Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] после загрузки windows еще 20 минут невозможно ничего сделать (http://forum.oszone.net/showthread.php?t=101718)

lis88 29-02-2008 03:51 750338
после загрузки windows еще 20 минут невозможно ничего сделать
 
проблема такая : после загрузки windows еще 20 минут невозможно не чего сделать, потом когда вроде бы загрузится открываешь какое либо приложение компьютер начинает подвисать. ранше такого небылостал очень много памяти есть и выключение компьютера происходит долго. подскажите как решить эти проблемы просто не возможно что то делать на компьютере .

Vadikan 29-02-2008 04:08 750342
lis88, приведите полную конфигурацию компьютера и выполните действия, описанные тут.

khaker 29-02-2008 04:51 750348
Попробуй просмотреть что у тебя находится в Атозагрузке, может там чего :dont-know

DVDshnik 29-02-2008 06:45 750357
Вирусов, троянов, шпионов и прочей нечисти точно нет?

lis88 29-02-2008 13:26 750554
pentium 2.4 GHz FSB 533MHz ,RAM 256 Mb/400/pc 3200 video MSI 128 Mb Radeon GF/MX 4000,Dvi HDD samsung 80 Gb/7200 DMA 133

System_Iva 29-02-2008 14:25 750599
Стопудова Вирусов Нахватал, лечи лечи и лечи, Также посмотри автозагрузку Пуск > выполнить > msconfig там есть вкладка Автозагрузка удали все лишнее

lis88 29-02-2008 16:04 750672
Вложений: 1
вот то что выдали программы

Pili 29-02-2008 17:36 750732
lis88,
У вас установлено очень много защитного ПО: VBA32, AVG7, Spyware Doctor(PC Tools), KAV5, McAfee, agnitum outpost
удивительно как вообще система работает :) деинсталлируйте что посчитаете не нужным и оставьте один антивирус (рекомендую McAfee)

почистите временные файлы и файлы в C:\Documents and Settings\Andrii\Local Settings\Temp\ и корзину (можно стандарртными средствами windows (пуск-стандартные-служебные-очистка диска), а лучше с помощью ATF Cleaner (тут написано как)

выполните в avz скрипт, на время вып-ия скрипта отключите все антивирусы и firewall
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\DivX\DivX Converter\dpil100.dll','');
 QuarantineFile('C:\Documents and Settings\komp\DoctorWeb\Quarantine\A0183703.exe','');
 QuarantineFile('C:\WINDOWS\ntdump.exe','');
 QuarantineFile('C:\PROGRA~1\EASYDE~1\SYSTEM~1\Protect.exe','');
 QuarantineFile('C:\Documents and Settings\komp\Рабочий стол\cpp_log_utilit\log\try_wnd1\Release\try_wnd1.exe','');
 QuarantineFile('c:\windows\system32\perfc000.dat','');
 QuarantineFile('C:\Documents and Settings\komp\Мои документы\StrongDC_router\StrongDC_router\DC_Downloads\-Как бесплатно смотреть аналоговый НТВ+\moretv331pl\HWIONT.sys','');
 QuarantineFile('D:\INSTALL\GMSIPCI.SYS','');
 QuarantineFile('D:\Fxdrv.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\stremu.SYS','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys','');
 DeleteFile('c:\windows\system32\perfc000.dat');
 DeleteFile('C:\WINDOWS\ntdump.exe');
 DeleteFile('C:\Documents and Settings\komp\DoctorWeb\Quarantine\A0183703.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ, в теле письма указать ссылку на тему.
пофиксить в hijackthis
Код:
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - (no file)
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: (no name) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - (no file)
O4 - HKLM\..\Run: [LanzarL2007] "C:\DOCUME~1\komp\LOCALS~1\Temp\{4204B6ED-2AA1-48AE-A67F-982ED72478C8}\{D1DA2BA7-2592-4036-9BB2-DCCABDE8DC1A}\..\..\L2007tmp\Setup.exe" /SETUP:"/l0x0009"
O9 - Extra button: (no name) - DctMapping - (no file)
пуск-выполнить-regedit
откройте HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
удалите в "AppInit_DLLs" c:\windows\system32\perfc000.dat
поищите файл C:\Program Files\Messenger\msmsgs.exe, если не найдете, эти строчки тоже можно пофиксить
Код:
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
повторите логи

lis88 29-02-2008 19:11 750820
у меня стоят тольго 2 антивирусные программы AVG7, Spyware Doctor(PC Tools) а про остальный могу сказать одно мне не найти даже папки с ними

Pili 29-02-2008 19:28 750831
lis88, сами загляните в логи и увидите )
в службах McAfee.com McShield, Vba32 Update Center Scheduler и прочее
в драйверах C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids00026.sys
можно их конечно скриптом удалить, но лучше через установка/удаление программ и утилитами удаления (для касперского kavremover) или напр. jv16 PowerTools
если outpost не установлен пофиксите
Код:
O20 - AppInit_DLLs: c:\progra~1\agnitum\outpos~2\wl_hook.dll c:\windows\system32\perfc000.dat
если установлен - через regedit, как выше описано, или фиксите, потом переустановите outpost
файлы карантина анализируются. ждемс новые логи.

lis88 29-02-2008 22:18 750973
а когда удалу эти программы что делать дальше ? логи с помощью AVZ4 или HiJackThis делать ?

Pili 29-02-2008 22:38 750988
да, сделайте новые логи

lis88 29-02-2008 22:47 750995
Вложений: 1
вот глянь вроде что то удалил

Pili 29-02-2008 22:49 750997
lis88, где остальные логи?

lis88 29-02-2008 22:52 751003
тоесть повторить все с самого начала ?

Pili 29-02-2008 22:57 751007
lis88, нет, проверку с помощью cureit проводить уже не надо
вы не пофиксили в hijackthis пункты, как было написано в посте 8, пофиксите и выложите новые логи.

lis88 29-02-2008 23:48 751038
Вложений: 1
подскажи еще пожалуста вот по этим логам они с другова компьютера

Pili 01-03-2008 09:13 751141
Цитата:
Цитата lis88
логам они с другова компьютера »
Для каждой новой проблемы - новая тема, создайте ещё одну тему и выложите в ней логи другого компьютера, иначе можно запутаться в логах и скриптах. С предыдущим компьютером проблема решена? Сделайте на нем новые логи для проверки.

lis88 01-03-2008 14:07 751225
Pili, мне вот все не найти McAfee,Vba32 Update Center Scheduler в логах они есть и там указывается папка а на компьютере мне не найти их нет не в удалении и установке програм и просто в папках. как вообще их можно найти ?

Pili 01-03-2008 15:38 751250
lis88, удалить можно с помощью jv16 PowerTools или аналогичной утилиты (например RegCleaner) или, если неполучится, можно скриптом (если будет ваше согласие)
По логам поста 17 у вас есть зловреды, откройте новую тему, выложите логи - будет скрипт лечения
Где новые логи с этого компа?

lis88 01-03-2008 16:30 751274
Вложений: 1
вот новые логи

Pili 01-03-2008 23:33 751513
ntdump.exe_ - Trojan-Spy.Win32.Webmoner.gu (его мы уже удалили)
остальные файлы в карантине чистые
Файлы
Цитата:
C:\PROGRA~1\EASYDE~1\SYSTEM~1\Protect.exe
C:\Documents and Settings\komp\Рабочий стол\cpp_log_utilit\log\try_wnd1\Release\try_wnd1.exe
C:\Documents and Settings\komp\Мои документы\StrongDC_router\StrongDC_router\DC_Downloads\-Как бесплатно смотреть аналоговый НТВ+\moretv331pl\HWIONT.sys
D:\INSTALL\GMSIPCI.SYS
D:\Fxdrv.sys
C:\WINDOWS\system32\Drivers\mchInjDrv.sys
В карантин не попали, поищите их вручную,что найдете, выложите в архиве с паролем virus на файлообменник и ссылку дайте в ПМ, если не найдете, выполните скрипт (можете из скрипта удалить строчки, связанные с файлами, которые нашлись)
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\PROGRA~1\EASYDE~1\SYSTEM~1\Protect.exe');
DeleteFile('C:\Documents and Settings\komp\Рабочий стол\cpp_log_utilit\log\try_wnd1\Release\try_wnd1.exe');
DeleteFile('C:\Documents and Settings\komp\Мои документы\StrongDC_router\StrongDC_router\DC_Downloads\-Как бесплатно смотреть аналоговый НТВ+\moretv331pl\HWIONT.sys');
DeleteFile('D:\INSTALL\GMSIPCI.SYS');
DeleteFile('D:\Fxdrv.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Мусор от антивирусов удалять будем скриптом или вы сами утилитами почистите?

lis88 01-03-2008 23:38 751516
да вот Мусор от антивирусов пытался RegCleaner -ом найти этот мусор да вот чтото не нашел давай лучшь скриптом

Pili 02-03-2008 09:42 751640
lis88, утилиты можно было и поискать
Обзор утилит для установки и удаления приложений. Часть 2.
How to uninstall or reinstall supported McAfee consumer products using the McAfee Consumer Products Removal tool (MCPR.exe)
McAfee в скрипте пока не трогаем, попробуйте удалить утилитой
HDD life тоже можно уже удалить, если не нужна, DAP (download accelerator) тоже лучше заменить на что нибудь другое.
чистим мусор (кроме McAfee)
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('SYMIDSCO');
 SetServiceStart('SYMIDSCO', 4);
 StopService('SynSched');
 SetServiceStart('SynSched', 4);
 StopService('ids00026');
 SetServiceStart('ids00026', 4);
 StopService('AvFlt');
 SetServiceStart('AvFlt', 4);
 QuarantineFile('C:\WINDOWS\system32\drivers\av5flt.sys','');
 QuarantineFile('C:\Program Files\Vba32\Vba32 Update Center\SynSched.exe','');
 QuarantineFile('C:\PROGRA~1\COMMON~1\SYMANT~1\SymcData\idsdefs\20060106.055\symidsco.sys','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids00026.sys','');
 DeleteService('SynSched');
 DeleteService('AvFlt');
 DeleteService('SYMIDSCO');
 DeleteService('ids00026');
 DeleteFile('C:\Program Files\Vba32\Vba32 Update Center\SynSched.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\av5flt.sys');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids00026.sys');
 DeleteFile('C:\PROGRA~1\COMMON~1\SYMANT~1\SymcData\idsdefs\20060106.055\symidsco.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
и повторите логи virusinfo_syscheck.zip, hijackthis.zip (они быстро делаются)

Pili 02-03-2008 13:14 751732
lis88, в логах зловредов нет, но мусор так и остался. На время скрипта защитные программы отключали? Утилитой удаления McAfee пользовались? (и др. утилитами, напр. jv16 PT хорошо очищает) DAP и HDDlife так и оставили, Mail Ru агента, имхо, тоже лучше удалить.

lis88 02-03-2008 13:20 751735
Вложений: 1
вот еще посмотри

Pili 02-03-2008 13:33 751746
lis88, McAfee больше нет, весь остальной мусор остался, скрипты постов 22, 24 выполняли? Пост 25 читали? Комп у вас всё ещё тормозит?

lis88 02-03-2008 14:08 751758
все выполнил как ты сказал DAP и HDDlife , Mail Ru оставил комп стал лучше работать , только я не понял почему мусор остался

Pili 02-03-2008 14:32 751774
lis88, т.е. файлы, указанные в посте 22 не нашли и оба скрипта п.22 и 24 выполнили?
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('SYMIDSCO');
 SetServiceStart('SYMIDSCO', 4);
 StopService('ids00026');
 SetServiceStart('ids00026', 4);
 StopService('AvFlt');
 SetServiceStart('AvFlt', 4);
 StopService('SynSched');
 SetServiceStart('SynSched', 4);
 QuarantineFile('C:\PROGRA~1\COMMON~1\SYMANT~1\SymcData\idsdefs\20060106.055\symidsco.sys','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids00026.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\av5flt.sys','');
 QuarantineFile('C:\Program Files\Vba32\Vba32 Update Center\SynSched.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys','');
 DeleteFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys');
 DeleteFile('C:\Program Files\Vba32\Vba32 Update Center\SynSched.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\av5flt.sys');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids00026.sys');
 DeleteFile('C:\PROGRA~1\COMMON~1\SYMANT~1\SymcData\idsdefs\20060106.055\symidsco.sys');
 DeleteService('SYMIDSCO');
 DeleteService('ids00026');
 DeleteService('AvFlt');
 DeleteService('SynSched');
 BC_DeleteFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys');
 BC_DeleteFile('C:\Program Files\Vba32\Vba32 Update Center\SynSched.exe');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\av5flt.sys');
 BC_DeleteFile('C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids00026.sys');
 BC_DeleteFile('C:\PROGRA~1\COMMON~1\SYMANT~1\SymcData\idsdefs\20060106.055\symidsco.sys');
BC_ImportAll;
 BC_DeleteSvc('SYMIDSCO');
 BC_DeleteSvc('ids00026');
 BC_DeleteSvc('AvFlt');
 BC_DeleteSvc('SynSched');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
C:\Program Files\Steam\Steam.exe
Это у вас что? HL в автозагрузке?
Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы и исправьте найденные проблемы
Повторите лог virusinfo_syscheck.zip
Цитата:
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
что из этого не нужно?

lis88 02-03-2008 15:50 751806
C:\Program Files\Steam\Steam.exe я чтото не нашел на диске ,а насчет служб скажи лучьше что нужно

lis88 02-03-2008 16:02 751812
фаилы не нашел выполнил все скрипты вот лог

Pili 02-03-2008 16:57 751835
По логам чисто, mchInjDrv.sys видмо легитимный - тут и тут
Если не нашли Steam.exe, значит удаляем его
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Steam\Steam.exe','');
 DeleteFile('C:\Program Files\Steam\Steam.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
можно отключить всё (службы терминалов и планировщик заданий оставил)
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('SSDPSRV', 4);
end.
по службам ссылку давал в другой теме Службы, ещё можетепочитать Конфигурирование Windows, Отключение небезопасных компонентов
Если что нужно можете вручную включить (из того что отключили скриптом)
Ещё рекомендую обезопаситься от вирусов типа autorun, скрипт
Код:
procedure DisableAutorun;
begin
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
end;
 
begin
 DisableAutorun;
end.
Проблемы ещё наблюдаются?

lis88 02-03-2008 19:02 751899
вроде все норм стало

Pili 02-03-2008 19:21 751915
lis88, Ок. Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" и следовать рекомендациям, описанным в этой книге. Чистого вам интернета.


Время: 09:34.

Время: 09:34.
© OSzone.net 2001-