Имя пользователя:
Пароль:
 | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] WinXP SP3 _ проблемы с запуском

Ответить
Настройки темы
[решено] WinXP SP3 _ проблемы с запуском

Пользователь


Сообщения: 125
Благодарности: 0


Конфигурация

Профиль | Отправить PM | Цитировать


Изменения
Автор: kservice
Дата: 28-12-2018
Со вчерашнего дня время запуска системы резко возросло. После приветствия рабочий стол грузится минут 5 и еще минут 5 грузятся программы автозагрузки. При этом в Диспетчере видны запущенные приложения, но бездействие компьютера составляет 99%. В Диспетчере (как призапуске, так и по окончанию запуска) видны не все имена пользователей процессов. Не работает антивирус, не загружаются обновления Win, не видна флешка, не работает служба восстановления системы, не обновляется Jawa, очеть медленно запускается IE (Opera - быстро). Попытка восстановления системы положительных результатов не дала.
Очень жду Вашей помощи! Остановилась вся работа. Своими силами сделать ничего не смог.

Отправлено: 00:12, 23-10-2010

 

Пользователь


Сообщения: 125
Благодарности: 0

Профиль | Отправить PM | Цитировать


Помощь - вещь добровольная и ,наверно, мне ее не дождаться? Что сделать, чтобы попасть в число счастливчиков? Или просто подскажите другие форумы по аналогичной тематике.

Отправлено: 19:34, 23-10-2010 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для AlexTNT

Пользователь


Сообщения: 99
Благодарности: 19

Профиль | Отправить PM | Цитировать


kservice, начинаю анализировать Ваши логи.

-------
В споре рождается истина.


Отправлено: 19:45, 23-10-2010 | #3


Аватара для AlexTNT

Пользователь


Сообщения: 99
Благодарности: 19

Профиль | Отправить PM | Цитировать


77.121.32.2 и 192.168.0.1 ваши домены (DNS)?

-------
В споре рождается истина.


Отправлено: 20:59, 23-10-2010 | #4


Аватара для iskander-k

скептик-оптимист


Moderator


Сообщения: 5720
Благодарности: 1117

Профиль | Отправить PM | Цитировать


• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

-------
Мягкий и пушистый - если не гладить против шерсти.




Вам помог совет? Нажмите на ссылку Полезное сообщение .

Это сообщение посчитали полезным следующие участники:

Отправлено: 21:52, 23-10-2010 | #5


Аватара для AlexTNT

Пользователь


Сообщения: 99
Благодарности: 19

Профиль | Отправить PM | Цитировать


1). отключите антивирус/фаервол, интернет;

2). Очистите и создайте новую контрольную точку восстановления, чтобы если во время лечения произошла непредвиденная ситуация, Вы могли вернуть систему к предыдущему состоянию:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

3). Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
1. скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
2. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
3. нажмите No, если вы хотите оставить ваши сохраненные пароли
4. если вы используете Opera, нажмите Opera - Select All - Empty Selected
5. нажмите No, если вы хотите оставить ваши сохраненные пароли


4. сохранить реестр


AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код: Выделить весь код
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\omniformat\adjustpdf995.exe','');
 QuarantineFile('G:\_Программы\_Компьютер-железо\SiSoft Sandra 2002\SANDRA.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\adatadrv.sys','');
 QuarantineFile('C:\Program Files\Ask.com\GenericAskToolbar.dll','');
 DeleteFile('C:\Program Files\Ask.com\GenericAskToolbar.dll');
 DelBHO('D4027C7F-154A-4066-A1AD-4243D8127440');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:
Код: Выделить весь код
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте на quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему. , в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы на форуме. Результаты ответа, сообщите здесь, в теме.

Пофиксить в HijackThis следующие строчки:
Код: Выделить весь код
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
После выполнения скриптов сделать новые логи по правилам.

Создать новую контрольную точку восстановления и очищаем заражённую:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
1. скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
2. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
3. нажмите No, если вы хотите оставить ваши сохраненные пароли
4. если вы используете Opera, нажмите Opera - Select All - Empty Selected
5. нажмите No, если вы хотите оставить ваши сохраненные пароли




для предотвращения заражения:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.
- отключить автозапуск. Для этого запустите AVZ, меню "Файл - Выполнить скрипт"-> Скопировать ниже написанный скрипт-> Нажать кнопку "Запустить"(Будет отключен автозапуск всех носителей кроме CD\DVD, т.к. после отключения автозапуска на CD\DVD могут возникнуть проблемы с эмуляторами дисков (Daemon Tools, Alcahol, и подобные):
Код: Выделить весь код
 
 begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 end.
регулярно проверять систему антивирусными утилитами CureIT и AVPTool.

-------
В споре рождается истина.

Это сообщение посчитали полезным следующие участники:

Отправлено: 22:23, 23-10-2010 | #6


Пользователь


Сообщения: 125
Благодарности: 0

Профиль | Отправить PM | Цитировать


Работать становится все труднее, компьютер становится все менее управляемым. Со времени ваших ответов все время пытался выполнить рекомендации. Удалось только частично. Даже AVZ начал зависать и цитирование стандартно сделать нельзя.

Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.


Полное сканирование сделать не смог, только частичное. Удаление автоматом не сделал по халатности, удалил драйвер и редактировал реестр в ручном режиме. Вот исходный лог:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Версия базы данных: 4929

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

24.10.2010 10:21:02
mbam-log-2010-10-24 (10-21-02).txt

Тип сканирования: Быстрое сканирование
Просканированные объекты: 142926
Времени прошло: 17 минут, 58 секунд

Зараженные процессы в памяти: 0
Зараженные модули в памяти: 0
Зараженные ключи в реестре: 1
Зараженные параметры в реестре: 0
Объекты реестра заражены: 3
Зараженные папки: 0
Зараженные файлы: 1

Зараженные процессы в памяти:
(Вредоносных программ не обнаружено)

Зараженные модули в памяти:
(Вредоносных программ не обнаружено)

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\adatadrv (Trojan.Agent) -> No action taken.

Зараженные параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Зараженные папки:
(Вредоносных программ не обнаружено)

Зараженные файлы:
C:\WINDOWS\system32\drivers\adatadrv.sys (Trojan.Agent) -> No action taken.


2). Очистите и создайте новую контрольную точку восстановления, чтобы если во время лечения произошла непредвиденная ситуация, Вы могли вернуть систему к предыдущему состоянию:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить


Очистить не смог

3). Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

Сделал с помощью ATF Cleaner

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Полученный архив отправьте на quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему. , в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы на форуме. Результаты ответа, сообщите здесь, в теме.


Сделал и отправил

Пофиксить в HijackThis следующие строчки:
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll


Строк О2 и О3 почему-то не оказалось. На всякий случай полностью удалил папку Ask.com

После выполнения скриптов сделать новые логи по правилам.
Сделал, прилагаю

Брандмауэр Windows не включается ("Центру безопасности не удается запустить брандмауэр" , "Вследствие неопределенной ошибки не удается отобразить параметры брандмауэра....), обновиться также не могу.

Последний раз редактировалось kservice, 28-12-2018 в 13:55.


Отправлено: 14:14, 24-10-2010 | #7


Аватара для iskander-k

скептик-оптимист


Moderator


Сообщения: 5720
Благодарности: 1117

Профиль | Отправить PM | Цитировать


Удалите в МБАМ ,что найдено

кроме этих строк
Код: Выделить весь код
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

-------
Мягкий и пушистый - если не гладить против шерсти.




Вам помог совет? Нажмите на ссылку Полезное сообщение .


Отправлено: 15:18, 24-10-2010 | #8


Пользователь


Сообщения: 125
Благодарности: 0

Профиль | Отправить PM | Цитировать


Это сделал сразу, до сообщения, поставил 0

Отправлено: 16:13, 24-10-2010 | #9


Аватара для iskander-k

скептик-оптимист


Moderator


Сообщения: 5720
Благодарности: 1117

Профиль | Отправить PM | Цитировать


•Скачайте ComboFix или здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe.

-------
Мягкий и пушистый - если не гладить против шерсти.




Вам помог совет? Нажмите на ссылку Полезное сообщение .

Это сообщение посчитали полезным следующие участники:

Отправлено: 17:21, 24-10-2010 | #10



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] WinXP SP3 _ проблемы с запуском

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Установка - проблема с запуском Windows XP Home SP3 wusoldier Microsoft Windows 2000/XP 7 24-11-2008 07:08
Ошибка - Проблемы с запуском программ Мята Microsoft Windows 2000/XP 5 17-11-2008 09:34
Установка - Проблемы с установкой софта на WinXP sp3 MKN Microsoft Windows 2000/XP 3 25-03-2008 19:07
Проблемы с запуском SQUID 1Space Программное обеспечение Linux и FreeBSD 1 13-06-2007 10:40




 
Переход