[Ljuboznatel]

Выполнил ваши скрипты в AVZ. Письмо с quarantine.zip отправил, ответ пока не пришел.

Пофиксил в HijackThis строчку: R3 - URLSearchHook: (no name) - - (no file)
а вот других двух строк уже не было:
O4 - HKCU\..\Run: [PCHDPlayer] C:\Program Files\pchd\PCHDPlayer.exe
R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)

MBAM просканировал, лог прикрепил.

Логи AVZ и RSIT (получился только log.txt затем RSIT закрылся и другой лог не сделал) прикрепил.

Пока теже симптомы, браузер тормозит как и прежде.

[Ljuboznatel]

Цитата maniy77:

Вам надо настроить связку, примерно так: »

Сделал как вы написали: снял галочку с KAV NDIS Filter, затем изменил значение в реестре, перезагрузил систему.
Результат тот же, браузеры пока тормозят.

Если приостановить защиту Касперского, то страницы в браузере открываются уже быстрее.
Но во время открытия даже пустой вкладки загрузка процессора резко увеличивается до 100%, потом спадает секунд за пять, ну и куллер на проце соответственно подвывает в это время.
Если выключить Касперского полностью, то тоже самое.
Все равно субъективные ощущения что тормозит, и даже при скроллинге.

Выходит что процессор грузится браузером?
А может такое быть из-за того что нету отдельной видеакарты, а есть только встроенный графический процессор на мат.плате?
Или свойства обозревателя настроены некорректно?

Цитата maniy77:

По поводу анонимного пользователя: Анонимный доступ и используется для того, чтобы без дополнительных телодвижений, получать доступ к сетевым ресурсам. В случае, если вы закрываете анонимный доступ, схема примерно следующая: мы создаем сетевой ресурс, например, общую папку или принтер. Мы удаляем из разрешений группу "Все" и добавляем в разрешения пользователя или группу пользователей. При попытке доступа по сети к данному сетевому ресурсу, будет выдан запрос на ввод имени пользователя и пароля. Если ввели правильно - получаем доступ, если неправильно - ресурс недоступен. Соответственно, ваша задача - на каждой машине сформировать список пользователей - и задать явные разрешения для общих ресурсов. Т.е."прописать друг у друга". Замечу, что это не всегда удобно: например, при такой схеме печать на сетевой принтер становится проблемным делом - вы должны сначала открыть окно состояния данного принтера, ввести имя пользователя и пароль, только затем сможете печатать. »

Спасибо.
Принтер у нас не сетевой, так что если это единственное неудобство, то можно попробовать.
Вот только вникну в «Разрешения», а список пользователей по идее должен быть небольшой, т.к. всего два человека и у каждого свой комп.
Или же «Пользователь» и «Учетная запись» это разные понятия?

Цитата maniy77:

если сегодня не успею просмотреть-ничего страшного, ответ с дальнейшими рекомендациями вас будет ждать завтра с утра. »

Спасибо, еще раз, я подожду. Мне важно разобраться, чтобы при следующей переустановке системы избежать ошибок.

[SolarSpark]

Цитата Ljuboznatel:

А может такое быть из-за того что нету отдельной видеакарты, а есть только встроенный графический процессор на мат.плате? »

это вам в другой отдел форума, по железу. я, к сожалению, не подскажу.
Проверьте сами на http://www.virustotal.com файлы

Код:

C:\Documents and Settings\Sasha\Главное меню\Программы\IMVU\Run IMVU.lnk
C:\WINDOWS\system32\drivers\SandBox.sys
D:\Christmas.exe

ссылку на результат запостите здесь

по логу видна Webmoney..сами устанавливали?

и эта прога меня смущает - C:\PROGRA~1\PIVIMM~1\MULTIS~1.DLL Мультибар Pivim.
Если не нужна, удаляем через установка/удаление программ или еще лучше через Revo Uninstaller, она зачищает следы.

Вам для данного компьютера нужно выбрать из вашей связки антивирусного ПО что-нибудь одно, более ресурсосберегающее.
Ещё Adobe CS4: фотошоп, дизайнер, иллюстратор, бридж(просмотрщик)
- это очень ресурсоёмкие приложения. Тем более новейшие версии. Надо соотносить желания и возможности ПК.

Для ускорения загрузки и работы системы выполните следующее:
1.проверка дисков. пуск - выполнить - вбить

Цитата:

chkdsk /f /r

нажать enter
2. проверка целостности системных файлов. Вставить диск с дистрибутивом.
пуск - выплонить - вбить

Цитата:

sfc.exe /scannow

нажать enter
3. дефрагментация дисков. Пуск - программы- стандартные - служебные -дефрагментация.
4. очистка автозагрузки. пуск - выполнить - вбить msconfig, перейти на вкладку "автозагрузка" отметить те программы, которыми не пользуетесь постоянно, но только те, которые знаете
5. зачистка мусора программой типа ССleaner. Это сильно влияет на загрузку процессора и скорость работы в целом.

Деинсталлируйте МБАМ. Программа предназначена для временного пользования.

[Ljuboznatel]

SandBox.sys - Agnitum Ltd. Host Protection Component с цифровой подисью, чист.
SandBox.sys на virustotal.com

Двух других файлов на диске нет:
C:\Documents and Settings\Sasha\Главное меню\Программы\IMVU\Run IMVU.lnk - эту не знаю.
D:\Christmas.exe - эту я помню, скринсейвер с новогодней елкой, она еще до меня была, больше года назад.

Webmoney (а именно Keeper и Advisor для сайтов) сам устанавливал дней десять назад, когда комп. вернулся ко мне назад от другого человека.

C:\Program Files\Pivim Multibar\multishop.dll на virustotal.com
в Установке и удалении программ ее нет в списке. В ручную ее можно удалить?

Цитата maniy77:

Ещё Adobe CS4: фотошоп, дизайнер, иллюстратор, бридж(просмотрщик) - это очень ресурсоёмкие приложения. Тем более новейшие версии. Надо соотносить желания и возможности ПК. »

Согласен, эти я могу поставить постарее версии.
Но я их пока вообще не включаю.
Даже когда запущен только браузер - то он тормозит, вот с этим бы справиться сначала.

Операции 1-5 скоро сделаю и отпишусь.

[SolarSpark]

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\PROGRA~1\PIVIMM~1\MULTIS~1.DLL','');
 QuarantineFile('C:\Documents and Settings\Sasha\Главное меню\Программы\IMVU\Run IMVU.lnk','');
 DeleteFile('C:\Documents and Settings\Sasha\Главное меню\Программы\IMVU\Run IMVU.lnk');
 DeleteFile('C:\PROGRA~1\PIVIMM~1\MULTIS~1.DLL');
 DelBHO('{CA3EB689-8F09-4026-AA10-B9534C691CE0}');
 DelBHO('{d9288080-1baa-4bc4-9cf8-a92d743db949}');
 DelBHO('{39AA6D29-4236-4F25-A36A-3410EF5283D9}');
 DeleteFileMask('C:\Documents and Settings\Sasha\Главное меню\Программы\IMVU', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\Sasha\Главное меню\Программы\IMVU');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте на quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему. В теле сообщения укажите адрес своей темы на форуме. Результаты ответа, сообщите здесь, в теме.

Пофиксить в HijackThis следующие строчки:

Код:

R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)
O2 - BHO: MultiShop v2.0 - {39AA6D29-4236-4F25-A36A-3410EF5283D9} - C:\PROGRA~1\PIVIMM~1\MULTIS~1.DLL
O9 - Extra 'Tools' menuitem: MultiShop v2.0 - {39AA6D29-4236-4F25-A36A-3410EF5283D9} - C:\PROGRA~1\PIVIMM~1\MULTIS~1.DLL
O9 - Extra button: MultiShop v2.0 - {39AA6D29-4236-4F25-A36A-3410EF5283D9} - C:\PROGRA~1\PIVIMM~1\MULTIS~1.DLL
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Sasha\Главное меню\Программы\IMVU\Run IMVU.lnk (file missing)

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

[Ljuboznatel]

Цитата maniy77:

Для ускорения загрузки и работы системы выполните следующее: »

Выполнил пунткы 1-5:
1. Диски проверил, ошибок нет
2. Целостность системных файлов проверил, но результаты не увидел, когда действие завершилось, окно сразу закрылось.
3. «Дефрагментация диска не требуется», вероятно из-за того что я ее делал два дня назад.
Разве только что принудительно сделать еще раз.
4. В автозагрузке отключил пару галочек относящихся к Adobe: Adobe Version Cue и CS4 Service Manager.
Кстати, есть в автозагрузке галочка, а вместо «Элемента автозагрузки» и «Команды» - пробелы, «Расположение» HKCU\Software\Microsoft\Windows\CurrentVersion\Run.
Это может быть что-то опасное? Его убирать?
Посмотрел в ССleaner - Сервис - Автозагрузка: там с пробельной строкой только Adobe Bridge.
Но в Диспетчере задач процесса Bridge.exe нет.
Как убедиться что в автозагрузке стоит именно Bridge, а не какое-то другое приложение?
5. ССleaner. Мусор, удалил - только то что знал.
Удалил МБАМ.

Цитата maniy77:

AVZ Файл - Выполнить скрипт »

Скрипты выполнил. Письмо отправил, но еще нет ответа на предыдущее письмо.
Наверное люди уже отдыхают на выходных.

кому: quarantine@virusnet.info
тема: http://forum.oszone.net/post-1610874-15.html
и в теле письма продублировал ссылку
http://forum.oszone.net/post-1610874-15.html
Так достаточно, или нужно еще что в письме?

Цитата:

Пофиксить в HijackThis следующие строчки:

Этих строх уже небыло:
R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)
O2 - BHO: MultiShop v2.0 - {39AA6D29-4236-4F25-A36A-3410EF5283D9} - C:\PROGRA~1\PIVIMM~1\MULTIS~1.DLL
O9 - Extra 'Tools' menuitem: MultiShop v2.0 - {39AA6D29-4236-4F25-A36A-3410EF5283D9} - C:\PROGRA~1\PIVIMM~1\MULTIS~1.DLL
O9 - Extra button: MultiShop v2.0 - {39AA6D29-4236-4F25-A36A-3410EF5283D9} - C:\PROGRA~1\PIVIMM~1\MULTIS~1.DLL
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings


Скачал ComboFix с bleepingcomputer.com, проверил.
Ничего что ВирусТотал 5 из 42 показывает?
Правда именитые антивирусы ничего не нашли.
Страшновато запускать, а у вас такие же результаты сканирования?


Симптомы пока что как и прежде.
Браузеры тормозят.

[SolarSpark]

лог combofix приложите как указано

[SolarSpark]

Цитата Ljuboznatel:

Как убедиться что в автозагрузке стоит именно Bridge »

проверить файл на http://www.virustotal.com

Цитата Ljuboznatel:

Кстати, есть в автозагрузке галочка, а вместо «Элемента автозагрузки» и «Команды» - пробелы, «Расположение» HKCU\Software\Microsoft\Windows\CurrentVersion\Run. »

посмотрим в combofix

[Ljuboznatel]

С Bridge разобрался если снять галочку с него через msconfig - Автозагрузка,
то в CCleaner - Сервис - Автозагрузка - строчка с пробелами изчезает.
Проверил Bridge.exe на virustotal - чисто

Прикрепил лог combofix

[SolarSpark]

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

что с проблемами?