Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Стал подвисать комп на 2-3 секунды из-за заражения (http://forum.oszone.net/showthread.php?t=96832)

Bester 26-12-2007 08:47 704119
[решено] Стал подвисать комп на 2-3 секунды из-за заражения
 
У меня с недавнего времени стал подвисать комп на 2-3 секунды, не зависимо какие процесы на нем запущены. Происхдит такое приблизительно через каждых 5 минут. Как избавится от этого? Понимаю, причин может быть много, но посоветуйте че-нибуть. Пожалуйста.

Pili 26-12-2007 08:59 704125
Bester, включить логи (политика аудита) и смотреть на наличие ошибок. Проверить комп на вирусы.

DVDshnik 26-12-2007 09:39 704157
Дефрагментация давно проводилась?

Bester 26-12-2007 14:54 704387
Pili, ошибок нету.
DVDshnik, не давно, пол месяца назад. Счас проверю комп на наличие вирусов и отпишусь.

Bester 26-12-2007 15:38 704421
Забыл сказать, комп не полностю виснет(винамп не перестает играть), просто подтормаживает навигация по инету(переключение между окнами), подтормаживает играя игу(раньше такого не было).
Проверил комп на вирусы - вирусов нету! Еще сделаю дефрагментацию.

DVDshnik 27-12-2007 08:37 704826
Кроме вирусов может присутствовать шпионское программное обеспечение. Программкой Ad-Aware желательно просканировать.

Petya V4sechkin 27-12-2007 09:46 704858
Цитата:
Цитата Bester
подвисать комп на 2-3 секунды
Подвисает намертво? или просто сильно тормозит в это время?

Grub 28-12-2007 07:00 705423
Цитата:
Цитата Petya V4sechkin
Подвисает намертво? или просто сильно тормозит в это время? »
Цитата:
Цитата Bester
Забыл сказать, комп не полностю виснет(винамп не перестает играть), просто подтормаживает навигация по инету(переключение между окнами), подтормаживает играя игу(раньше такого не было). »
А как часто это происходит? Есть определенные интервалы? Если посидеть и последить за диспетчером задач, что будет "съедать" память и загружать проц в такие моменты.

Bester 28-12-2007 10:12 705492
DVDshnik, та прога у меня есть, сканировал систему, шпионского ПО нету.
Petya V4sechkin, просто сильно подтормаживает, если б намертво, то винамп тоже не играл бы.
Grub, прослежу.
И еще вчера смотрел фильм - невозможно смотреть, каждые 5 минут по несколько раз подтормажывает, но определенного интервала нет.

Aleksis Aleks 28-12-2007 10:19 705499
Проверся Cureit в безопастном режиме. AVZ утилитой проверся. Только потом можно утверждать на 90% что нет вирусов и другой нечисти.
Проверь диск на ошибки и сделай дефрагментацию.
Почисти компьютер от "грязи" ccleanerom.

Bester 28-12-2007 10:37 705515
Цитата:
Цитата Aleksis Aleks
Проверся Cureit в безопастном режиме. AVZ утилитой проверся. »
Что это за утилиты и где их взять?

Pili 28-12-2007 10:45 705518
Bester,
- Cкачайте CureIT и запустите полную проверку всех дисков в безопасном режиме. Перезагрузитесь в обычный режим.
- Скачайте AVZ и HijackThis и распакуйте архивы avz4.zip и HiJackThis.zip в отдельные папки.
- Отключите восстановление системы, закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer.
- Запустите AVZ и обновите базы (Файл - Обновление баз). Выберите из меню Файл -Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер.
- Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты".
- Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile". Заархивируйте полученный лог.
- Вложите в сообщение файлы логов (zip файлы из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip

Aleksis Aleks 28-12-2007 13:25 705657
Посмотри также что у тебя в автозагрузке загружается. Убери лишнее. ССleaner это очень хорошо показывает. Да и напиши хоть немного о своем компьютере, пересень железа, программ и т.д. и т.п.

Bester 28-12-2007 16:56 705766
Pili, выложил http://www.bester.ipsys.net/LOG.zip
Aleksis Aleks, в автозагрузке то, што надо. Кликни на "конфигурация" ниже моего аватара и увидиш мое железо. Прог много и все они мне нужны. Антивирус КIS 7.

Severny 28-12-2007 17:46 705788
Bester,
Уважаемый Pili проверит на наличие малвари, но только можно добавить, что с Aston и WindowBlinds система и без вирусов будет затыкаться.

Bester 28-12-2007 18:13 705801
Severny, aston у меня уже пол года, но такое стало неделю назад, даже если я загружаю систему без него то проблема не исчезает.

Pili 28-12-2007 18:16 705806
Bester,
В AVZ - файл- выполнить скрипт
Цитата:
begin
QuarantineFile('logon.scr','');
QuarantineFile('C:\WINDOWS\system32\wbsys.dll','');
QuarantineFile('C:\Program Files\SmartFTP Client\_patch.exe','');
end.
потом ещё один
Цитата:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
карантин выложить так же как логи и дать ссылку
в HJT пофиксить
Цитата:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - (no file)
O2 - BHO: Pub Class - {A3607D00-B804-487A-9A3C-875B60E1C388} - (no file)
O3 - Toolbar: &Page Promoter Bar - {BA5D8DF9-1851-4660-B3AE-89E6E030AC34} - (no file)
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - (no file)
O20 - AppInit_DLLs: wbsys.dll,C:\PROGRA~1\KASPER~1.0\adialhk.dll
текст
Цитата:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\PROGRA~1\\KASPER~1\\KASPER~1.0\\adialhk.dll"
вставить в Блокнот и сохранить под именем "appinit.reg" (с кавычками!)
два раза щелкнуть мышкой по файлу и подтвердить внесение изменений.

Bester 28-12-2007 18:28 705812
Цитата:
Цитата Pili
в HJT пофиксить »
пожалуйста напиши подробнее как это сделать

Pili 28-12-2007 18:33 705815
Запустить файл hijackthis.exe, в главном окне программы нужно нажать кнопочку "Do a system scan only"
В открывшемся логе сканирования поставить галочки напротив указанных строк и нажать кнопку "Fix Checked". Затем следует перегрузить компьютер.

Bester 28-12-2007 18:39 705822
Вот карантин созданый кодом
Цитата:
Цитата Pili
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end. »
http://www.bester.ipsys.net/quarantine.zip , но он запаролен, поэтому решил выложить(сам архивировал) не запаролен.
http://www.bester.ipsys.net/carantin.zip

Pili 28-12-2007 21:01 705892
результат на SmartFTP Client\_patch.exe
Цитата:
AVG - - Generic5.IPG
CAT-QuickHeal - - (Suspicious) - DNAScan
ClamAV - - PUA.Packed.UPack-2
eSafe - - Suspicious File
Ewido - - Trojan.Small
FileAdvisor - - Low threat detected
F-Prot - - W32/Heuristic-162!Eldorado
Ikarus - - Trojan-Downloader.Win32.Zlob.and
Norman - - W32/Suspicious_U.gen
Sophos - - Mal/Packer
Sunbelt - - VIPRE.Suspicious
TheHacker - - W32/Behav-Heuristic-060
VirusBuster - - Packed/Upack
Webwasher-Gateway - - Win32.Malware.gen (suspicious)
logon.scr в карантин не попал, по wbsys.dll подождем ответ от ЛК
выполните скрипт
Цитата:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\logon.scr','');
DeleteFile('C:\Program Files\SmartFTP Client\_patch.exe');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
компьютер перезагрузится, потом ещё один скрипт
Цитата:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
карантин quarantine.zip выложить и дать ссылку
сделайте новые логи hijackthis и скрипт 2-ой (файл-станд. скрипты - скрипт сбора инф-ии)

Pili 29-12-2007 08:15 706049
Пришел ответ ЛК wbsys.dll чист, но всё равно рекомендую деинсталлировать WindowBlinds, уж слишколм активно себя ведет и внедряется в большое количество процессов, а тут ещё и Style XP и Aston... SmartFTP Client, если не критично, заменить на другой фтп клиент.
Сделайте новые логи.

Bester 29-12-2007 19:20 706302
Pili, http://www.bester.ipsys.net/logs.zip

Pili, у меня не стоит WindowBlinds (он у меня был раньше я его деинсталировал), этот фтп клиент счас деинсталирую.

Pili 29-12-2007 20:09 706319
Действительно, wbsys.dll теперь из логов исчез, logon.scr снова не попал в карантин, найдите его и проверьте на virustotal.com (вероятно будет чистый), в остальном логи чистые.
Используется ли реально служба общих сетевых ресурсов проигрывателя Windows Media? Если нет, то отключить её
и вообще отключить все не нужные сервисы или перевести на старт "вручную", если останется затормаживание, то скорее всего связано с Астоном и StyleXP
и ещё
Цитата:
>> Services: potentially dangerous service allowed TermService (Службы терминалов)
>> Services: potentially dangerous service allowed Schedule (Планировщик заданий)
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
>> Security: sending Remote Assistant queries is enabled
Что из этого не надо?
Если комп домашний, то можно выполнить такой скрипт
Цитата:
begin
SetServiceStart('Schedule', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
end.

Pili 29-12-2007 20:31 706332
Доп-но если файл hosts не сами правили, выполните скрипт
Цитата:
begin
ClearHostsFile;
end.
Цитата:
>> Abnormal SCR files association
>> Windows Explorer startup key is modified
поэтому ещё скрипт
Цитата:
begin
ExecuteRepair(1);
ExecuteRepair(8);
ExecuteRepair(16);
end.

Bester 29-12-2007 22:44 706372
Pili, сделал то, что ты сказал: отключил максимум служб, выполнил эти коды, загрузился без помощи астона. Но все равно одно и то. А может это мой каспер тормозит. Счас попробую без него.

Pili 29-12-2007 23:06 706378
Цитата:
Цитата Pili
logon.scr снова не попал в карантин, найдите его и проверьте на virustotal.com »
сделали?
Цитата:
Цитата Bester
загрузился без помощи астона »
в смысле деинсталировали?

Bester 30-12-2007 20:27 706721
Проблема решена. Тормозил систему каспер.

Pili 30-12-2007 21:04 706744
Перегружались после скриптов из 25-го поста, до выключения Касперского? Не забудьте включить восстановление системы! С наступающим!

Bester 31-12-2007 15:09 706921
Цитата:
Цитата Pili
Перегружались после скриптов из 25-го поста, до выключения Касперского? »
Перезагружался. Спасибо, Вас тоже с наступающим!!!!!

Nihal 01-01-2008 15:24 707148
Присоединюсь.

Каспер начинает тормозить после месяца-второго пользования. У меня лично подвисания не было но вот интернет эксплорер 7 при запуске и открытии новых окон глючил ужасно. Решилось удалением каспера (версия 7... дальше не помню ).

Видно что-то где-то он ищет = ) но вот что и где - нету желания разбираться.
Имхо уж очень много он требует ресурсов и работает пока-что не оптимально.


Время: 16:20.

Время: 16:20.
© OSzone.net 2001-