Браузеры тормозят на компе с Авирой

[zyablik]

Один из сотрудников привез свой домашний компьютер. В одноклассники, мол, зайти не могу. Комп запущенный, система левая, разумеется, заросший, тормозит, браузеров полно, но толком ничего не работает. Ну, удалил какие-то непонятные программы — это особо не помогло.

Далее. Пробовал KasperskyRemovalTool'ом (с диска грузил, обновил базы), Каспер что-то даже нашел, вроде (я, увы, отходил), но Каспер-система повисла. Потом. Ничего другого под рукой не было: перетряс реестр RegOrganizer'ом (там было, по его мнению, жуткое кол-во ошибок), диск С дефрагментировал PuranDefrag'ом. Чуток стал лучше работать. Но с Интернетом беда по-прежнему. Тормоза.

Сделал логи RSIT, AVZ. Но стоит совершенно неадекватный антивирус Avira Free (+ его Real-Time Protection и Web-Protecrion). Не выгружается штатно (нет такого средства, похоже), и не выдергивается из памяти (прямо как сурьезный антивирь). Но самое неприятное в другом: срабатывает именно когда работает AVZ или RegOrganizer — встает поперек со своей "Полной проверкой системы") — почти как вирус (сидел до этого молча, и вдруг начал находить троянцев в крэках, которые тут, скорее всего, сидели годами — и ничего). Удалить не решился. Комп чужой, довольно слабый, даже Антивирус Касперского (пробную Яндекс-версию) не потянет. Так и делал логи. ADW-Cleaner нашел IBUpdaterService (вроде бы, я его удалял/?/), ну, вообщем, я этот апдейтер — сказал ADWC'у — удалить к чёрту.

virusinfo_syscure.zip virusinfo_syscheck.zip log.txt info.txt AdwCleanerR0.txt AdwCleanerS0.txt

Изменено 16 января, 2014 пользователем zyablik

[Soft]

С этими логами надо в раздел Уничтожение вирусов.

[zyablik]

Один из сотрудников привез свой домашний компьютер. В одноклассники, мол, зайти не могу. Комп запущенный, система левая, разумеется, заросший, тормозит, браузеров полно, но толком ничего не работает. Ну, удалил какие-то непонятные программы — это особо не помогло.

Далее. Пробовал KasperskyRemovalTool'ом (с диска грузил, обновил базы), Каспер что-то даже нашел, вроде (я, увы, отходил), но Каспер-система в итоге повисла где-то на 20% проверки. Потом. Ничего другого под рукой не было: перетряс реестр RegOrganizer'ом (там было, по его мнению, жуткое кол-во ошибок), диск С дефрагментировал PuranDefrag'ом. Чуток стал лучше работать. Но с Интернетом беда по-прежнему. Тормоза.

Сделал логи RSIT, AVZ. Но стоит совершенно неадекватный антивирус Avira Free (+ его Real-Time Protection и Web-Protecrion). Не выгружается штатно (нет такого средства, похоже), и не выдергивается из памяти (прямо как сурьезный антивирь). Но самое неприятное в другом: срабатывает именно когда работает AVZ или RegOrganizer — встает поперек со своей "Полной проверкой системы") — почти как вирус (сидел до этого молча, и вдруг начал находить троянцев в крэках, которые тут, скорее всего, сидели годами — и ничего). Удалить не решился. Комп чужой, довольно слабый, даже Антивирус Касперского (пробную Яндекс-версию) не потянет. Так и делал логи. ADW-Cleaner нашел IBUpdaterService (вроде бы, я его удалял/?/), ну, вообщем, я этот апдейтер — сказал ADWC'у — удалить к чёрту.

virusinfo_syscure.zip virusinfo_syscheck.zip log.txt info.txt AdwCleanerR0.txt AdwCleanerS0.txt

Изменено 16 января, 2014 пользователем zyablik

[zyablik]

С этими логами надо в раздел Уничтожение вирусов.

Да. Продублировать тему? 

Создал там. Спасибо. Удалите уж, тогда, отсюда (???). Самостоятельно я, видимо, не могу. Спасибо.

Изменено 16 января, 2014 пользователем zyablik

[kmscom]

В одноклассники, мол, зайти не могу

или DNS подменены или фаил Hosts модифицирован.

[zyablik]

Поставил до кучи еще один браузер — Maxthon. Везде (что успел попробовать) заходит, кроме odnoklassniki.ru и vk.com. На facebook.com зашел, тем не менее.

 

 

В одноклассники, мол, зайти не могу

или DNS подменены или фаил Hosts модифицирован.

 

C:\Windows\System32\drivers\etc\hosts пустой
 

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
ClearHostsFile;
DeleteFile('C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\9zessehq.default\extensions\toolbar@ask.com');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\9zessehq.default\searchplugins\askcom.xml');
DeleteFileMask('C:\Program Files\Smiley Bar for Facebook\','*', true);
DeleteDirectory('C:\Program Files\Smiley Bar for Facebook\',' ');
DelBHO('4723AAA8-B2F9-4CC1-9E60-190976DB1FA4');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O1 - Hosts: 95.156.222.111 vk.com odnoklassniki.ru www.vk.com www.odnoklassniki.ru wap.odnoklassniki.ru m.vk.com m.odnoklassniki.ru
O2 - BHO: Smiley Bar for Facebook - {4723AAA8-B2F9-4CC1-9E60-190976DB1FA4} - C:\Program Files\Smiley Bar for Facebook\ScriptHost.dll
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Avira SearchFree Toolbar plus Web Protection - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{147DAF79-CA7B-4FBA-ACC2-1E37A47CEEE0}: NameServer = 127.0.0.1

Сделайте новые логи по правилам.

+

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.
Установите mbam-setup-<current number>.exe
Откажитесь от использования пробной версии Malwarebytes' Anti-Malware PRO (снимите галочку с пункта "Включить бесплатный тестовый период Malwarebytes Anti-Malware PRO "подробнее...").
Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".
Полученный лог прикрепите к сообщению.

[kmscom]

O1 - Hosts: 95.156.222.111 vk.com odnoklassniki.ru www.vk.com www.odnoklassniki.ru wap.odnoklassniki.ru m.vk.com m.odnoklassniki.ru

C:\Windows\System32\drivers\etc\hosts пустой

да простят меня модераторы, но не смог удержатся, когда врут.

[zyablik]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

Этот первый скрипт выполняю. Вроде, выполнился. Хотя там перед перезагрузкой Авира что-то успела выкинуть сообщение типа "доступ к хост файлу заблокирован для вашего же блага" (вольно излагаю)...

 

O1 - Hosts: 95.156.222.111 vk.com odnoklassniki.ru www.vk.com www.odnoklassniki.ru wap.odnoklassniki.ru m.vk.com m.odnoklassniki.ru

C:\Windows\System32\drivers\etc\hosts пустой

да простят меня модераторы, но не смог удержатся, когда врут.

 

Да? А чем же его открыть. В Блокноте я ничего не увидел. Ну тут я много тупее многих, уж простите. Врать никакого желания.

 

Во время перезагрузки был синий экран: что-то про netbt.sys. STOP 0x000000D1 и прочая байда. Перезагрузил — пока нормально.

Изменено 16 января, 2014 пользователем zyablik

[Roman_Five]

 

 

да простят меня модераторы, но не смог удержатся, когда врут.

 

1) host файл может быть перемещён

2) много пустых строк перед "левыми" записями

 

Всё, больше не спорим.

 

@zyablik,

ждём новые логи

[zyablik]

Спасибо. Но мне, видимо, придется удалить этот чёртовый антивирус Avira. HJT'ом пытаюсь пофиксить выбранное — всплывает сообщение Авиры, типа "хост заблокирован" и ошибка HJT. Решил по одному пункту фиксить, начал с "01.. одноклассники". Та же фигня. И ошибка HJT #58

[Roman_Five]

делайте фикс в безопасном режиме

[zyablik]

делайте фикс в безопасном режиме

Понял.

В безопасном режиме п.O1 - Hosts: 95.156.222.111 vk.com odnoklassniki.ru www.vk.com www.odnoklassniki.ru wap.odnoklassniki.ru m.vk.com m.odnoklassniki.ru пофиксился. Собственно, только один этот пункт и остался, оказывается, из указанного Вами.

A некоторых не было изначально:

2 - BHO: Smiley Bar for Facebook - {4723AAA8-B2F9-4CC1-9E60-190976DB1FA4} - C:\Program Files\Smiley Bar for Facebook\ScriptHost.dll --------------- НЕ БЫЛО

O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll --------- НЕ БЫЛО

O3 - Toolbar: Avira SearchFree Toolbar plus Web Protection - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll ----------- НЕ БЫЛО

---

Пока всё это пишу -- тот комп висит на выгрузке ОС... Не... всё-таки отвис, кажись...

 

Всё — одноклассники и вконтакте открываются, в принципе.

ADWCleaner'ом прошелся. Фиксил, что было во вкладке FireFox. Но после повторного запуска (после перезагрузки) строчка опять появлялась. Короче, удалил FireFox — и без него тут куча браузеров, обойдутся. Пусть учатся Maxthon'ом пользоваться

RSIT новые сделал. 

AVZ логи делает сейчас. Ну, и Malwarebytes' Anti-Malware чуток позже запущу.

AdwCleanerR1.txt AdwCleanerS1.txt AdwCleanerR2.txt info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip

 

Скачал Malwarebytes' Anti-Malware — запускаю.

До этого удалил вызывавшую ошибку при выключении компа программу Skype Click to Call — c2c_service.exe

Процесс c2c_service.exe позволяет пользователям совершать звонки через Skype, делая вызов непосредственно из окна браузера. 

Вроде бы, этой ошибки не стало.

MBAM начал грызть.

Изменено 16 января, 2014 пользователем zyablik

[Roman_Five]

 

 

MBAM начал грызть.

ждём.

в AVZ выполните в безопасном режиме (после проверки MBAM)

begin
SetAVZGuardStatus(True);
ClearHostsFile;
RebootWindows(true);
end.

[zyablik]

Протокол MBAM: MBAM-log-2014-01-16 (15-04-55).txt

Я, правда, уже по строчкам:

 

C:\System Volume Information\_restore{FACC0338-2FF3-4AFF-9085-F31643FA3CFF}\RP113\A0079349.exe (PUP.Optional.OpenCandy) -> 

C:\System Volume Information\_restore{FACC0338-2FF3-4AFF-9085-F31643FA3CFF}\RP114\A0079424.exe (PUP.Optional.FileScout.A) -> 

C:\System Volume Information\_restore{FACC0338-2FF3-4AFF-9085-F31643FA3CFF}\RP114\A0079449.exe (PUP.Optional.PCPerformer.A) -> 

выбрал удалить,

потому как Авира уже на них по разу реагировал (записывал!), даже предлагал удалить, и я ему: "удаляй", Авира проковыряется, а они всё на месте. Раз и MBAM, думаю, нашел — уж наверняка надо удалить.
Так что этих 3-х строчек нету (новый протокол не сохранил, увы — быстро нажал на перезагрузку).

Что до stressreducers.exe -- 100 лет знаю эту программу-шутку. Ничего никогда на нее не реагировало...

----

Скрипт выполнил. Пошла перезагрузка. Э-эй, млин, надо было в безопасном!
Сделал-таки и в безопасном.

Изменено 16 января, 2014 пользователем zyablik