• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Тормозит компьютер

Статус
В этой теме нельзя размещать новые ответы.

sumral95

Активный пользователь
Сообщения
25
Реакции
0
Баллы
301
После недолгой работы за компьютером он начинает ужасно тормозить, программы, даже самые легкие открываются по минут 5, в браузере невозможно вкладку открыть!
Часто программы стали "Не отвечать"
Помогает только перезагрузка, а через час-два а то и меньше начинается по новой.
Кстати места на системном диске тоже мало ~2-3 ГБ, удалять вроде особо нечего
Посмотреть вложение virusinfo_syscure.zip

Посмотреть вложение virusinfo_syscheck.zip

Посмотреть вложение hijackthis.log
 

Ботан

Злостный спам-бот
Сообщения
1,030
Реакции
128
Баллы
453
Приветствую sumral95, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
Внимание !!! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Обновите базы AVZ и сделайте новые логи.

+

Сделайте лог OTL by OldTimer
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,650
Реакции
5,905
Баллы
1,008
Здравствуйте!

Отключите антивирус/фаервол, интернет;

Выполните скрипт в AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:
begin
  ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
  ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  QuarantineFile('C:\Windows\Installer\217197e.msi','');
  QuarantineFile('C:\Windows\system32\EmulSrch.dll','');
  QuarantineFile('C:\Windows\system32\expstart.exe','');
  QuarantineFile('expstart.exe','');
  DeleteFile('C:\Windows\system32\EmulSrch.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
  • Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  • В окно Custom Scans/Fixes скопируйте следующую информацию:

    Код:
    :processes
    :OTL
    DRV - (cpuz135) --  File not found
    FF - HKLM\Software\MozillaPlugins\@velcamplugin:  File not found
    File not found (No name found) -- C:\USERS\РЂРҐРЈРЁРЅ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\IZ3O9LSU.DEFAULT\EXTENSIONS\{6236BA26-C117-4007-928C-DE0716C7FA38}
    File not found (No name found) -- C:\USERS\РЂРҐРЈРЁРЅ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\IZ3O9LSU.DEFAULT\EXTENSIONS\{6236BA26-C117-4007-928C-DE0716C7FA48}
    File not found (No name found) -- C:\USERS\РЂРҐРЈРЁРЅ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\IZ3O9LSU.DEFAULT\EXTENSIONS\{6236BA26-C117-4007-928C-DE0716C7FA58}
    File not found (No name found) -- C:\USERS\РЂРҐРЈРЁРЅ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\IZ3O9LSU.DEFAULT\EXTENSIONS\{6236BA26-C117-4007-928C-DE0716C7FA68}
    O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
    @Alternate Data Stream - 143 bytes -> C:\ProgramData\TEMP:41ADDB8A
    @Alternate Data Stream - 136 bytes -> C:\ProgramData\TEMP:A064CECC
    @Alternate Data Stream - 131 bytes -> C:\ProgramData\TEMP:07BF512B
    :Services
    
    :Files
    
    ipconfig /flushdns /c
    :Reg
    
    :Commands
    [EMPTYTEMP]
    [purity]
    [start explorer]
    [Reboot]
  • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
 

sumral95

Активный пользователь
Сообщения
25
Реакции
0
Баллы
301
All processes killed
========== PROCESSES ==========
========== OTL ==========
Service cpuz135 stopped successfully!
Service cpuz135 deleted successfully!
File File not found not found.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@velcamplugin\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
ADS C:\ProgramData\TEMP:41ADDB8A deleted successfully.
ADS C:\ProgramData\TEMP:A064CECC deleted successfully.
ADS C:\ProgramData\TEMP:07BF512B deleted successfully.
========== SERVICES/DRIVERS ==========
========== FILES ==========
< ipconfig /flushdns /c >
No captured output from command...
C:\Users\Админ\Desktop\cmd.bat deleted successfully.
========== REGISTRY ==========
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Ђ¤¬Ё*

User: Админ
->Temp folder emptied: 467 bytes
->Temporary Internet Files folder emptied: 327974 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 64075916 bytes
->Google Chrome cache emptied: 185420614 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Все пользователи

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 529898 bytes
RecycleBin emptied: 8732708 bytes

Total Files Cleaned = 247,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 10282012_213046

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,650
Реакции
5,905
Баллы
1,008
C:\Windows\expstart.exe
Allows the Start Button to be replaced in Windows 7 while not causing "unknown publisher" errors seen when directly replacing the resources in explorer.exe.

It works by replacing explorer.exe as the startup program for the user, starting explorer.exe in a suspended state, replacing the necessary resources in memory (not on disk), and then allowing explorer.exe to resume as normal. One additional hurdle I ran into is that if explorer.exe does not think it is the normal startup program it acts weird, so every boot up the registry is updated a couple times to trick it. Because of this additional trick, if explorer.exe crashes you will have to restart it using expstart.exe. It is written in C.
ставили подобную утилиту ? DrWEB 6.0 ругается на этот файл Зловред Trojan.Siggen4.32329
 

sumral95

Активный пользователь
Сообщения
25
Реакции
0
Баллы
301
Ничего подобного не ставил, касперским проверил чисто, подумал может врет, решил загрузить на virustotal, в результате он проверяет какой то файл в названии которого есть "avz" и дальше идут цифры но не этот файл, очень странно как то, решил вообще его удалить.
p.S. пока система не висла после всего проделанного, посмотрим что будет завтра

Добавлено через 3 минуты 1 секунду
Ошибочка, virustotal не проверил мой файл почему то мне подсунул этот отчет вместо проверки моего файла и так два раза, ну может быть и я тупанул и куда нибудь не туда нажал)
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
Проверимся еще так:

Раз

  • Загрузите SecurityCheck by screen317 отсюда или отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt;
  • Прикрепите файл к следующему сообщению.
Подробнее читайте в руководстве.

Два

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

Три

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
  • Прикрепите отчет к своему следующему сообщению.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
Повторите сканирование в MBAM и удалите все найденное.

Далее:

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

Далее:

Деинсталлируйте Java:

Java(TM) 6 Update 29
Java version out of Date!
Скачайте и установите новые версии следующих программ:


Далее:


Проверьте компоненты компьютера на перегрев.

Протестируйте HDD утилитой CrystalDiskInfo, выложите скрин.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
Если пролистать вниз ошибки еще есть?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,650
Реакции
5,905
Баллы
1,008
файл, очень странно как то, решил вообще его удалить.
раз вы его удалили, то почистим ещё следы за ним в реестре. выполните скрипт AVZ

Код:
begin
 DeleteFile('expstart.exe');
ExecuteSysClean;
RebootWindows(false);
end.
компьютер перезагрузится.
 

sumral95

Активный пользователь
Сообщения
25
Реакции
0
Баллы
301
Ниже ошибок нету, Яву обновил, скрипт выполнил, сейчас буду смотреть помогло нет)
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу