Решена Проблема с процессом explorer.exe, антивирусные программы блокируются

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Паша, 14 окт 2010.

Статус темы:
Закрыта.
  1. Паша
    Оффлайн

    Паша Активный пользователь

    Сообщения:
    4
    Симпатии:
    0
    Здравствуйте! Система XP Home Edition версия 2002 SP3. Проблемы:
    - процесс explorer.exe при загрузке первые минут 5 поедает оперативной памяти >400мб, меню пуск и проводник сильно подвисают;
    - в процессах постоянно появляются и висят системные SearchIndexer.exe, SearchProtocolHost.exe, SearchFilterHost.exe, SearchProtocolHost.exe.
    - половина процессов, например, браузер Opera, запускаются только со второй попытки;
    - иногда наблюдал выскакивание окошка Java6, при попытке убить процесс jds - синий экран;
    - Nod 32 в трее не отображен, в процессах в наличии;
    - блокируются сайты антивирусов Касперского, dr Web, virusinfo и, по видимости, другие подобные;
    - АVZ4, RSIT и Kaspersky Virus Removal Tool 2010 запускаются и через пол секунды отрубаются,cureit ничего не видит, MBAM видит вирусы и записи реестра по блокировке сайтов, но не удаляет, либо они самовоспроизводятся (либо удалять >200 записей вручную в regedit??);
    - в безопасном режиме проблемы с зависанием и пожиранием памяти у explorer.exe сохраняется, прибавляются проблемы с svchost.exe, который забирает много памяти, "ломается" (ошибка памяти) и выскакивает счетчик 60 сек до принудительного завершения работы.

    Важно, может пригодиться другим попавшим: заметил, что если убить вручную процесс explorer черед диспетчер задач, то можно запустить NOD 32, также как и АVZ4, RSIT, Kaspersky, они перестают исчезать через секунду.
    Просканировал перечисленными, MBAM и запустил ComboFix, сделал необходимые логи. Во время работы ComboFix была ошибка с одним процессом, который был закрыт, но сам ComboFix доработал до конца, лонг получен.
     

    Вложения:

  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
  3. Паша
    Оффлайн

    Паша Активный пользователь

    Сообщения:
    4
    Симпатии:
    0
    Нет, хотя на ваш форум перешел именно по ссылке, найденной на одной из страниц указанного форума, первоначально искал в гугл. Или вы имеете в виду, что следует попробовать рекомендации на данной вами страничке?
     
  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    Нет не выполнять рекомендации. Дабы избежать дублирования тем и "пустой" нагрузки на специалистов.

    Добавлено через 5 минут 38 секунд
    Никогда не выполняйте скриптов не написанных для вашей машины.

    Деинсталируйте AVPTool

    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код (Text):

    KillAll::

    File::
    h:\documents and settings\User\Главное меню\Программы\Автозагрузка\sisgbi32.exe
    h:\windows\system32\'dnЂ
    h:\windows\system32\b62eb6d4.exe
    h:\windows\system32\apsoww.exe
    h:\windows\pss\sisgbi32.exeStartup
    Driver::

    Folder::
    h:\program files\Common Files\b8649be6
    h:\program files\Common Files\479B6003a
    Registry::
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
    "Userinit"="h:\windows\system32\userinit.exe,"
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\persistentroutes]
    -
    [-HKLM\~\startupfolder\H:^Documents and Settings^User^Главное меню^Программы^Автозагрузка^sisgbi32.exe]
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "6180:TCP"=-
    FileLook::
    h:\windows\system32\drivers\fmqzvnc.sys
    h:\windows\IsUninst.exe
    h:\windows\system32\nvdrsdb0.bin
    DirLook::
     
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
    [​IMG]
    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
     
    4 пользователям это понравилось.
  5. Паша
    Оффлайн

    Паша Активный пользователь

    Сообщения:
    4
    Симпатии:
    0
    Спасибо, похоже, помогло, только в углу исчез значек раскладки (ctfmon.exe), и процесс SearchIndexer.exe остался, периодически вылезал другой search*.exe процесс
     

    Вложения:

  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    Windows Desktop Search - установлен, это его процесс.

    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код (Text):

    KillAll::

    File::

    Driver::

    Folder::
    h:\program files\Common Files\479B63FBa
    Registry::

    FileLook::

    DirLook::
     
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
    [​IMG]
    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.



    Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите на quarantine<@>safezone.cc с указанием в теме письма ссылки на тему. (at=@)

    Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК"
    [​IMG]

    Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

    Добавлено через 3 минуты 21 секунду
    Проверьте так у вас?
    [​IMG]
     
    2 пользователям это понравилось.
  7. Паша
    Оффлайн

    Паша Активный пользователь

    Сообщения:
    4
    Симпатии:
    0
    Все сделал, спасибо большое!:)
     

    Вложения:

    • log3.rar
      Размер файла:
      3,7 КБ
      Просмотров:
      2
  8. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    Не вижу активного заражения.
     
Статус темы:
Закрыта.

Поделиться этой страницей