Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Очень долгая загрузка WinXP; предположительно - вирус. (http://forum.oszone.net/showthread.php?t=107056)

Allla 15-05-2008 16:14 803498

Очень долгая загрузка WinXP; предположительно - вирус.
 
Вложений: 4
Система: немецкая Windows XP Home Edition, SP2, процессор AMD Sempron 1,79 GHz, RAM 1 Gb. Проблема: во время загрузки появляется логотип и надпись „Старт Windows“ („Windows wird gestartet“) и так – 10-15 минут, затем включается скринсейвер, после нажатия клавиши появляется окошко: «Вы не можете зарегистрироваться из-за ограничений доступа» („Wegen Kontobeschränkungen dürfen Sie sich nicht anmelden“). Я нажимаю ОК, и появляется окно приветствия. Никаких новых программ в последнее время не устанавливали. Проверила компьютер антивирусом („Avira“) – вроде все спокойно. Несколько раз чистила регистр с помощью программы WWR (Work with registry). После каждой чистки 1-2 загрузки проходят нормально, затем – опять все то же самое. Вот логи:

Severny 15-05-2008 16:23 803507

Allla,
Вынуждены отправить Вас за новой порцией логов :(

Дополнительно зайдите в Диспетчер устройств -- IDE\ATA-устройства -- Первичный и Вторичный каналы IDE -- и посмотрите, не слетел ли контроллер, на котором висит жесткий диск, в режим PIO (естественно, на немецком названия будут немного другие, но..)

Pili 15-05-2008 16:41 803526

Allla, логи AVZ не те, нужны virusinfo_syscure.zip, virusinfo_syscheck.zip из каталога AVZ\Log и лог hijackthis
У вас 2 антивируса + Spyware Doctor, деинсталлиуйте один, рекомендую удалить Avast и удалить Spyware Doctor (можно временно, вместо него можете позже поставить Spybot S&D)
Дополнение:
Скачайте ComboFix здесь или здесь и сохраните на рабочий стол.
1. Не переименовывайте Combofix
2. Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
3. Запустите combofix.exe, когда процесс завершится скопируйте и скопируйте текст из C:\ComboFix.txt в сообщение, еcли лог окажется очень большой, прикрепите ComboFix.txt к сообщению
**Не нажимайте кнопки мыши во время работы Combofix, это может стать причиной его зависания**
Как использовать ComboFix - how-to-use-combofix

Allla 19-05-2008 17:02 806225

Вложений: 2
А, кажется, нашла:

Pili 19-05-2008 18:26 806290

Allla, отключите восстановление системы и по логам у вас 2 антивируса + Spyware Doctor, удалите один, рекомендую удалить Avast и временно удалите Spyware Doctor
В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить». На время выполнения скрипта выключите антивирус и firewall, отключите
Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('hpdj.sys','');
 QuarantineFile('C:\WINDOWS\system32\hpdj.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys','');
BC_QrFile('C:\WINDOWS\system32\hpdj.sys');
BC_QrFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys');
BC_QrSvc('hpdj');
BC_ImportALL;
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
ExecuteRepair(13);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку).
В файл hosts сами адрес 212.12.30.225 добавляли?

Pili 24-05-2008 20:57 810018

В карантине пусто, файлов hpdj.sys и mchInjDrv.sys нет в системе, можете выполнить скрипт
Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('hpdj');
 DeleteFile('hpdj.sys');
 DeleteFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

В остальном логи чистые, надесюсь, если антивирус один оставили, компьютер стал работать быстрее.
Остается настроить безопасность и откл. неиспользуемы службы
Цитата:

>> Службы: разрешена потенциально опасная служба TermService (Terminaldienste)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP-Suchdienst)
>> Службы: разрешена потенциально опасная служба Schedule (Taskplaner)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting-Remotedesktop-Freigabe)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Sitzungs-Manager fur Remotedesktophilfe)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
>> Безопасность: разрешен автоматический вход в систему
Что из этого не нужно? По службам можно почитать здесь

Котяра 24-05-2008 21:35 810039

Цитата:

Цитата Pili
Остается настроить безопасность и откл. неиспользуемы службы
Цитата:
>> Службы: разрешена потенциально опасная служба TermService (Terminaldienste)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP-Suchdienst)
>> Службы: разрешена потенциально опасная служба Schedule (Taskplaner)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting-Remotedesktop-Freigabe)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Sitzungs-Manager fur Remotedesktophilfe)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
>> Безопасность: разрешен автоматический вход в систему
Что из этого не нужно? По службам можно почитать здесь »

Скажу только, что настройки
Цитата:

Цитата Pili
>> Безопасность: разрешен автозапуск программ с CDROM »

Цитата:

Цитата Pili
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) »

Цитата:

Цитата Pili
>> Безопасность: к ПК разрешен доступ анонимного пользователя »

Цитата:

Цитата Pili
>> Безопасность: Разрешена отправка приглашений удаленному помошнику »

Цитата:

Цитата Pili
>> Безопасность: разрешен автоматический вход в систему »

вполне корректны.

PavelA_VI 26-05-2008 10:35 810849

@Котяра
Корректны, но обязательны ли? Если человек понимает, что они означают, то они корректны. Если просто по умолчанию, то они лишние.

Allla 31-05-2008 16:32 815227

Цитата:

Цитата Pili
begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('hpdj'); DeleteFile('hpdj.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. »

Уважаемый Pili, скрипт опять не запускается - выскакивает сообщение: "BEGIN" expected в позиции 1:1 . Ваш предыдущий скрипт вроде как подействовал наполовину - теперь иногда грузится за полминуты, иногда - за 15 мин. И Вы бы не могли объяснить "чайнику", как отключить неиспользуемые службы? Спасибо.

Pili 31-05-2008 17:10 815242

Allla, проверил, скрипт не содержит ошибок (как и предыдущий скрипт), возможно вы его некорректно скопировали и вставили в AVZ
Цитата:

Цитата Allla
как отключить неиспользуемые службы? »

скажите что из списка не надо и отключим скриптом.
По службам можно почитать здесь, дополнительно по безопасности Windows XP можно почитать здесь, советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista"
Цитата:

Цитата Allla
теперь иногда грузится за полминуты, иногда - за 15 мин »

можете сделать ещё раз лог virusinfo_syscheck.zip, но скорее всего у вас "железные проблемы", перегрев например, почистите внутренности системного блока, проверьте крутится ли кулер.


Время: 13:31.

Время: 13:31.
© OSzone.net 2001-