lm_ 0 Опубликовано 3 мая, 2011 Share Опубликовано 3 мая, 2011 После лечения вирусов на компьютере перестал открываться диспетчер устройств. Очень долго открывается мой компьютер. Диспетчер задач загружен процентов на 70. После отключения службы Plug and Play компьютер летает. Но нет ни музыки, ни значка безопасное извлечение устройств. Отключив службу Plug and Play обновил Windows XP sp2 до sp3. Не помогло. Что можно предпринять, чтобы вернуть систему к жизни? Цитата Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 709 Опубликовано 3 мая, 2011 Share Опубликовано 3 мая, 2011 Для начала выполнить правила раздела, раз уж сюда обратились http://forum.kasperskyclub.ru/index.php?showtopic=1698 Цитата Ссылка на сообщение Поделиться на другие сайты
lm_ 0 Опубликовано 4 мая, 2011 Автор Share Опубликовано 4 мая, 2011 Для начала выполнить правила раздела, раз уж сюда обратились http://forum.kasperskyclub.ru/index.php?showtopic=1698 Вот логи, кстати в логах есть еще файл virusinfo_cure.zip в котором заархивирован один файл с подозрением на вирус (Он запаролен). Что с ним делать? Тоже выложить сюда? hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 4 мая, 2011 Share Опубликовано 4 мая, 2011 Тоже выложить сюда? нет. Рекомендуется удалить ПО, которое может конфликтовать с установленной антивирусной программой: - Ask Toolbar; - Save Tube Video. Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('c:\windows\system32\ccm\clicomp\remctrl\wuser32.exe',''); QuarantineFile('C:\WINDOWS\system32\ServiceRepair.exe',''); QuarantineFile('C:\Documents and Settings\2134-00159\Application Data\Microsoft\Installer\{4059B475-06E5-4E5C-8549-B7857AB33668}\NewShortcut1_4.exe',''); QuarantineFile('C:\Documents and Settings\2134-00159\Application Data\Microsoft\Installer\{4059B475-06E5-4E5C-8549-B7857AB33668}\NewShortcut1_2.exe',''); QuarantineFile('C:\Protector Plus\PPEMSCAN.sys',''); QuarantineFile('C:\Protector Plus\PPDrv.sys',''); QuarantineFile('AEServ.sys',''); QuarantineFile('C:\AISNalog\Services\NTService.exe',''); QuarantineFile('C:\WINDOWS\system32\LogLaun.dll',''); QuarantineFile('C:\WINDOWS\system32\Drivers\AeInput.sys',''); DelBHO('{F334C7B0-8774-4d5b-BD7A-4F448D03A1AE}'); DelBHO('{2863E737-DD3F-4280-9AF8-E9E79C16F312}'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ru.ask.com/?o=101718&l=dis R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - c:\Program Files\Ask.com\GenericAskToolbar.dll O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - c:\Program Files\Ask.com\GenericAskToolbar.dll O2 - BHO: ShowBarObj Class - {2863E737-DD3F-4280-9AF8-E9E79C16F312} - C:\Program Files\Save Tube Video Company\SaveTubeVideoBurn\MinBHO.dll O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - c:\Program Files\Ask.com\GenericAskToolbar.dll O3 - Toolbar: Save Tube Video - {F334C7B0-8774-4d5b-BD7A-4F448D03A1AE} - C:\Program Files\Save Tube Video Company\SaveTubeVideoBurn\SaveTubeVideo.dll O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?') O4 - HKUS\S-1-5-21-116022207-583602576-2121419680-664152\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?') установите все обновления (может потребоваться активация). проверьте системный раздел скандиском. пуск-выполнить-chkdsk C: /v /f /r /x нажать Y перезагрузиться. подождать. проверьте целостность системы (может потребоваться диск с Windows) пуск-выполнить-sfc /scannow Скачайте Malwarebytes' Anti-Malware здесь или здесь. Установите mbam-setup.exe Обновите базы. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (загрузить обновление MBAM). Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты". Полученный лог прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
lm_ 0 Опубликовано 4 мая, 2011 Автор Share Опубликовано 4 мая, 2011 Пока результата не видно. Запускаю службу Plug and Play и процессор загружается на 70%. Провел все скрипты, теперь запустил -sfc /scannow, ждем-с. Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 4 мая, 2011 Share Опубликовано 4 мая, 2011 ждем-с. и что, за 4 часа не проверило?.. ответа с вирлаба не было? лог MBAM не забудьте. Цитата Ссылка на сообщение Поделиться на другие сайты
lm_ 0 Опубликовано 5 мая, 2011 Автор Share Опубликовано 5 мая, 2011 (изменено) и что, за 4 часа не проверило?..ответа с вирлаба не было? лог MBAM не забудьте. С вирлаба пришел ответ: Запросы на проверку файлов, отправленные не с перечисленных выше форм , будут обработаны в порядке очереди. AeInput.sys, bcqr00005.dat, bcqr00006.dat, bcqr00007.dat, bcqr00008.dat, bcqr00017.dat, bcqr00018.dat, bcqr00019.dat, bcqr00020.dat, LogLaun.dll, NewShortcut1_2.exe, NewShortcut1_4.exe Файлы в процессе обработки. bcqr00001.dat, bcqr00002.dat, bcqr00003.dat, bcqr00004.dat, bcqr00015.dat, bcqr00016.dat, NTService.exe, ServiceRepair.exe Вредоносный код в файлах не обнаружен. С уважением, Лаборатория Касперского Это одно. Дальше MBAM обновить не могу. Лог с базами 135 дневной давности. Пробую включить службу Plug and Play компьютер зависает по полной. Система в том же состоянии. Как я понимаю, можно все драйвера удалить. Только как это сделать, если в диспетчер устройств невозможно войти! mbam_log_2011_05_04__15_07_10_.txt Изменено 5 мая, 2011 пользователем lm_ Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 5 мая, 2011 Share Опубликовано 5 мая, 2011 Тип сканирования: Быстрое сканирование необходимо было сделать полную проверку запустите снова быструю. затем удалите в MBAM всё, что будет найдено. после этого перезагрузитесь. запустите MBAM. обновите базы. сделайте полную проверку. sfc отработало? что написало? Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол. 1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Цитата Ссылка на сообщение Поделиться на другие сайты
lm_ 0 Опубликовано 5 мая, 2011 Автор Share Опубликовано 5 мая, 2011 Меня смутило, что базы старые. Поставил на полную проверку. А есть где обновления на MBAM? По вышеуказанным ссылкам не обновляется. Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 5 мая, 2011 Share Опубликовано 5 мая, 2011 А есть где обновления на MBAM? 1. пробовали так: запустите снова быструю.затем удалите в MBAM всё, что будет найдено. после этого перезагрузитесь. запустите MBAM. обновите базы. ? 2. sfc отработало? что написало? 3. запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
lm_ 0 Опубликовано 6 мая, 2011 Автор Share Опубликовано 6 мая, 2011 1. пробовали так: ? 2. 3. запустите снова быструю. затем удалите в MBAM всё, что будет найдено. после этого перезагрузитесь. запустите MBAM. обновите базы. Это пробовал, не обновляется. Ссылка, которая предназначена для скачивания обновления дает ошибку 401 Вот, вопрос: sfc отработало, только я не заметил, как оно закончилось. Просто завершилось и все. Где то можно лог посмотреть? Запускаю ComboFix mbam_log_2011_05_06__08_01_41_.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 6 мая, 2011 Share Опубликовано 6 мая, 2011 Проверьте на virustotal.com c:\program files\icolorfolder\icolorfolder.exe c:\program files\Motorola\PST\pst_uni_patch.exe c:\program files\usD\captchaocr\caps_net\test.exe c:\totalcmd\Programm\hide ip platinum\keygen.exe c:\totalcmd\Programm\MyProxy\loader.exe c:\Максимов\рабочий стол\adobe photoshop cs2 9 rus\keygen.exe c:\Игры\CowBall\wrapperinstall.exe c:\Setup\ProduKey.exe все ссылки на результаты проверки приложите. Удалите в MBAM: c:\system volume information\_restore{97d2ae06-27ad-40a8-99c8-e510a00b79c4}\RP149\A0133344.exe (Trojan.Downloader) -> No action taken. c:\system volume information\_restore{97d2ae06-27ad-40a8-99c8-e510a00b79c4}\RP149\A0133931.exe (Malware.Packer.Gen) -> No action taken. c:\system volume information\_restore{97d2ae06-27ad-40a8-99c8-e510a00b79c4}\RP149\A0134115.exe (Malware.Packer.Gen) -> No action taken. c:\system volume information\_restore{97d2ae06-27ad-40a8-99c8-e510a00b79c4}\RP149\A0134181.exe (Malware.Packer.Gen) -> No action taken. c:\system volume information\_restore{97d2ae06-27ad-40a8-99c8-e510a00b79c4}\RP149\A0134182.exe (Malware.Packer.Gen) -> No action taken. c:\system volume information\_restore{97d2ae06-27ad-40a8-99c8-e510a00b79c4}\RP149\A0134183.exe (Malware.Packer.Gen) -> No action taken. c:\system volume information\_restore{97d2ae06-27ad-40a8-99c8-e510a00b79c4}\RP149\A0134184.exe (Malware.Packer.Gen) -> No action taken. c:\system volume information\_restore{97d2ae06-27ad-40a8-99c8-e510a00b79c4}\RP149\A0134213.exe (Malware.Packer.Gen) -> No action taken. c:\system volume information\_restore{97d2ae06-27ad-40a8-99c8-e510a00b79c4}\RP149\A0134351.exe (Malware.Packer.Gen) -> No action taken. c:\system volume information\_restore{97d2ae06-27ad-40a8-99c8-e510a00b79c4}\RP149\A0134383.exe (Malware.Packer.Gen) -> No action taken. c:\system volume information\_restore{97d2ae06-27ad-40a8-99c8-e510a00b79c4}\RP149\A0135166.exe (RiskWare.Tool.CK) -> No action taken. c:\system volume information\_restore{97d2ae06-27ad-40a8-99c8-e510a00b79c4}\RP149\A0135181.exe (Malware.Packer.Gen) -> No action taken. c:\system volume information\_restore{97d2ae06-27ad-40a8-99c8-e510a00b79c4}\RP149\A0135315.exe (Malware.Packer.Gen) -> No action taken. c:\system volume information\_restore{97d2ae06-27ad-40a8-99c8-e510a00b79c4}\RP149\A0135316.exe (Malware.Packer.Gen) -> No action taken. c:\system volume information\_restore{97d2ae06-27ad-40a8-99c8-e510a00b79c4}\RP149\A0135317.exe (Malware.Packer.Gen) -> No action taken. c:\system volume information\_restore{97d2ae06-27ad-40a8-99c8-e510a00b79c4}\RP149\A0135318.exe (Malware.Packer.Gen) -> No action taken. Dj время работы Combofix нельзя работать за PC. Цитата Ссылка на сообщение Поделиться на другие сайты
lm_ 0 Опубликовано 6 мая, 2011 Автор Share Опубликовано 6 мая, 2011 Во время работы CombpFix работать и так невозможно. Он все приложения сам закрывает. Вот лог: Логи проверок http://www.virustotal.com/file-scan/report...bd40-1304658158 http://www.virustotal.com/file-scan/report...e432-1304658274 http://www.virustotal.com/file-scan/report...99bc-1304658362 http://www.virustotal.com/file-scan/report...c903-1304658408 http://www.virustotal.com/file-scan/report...c75e-1304658498 http://www.virustotal.com/file-scan/report...3664-1304658505 http://www.virustotal.com/file-scan/report...5427-1304658544 http://www.virustotal.com/file-scan/report...bd97-1304658576 MBAM обновил лог быстрой проверки: log.txt mbam_log_2011_05_06__09_13_04_.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 6 мая, 2011 Share Опубликовано 6 мая, 2011 (изменено) MBAM обновиллог быстрой проверки: запустите ПОЛНУЮ проверку с новыми базами. в конце проверки удалите это: c:\program files\icolorfolder\icolorfolder.exe (Trojan.Agent) -> No action taken. c:\totalcmd\Programm\hide ip platinum\keygen.exe (Trojan.Agent.CK) -> No action taken. c:\Максимов\рабочий стол\adobe photoshop cs2 9 rus\keygen.exe (Trojan.Agent.CK) -> No action taken. c:\program files\Motorola\PST\pst_uni_patch.exe (BackDoor.Bifrose) -> No action taken. полученный лог приложите. по логу Combofix видно, что у Вас не работают следующие службы: PPEMSCAN AEServ Pdcocvod AeInput Consult рекомендуется зачистить от них следы в реестре. через скрипт Combofix это делать не совсем корректно... сделайте новые логи по правилам. что с симптомами? с какого числа они, кстати, проявились? проверьте на virustotal.com и эти файлы: c:\windows\system32\drivers\tifsfilt.sys c:\windows\system32\drivers\timntr.sys c:\windows\system32\drivers\snman380.sys c:\windows\system32\devcon.exe c:\documents and settings\2134-00159\Application Data\Microsoft\Installer\{22E43C57-73DD-4E07-826D-315C371BF513}\comar.transport.exe c:\documents and settings\2134-00159\Application Data\Microsoft\Installer\{22E43C57-73DD-4E07-826D-315C371BF513}\comar.transport.config.exe c:\documents and settings\2134-00159\Application Data\Microsoft\Installer\{22E43C57-73DD-4E07-826D-315C371BF513}\comar.injector.exe c:\documents and settings\2134-00159\Application Data\Microsoft\Installer\{22E43C57-73DD-4E07-826D-315C371BF513}\comar.injector.config.exe c:\windows\system32\XmlSpyLib.dll c:\program files\English Trainer.exe sfc отработало, только я не заметил, как оно закончилось. Просто завершилось и все. Где то можно лог посмотреть? приложите последних 50 строк файла Windows\Logs\CBS\CBS.log отдельным текстовым файлом. Изменено 6 мая, 2011 пользователем Roman_Five Цитата Ссылка на сообщение Поделиться на другие сайты
lm_ 0 Опубликовано 6 мая, 2011 Автор Share Опубликовано 6 мая, 2011 запустите ПОЛНУЮ проверку с новыми базами.в конце проверки удалите это: c:\program files\icolorfolder\icolorfolder.exe (Trojan.Agent) -> No action taken. c:\totalcmd\Programm\hide ip platinum\keygen.exe (Trojan.Agent.CK) -> No action taken. c:\Максимов\рабочий стол\adobe photoshop cs2 9 rus\keygen.exe (Trojan.Agent.CK) -> No action taken. c:\program files\Motorola\PST\pst_uni_patch.exe (BackDoor.Bifrose) -> No action taken. полученный лог приложите. по логу Combofix видно, что у Вас не работают следующие службы: PPEMSCAN AEServ Pdcocvod AeInput Consult рекомендуется зачистить от них следы в реестре. через скрипт Combofix это делать не совсем корректно... сделайте новые логи по правилам. что с симптомами? с какого числа они, кстати, проявились? проверьте на virustotal.com и эти файлы: c:\windows\system32\drivers\tifsfilt.sys c:\windows\system32\drivers\timntr.sys c:\windows\system32\drivers\snman380.sys c:\windows\system32\devcon.exe c:\documents and settings\2134-00159\Application Data\Microsoft\Installer\{22E43C57-73DD-4E07-826D-315C371BF513}\comar.transport.exe c:\documents and settings\2134-00159\Application Data\Microsoft\Installer\{22E43C57-73DD-4E07-826D-315C371BF513}\comar.transport.config.exe c:\documents and settings\2134-00159\Application Data\Microsoft\Installer\{22E43C57-73DD-4E07-826D-315C371BF513}\comar.injector.exe c:\documents and settings\2134-00159\Application Data\Microsoft\Installer\{22E43C57-73DD-4E07-826D-315C371BF513}\comar.injector.config.exe c:\windows\system32\XmlSpyLib.dll c:\program files\English Trainer.exe Появилось недели две назад. Включил службу Plug and Play опять тормоза пошли. После того как лечил вирусы, пошла такая хренотень. Вот, с прошлой недели Generic host process начал аварийно завершать процесс svchost Ошибка приложения svchost.exe, версия 5.1.2600.5503, модуль acgenral.dll, версия 5.1.2600.5503, адрес 0x000116e2. MBAM запустил, жду. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.