Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Система грузится 15 мин. Процессы не могут получить доступ к памяти. (http://forum.oszone.net/showthread.php?t=122997)

Tekime 15-11-2008 12:00 953298
Система грузится 15 мин. Процессы не могут получить доступ к памяти.
 
Вложений: 3
Доброго времени суток.
Вопрос следующий:
С недавних пор начали долго грузиться некоторые системные процессы на ноуте (ХР про СП3).
Загружается рабочий стол, можно производить определенные манипуляции, такие как: запускать и играть в игры, запускать сторонние программы установленные мной после установки винды. Но при этом нельзя воспользоваться стандартными средствами: Пуск->Что-то (например, выполнить или справка), подключиться к интернету и прочее. Также долго грузятся значки сети.
Захожу в Process Manager и вижу: три процесса svchost.exe и процесс system не могут открыть маркер доступа (рис. 2). svchost'ы перезагружаю, все нормально становиться. Также если подождать минут 15-20 все подгружается самостоятельно.
Ноут - Асер, 2 дуо, 3 гига памяти.
Прилагаю 2 скрина диспетчера: 1 - сразу после загрузки, 2 - через 10 минут после загрузки.
Стандартный диспетчер показывает процессы, без имени пользователя, от которого запущены. Только system.
Все манипуляции, указанные в памятке по лечению выполнил, не помогли. Архивы прилагаю.
Благодарен за любую помощь.

Severny 15-11-2008 12:41 953318
В HijackThis выдели значения и нажми Fix checked.
Код:
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O3 - Toolbar: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O2 - BHO: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
В AVZ меню Файл - Выполнить скрипт. Скопируй код и нажми "Запустить".
Код:
begin
 SetServiceStart('RemoteRegistry', 4);
 SetServiceStart('wscsvc', 4);
ExecuteRepair(6);
RebootWindows(true);
end.
Ты ставил AVPTools? Удалял корректно?

Pili 15-11-2008 13:51 953371
Tekime, есть вероятность что, либо из за сборки windows, либо из за применения утилит очистки, сбились пути в реестре, либо из-за исп-ия защитных программ утилита некорректно отобразила пути некоторых служб.
Выполните ещё один скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\PLFSetI.exe','');
 QuarantineFile('C:\WINDOWS\C:\WINDOWS\system32\svchost.exe','');
BC_ImportAll;
 BC_QrFile('C:\WINDOWS\C:\WINDOWS\system32\svchost.exe');
 BC_QrSvc('RemoteRegistry');
 BC_QrSvc('wscsvc');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Код:
begin       
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip отправьте на user15802[at]mail.ru, в теле письма укажите ссылку на тему.

Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru
O4 - HKLM\..\RunOnce: [ZZ_WSE] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection %SystemRoot%\inf\wse.inf,WSESetting,0
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
строчки
Код:
O4 - HKUS\S-1-5-19\..\RunOnce: [Rebuild Icon Cache] REBUILDI.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [Rebuild Icon Cache] REBUILDI.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [Rebuild Icon Cache] REBUILDI.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Rebuild Icon Cache] REBUILDI.EXE (User 'Default user')
в принципе тоже можете пофиксить, я так понимаю, что они остались от кривой сборки (если после фикс. возникнут проблемы строчки можно вернуть hijackthis - view the list of backups

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Скачайте SDFix - описание тут, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования запакуйте и вложите C:\Report.txt в сообщение.

Скачайте ComboFix здесь или здесь и сохраните на рабочий стол.
Можете установить Recovery Console по инструкции - how-to-use-combofix, и http://support.microsoft.com/kb/310994 - скачайте установочный файл для своей ОС (напр. Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать также этот файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console.
1. Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится запакуйте C:\ComboFix.txt и прикрепите к сообщению
Как использовать ComboFix - how-to-use-combofix

Tekime 15-11-2008 21:22 953638
Вложений: 2
Сделал все что написали.
Проблема полностью не решилась. Время полной загрузки сократилось до 5 минут (с 15). Все логи прилагаю.
AVPTools не ставил. Какой-то avg ставил, удалял вроде полностью, как положено.
Лог Малвары:
Код:
Malwarebytes' Anti-Malware 1.30
Версия базы данных: 1306
Windows 5.1.2600 Service Pack 3

15.11.2008 20:02:49
mbam-log-2008-11-15 (20-02-49).txt

Тип проверки: Полная (C:\|D:\|)
Проверено объектов: 180354
Прошло времени: 1 hour(s), 7 minute(s), 5 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 7
Заражено значений реестра: 3
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 2

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_CLASSES_ROOT\toolband.xttbpos00 (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{77d6ddfa-7834-4541-b2b3-a8b0fb0e3924} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{4bd2d6c3-31dc-b947-23d0-dc52ec4f0c4c} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\toolband.xttbpos00.1 (Adware.BHO) -> Quarantined and deleted successfully.

Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.

Заражено параметров реестра:
(Вредоносные программы не обнаружены)

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
C:\Program Files\ICQToolbar\toolbaru.dll (Adware.BHO) -> Quarantined and deleted successfully.
C:\Program Files\Total Commander Podarok Edition\Plugins\wdx\wdx_Image_Info_1.4\Images.wdx (Backdoor.Bot) -> Quarantined and deleted successfully.

Severny 15-11-2008 21:35 953649
Цитата:
Цитата Tekime
Какой-то avg ставил, удалял вроде полностью, как положено. »
Ты его удалял? Если да, то выполни такой скрипт в AVZ.
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 SetServiceStart('AvgMfx86', 4);
 SetServiceStart('AvgLdx86', 4);
 DeleteService('AvgMfx86');
 DeleteService('AvgLdx86');
 DeleteFile('C:\WINDOWS\system32\avgrsstx.dll');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\30195472.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\avgldx86.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\avgmfx86.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
А файрволл Comodo ты удалял?
Повтори логи.

Цитата:
Тип проверки: Полная (C:\|D:\|)
Проверено объектов: 180354
Прошло времени: 1 hour(s), 7 minute(s), 5 second(s)
У тебя много занято места на HDD? Довольно продолжительное время сканирование шло.
В Диспетчере устройств перейди IDE-ATA/ATAPI-контроллеры -- Первичный или Вторичный каналы IDE. По двойному щелчку на вкладке "Дополнительные параметры" посмотри, не стоит ли режим передачи PIO на каком-либо из контроллеров.

Tekime 15-11-2008 23:23 953690
Вложений: 3
Скрипт выполнил. В реестре осталось довольно много упоминаний AVG и Comodo. Кстати, вся байда началась примерно в то время, когда Comodo удалил.
На харде занято 85% места.
На одном из Вторичных каналов IDE на устройстве 0 стоит только PIO. На остальных - DMA, если доступно.

Severny 15-11-2008 23:38 953702
Н-да, значит ты и Comodo удалил.
Выполни тогда скрипт
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 SetServiceStart('avg8wd', 4);
 SetServiceStart('Inspect', 4);
 SetServiceStart('cmdHlp', 4);
 SetServiceStart('cmdGuard', 4);
 SetServiceStart('cmdAgent', 4);
 DeleteService('avg8wd');
 DeleteService('Inspect');
 DeleteService('cmdHlp');
 DeleteService('cmdGuard');
 DeleteService('cmdAgent');
 DeleteFile('C:\WINDOWS\System32\DRIVERS\cmdguard.sys');
 DeleteFile('C:\WINDOWS\System32\DRIVERS\cmdhlp.sys');
 DeleteFile('C:\WINDOWS\system32\Drivers\inspect.sys');
 DeleteFile('C:\WINDOWS\System32\DRIVERS\inspect.sys');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\cmdhlp.sys');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\cmdguard.sys');
 DeleteFile('C:\PROGRA~1\AVG8\avgwdsvc.exe');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('C:\PROGRA~1\AVG8\avgwdsvc.exe');
BC_Activate;
RebootWindows(true);
end.
После перейди в Диспетчер устройств и удали тот контроллер, на котором PIO.
Перегрузись.
Загрузка должна пройти быстрее. Проверь, встал ли режим DMA.
(Смотри в "Текущий режим передачи")

А игры, которые используют защиту StarForce и др. ты тоже удалил?

Сделай Пуск -- Выполнить-- combofix /u -- ОК.

После всего повтори логи AVZ.

Tekime 16-11-2008 00:10 953721
Это привод. Режим PIO остался после перезагрузки.
В игры с дисков не играю, посему защиты не помню, чтоб устанавливались.
Логи выложу уже завтра.
Спасибо за старание..

Severny 16-11-2008 00:26 953732
Цитата:
Цитата Tekime
посему защиты не помню, чтоб устанавливались. »
Есть такие. Будешь отключать? При необходимости можно будет вернуть обратно.

Tekime 16-11-2008 00:49 953749
Вложений: 1
Логи.
Брандмауэр начал ругаться, что AVG выключен.
В безопасном режиме такая же ситуация с диспетчером задач: имя пользователя определено только у бездействия - system. Остальные подгружаются потом.

Tekime 16-11-2008 00:52 953750
Если надо отключить, то буду. Как узнать какие используют? У меня все с кряками, так что... Одну знаю, но установил только пару дней назад.

Severny 16-11-2008 01:04 953758
Цитата:
Цитата Tekime
Брандмауэр начал ругаться, что AVG выключен. »
Мы того и добивались.
Это после Combofix. Не брандмауэр, но Система Безопасности. Чтобы не надоедала, давай отключим (ох, получу от модератора :) )
Выполни скрипт.
Код:
begin
 SetServiceStart('sfdrv01', 4);
 SetServiceStart('cmdAgent', 4);
 SetServiceStart('wscsvc', 4);
 DeleteService('cmdAgent');
 DeleteFile('C:\Program Files\COMODO\Firewall\cmdagent.exe');
RebootWindows(true);
end.
Цитата:
Цитата Tekime
Как узнать какие используют? »
Попробуем только StarForce.

Цитата:
Цитата Tekime
В безопасном режиме такая же ситуация с диспетчером задач: имя пользователя определено только у бездействия - system. Остальные подгружаются потом. »
Ну не знаю. Может посмотреть в событиях системы, какая служба подгружается с задержкой.
Мой компьютер правой кнопкой -- Управление -- Просмотр событий - Система.

Тебе нужно отлючить Восстановление системы. В правилах написано как.

Tekime 16-11-2008 09:42 953849
StarForce удалил, драйвер защиты DiRT (большинство ошибок в журнале из-за нее было) тоже.
Остались 2 ошибки:
Код:
Тип события:        Ошибка
Источник события:        ACPIEC
Категория события:        Отсутствует
Код события:        1
Дата:                16.11.2008
Время:                13:13:57
Пользователь:                Н/Д
Компьютер:        COMP
Описание:
\Device\ACPIEC: Встроенный контроллер оборудования не ответил в отведенный таймаут. Это может указывать на ошибку в микропрограмме контроллера, или некорректно работающий BIOS, который выполняет небезопасные запросы к контроллеру. Драйвер контроллера попытается выполнить запрос повторно.
Данные:
0000: 00 00 68 00 01 00 be 00  ..h...¾.
0008: 00 00 00 00 01 00 05 c0  .......À
0010: 00 00 00 00 00 00 00 00  ........
0018: 00 00 00 00 00 00 00 00  ........
0020: 00 00 00 00 00 00 00 00  ........
0028: 99 9e 36 00 13 19 ff ff  ™ž6...ÿÿ
0030: 73 00 05 00 13 0a 10 00  s.......
0038: 83 00 52 01 a3 09 a7 04  ƒ.R.£.§.
0040: 13 0a 1b 00 33 82 05 00  ....3‚..
0048: 15 08 0e 00 10 08 5b 00  ......[.
0050: 60 00 05 00 90 01 47 0d  `....G.
0058: 70 00 07 00 10 08 11 00  p.......
0060: 80 00 07 00 10 08 60 00  €.....`.
0068: 60 00 05 00 50 00 ca 09  `...P.Ê.
0070: 70 00 09 00 10 1a 0f 00  p.......
0078: 80 00 0a 00 30 83 08 00  €...0ƒ..
0080: 15 10 0a 00 21 41 0b 00  ....!A..
0088: 11 11 7a 07 a1 1b ae 4a  ..z.¡.®J
Код:
Тип события:        Уведомление
Источник события:        Tcpip
Категория события:        Отсутствует
Код события:        4202
Дата:                16.11.2008
Время:                10:46:58
Пользователь:                Н/Д
Компьютер:        COMP
Описание:
Система обнаружила, что сетевой адаптер \DEVICE\TCPIP_{F664EE37-3621-4660-B521-E2768DFF2DB6} был отключен от сети, и сетевая конфигурация этого адаптера была освобождена. Если сетевой адаптер не был отключен, то возможно, что он неисправен. Чтобы получить обновленные  драйверы, обратитесь к вендору.
Данные:
0000: 00 00 00 00 02 00 50 00  ......P.
0008: 00 00 00 00 6a 10 00 40  ....j..@
0010: 02 00 00 00 00 00 00 00  ........
0018: 00 00 00 00 00 00 00 00  ........
0020: 00 00 00 00 00 00 00 00  ........
После нее в журнале 2 мин 30 сек до следующего события. Очевидно, из-за карточки задержка идет. Драйвера официальные.

Tekime 16-11-2008 15:49 954097
Если сетевуху отключить, остается только ошибка ACPIEC и та же самая задержка.

Pili 16-11-2008 16:22 954120
Tekime, RegSupremePro.exe зловред по VT - см. здесь , остальные в карантине чистые, рекомендую вообще удалить или не использовать эту версию total commander
Выполните скрипт в AVZ
Код:
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\Program Files\Total Commander Podarok Edition\Programm\RegSupremePro\RegSupremePro.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
По удалению AVG - можете установить AVG - http://free.avg.com/download обновить базы, просканировать систему и удалить (по желанию) через установку/удаление программ, то же самое можете проделать с Comodo.
По ACPIEC, для выключения службы можете сохранить текст ниже как ACPIEC_OFF.reg и применить
Код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ACPIEC]
"Start"=dword:00000004
Если снова захотите включить, твик ACPIEC_on.reg
Код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ACPIEC]
"Start"=dword:00000000
По логам зловредов больше не видно, ваши проблемы скорее всего связаны с той сборкой windows, которую вы используете, но всё-таки попробуем посмотреть ещё др. утилитами:
Скачайте RSIT, сохраните на рабочий стол и запустите, когда закончится процесс сканирования, запакуйте файлы log.txt и info.txt и прикрепите архив.
Скачайте OTViewIt сохраните на рабочий стол и запустите, запакуйте полученные логи OTViewIt.txt и Extras.txt и прикрепите к сообщению.

Tekime 18-11-2008 17:58 956101
Вложений: 3
Логи.
На скрине не ошибки?

Severny 18-11-2008 19:02 956155
Цитата:
Цитата Tekime
На скрине не ошибки? »
Это не ошибки. Относится к прерываниям и железу (драйверам). На скрине все в порядке.

Pili 18-11-2008 20:14 956233
Цитата:
Цитата Tekime
На скрине не ошибки? »
На последнем 1.jpg нет.
Можете пофиксить в HJT
Код:
O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user')
O9 - Extra button: Microsoft Knowledge Base - {8B2D996F-B7D1-4961-A929-414D9CF5BA7B} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra 'Tools' menuitem: Microsoft Knowledge Base - {8B2D996F-B7D1-4961-A929-414D9CF5BA7B} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O20 - Winlogon Notify: AWinNotifyVitaKey MC3000 - C:\WINDOWS\
И дополнительно попробуйте убрать из автозагрузки PLFSetI.exe, пофиксив строчку
Код:
O4 - HKLM\..\Run: [PLFSetI] C:\WINDOWS\PLFSetI.exe
Удалите все *.tmp из папок C:\WINDOWS\System32\ и C:\WINDOWS\
CursorXP рекомендую деинсталлировать - "украшательство". Загрузка также м.б. долгой из-за установленого VMware

По логам зловредов не видно. Драйверов от avg в реестре не видно, часть файлов осталась
Код:
C:\WINDOWS\System32\drivers\Avg\incavi.avm
C:\WINDOWS\System32\drivers\Avg\avi7.avg
C:\WINDOWS\System32\drivers\Avg\miniavi.avg
 C:\WINDOWS\System32\drivers\Avg\microavi.avg
C:\WINDOWS\System32\drivers\Avg
C:\Documents and Settings\Администратор\Application Data\AVGTOOLBAR
C:\Documents and Settings\All Users\Application Data\avg8
От Comodo осталась служба
Код:
S4 cmdAgent;COMODO Firewall Pro Helper Service; C:\Program Files\COMODO\Firewall\cmdagent.exe []
службу можете удалить командой
Код:
sc delete cmdAgent
Имхо, проблема в самой сборке windows (ошибки в журнале событий косвенно увказывают на это), но, можете ещё просканироваться с помощью F-Secure Online Scanner или(и) TrendMicro HouseCall Java Scan - эти онлайновые сканеры умеют лечить зловредов, логи сканирования можете сохранить и выложить.

Tekime 18-11-2008 21:03 956274
В общем все грузиться шустро, за исключением задержки в 2.30 мин из-за вот этой ошибки:

Код:
Тип события:        Уведомление  Источник события:        Tcpip  Категория события:        Отсутствует  Код события:        4202  Дата:                18.11.2008  Время:                20:26:39  Пользователь:                Н/Д  Компьютер:        COMP  Описание:  Система обнаружила, что сетевой адаптер \DEVICE\TCPIP_{66E48EC7-FDC8-4455-92A9-EFFDA9909543} был отключен от сети, и сетевая конфигурация этого адаптера была освобождена. Если сетевой адаптер не был отключен, то возможно, что он неисправен. Чтобы получить обновленные  драйверы, обратитесь к вендору.  Данные:  0000: 00 00 00 00 02 00 50 00  ......P.  0008: 00 00 00 00 6a 10 00 40  ....j..@  0010: 02 00 00 00 00 00 00 00  ........  0018: 00 00 00 00 00 00 00 00  ........  0020: 00 00 00 00 00 00 00 00  ........

Pili 18-11-2008 21:55 956324
сетевой адаптер \DEVICE\TCPIP_{66E48EC7-FDC8-4455-92A9-EFFDA9909543
Это у вас Generic Marvell Yukon 88E8071 based Ethernet Controller
служба(драйвер) yukonwxp это
Код:
R2 yukonwxp;NDIS5.1 Miniport Driver for Marvell Yukon Ethernet Controller; C:\WINDOWS\system32\DRIVERS\yk51x86.sys [2008-02-21 286336]
Попробуйте переустановить драйвера

Tekime 19-11-2008 17:04 957178
Дрова обновил - не помогло. Буду разбираться с карточкой. На др. форумах смотрел, проблема в ней.
Всем спасибо за помощь.

Pili 19-11-2008 17:18 957193
Tekime, завершающий этап. Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u
Скачайте OTCleanIt, запустите, нажмите Clean up
Удалите все предыдущие точки восстановления и создайте новую.
Цитата:
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
>> Безопасность: разрешен автоматический вход в систему
Проверка завершена
9. Мастер поиска и устранения проблем
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Рекомендую отключить неиспользуемые службы и настроить безопасность (отключить доступ анонимного пользователя, откючить автозапуск), по службам можно почитать здесь, дополнительно по безопасности Windows XP можно почитать здесь, если что не требуется - скажите, можно отключить скриптом.
Советую почитать и выполнить рекомендации по защите от автозапуска
Рекомендую не работать за компьютером с правами администратора, не использовать Internet Explorer или отключить в нем ActiveX, пользоваться Firefox c плагином NoScript и AdBlock Plus
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" и для предотвращения заражения в будущем следовать рекомендациям, описанным в этой книге. Чистого вам интернета!


Время: 07:19.

Время: 07:19.
© OSzone.net 2001-