Проблемы с компом

Популярное сегодня

Лучшее за неделю

Страницы: (2) 1 2

ptary

дата: 15-04-2009 - 12:43 [ i ]

Мисс SN 2011. Мисс игры Битва.
Репутация: 5146
Статус: Зачем ты делаешь мне зло? Ведь я не делал добра...
Свободна

периодически компьютер выдает мне полный завис, при запущенном минимуме программ, иногда не грузит виндоус.
самое забавное происходит когда запускаешь люой из трех интернет эксплореров.
собственно ИЕ, Мозилу и оперу.
окна повисают в хаотичном порядке, закрываешь вкладку - закрывается вобще все что запущено, но все бы ничего если бы вчера в довершение всего не столкнулась с проблемой невозможности перемещения файлов на компьютере. куда бы не перемещала - пишет поток прерван.
сканирование с помощью avz система прошла, однако выполнить лечащие скрипты не удалось, папка отсутствует....

avz логи пока что...
и подскажите что делать чтобы пролечить?

ptary дата: 15-04-2009 - 12:51 [ i ]
Мисс SN 2011. Мисс игры Битва. Репутация: 5146 Статус: Зачем ты делаешь мне зло? Ведь я не делал добра... Свободна	лог с хиджактиса

дата: 15-04-2009 - 16:40 [ i ]

Unregistered
Статус:
Свободен

Нужно сделать полную проверку DrWeb CureIt в безопасном режиме, как написано в правилах(пункт-1)
Пока что сделайте следущее:
Очистите папку карантин в папке АВЗ!
Отключите восстановление системы!!!
Отключите НОД , интернет и закройте все приложения!
Выполните в АВЗ такой скрипт(файл\выполнить скрипт\скопировать скрипт в окошко\запустить):

QUOTE

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DelBHO('{FB5F1910-F110-11d2-BB9E-00C04F795683}');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{925DAB62-F9AC-4221-806A-057BFB1014AA}');
DelBHO('{53F6FCCD-9E22-4d71-86EA-6E43136192AB}');
DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}');
DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}');
QuarantineFile('C:\Program Files\Common Files\Yandex\Yupdate\yupdate.exe','');
QuarantineFile('C:\WINDOWS\system32\Unlocker.exe','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc21.tmp','');
QuarantineFile('C:\Program Files\Wyyo\wyyo.dll','');
QuarantineFile('c:\documents and settings\all users\application data\wyyo\wyyo129.exe','');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc21.tmp');
ExecuteRepair(8);
ExecuteRepair(16);
CreateQurantineArchive(GetAVZDirectory+'virus.zip');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Система перезагрузится.
Пофиксить, если найдутся, в Hijack строчки:

QUOTE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/?clid=40488
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное(автозапуск и обновление системы- по желанию) следует пометить галочками и нажать исправить отмеченные. Операцию повторить для категории "Настройки и твики браузера".

Карантин из папки АВЗ залейте на рапиду, и дайте ссылку.
Возможно некоторые файлы не попадут в карантин, проверте их на http://www.virustotal.com/ru/
C:\WINDOWS\system32\Unlocker.exe
C:\Documents and Settings\All Users\Application Data\Wyyo\wyyo129.exe
C:\Program Files\Common Files\Yandex\Yupdate\yupdate.exe
C:\Program Files\Wyyo\wyyo.exe

Это сообщение отредактировал Semenka - 15-04-2009 - 17:56

дата: 15-04-2009 - 16:48 [ i ]
Unregistered Статус: Свободен	Еще забыл добавить: После проверки DrWeb CureIt, в АВЗ(главное окно программы AVZPM) активируйте "драйвер расширенного мониторинга AVZPM" и перезагрузите систему. Затем сделайте повторные логи.

ptary дата: 15-04-2009 - 18:50 [ i ]
Мисс SN 2011. Мисс игры Битва. Репутация: 5146 Статус: Зачем ты делаешь мне зло? Ведь я не делал добра... Свободна	в безопасном режиме проверку сделала. трояны якобы почищены уже. повторный лог авз сделать сегодня постараюсь.

дата: 15-04-2009 - 19:41 [ i ]
Unregistered Статус: Свободен	Если проводилась полная проверка CureIt, то не помешает посмотреть на лог этой проверки. Файл находится в C:\Documents and Settings\имя пользователя\DoctorWeb\ Заархивируйте его и залейте куда нибудь.

ptary дата: 15-04-2009 - 22:36 [ i ]
Мисс SN 2011. Мисс игры Битва. Репутация: 5146 Статус: Зачем ты делаешь мне зло? Ведь я не делал добра... Свободна	http://www.rapidshare.ru/1006932

дата: 15-04-2009 - 23:18 [ i ]

Unregistered
Статус:
Свободен

QUOTE (ptary @ 15.04.2009 - время: 22:36)

http://www.rapidshare.ru/1006932

Не могу сейчас скачать ваш лог(лимит на бесплатные закачки). Что сказал VirusTotal по поводу тех файлов, которые просил проверить?
Задания я впланировщике задач ваши? Если нет, удалите через панель управления\управление заданиями.
Закройте все приложения, антивирус, отключите интернет;
Выполните в АВЗ скрипт:

QUOTE

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
SetServiceStart('Wyyo Service', 4);
TerminateProcessByName('c:\documents and settings\all users\application data\wyyo\wyyo129.exe');
TerminateProcessByName('c:\program files\wyyo\wyyo.exe');
DeleteFile('c:\program files\wyyo\wyyo.exe');
DeleteFile('c:\documents and settings\all users\application data\wyyo\wyyo129.exe');
DeleteFile('C:\Program Files\Wyyo\wyyo.dll');
DeleteFile('C:\WINDOWS\system32\Unlocker.exe');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc21.tmp');
BC_ImportDeletedList;
BC_DeleteFile('C:\WINDOWS\system32\Unlocker.exe');
BC_DeleteFile('c:\program files\wyyo\wyyo.exe');
BC_DeleteFile('c:\documents and settings\all users\application data\wyyo\wyyo129.exe');
BC_DeleteFile('C:\Program Files\Wyyo\wyyo.dll');
BC_DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc21.tmp');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Система перезагрузится(возможно потребуется некоторое время подожать минут 5-10) если это не произойдет(случай непростой), придется "ресетить".
Пофиксить в Hijack:

QUOTE

O8 - Extra context menu item: Block frame with Ad Muncher - http://www.admuncher.com/request_will_be_i...d=menu_ie_frame

O8 - Extra context menu item: Block image with Ad Muncher - http://www.admuncher.com/request_will_be_i...d=menu_ie_image

O8 - Extra context menu item: Block link with Ad Muncher - http://www.admuncher.com/request_will_be_i...id=menu_ie_link

O8 - Extra context menu item: Don't filter page with Ad Muncher - http://www.admuncher.com/request_will_be_i...menu_ie_exclude

O8 - Extra context menu item: Report page to the Ad Muncher developers - http://www.admuncher.com/request_will_be_i...=menu_ie_report

O8 - Extra context menu item: яКНБЮПХ@Mail.Ru - res://C:\PROGRA~1\Mail.Ru\Sputnik\MAILRU~1.DLL/TRANSLATE.HTM

Повторите логи!

РS. Все эти файлы:

QUOTE

('C:\WINDOWS\system32\Unlocker.exe');
('c:\program files\wyyo\wyyo.exe');
('c:\documents and settings\all users\application data\wyyo\wyyo129.exe');
('C:\Program Files\Wyyo\wyyo.dll');

так же можно удалить из безопасного режима, предварительно удалив ключи реестра "wyyo"(тоже в безопасном) при помощи поиска по реестру.

Это сообщение отредактировал Semenka - 15-04-2009 - 23:45

ptary дата: 16-04-2009 - 09:17 [ i ]
Мисс SN 2011. Мисс игры Битва. Репутация: 5146 Статус: Зачем ты делаешь мне зло? Ведь я не делал добра... Свободна	после фиксов. щас логи авз сделаю.

ptary

дата: 16-04-2009 - 09:25 [ i ]

Мисс SN 2011. Мисс игры Битва.
Репутация: 5146
Статус: Зачем ты делаешь мне зло? Ведь я не делал добра...
Свободна

после выполнения авз скрипта система перезагрузилась, но не с требованием авз, а для завершения установки автоматических обнослений.
на компе ожили иконки программ - порадовало сразу же.
файлы записанные в самом низу не удаляются... а первых двух строчек вобще не нашла.
зато открыв папку виндоус обнаружила множество скрытых папок, выделенных синим шрифтом.. повергло в ужас..

ptary дата: 16-04-2009 - 10:12 [ i ]
Мисс SN 2011. Мисс игры Битва. Репутация: 5146 Статус: Зачем ты делаешь мне зло? Ведь я не делал добра... Свободна	avz новые логи после установки драйвера расширенного мониторинга

дата: 16-04-2009 - 15:45 [ i ]

Unregistered
Статус:
Свободен

QUOTE

Восстановление системы: включено

Будте внимательнее или до бесконечности лечится будем. Я выше написал, что обязательно нужно отключить восстановление! После полного излечения можно будет включить.
Еще раз, задания в планирощике задач ваши? Если нет, удалите, как выше написал.
После того, как отключите восстановление, выполните в АВЗ:

QUOTE

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{925DAB62-F9AC-4221-806A-057BFB1014AA}');
DelBHO('{53F6FCCD-9E22-4d71-86EA-6E43136192AB}');
DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}');
DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc21.tmp');
ExecuteRepair(8);
BC_ImportDeletedList;
BC_DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc21.tmp');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Система перезагрузится.

В логе Hijack все на месте. Пофиксите, как написано в правилах, строчки и после перезагрузите систему:

QUOTE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/?clid=40488
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java™ Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

После повторите лог №2 (syscheck.zip) и Hidjack

PS.

QUOTE

Это норамально- устанавливается SP3. Если система лицензионная, проблем с активацией не возникнет. Cкрытые системные(синие) папки, тоже нормально.
Какие конкретно файлы не удаляются и из каких папок? Добавте их в архив и залейте http://www.slil.ru/
Найдите файл C:\WINDOWS\system32\SamFaxPort.dll и проверте его http://www.virustotal.com/ru/ или запакуйте в архив и залейте http://www.slil.ru/ (логи кстати тоже туда же заливайте). Я не могу его трогать, пока не узнаю насколько он вредоносен.

Это сообщение отредактировал Semenka - 16-04-2009 - 16:17

ptary дата: 16-04-2009 - 16:36 [ i ]
Мисс SN 2011. Мисс игры Битва. Репутация: 5146 Статус: Зачем ты делаешь мне зло? Ведь я не делал добра... Свободна	в панели управления управления заданиями не вижу...

ptary

дата: 16-04-2009 - 16:45 [ i ]

Мисс SN 2011. Мисс игры Битва.
Репутация: 5146
Статус: Зачем ты делаешь мне зло? Ведь я не делал добра...
Свободна

QUOTE (Semenka @ 16.04.2009 - время: 16:45)

Какие конкретно файлы не удаляются и из каких папок? Добавте их в архив и залейте http://www.slil.ru/

восстановление отключила.

QUOTE

('C:\WINDOWS\system32\Unlocker.exe');
('c:\program files\wyyo\wyyo.exe');
('c:\documents and settings\all users\application data\wyyo\wyyo129.exe');
('C:\Program Files\Wyyo\wyyo.dll');

последних двух строчек нет вобще в этих папках.
анлоккер не хочет удаляться ни в какую. ни в безопасном, ни в таком режиме.

QUOTE

Это норамально- устанавливается SP3. Если система лицензионная, проблем с активацией не возникнет. .

систему как раз нелицензионная

щас сделаю проверку сказанного файла

ptary дата: 16-04-2009 - 16:57 [ i ]
Мисс SN 2011. Мисс игры Битва. Репутация: 5146 Статус: Зачем ты делаешь мне зло? Ведь я не делал добра... Свободна	скрипт провела. выскочило окно - скрипт выполнен без ошибок и система перезагрузилась. лог с Hijack последний лог с авз делается сейчас.

ptary дата: 16-04-2009 - 17:02 [ i ]
Мисс SN 2011. Мисс игры Битва. Репутация: 5146 Статус: Зачем ты делаешь мне зло? Ведь я не делал добра... Свободна	файл который просили залить http://slil.ru/27456156

дата: 16-04-2009 - 17:03 [ i ]

Unregistered
Статус:
Свободен

QUOTE (ptary @ 16.04.2009 - время: 16:45)

('C:\WINDOWS\system32\Unlocker.exe');
('c:\program files\wyyo\wyyo.exe');
анлоккер не хочет удаляться ни в какую. ни в безопасном, ни в таком режиме.
систему как раз нелицензионная

Все равно не припятствуйте обновлению. Эта проблема решаемая. Вы последний скрипт выполняли? В Хайджек фиксили строчки?

C:\WINDOWS\system32\Unlocker.exe
c:\program files\wyyo\wyyo.exe
В последних логах не было. Можно их удалить при помощи этой программы:

-Распакуйте и запустите программу.
-Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлы.
-Нажмите по нему правой кнопкой мыши и выберите force delete.
-На запрос потверждения ответьте "да".
-Перезагрузите компьютер.

PS. Как сейчас общее состояние системы. Какие проблемы остались?

ptary

дата: 16-04-2009 - 17:21 [ i ]

Мисс SN 2011. Мисс игры Битва.
Репутация: 5146
Статус: Зачем ты делаешь мне зло? Ведь я не делал добра...
Свободна

QUOTE (Semenka @ 16.04.2009 - время: 18:03)

PS. Как сейчас общее состояние системы. Какие проблемы остались?

сложно сказать какие проблемы остались...
файлы во всяком случае уже переносятся, что не может не радовать.

p.s. программу скачала, но авз долго сканирует... одновременно запускать все боюсь

ptary дата: 16-04-2009 - 17:24 [ i ]
Мисс SN 2011. Мисс игры Битва. Репутация: 5146 Статус: Зачем ты делаешь мне зло? Ведь я не делал добра... Свободна	virusinfo_syscheck последний - только что выполненный http://slil.ru/27456257

дата: 16-04-2009 - 17:30 [ i ]
Unregistered Статус: Свободен	Лог Hijack в норме. Этот файл тоже пришлите или сами проверте на вирустотал: C:\Program Files\Common Files\Yandex\Yupdate\yupdate.exe Это сообщение отредактировал Semenka - 16-04-2009 - 17:30

ptary дата: 16-04-2009 - 17:30 [ i ]
Мисс SN 2011. Мисс игры Битва. Репутация: 5146 Статус: Зачем ты делаешь мне зло? Ведь я не делал добра... Свободна	UnlockerDriver 5.sys Unlocker Hook.dll что из этого снести?

Bazilio дата: 16-04-2009 - 17:32 [ i ]
Интересующийся Репутация: 14 Статус: Давай пообщаемся! Свободен	Semenka, у меня сейчас через автоматическое обновление качаются всякие пакеты в том числе и сп3,винда не лицензионная.Такой вопрос,выозникнут ли у меня проблемы после перезагрузки с активацией. Извените что влез.

ptary

дата: 16-04-2009 - 17:32 [ i ]

Мисс SN 2011. Мисс игры Битва.
Репутация: 5146
Статус: Зачем ты делаешь мне зло? Ведь я не делал добра...
Свободна

QUOTE (Semenka @ 16.04.2009 - время: 18:30)

Лог Hijack в норме.
Этот файл тоже пришлите или сами проверте на вирустотал:
C:\Program Files\Common Files\Yandex\Yupdate\yupdate.exe

http://www.virustotal.com/ru/analisis/9ef2...b4579fb93001105

дата: 16-04-2009 - 17:46 [ i ]

Unregistered
Статус:
Свободен

@ Bazilio
Активация может потребоваться после полной установки SP3. В ПМ напишите если возникнут проблемы с ней.

@ptary
UnlockerDriver 5.sys
Unlocker Hook.dll
Где эти файлы находятся, в каих папках?

Закройте все приложения, интернет!!!
Выполните в АВЗ

QUOTE

begin
DeleteFileMask('%Tmp%', '*.*', true);
DeleteFileMask('C:\Documents and Settings\User\Local Settings\Temporary Internet Files\', '*.*', true);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc21.tmp');
BC_ImportDeletedList;
BC_DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc21.tmp');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Система перезагрузится.
Повторите лог АВЗ.

ptary

дата: 16-04-2009 - 17:56 [ i ]

Мисс SN 2011. Мисс игры Битва.
Репутация: 5146
Статус: Зачем ты делаешь мне зло? Ведь я не делал добра...
Свободна

QUOTE (Semenka @ 16.04.2009 - время: 18:46)

@ptary
UnlockerDriver 5.sys
Unlocker Hook.dll
Где эти файлы находятся, в каих папках?

system 32. в ней оба

0 Пользователей читают эту тему (0 Гостей и 0 Скрытых Пользователей)

Страницы: (2) 1 2

Рекомендуем почитать также топики:

Guild Wars!

Проблемы с аськой и квипом!

Fahrenheit новый жанр в современных игрушках

Ведьмак

Как качать с Rapidshare?