нестабильное поведение системы - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - нестабильное поведение системы (http://forum.oszone.net/showthread.php?t=117158)

нестабильное поведение системы

нестабильное поведение системы, точнее сказать сложно ... скажем может это просто перестраховка, а может и что-то у меня завелось, логи:

zeroua, зловредов не видно, можете пофиксить

Цитата:

O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)
O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user')

Нестабильность вероятно наблюдается из за

Цитата:

Event Record #/Type1647 / Error
Event Submitted/Written: 09/14/2008 03:54:37 AM
Event ID/Source: 7000 / Service Control Manager
Event Description:
Сбой при запуске службы "ASInsHelp" из-за ошибки

связано с ASUS AI Booster, ASUS Cool&Quit или asus pc probe, если есть такое ПО, попробуйте деинсталлировать, заодно и украшательство VistaDriveIcon можете попробовать удалить.

Pili,

Цитата:

Цитата Pili

связано с ASUS AI Booster, ASUS Cool&Quit или asus pc probe, если есть такое ПО »

, да стояло но было снесено причем вроде правильно через "установка удаление программ" ну ничего поищу хвосты ...

Pili, может подскажете как эту гадость почистить я про ASUS AI Booster, ASUS Cool&Quit или asus pc probe, а то осталась только папка, но гдето есть хвосты, может утилита какая есть для удаления такого рода приложений ...

zeroua, можно скриптом AVZ почистить хвосты

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('C:\WINDOWS\system32\drivers\AsInsHelp32.sys','');

 SetServiceStart('ASInsHelp', 4);

 DeleteService('ASInsHelp');

 DeleteFile('C:\WINDOWS\system32\drivers\AsInsHelp32.sys');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

end.

А можете попробовать например JV16 PT и пр., см. тут

Не было желания создавать новую тему выложу логи в этом сообщении:
З.Ы. причины нестабильность системы, а именно 3-5минутные подвисания после перезагрузки или при первом старте, а сегодня днем вообще вместо скорости интернета 1000/100 выдает не больше чем 150/15 правда было два раза просветление и скорость стала нормальной ...

C:\Program Files\Anyplace Control 4\apc_host.exe - д.б. not-a-virus:RemoteAdmin.Win32.AnyplaceControl по KAV, программу сами ставили? Рекомендую деинсталлировать.
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, выключите антивирус, firewall и другое защитное программное обеспечение, отключите интернет (или включите временно брандмауэр windows), нажмите кнопку «Запустить».

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 SetServiceStart('Anyplace Control Security', 4);

 QuarantineFile('C:\Documents and Settings\user32\Рабочий стол\psc2071\winio.sys','');

 QuarantineFile('c:\windows\system32\taskswitch.exe','');

 TerminateProcessByName('c:\windows\svcadmin.exe');

 QuarantineFile('c:\windows\svcadmin.exe','');

 DeleteFile('c:\windows\svcadmin.exe');

 DeleteService('Anyplace Control Security');

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

BC_ImportDeletedList;

ExecuteSysClean;

 BC_DeleteSvc('Anyplace Control Security');

BC_Activate;

RebootWindows(true);

end.

Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".

Код:

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

Повторите логи virusinfo_syscheck.zip и hijackthis

Цитата:

Цитата Pili

программу сами ставили? »

, да ставил сам, но потом удалил, хотя было видно что остались хвосты думал что почистил хвосты ... все ваши рекомендации выполнил ...

Цитата:

Цитата Pili

Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему »

, отправил.

C:\Documents and Settings\user32\Рабочий стол\psc2071\winio.sys - в карантин не попал, поищите вручную и проверьте на virustotal.com
Остатки от Anyplace Control 4 можете почистить скриптом, но рекомендую использовать для удаления стандартные средства или сторонние утилиты.

Код:

begin

 DeleteFile('C:\Program Files\Anyplace Control 4\apc_host.exe');

 DeleteService('APC-Host');

ExecuteSysClean;

RebootWindows(true);

end.

можете еще пофиксить

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm

O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)

195.42.130.2,195.42.130.3 - ваши DNS?
По логам зловредного не видно, попробуйте деинсталлировать Prio Process Control и украшательства (VistaDriveIcon и пр.), у вас какая-то сборка windows (многие системные файлы не прошли по базе безопасных AVZ), может от этого проблемы, попробуйте установить официальный SP3, также у вас много записей в hosts файле, возможно замедление работы в интернет.
Можете ещё провериться с помощью MBAM и ComboFix
Скачайте Malwarebytes' Anti-Malware - здесь, здесь или здесь. Установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Скачайте ComboFix здесь или здесь и сохраните на рабочий стол.
Можете установить Recovery Console по инструкции - how-to-use-combofix, и http://support.microsoft.com/kb/310994 - скачайте установочный файл для своей ОС (напр. Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать также этот файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console.
1. Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt в сообщение или запакуйте C:\ComboFix.txt и прикрепите к сообщению
Как использовать ComboFix - how-to-use-combofix и здесь

Цитата:

Цитата Pili

195.42.130.2,195.42.130.3 - ваши DNS? »

, да мои ... использую собранную своими ручками сборку ... проблемы начались буквально недавно ... hosts, это наверное после роботы Spybot - Search & Destroy v1.6, попробую последовать некоторым из ваших рекомендаций ...

Цитата:

Цитата Pili

C:\Documents and Settings\user32\Рабочий стол\psc2071\winio.sys - в карантин не попал, поищите вручную и проверьте на virustotal.com »

, такого файла как по указанному адресу, так и вообще в системе нету ...

Использую оригинальный образ от МС с СП3

Pili, я так понял мне нужно использовать WindowsXP-KB310994-SP2-Pro-BootDisk-RUS.exe, а то я с первого раза когда прочитал не понял в чем суть ...

Код:

Malwarebytes' Anti-Malware 1.31

Database version: 1474

Windows 5.1.2600 Service Pack 3



08.12.2008 18:00:16

mbam-log-2008-12-08 (18-00-16).txt



Scan type: Full Scan (C:\|D:\|E:\|)

Objects scanned: 119367

Time elapsed: 28 minute(s), 48 second(s)



Memory Processes Infected: 0

Memory Modules Infected: 0

Registry Keys Infected: 0

Registry Values Infected: 0

Registry Data Items Infected: 0

Folders Infected: 0

Files Infected: 0



Memory Processes Infected:

(No malicious items detected)



Memory Modules Infected:

(No malicious items detected)



Registry Keys Infected:

(No malicious items detected)



Registry Values Infected:

(No malicious items detected)



Registry Data Items Infected:

(No malicious items detected)



Folders Infected:

(No malicious items detected)



Files Infected:

(No malicious items detected)

Цитата:

Цитата zeroua

, такого файла как по указанному адресу, так и вообще в системе нету ... »

Видимо осталось упоминание в реестре от psc2071 (похоже Power Supply Calculator), можете почистить скрипом

Код:

begin

 DeleteFile('C:\Documents and Settings\user32\Рабочий стол\psc2071\winio.sys');

 DeleteService('WINIO');

ExecuteSysClean;

end.

По логу combofix тоже не вижу ничего плохого.
Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u

Pili, все классно, но пк как лагал так и лагает, но это не беда я скоро буду переставлять ОС, но проблема в том что тормозит интернет причем то скорость нормальная то вообще мизерная ...

З.Ы. Смахивает на то что нужно прибегать к более радикальным методам или можно ещё что-то придумать ?

Цитата:

Цитата zeroua

Смахивает на то что нужно прибегать к более радикальным методам »

К каким? Зловредов по логам не видно, ищите проблемы в железе или установленном софте, рекомендации по удалению некоторых программ и установке WindowsXP SP3 я уже давал. По медленной работе интернет - к провайдеру и, как я уже говорил, у вас много записей в файле hosts, это тоже может влиять. Если хотите ещё поискать вирусы, можете провериться с помощью онлайн антивирусов, ссылка есть в подписи, например
F-Secure Online Scanner
TrendMicro HouseCall Java Scan
Советую почитать эти рекомендации на англ.