688]

R2 KMService;KMService;c:\windows\system32\srvany.exe [23.12.2010 19:31 8192]

R2 Skype C2C Service;Skype C2C Service;c:\documents and settings\All Users\Application Data\Skype\Toolbars\Skype C2C Service\c2c_service.exe [09.04.2012 11:20 3063968]

R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [30.05.2007 18:49 24344]

S2 PassThru Service;Internet Pass-Through Service;c:\program files\HTC\Internet Pass-Through\PassThruSvr.exe [31.03.2011 16:08 80896]

S2 Protector by IB Updater;Protector by IB Updater;c:\program files\Protector by IB\ExtensionUpdaterService.exe [30.04.2012 17:50 185856]

S3 HTCAND32;HTC Device Driver;c:\windows\system32\drivers\ANDROIDUSB.sys [11.08.2011 22:09 24576]

S3 htcnprot;HTC NDIS Protocol Driver;c:\windows\system32\drivers\htcnprot.sys [22.06.2010 18:01 21248]

S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [27.05.2012 21:22 40776]

S3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [09.01.2010 22:37 4640000]

S3 PortTalk;PortTalk;c:\windows\system32\drivers\PortTalk.sys [02.06.2012 17:35 3567]

S4 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [03.05.2012 8:17 158856]

.

.

------- Supplementary Scan -------

.

uStart Page = hxxp://www.yandex.ru/?clid=25435

uInternet Settings,ProxyOverride = *.local

IE: &Экспорт в Microsoft Excel - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000

TCP: DhcpNameServer = 192.168.1.1

Handler: solores - {8FA1F4E9-444B-48BF-98CD-B8ECA88E6BA5} - c:\progra~1\Solo9\SoloRes.dll

Handler: soloresinternetrusengnum - {1B7043A7-84E1-443a-804F-20A75728892C} - c:\progra~1\SOLO9R~1\SoloRes.dll

FF - ProfilePath - c:\documents and settings\Admin\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\

FF - prefs.js: browser.search.selectedEngine - MyStart Search

FF - prefs.js: keyword.URL - hxxp://mystart.incredibar.com/mb139/?loc=IB_DS&a=6PQvY3xtVW&&i=26&search=

FF - user.js: extensions.incredibar_i.newTab - false

FF - user.js: extensions.incredibar_i.tlbrSrchUrl - hxxp://mystart.Incredibar.com/?a=6PQvY3xtVW&loc=IB_TB&i=26&search=

FF - user.js: extensions.incredibar_i.id - 287d90e000000000000000037ade9e0d

FF - user.js: extensions.incredibar_i.instlDay - 15460

FF - user.js: extensions.incredibar_i.vrsn - 1.5.11.14

FF - user.js: extensions.incredibar_i.vrsni - 1.5.11.14

FF - user.js: extensions.incredibar_i.vrsnTs - 1.5.11.1417:50

FF - user.js: extensions.incredibar_i.prtnrId - Incredibar

FF - user.js: extensions.incredibar_i.prdct - incredibar

FF - user.js: extensions.incredibar_i.aflt - orgnl

FF - user.js: extensions.incredibar_i.smplGrp - none

FF - user.js: extensions.incredibar_i.tlbrId - base

FF - user.js: extensions.incredibar_i.instlRef - 

FF - user.js: extensions.incredibar_i.dfltLng - 

FF - user.js: extensions.incredibar_i.excTlbr - false

FF - user.js: extensions.incredibar_i.ms_url_id - 

FF - user.js: extensions.incredibar_i.upn2 - 6PQvY3xtVW

FF - user.js: extensions.incredibar_i.upn2n - 92542804449515748

FF - user.js: extensions.incredibar_i.productid - 26

FF - user.js: extensions.incredibar_i.installerproductid - 26

FF - user.js: extensions.incredibar_i.did - 10650

FF - user.js: extensions.incredibar_i.ppd - 20%5F4

.

- - - - ORPHANS REMOVED - - - -

.

Notify-WgaLogon - (no file)

AddRemove-MoneyTracker - Домашняя бухгалтерия_is1 - c:\program files\MoneyTracker\unins000.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2012-06-03 19:30

Windows 5.1.2600 Service Pack 3 NTFS

.

scanning hidden processes ...  

.

scanning hidden autostart entries ... 

.

scanning hidden files ...  

.

scan completed successfully

hidden files: 0

.

**************************************************************************

.

--------------------- LOCKED REGISTRY KEYS ---------------------

.

[HKEY_USERS\S-1-5-21-1060284298-1343024091-1417001333-1003\Software\Microsoft\SystemCertificates\AddressBook*]

@Allowed: (Read) (RestrictedCode)

@Allowed: (Read) (RestrictedCode)

.

--------------------- DLLs Loaded Under Running Processes ---------------------

.

- - - - - - - > 'winlogon.exe'(1236)

c:\windows\system32\Ati2evxx.dll

c:\windows\system32\klogon.dll

.

- - - - - - - > 'winlogon.exe'(2064)

c:\windows\system32\Ati2evxx.dll

c:\windows\system32\klogon.dll

c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\adialhk.dll

.

- - - - - - - > 'explorer.exe'(2768)

c:\windows\system32\WININET.dll

c:\windows\system32\msi.dll

c:\windows\system32\webcheck.dll

.

- - - - - - - > 'explorer.exe'(2120)

c:\windows\system32\WININET.dll

c:\windows\system32\msi.dll

c:\windows\system32\webcheck.dll

.

------------------------ Other Running Processes ------------------------

.

c:\windows\system32\Ati2evxx.exe

c:\windows\system32\Ati2evxx.exe

c:\windows\system32\rundll32.exe

c:\program files\TOSHIBA\TOSHIBA Controls\TFncKy.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\windows\KMService.exe

c:\windows\system32\wdfmgr.exe

c:\windows\system32\wscntfy.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\windows\system32\Ati2evxx.exe

c:\windows\system32\rundll32.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Completion time: 2012-06-03  19:33:44 - machine was rebooted

ComboFix-quarantined-files.txt  2012-06-03 15:33

.

Pre-Run: 31*659*323*392 байт свободно

Post-Run: 31*856*050*176 байт свободно

.

- - End Of File - - 31125FECBC2C1B90B205DAD08D5FC936

Цитата:

Цитата iskander-k

Проблема осталась ?
Вы можете показать данные системы ?
конфигурацию
Температуру
напряжения ? »

Данные и конфигурацию - вижу что-то в диспетчере устройств в панели управления, если это то. Проще было бы, если есть готовые команды на это Run --> ...
Температура напряжения - а где она отображается? Ему раньше часто жарко было при нагрузках, даже в ремонт отдавала по этому поводу, он вообще горячий ноут :)
Проблема в том, что притормаживает он, особенно, если браузеры открыты - да, остается. Может, ко мне проще подключиться..

Удалите ComboFix
• Для деинсталяции ComboFix с компьютера необходимо выполнить:
Нажать Пуск затем Выполнить в окне наберите команду Combofix /u (обязательно нужен пробел между х и /), нажмите кнопку "ОК"

Или скачайте OTCleanIt, зеркало OTCleanIt, запустите, нажмите Clean up.

Цитата:

Цитата Samarinai

Он должен что-нибудь делать после перезагрузки? »

ничего

Цитата:

Цитата Samarinai

мигающие окна от combo.fix - то ли ему плохо, и его остается только выключить принудительно, то ли наоборот у него активный процесс идет? отключить их? »

если ничего не происходит минут 15- 30 , то перезагрузите вручную , и посмотреть наличие лога .

Похоже вы запускали утилиту не так как я вам сказал.

По логам я не вижу активного заражения.

Переношу тему в соответствующий раздел.

Модераторам: - вернуть обратно если будет необходимо.