Решена Тормозит компьютер - виноват антивирус

Статус
В этой теме нельзя размещать новые ответы.

sumral95

Новый пользователь
Сообщения
25
Реакции
0
После недолгой работы за компьютером он начинает ужасно тормозить, программы, даже самые легкие открываются по минут 5, в браузере невозможно вкладку открыть!
Часто программы стали "Не отвечать"
Помогает только перезагрузка, а через час-два а то и меньше начинается по новой.
Кстати места на системном диске тоже мало ~2-3 ГБ, удалять вроде особо нечего
Посмотреть вложение virusinfo_syscure.zip

Посмотреть вложение virusinfo_syscheck.zip

Посмотреть вложение hijackthis.log
 
Приветствую sumral95, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 
Внимание !!! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Обновите базы AVZ и сделайте новые логи.

+

Сделайте лог OTL by OldTimer
 
Здравствуйте!

Отключите антивирус/фаервол, интернет;

Выполните скрипт в AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:
begin
  ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
  ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  QuarantineFile('C:\Windows\Installer\217197e.msi','');
  QuarantineFile('C:\Windows\system32\EmulSrch.dll','');
  QuarantineFile('C:\Windows\system32\expstart.exe','');
  QuarantineFile('expstart.exe','');
  DeleteFile('C:\Windows\system32\EmulSrch.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.
 
  • Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  • В окно Custom Scans/Fixes скопируйте следующую информацию:

    Код:
    :processes
    :OTL
    DRV - (cpuz135) --  File not found
    FF - HKLM\Software\MozillaPlugins\@velcamplugin:  File not found
    File not found (No name found) -- C:\USERS\РЂРҐРЈРЁРЅ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\IZ3O9LSU.DEFAULT\EXTENSIONS\{6236BA26-C117-4007-928C-DE0716C7FA38}
    File not found (No name found) -- C:\USERS\РЂРҐРЈРЁРЅ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\IZ3O9LSU.DEFAULT\EXTENSIONS\{6236BA26-C117-4007-928C-DE0716C7FA48}
    File not found (No name found) -- C:\USERS\РЂРҐРЈРЁРЅ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\IZ3O9LSU.DEFAULT\EXTENSIONS\{6236BA26-C117-4007-928C-DE0716C7FA58}
    File not found (No name found) -- C:\USERS\РЂРҐРЈРЁРЅ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\IZ3O9LSU.DEFAULT\EXTENSIONS\{6236BA26-C117-4007-928C-DE0716C7FA68}
    O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
    @Alternate Data Stream - 143 bytes -> C:\ProgramData\TEMP:41ADDB8A
    @Alternate Data Stream - 136 bytes -> C:\ProgramData\TEMP:A064CECC
    @Alternate Data Stream - 131 bytes -> C:\ProgramData\TEMP:07BF512B
    :Services
    
    :Files
    
    ipconfig /flushdns /c
    :Reg
    
    :Commands
    [EMPTYTEMP]
    [purity]
    [start explorer]
    [Reboot]
  • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
 
All processes killed
========== PROCESSES ==========
========== OTL ==========
Service cpuz135 stopped successfully!
Service cpuz135 deleted successfully!
File File not found not found.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@velcamplugin\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
ADS C:\ProgramData\TEMP:41ADDB8A deleted successfully.
ADS C:\ProgramData\TEMP:A064CECC deleted successfully.
ADS C:\ProgramData\TEMP:07BF512B deleted successfully.
========== SERVICES/DRIVERS ==========
========== FILES ==========
< ipconfig /flushdns /c >
No captured output from command...
C:\Users\Админ\Desktop\cmd.bat deleted successfully.
========== REGISTRY ==========
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Ђ¤¬Ё*

User: Админ
->Temp folder emptied: 467 bytes
->Temporary Internet Files folder emptied: 327974 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 64075916 bytes
->Google Chrome cache emptied: 185420614 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Все пользователи

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 529898 bytes
RecycleBin emptied: 8732708 bytes

Total Files Cleaned = 247,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 10282012_213046

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
 
C:\Windows\expstart.exe
Allows the Start Button to be replaced in Windows 7 while not causing "unknown publisher" errors seen when directly replacing the resources in explorer.exe.

It works by replacing explorer.exe as the startup program for the user, starting explorer.exe in a suspended state, replacing the necessary resources in memory (not on disk), and then allowing explorer.exe to resume as normal. One additional hurdle I ran into is that if explorer.exe does not think it is the normal startup program it acts weird, so every boot up the registry is updated a couple times to trick it. Because of this additional trick, if explorer.exe crashes you will have to restart it using expstart.exe. It is written in C.
ставили подобную утилиту ? DrWEB 6.0 ругается на этот файл Зловред Trojan.Siggen4.32329
 
Ничего подобного не ставил, касперским проверил чисто, подумал может врет, решил загрузить на virustotal, в результате он проверяет какой то файл в названии которого есть "avz" и дальше идут цифры но не этот файл, очень странно как то, решил вообще его удалить.
p.S. пока система не висла после всего проделанного, посмотрим что будет завтра

Добавлено через 3 минуты 1 секунду
Ошибочка, virustotal не проверил мой файл почему то мне подсунул этот отчет вместо проверки моего файла и так два раза, ну может быть и я тупанул и куда нибудь не туда нажал)
 
Проверимся еще так:

Раз

  • Загрузите SecurityCheck by screen317 отсюда или отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt;
  • Прикрепите файл к следующему сообщению.
Подробнее читайте в руководстве.

Два

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

Три

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Повторите сканирование в MBAM и удалите все найденное.

Далее:

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

Далее:

Деинсталлируйте Java:

Java(TM) 6 Update 29
Java version out of Date!

Скачайте и установите новые версии следующих программ:


Далее:


Проверьте компоненты компьютера на перегрев.

Протестируйте HDD утилитой CrystalDiskInfo, выложите скрин.
 
Если пролистать вниз ошибки еще есть?
 
файл, очень странно как то, решил вообще его удалить.
раз вы его удалили, то почистим ещё следы за ним в реестре. выполните скрипт AVZ

Код:
begin
 DeleteFile('expstart.exe');
ExecuteSysClean;
RebootWindows(false);
end.

компьютер перезагрузится.
 
Ниже ошибок нету, Яву обновил, скрипт выполнил, сейчас буду смотреть помогло нет)
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу