Не открывается диспетчер устройств

[lm_]

После лечения вирусов на компьютере перестал открываться диспетчер устройств. Очень долго открывается мой компьютер. Диспетчер задач загружен процентов на 70. После отключения службы Plug and Play компьютер летает. Но нет ни музыки, ни значка безопасное извлечение устройств.

Отключив службу Plug and Play обновил Windows XP sp2 до sp3. Не помогло.

Что можно предпринять, чтобы вернуть систему к жизни?

[Mark D. Pearlstone]

Для начала выполнить правила раздела, раз уж сюда обратились http://forum.kasperskyclub.ru/index.php?showtopic=1698

[lm_]

Для начала выполнить правила раздела, раз уж сюда обратились http://forum.kasperskyclub.ru/index.php?showtopic=1698

Вот логи, кстати в логах есть еще файл virusinfo_cure.zip в котором заархивирован один файл с подозрением на вирус (Он запаролен). Что с ним делать? Тоже выложить сюда?

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Roman_Five]

Тоже выложить сюда?

нет.

 

Рекомендуется удалить ПО, которое может конфликтовать с установленной антивирусной программой:

- Ask Toolbar;

- Save Tube Video.

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('c:\windows\system32\ccm\clicomp\remctrl\wuser32.exe','');
QuarantineFile('C:\WINDOWS\system32\ServiceRepair.exe','');
QuarantineFile('C:\Documents and Settings\2134-00159\Application Data\Microsoft\Installer\{4059B475-06E5-4E5C-8549-B7857AB33668}\NewShortcut1_4.exe','');
QuarantineFile('C:\Documents and Settings\2134-00159\Application Data\Microsoft\Installer\{4059B475-06E5-4E5C-8549-B7857AB33668}\NewShortcut1_2.exe','');
QuarantineFile('C:\Protector Plus\PPEMSCAN.sys','');
QuarantineFile('C:\Protector Plus\PPDrv.sys','');
QuarantineFile('AEServ.sys','');
QuarantineFile('C:\AISNalog\Services\NTService.exe','');
QuarantineFile('C:\WINDOWS\system32\LogLaun.dll','');
QuarantineFile('C:\WINDOWS\system32\Drivers\AeInput.sys','');
DelBHO('{F334C7B0-8774-4d5b-BD7A-4F448D03A1AE}');
DelBHO('{2863E737-DD3F-4280-9AF8-E9E79C16F312}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ru.ask.com/?o=101718&l=dis
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - c:\Program Files\Ask.com\GenericAskToolbar.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - c:\Program Files\Ask.com\GenericAskToolbar.dll
O2 - BHO: ShowBarObj Class - {2863E737-DD3F-4280-9AF8-E9E79C16F312} - C:\Program Files\Save Tube Video Company\SaveTubeVideoBurn\MinBHO.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - c:\Program Files\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Save Tube Video - {F334C7B0-8774-4d5b-BD7A-4F448D03A1AE} - C:\Program Files\Save Tube Video Company\SaveTubeVideoBurn\SaveTubeVideo.dll
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-116022207-583602576-2121419680-664152\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')

 

 

установите все обновления (может потребоваться активация).

 

проверьте системный раздел скандиском.

пуск-выполнить-chkdsk C: /v /f /r /x

нажать Y

перезагрузиться. подождать.

 

проверьте целостность системы (может потребоваться диск с Windows)

пуск-выполнить-sfc /scannow

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (загрузить обновление MBAM).

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

[lm_]

Пока результата не видно. Запускаю службу Plug and Play и процессор загружается на 70%. Провел все скрипты, теперь запустил -sfc /scannow, ждем-с.

[Roman_Five]

ждем-с.

и что, за 4 часа не проверило?..

ответа с вирлаба не было?

лог MBAM не забудьте.

[lm_]

и что, за 4 часа не проверило?..

ответа с вирлаба не было?

лог MBAM не забудьте.

С вирлаба пришел ответ:

Запросы на проверку файлов, отправленные не с перечисленных выше форм , будут обработаны в порядке очереди.

 

AeInput.sys,

bcqr00005.dat,

bcqr00006.dat,

bcqr00007.dat,

bcqr00008.dat,

bcqr00017.dat,

bcqr00018.dat,

bcqr00019.dat,

bcqr00020.dat,

LogLaun.dll,

NewShortcut1_2.exe,

NewShortcut1_4.exe

 

Файлы в процессе обработки.

 

bcqr00001.dat,

bcqr00002.dat,

bcqr00003.dat,

bcqr00004.dat,

bcqr00015.dat,

bcqr00016.dat,

NTService.exe,

ServiceRepair.exe

 

Вредоносный код в файлах не обнаружен.

 

С уважением, Лаборатория Касперского

 

Это одно. Дальше

MBAM обновить не могу. Лог с базами 135 дневной давности.

 

Пробую включить службу Plug and Play компьютер зависает по полной. Система в том же состоянии.

Как я понимаю, можно все драйвера удалить. Только как это сделать, если в диспетчер устройств невозможно войти!

mbam_log_2011_05_04__15_07_10_.txt

Изменено 5 мая, 2011 пользователем lm_

[Roman_Five]

Тип сканирования: Быстрое сканирование

необходимо было сделать полную проверку

 

запустите снова быструю.

затем удалите в MBAM всё, что будет найдено.

после этого перезагрузитесь. запустите MBAM. обновите базы. сделайте полную проверку.

 

sfc отработало? что написало?

 

Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол.

 

1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[lm_]

Меня смутило, что базы старые. Поставил на полную проверку. А есть где обновления на MBAM? По вышеуказанным ссылкам не обновляется.

[Roman_Five]

А есть где обновления на MBAM?

1. пробовали так:

запустите снова быструю.

затем удалите в MBAM всё, что будет найдено.

после этого перезагрузитесь. запустите MBAM. обновите базы.

?

2.

sfc отработало? что написало?

3.

запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

[lm_]

1. пробовали так:

 

?

2.

3.

 

запустите снова быструю.

затем удалите в MBAM всё, что будет найдено.

после этого перезагрузитесь. запустите MBAM. обновите базы.

Это пробовал, не обновляется. Ссылка, которая предназначена для скачивания обновления дает ошибку 401

 

Вот, вопрос: sfc отработало, только я не заметил, как оно закончилось. Просто завершилось и все. Где то можно лог посмотреть?

 

Запускаю ComboFix

mbam_log_2011_05_06__08_01_41_.txt

[Roman_Five]

Проверьте на virustotal.com

c:\program files\icolorfolder\icolorfolder.exe
c:\program files\Motorola\PST\pst_uni_patch.exe
c:\program files\usD\captchaocr\caps_net\test.exe
c:\totalcmd\Programm\hide ip platinum\keygen.exe
c:\totalcmd\Programm\MyProxy\loader.exe
c:\Максимов\рабочий стол\adobe photoshop cs2 9 rus\keygen.exe
c:\Игры\CowBall\wrapperinstall.exe
c:\Setup\ProduKey.exe

все ссылки на результаты проверки приложите.

 

Удалите в MBAM:

c:\system volume information\_restore{97d2ae06-27ad-40a8-99c8-e510a00b79c4}\RP149\A0133344.exe (Trojan.Downloader) -> No action taken.
c:\system volume information\_restore{97d2ae06-27ad-40a8-99c8-e510a00b79c4}\RP149\A0133931.exe (Malware.Packer.Gen) -> No action taken.
c:\system volume information\_restore{97d2ae06-27ad-40a8-99c8-e510a00b79c4}\RP149\A0134115.exe (Malware.Packer.Gen) -> No action taken.
c:\system volume information\_restore{97d2ae06-27ad-40a8-99c8-e510a00b79c4}\RP149\A0134181.exe (Malware.Packer.Gen) -> No action taken.
c:\system volume information\_restore{97d2ae06-27ad-40a8-99c8-e510a00b79c4}\RP149\A0134182.exe (Malware.Packer.Gen) -> No action taken.
c:\system volume information\_restore{97d2ae06-27ad-40a8-99c8-e510a00b79c4}\RP149\A0134183.exe (Malware.Packer.Gen) -> No action taken.
c:\system volume information\_restore{97d2ae06-27ad-40a8-99c8-e510a00b79c4}\RP149\A0134184.exe (Malware.Packer.Gen) -> No action taken.
c:\system volume information\_restore{97d2ae06-27ad-40a8-99c8-e510a00b79c4}\RP149\A0134213.exe (Malware.Packer.Gen) -> No action taken.
c:\system volume information\_restore{97d2ae06-27ad-40a8-99c8-e510a00b79c4}\RP149\A0134351.exe (Malware.Packer.Gen) -> No action taken.
c:\system volume information\_restore{97d2ae06-27ad-40a8-99c8-e510a00b79c4}\RP149\A0134383.exe (Malware.Packer.Gen) -> No action taken.
c:\system volume information\_restore{97d2ae06-27ad-40a8-99c8-e510a00b79c4}\RP149\A0135166.exe (RiskWare.Tool.CK) -> No action taken.
c:\system volume information\_restore{97d2ae06-27ad-40a8-99c8-e510a00b79c4}\RP149\A0135181.exe (Malware.Packer.Gen) -> No action taken.
c:\system volume information\_restore{97d2ae06-27ad-40a8-99c8-e510a00b79c4}\RP149\A0135315.exe (Malware.Packer.Gen) -> No action taken.
c:\system volume information\_restore{97d2ae06-27ad-40a8-99c8-e510a00b79c4}\RP149\A0135316.exe (Malware.Packer.Gen) -> No action taken.
c:\system volume information\_restore{97d2ae06-27ad-40a8-99c8-e510a00b79c4}\RP149\A0135317.exe (Malware.Packer.Gen) -> No action taken.
c:\system volume information\_restore{97d2ae06-27ad-40a8-99c8-e510a00b79c4}\RP149\A0135318.exe (Malware.Packer.Gen) -> No action taken.

 

Dj время работы Combofix нельзя работать за PC.

[lm_]

Во время работы CombpFix работать и так невозможно. Он все приложения сам закрывает. Вот лог:

 

Логи проверок

http://www.virustotal.com/file-scan/report...bd40-1304658158

http://www.virustotal.com/file-scan/report...e432-1304658274

http://www.virustotal.com/file-scan/report...99bc-1304658362

http://www.virustotal.com/file-scan/report...c903-1304658408

http://www.virustotal.com/file-scan/report...c75e-1304658498

http://www.virustotal.com/file-scan/report...3664-1304658505

http://www.virustotal.com/file-scan/report...5427-1304658544

http://www.virustotal.com/file-scan/report...bd97-1304658576

 

MBAM обновил

лог быстрой проверки:

log.txt

mbam_log_2011_05_06__09_13_04_.txt

[Roman_Five]

MBAM обновил

лог быстрой проверки:

запустите ПОЛНУЮ проверку с новыми базами.

в конце проверки удалите это:

c:\program files\icolorfolder\icolorfolder.exe (Trojan.Agent) -> No action taken.
c:\totalcmd\Programm\hide ip platinum\keygen.exe (Trojan.Agent.CK) -> No action taken.
c:\Максимов\рабочий стол\adobe photoshop cs2 9 rus\keygen.exe (Trojan.Agent.CK) -> No action taken.
c:\program files\Motorola\PST\pst_uni_patch.exe (BackDoor.Bifrose) -> No action taken.

полученный лог приложите.

 

по логу Combofix видно, что у Вас не работают следующие службы:

PPEMSCAN
AEServ
Pdcocvod
AeInput
Consult

рекомендуется зачистить от них следы в реестре.

через скрипт Combofix это делать не совсем корректно...

 

сделайте новые логи по правилам.

что с симптомами?

 

с какого числа они, кстати, проявились?

 

проверьте на virustotal.com и эти файлы:

c:\windows\system32\drivers\tifsfilt.sys
c:\windows\system32\drivers\timntr.sys
c:\windows\system32\drivers\snman380.sys
c:\windows\system32\devcon.exe
c:\documents and settings\2134-00159\Application Data\Microsoft\Installer\{22E43C57-73DD-4E07-826D-315C371BF513}\comar.transport.exe
c:\documents and settings\2134-00159\Application Data\Microsoft\Installer\{22E43C57-73DD-4E07-826D-315C371BF513}\comar.transport.config.exe
c:\documents and settings\2134-00159\Application Data\Microsoft\Installer\{22E43C57-73DD-4E07-826D-315C371BF513}\comar.injector.exe
c:\documents and settings\2134-00159\Application Data\Microsoft\Installer\{22E43C57-73DD-4E07-826D-315C371BF513}\comar.injector.config.exe
c:\windows\system32\XmlSpyLib.dll
c:\program files\English Trainer.exe

 

sfc отработало, только я не заметил, как оно закончилось. Просто завершилось и все. Где то можно лог посмотреть?

приложите последних 50 строк файла Windows\Logs\CBS\CBS.log отдельным текстовым файлом.

Изменено 6 мая, 2011 пользователем Roman_Five

[lm_]

запустите ПОЛНУЮ проверку с новыми базами.

в конце проверки удалите это:

c:\program files\icolorfolder\icolorfolder.exe (Trojan.Agent) -> No action taken.
c:\totalcmd\Programm\hide ip platinum\keygen.exe (Trojan.Agent.CK) -> No action taken.
c:\Максимов\рабочий стол\adobe photoshop cs2 9 rus\keygen.exe (Trojan.Agent.CK) -> No action taken.
c:\program files\Motorola\PST\pst_uni_patch.exe (BackDoor.Bifrose) -> No action taken.

полученный лог приложите.

 

по логу Combofix видно, что у Вас не работают следующие службы:

PPEMSCAN
AEServ
Pdcocvod
AeInput
Consult

рекомендуется зачистить от них следы в реестре.

через скрипт Combofix это делать не совсем корректно...

 

сделайте новые логи по правилам.

что с симптомами?

 

с какого числа они, кстати, проявились?

 

проверьте на virustotal.com и эти файлы:

c:\windows\system32\drivers\tifsfilt.sys
c:\windows\system32\drivers\timntr.sys
c:\windows\system32\drivers\snman380.sys
c:\windows\system32\devcon.exe
c:\documents and settings\2134-00159\Application Data\Microsoft\Installer\{22E43C57-73DD-4E07-826D-315C371BF513}\comar.transport.exe
c:\documents and settings\2134-00159\Application Data\Microsoft\Installer\{22E43C57-73DD-4E07-826D-315C371BF513}\comar.transport.config.exe
c:\documents and settings\2134-00159\Application Data\Microsoft\Installer\{22E43C57-73DD-4E07-826D-315C371BF513}\comar.injector.exe
c:\documents and settings\2134-00159\Application Data\Microsoft\Installer\{22E43C57-73DD-4E07-826D-315C371BF513}\comar.injector.config.exe
c:\windows\system32\XmlSpyLib.dll
c:\program files\English Trainer.exe

 

Появилось недели две назад. Включил службу Plug and Play опять тормоза пошли.

После того как лечил вирусы, пошла такая хренотень.

Вот, с прошлой недели Generic host process начал аварийно завершать процесс svchost

Ошибка приложения svchost.exe, версия 5.1.2600.5503, модуль acgenral.dll, версия 5.1.2600.5503, адрес 0x000116e2.

MBAM запустил, жду.