Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Ноутбук стал дико тормозить (http://forum.oszone.net/showthread.php?t=230087)

Nikolaich 11-03-2012 21:46 1877128

Ноутбук стал дико тормозить
 
Ноутбук стал дико тормозить. После загрузки запустишь любое приложение - через несколько минут виснет, ничего запустить не могу, завершить процесс тоже не могу. Думал, может вирусы (у меня стоит вообще Avast и Comodo Firewall), просканировал еще с CureIt, ничего страшного не нашел.
Хотел сделать восстановление системы через панель управления. Мне выдает сообщение что нет полномочий, хотя в системе только один пользователь Администратор. Когда полез в учетные записи пользователей, опять все повисло. Постоянно при попытке перезагрузки выдаются сообщения о том что какое-либо приложение не отвечает.
В диспетчере задач между тем видно, что процессор не загружен.
Подскажите пожалуйста, что можно попробовать сделать? Я уже подозреваю что это не в софте, а в железе где-то проблема...

Вот логи полученные по инструкции:

iskander-k 11-03-2012 22:54 1877207

Выложите логи в соответствии с этими инструкциями.

Nikolaich 12-03-2012 17:32 1877788

Я прочитал некоторые похожие темы, и решил сделать восстановление системы, выбрал контрольную точку месяцем ранее, восстановил, пока проблем нет. Так что причина глюков неясна, но она устранилась. Надеюсь что насовсем.

S.R 12-03-2012 17:45 1877801

Nikolaich, для уверенности - выполните, это не займёт много времени.
Цитата:

Цитата iskander-k
Выложите логи в соответствии с этими инструкциями. »


Nikolaich 13-03-2012 20:19 1878559

Сегодня опять всё началось, то есть проблема не исчезла.
Так что придется делать по инструкции...

Сделал всё что требуется, жду ответа.

Nikolaich 14-03-2012 20:49 1879331

Прошли сутки, а никто ничего не отвечает. Я прошу помощи.

SolarSpark 15-03-2012 07:31 1879572

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
end.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
______________________________

Nikolaich 15-03-2012 18:18 1880113

Я обнаружил особенность: когда включаю ноутбук, после загрузки ничего не могу запускать, как будто что-то блокирует все процессы. Когда выключил кнопкой питания, и загрузил снова, тогда можно работать.
По выше написанному совету всё сделал, прикрепляю лог сканирования.

SolarSpark 15-03-2012 18:31 1880120

Удалите в МВАМ
Код:

Объекты реестра обнаружены:  4
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (Hijack.StartPage) -> Плохо: (http://www.smaxi.biz) Хорошо: (http://www.google.com) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (Hijack.StartPage) -> Плохо: (http://www.smaxi.biz) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Плохо: (http://www.smaxi.biz) Хорошо: (http://www.google.com) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Плохо: (http://www.smaxi.biz) Хорошо: (http://www.google.com/) -> Действие не было предпринято.

Обнаруженные папки:  1
C:\Documents and Settings\Администратор\Application Data\archsoft (Trojan.Agent) -> Действие не было предпринято.

Обнаруженные файлы:  44
C:\Documents and Settings\Администратор\Application Data\archsoft\winzipd.exe (Trojan.FakeSMS) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\archsoft\rubashka.css (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\archsoft\sb-scroll-slider.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\archsoft\a.htm (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\archsoft\dir.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\archsoft\dot.gif (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\archsoft\foot.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\archsoft\htmlayout.dll (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\archsoft\logo.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\archsoft\logo2.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\archsoft\logo2m.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\archsoft\sb-h-scroll-next.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\archsoft\sb-h-scroll-prev.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\archsoft\sb-scroll-back.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\archsoft\sb-scroll-base.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\archsoft\sb-v-scroll-next.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\archsoft\sb-v-scroll-prev.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\archsoft\scroll.css (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\archsoft\wfont.ttf (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\archsoft\xsendexe.tmp (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\archsoft\_todel.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\archsoft\_todel2.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\archsoft\_todel3.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\archsoft\_todel4.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\archsoft\_todel5.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\archsoft\_todel6.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\archsoft\_todel7.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\archsoft\_todel8.png (Trojan.Agent) -> Действие не было предпринято.

лог повторите

Nikolaich 15-03-2012 18:50 1880138

А что надо удалить - все что найдено при сканировании?

SolarSpark 15-03-2012 18:53 1880140

то, что я вам написала

Nikolaich 15-03-2012 21:07 1880247

Удалил то что было указано, перезагрузил, запустил сканирование заново. Через полчаса опять все зависло, пришлось снова кнопкой питания выключать, как это достало уже!
Попробую заново запустить потом.

Nikolaich 16-03-2012 00:25 1880352

Вот результат повторного сканирования

S.R 16-03-2012 12:36 1880581

Nikolaich, Вы откат системы до прежнего состояния не делали?

Скачайте DDS по одной из этих ссылок на рабочий стол. Дважды кликните по значку, чтобы запустить программу. Убедитесь, что все остальные программы закрыты.
Откроется маленькое окно с описанием программы и запустится сканирование.
После завершения сканирования логи DDS и Attach автоматически откроются. Прикрепите их к сообщению.

Nikolaich 16-03-2012 16:51 1880758

Скачал DDS, просканировал, логи прилагаю

S.R 17-03-2012 12:45 1881152

Цитата:

Цитата S.R
Вы откат системы до прежнего состояния не делали? »

Avast и Comodo не конфликтуют? Может быть проблема в этом?

Nikolaich 17-03-2012 15:51 1881237

Раньше не конфликтовали, но недавно обновил версию Аваст с 6 на 7, возможно после этого началось.

Nikolaich 17-03-2012 18:48 1881319

Может быть, удалить Comodo и погонять без него для проверки?

S.R 17-03-2012 18:50 1881320

Nikolaich, ответьте, пожалуйста, на вопрос:
Цитата:

Цитата S.R
Вы откат системы до прежнего состояния не делали? »


Попробуйте удалить COMODO и посмотреть результат.

Nikolaich 17-03-2012 19:25 1881331

Не понял про откат, до какого именно состояния? Подробнее распишите если не трудно.

S.R 17-03-2012 20:51 1881376

На любую предыдущую контрольную точку восстановления.

Nikolaich 17-03-2012 21:03 1881381

Да. Во втором посте я об этом написал:
"Я прочитал некоторые похожие темы, и решил сделать восстановление системы, выбрал контрольную точку месяцем ранее, восстановил, пока проблем нет. Так что причина глюков неясна, но она устранилась. Надеюсь что насовсем."
Далее я сообщил что зависания не устранились.

SolarSpark 18-03-2012 07:26 1881591

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

куда вам откатываться? у вас контрольные точки заражены все

Nikolaich 18-03-2012 14:42 1881759

А как вы узнали что все контрольные точки заражены?

S.R 18-03-2012 17:30 1881843

По логу MBAM.

Nikolaich 18-03-2012 20:11 1881936

Просканировал Combofix, смотрите лог

S.R 18-03-2012 20:27 1881948

Скопируйте/вставьте следующий скрипт в блокнот и сохраните как файл с названием CFScript.txt на диск C:\
Код:

KillAll::


Registry::
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\persistentroutes]
"2.94.48.0,255.255.252.0,192.168.0.1,1"=-
"2.94.52.0,255.255.254.0,192.168.0.1,1"=-
"46.30.32.0,255.255.248.0,192.168.0.1,1"=-
"62.68.128.0,255.255.224.0,192.168.0.1,1"=-
"77.106.64.0,255.255.192.0,192.168.0.1,1"=-
"77.235.211.192,255.255.255.248,192.168.0.1,1"=-
"77.245.160.0,255.255.240.0,192.168.0.1,1"=-
"78.136.192.0,255.255.192.0,192.168.0.1,1"=-
"78.139.192.0,255.255.192.0,192.168.0.1,1"=-
"78.140.0.0,255.255.192.0,192.168.0.1,1"=-
"79.122.222.0,255.255.254.0,192.168.0.1,1"=-
"79.136.128.0,255.255.128.0,192.168.0.1,1"=-
"79.175.39.0,255.255.255.128,192.168.0.1,1"=-
"80.72.208.0,255.255.240.0,192.168.0.1,1"=-
"80.89.133.32,255.255.255.224,192.168.0.1,1"=-
"81.1.229.72,255.255.255.248,192.168.0.1,1"=-
"81.1.229.96,255.255.255.224,192.168.0.1,1"=-
"81.1.229.128,255.255.255.128,192.168.0.1,1"=-
"82.117.64.0,255.255.224.0,192.168.0.1,1"=-
"82.117.160.0,255.255.224.0,192.168.0.1,1"=-
"82.200.5.0,255.255.255.224,192.168.0.1,1"=-
"82.200.24.0,255.255.255.192,192.168.0.1,1"=-
"82.200.70.0,255.255.254.0,192.168.0.1,1"=-
"82.200.110.0,255.255.254.0,192.168.0.1,1"=-
"82.200.114.0,255.255.255.224,192.168.0.1,1"=-
"82.200.114.160,255.255.255.224,192.168.0.1,1"=-
"83.172.0.0,255.255.192.0,192.168.0.1,1"=-
"84.237.0.0,255.255.240.0,192.168.0.1,1"=-
"88.204.0.0,255.255.128.0,192.168.0.1,1"=-
"90.188.64.0,255.255.224.0,192.168.0.1,1"=-
"90.188.96.0,255.255.240.0,192.168.0.1,1"=-
"90.188.112.0,255.255.248.0,192.168.0.1,1"=-
"90.189.192.29,255.255.255.255,192.168.0.1,1"=-
"91.193.88.0,255.255.254.0,192.168.0.1,1"=-
"91.210.72.0,255.255.252.0,192.168.0.1,1"=-
"91.210.184.0,255.255.254.0,192.168.0.1,1"=-
"91.211.236.0,255.255.252.0,192.168.0.1,1"=-
"91.217.110.0,255.255.254.0,192.168.0.1,1"=-
"92.63.64.0,255.255.240.0,192.168.0.1,1"=-
"92.125.0.0,255.255.224.0,192.168.0.1,1"=-
"92.126.224.0,255.255.224.0,192.168.0.1,1"=-
"92.243.96.0,255.255.224.0,192.168.0.1,1"=-
"93.91.168.0,255.255.254.0,192.168.0.1,1"=-
"94.28.4.0,255.255.254.0,192.168.0.1,1"=-
"95.170.96.0,255.255.224.0,192.168.0.1,1"=-
"95.170.136.0,255.255.254.0,192.168.0.1,1"=-
"95.170.138.0,255.255.254.0,192.168.0.1,1"=-
"95.170.140.0,255.255.252.0,192.168.0.1,1"=-
"95.170.144.0,255.255.254.0,192.168.0.1,1"=-
"95.170.156.0,255.255.254.0,192.168.0.1,1"=-
"95.174.192.0,255.255.224.0,192.168.0.1,1"=-
"95.191.0.0,255.255.192.0,192.168.0.1,1"=-
"95.191.130.3,255.255.255.255,192.168.0.1,1"=-
"95.191.130.4,255.255.255.255,192.168.0.1,1"=-
"95.191.130.5,255.255.255.255,192.168.0.1,1"=-
"109.123.128.0,255.255.192.0,192.168.0.1,1"=-
"109.124.0.0,255.255.192.0,192.168.0.1,1"=-
"109.202.12.0,255.255.252.0,192.168.0.1,1"=-
"109.227.192.0,255.255.192.0,192.168.0.1,1"=-
"178.213.72.0,255.255.248.0,192.168.0.1,1"=-
"188.65.16.0,255.255.248.0,192.168.0.1,1"=-
"193.106.132.0,255.255.252.0,192.168.0.1,1"=-
"194.226.60.0,255.255.252.0,192.168.0.1,1"=-
"195.211.196.0,255.255.252.0,192.168.0.1,1"=-
"212.73.124.0,255.255.252.0,192.168.0.1,1"=-
"212.107.224.0,255.255.240.0,192.168.0.1,1"=-
"212.107.240.0,255.255.248.0,192.168.0.1,1"=-
"212.192.112.0,255.255.240.0,192.168.0.1,1"=-
"213.183.96.0,255.255.224.0,192.168.0.1,1"=-
"213.210.64.0,255.255.192.0,192.168.0.1,1"=-
"213.228.87.5,255.255.255.255,192.168.0.1,1"=-
"217.8.224.80,255.255.255.240,192.168.0.1,1"=-
"217.8.237.112,255.255.255.240,192.168.0.1,1"=-
"217.18.128.0,255.255.224.0,192.168.0.1,1"=-
"217.18.130.131,255.255.255.255,192.168.0.1,1"=-
"217.18.139.240,255.255.255.240,192.168.0.1,1"=-
"217.29.80.0,255.255.240.0,192.168.0.1,1"=-
"217.70.106.24,255.255.255.255,192.168.0.1,1"=-
"217.70.106.29,255.255.255.255,192.168.0.1,1"=-
"217.70.119.194,255.255.255.255,192.168.0.1,1"=-
"217.106.147.0,255.255.255.240,192.168.0.1,1"=-

ClearJavaCache::
Reboot::

Переместите файл CFScript.txt на иконку ComboFix.exe.

Когда сохранится новый отчет ComboFix, прикрепите его к сообщению.

Nikolaich 18-03-2012 20:46 1881958

Вот опять это - при попытке сохранить файл txt со скриптом тормозит explorer, приходится ждать по 2 минуты пока откроется окошко куда сохранять.

S.R 18-03-2012 20:56 1881963

Nikolaich, один из антивирусов удалили?

Nikolaich 18-03-2012 21:28 1881986

Сделано
(ничего не удалял, просто отключил Avast и Comodo на время работы Combofix)

S.R 19-03-2012 12:17 1882335

Хорошо, теперь лучше.

Попробуйте удалить один из антивирусов (комодо или аваст) и посмотреть результат.

Nikolaich 19-03-2012 18:29 1882596

Отключил сегодня из автозагрузки Comodo для проверки. Теперь другая проблема. Ноутбук не выходит в интернет. Он у меня вместе с другим компом (я с него зашел на форум) подключен через роутер.
Выяснялось что интернет блокировал отключенный фаерволл(не знаю каким образм). После его деинсталляции всё нормализовалось. Так что буду дальше работать для проверки.

Nikolaich 31-03-2012 06:26 1890503

Возвращаюсь в свою тему, так как из-за проведенных экспериментов перестали запускаться некоторые программы. Например, установил ребенку заново игру "Заработало", а она по клику просто не запускается, что-то ее блокирует!
Так что прошу ваших советов по поиску причины и устранению. Не знаю, какая из программ к такому результату привела, может быть ComboFix...

Nikolaich 31-03-2012 06:58 1890511

А вот что выскакивает призапуске другой игры:


SolarSpark 31-03-2012 07:34 1890513

Переустановите/обновите драйвера видеокарты

Nikolaich 31-03-2012 08:53 1890528

Сам виноват, я ранее выключл аппаратное ускорение в свойствах видеоадаптера, а теперь это исправил. И стало запускаться.

SolarSpark 31-03-2012 09:34 1890540

проблема решена?

Nikolaich 31-03-2012 15:53 1890737

Да, теперь всё хорошо!

S.R 31-03-2012 16:28 1890757

Нажмите Пуск => Выполнить. В окне наберите команду
Код:

Combofix /Uninstall
Нажмите на кнопку ОК.

Скачайте OTCleanIt, запустите, нажмите Clean up.


Время: 17:30.

Время: 17:30.
© OSzone.net 2001-