Зависший рабочий стол! - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - Зависший рабочий стол! (http://forum.oszone.net/showthread.php?t=147274)

Зависший рабочий стол!

Привет всем, проблема такова - рабочий стол и все значки активны буквально 1 минуту, и все. Сам комп не виснит, мышка бегает, значки на рабочем столе выделяються, но не один не открывается...диспетчер не выходит, сканил с Лайф СиДи на вирусы-не обнаружено.. в чем может быть проблема? только перенастройка? Это уже не еденичный случай, и во всех случаях есть подключение к интернету. Вероятно какая-то гадасть проходит через интернет и антивирусники не замечают..Антивирусники стояли разные: Аваст, Каспер, Нод....
Еще вариант как проявилась проблема на антивире Аваст, при работе на ПК появилось предупреждение о вирусе CRSC.EXE, удалил, выключил комп и при включение такая пробла появилась.
Этот вирус уже не однократно удалял в ручную., и с конфига и с реестра....
Есть еще какие-нить варианты по устранению проблемы с зависающим рабочим столом без переустановки Винды?
Заранее благодарен всем!

Начните с выполнения правил, пожалуйста

Я извеняюсь за оффтоп наверное, но я их четал, я не могу это все сделать как описано в правилах..

В безопасном режиме пробовали?

в безопасном нормально, щас буду делать что написано в правилах

Сканировал на вирусу доктором вэбом, выдал BSOD с ошибкой 8Е. Щас попробую еще раз просканить, посмотрю что даст..

Сделайте логи AVZ и HiJack

вот логи все сделаны только в безопасном режиме

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

Sections
IAT/EAT
Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Цитата:

Цитата thyrex

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. »

вот тот лог плучился:

Код:

GMER 1.0.15.15020 [0erxrnze.exe] - http://www.gmer.net

Rootkit scan 2009-08-08 08:45:32

Windows 5.1.2600 Service Pack 2





---- Services - GMER 1.0.15 ----



Service  C:\WINDOWS\system32\svchost.exe (*** hidden *** )                                                                                                                                                                                 [AUTO] ecgdz                                                                                                                                                                                                     <-- ROOTKIT !!!



---- Registry - GMER 1.0.15 ----



Reg      HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4                           1?2?

Reg      HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0)                                                                     1?

Reg      HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0)                                                                       1?

Reg      HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0)                                                                    1?

Reg      HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4                                                1?

Reg      HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0)                                                                             1?

Reg      HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@#\4A\4B\4@\4>\49\4A\4B\0042\4>\4 \0B\0l\0u\0e\0t\0o\0o\0t\0h\0 \0(\0?\4@\4>\4B\4>\4:\4>\4;\4 \0R\0F\0C\0O\0M\0M\0 \0T\0D\0I\0)  1?

Reg      HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000a9417cf04                                                                                                                                                       

Reg      HKLM\SYSTEM\CurrentControlSet\Services\ecgdz@DisplayName                                                                                                                                                                          Network Boot

Reg      HKLM\SYSTEM\CurrentControlSet\Services\ecgdz@Type                                                                                                                                                                                 32

Reg      HKLM\SYSTEM\CurrentControlSet\Services\ecgdz@Start                                                                                                                                                                                2

Reg      HKLM\SYSTEM\CurrentControlSet\Services\ecgdz@ErrorControl                                                                                                                                                                         0

Reg      HKLM\SYSTEM\CurrentControlSet\Services\ecgdz@ImagePath                                                                                                                                                                            %SystemRoot%\system32\svchost.exe -k netsvcs

Reg      HKLM\SYSTEM\CurrentControlSet\Services\ecgdz@ObjectName                                                                                                                                                                           LocalSystem

Reg      HKLM\SYSTEM\CurrentControlSet\Services\ecgdz@Description                                                                                                                                                                          ???????????? ????????? ??????? ??????????? ? ?????. ???? ?????? ???????????, ?????????, ?????? ??????????? ????? ??????????. ???? ?????? ?????? ???????????, ?? ??????? ????????? ????? ???? ????????? ??????.

Reg      HKLM\SYSTEM\CurrentControlSet\Services\ecgdz\Parameters                                                                                                                                                                           

Reg      HKLM\SYSTEM\CurrentControlSet\Services\ecgdz\Parameters@ServiceDll                                                                                                                                                                C:\WINDOWS\system32\wkcagrkl.dll

Reg      HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares@!\0045\4B\0045\0042\0040\4O\4                                                                                                                                          CSCFlags=0?MaxUses=4294967295?Path=D:\????????Permissions=0?Remark=?Type=0?

Reg      HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4                               1?2?

Reg      HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0)                                                                         1?

Reg      HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0)                                                                           1?

Reg      HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0)                                                                        1?

Reg      HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4                                                    1?

Reg      HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0)                                                                                 1?

Reg      HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@#\4A\4B\4@\4>\49\4A\4B\0042\4>\4 \0B\0l\0u\0e\0t\0o\0o\0t\0h\0 \0(\0?\4@\4>\4B\4>\4:\4>\4;\4 \0R\0F\0C\0O\0M\0M\0 \0T\0D\0I\0)      1?

Reg      HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000a9417cf04 (not active ControlSet)                                                                                                                                   

Reg      HKLM\SYSTEM\ControlSet002\Services\ecgdz@DisplayName                                                                                                                                                                              Network Boot

Reg      HKLM\SYSTEM\ControlSet002\Services\ecgdz@Type                                                                                                                                                                                     32

Reg      HKLM\SYSTEM\ControlSet002\Services\ecgdz@Start                                                                                                                                                                                    2

Reg      HKLM\SYSTEM\ControlSet002\Services\ecgdz@ErrorControl                                                                                                                                                                             0

Reg      HKLM\SYSTEM\ControlSet002\Services\ecgdz@ImagePath                                                                                                                                                                                %SystemRoot%\system32\svchost.exe -k netsvcs

Reg      HKLM\SYSTEM\ControlSet002\Services\ecgdz@ObjectName                                                                                                                                                                               LocalSystem

Reg      HKLM\SYSTEM\ControlSet002\Services\ecgdz@Description                                                                                                                                                                              ???????????? ????????? ??????? ??????????? ? ?????. ???? ?????? ???????????, ?????????, ?????? ??????????? ????? ??????????. ???? ?????? ?????? ???????????, ?? ??????? ????????? ????? ???? ????????? ??????.

Reg      HKLM\SYSTEM\ControlSet002\Services\ecgdz\Parameters (not active ControlSet)                                                                                                                                                       

Reg      HKLM\SYSTEM\ControlSet002\Services\ecgdz\Parameters@ServiceDll                                                                                                                                                                    C:\WINDOWS\system32\wkcagrkl.dll

Reg      HKLM\SYSTEM\ControlSet002\Services\lanmanserver\Shares@!\0045\4B\0045\0042\0040\4O\4                                                                                                                                              CSCFlags=0?MaxUses=4294967295?Path=D:\????????Permissions=0?Remark=?Type=0?



---- EOF - GMER 1.0.15 ----

Это после нажатия Scan?

Сохраните текст ниже как cleanup.bat в ту же папку, где находится 0erxrnze.exe

Код:

0erxrnze.exe -del service ecgdz

0erxrnze.exe -del file "C:\WINDOWS\system32\wkcagrkl.dll"

0erxrnze.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ecgdz"

0erxrnze.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ecgdz"

0erxrnze.exe -reboot

И запустите cleanup.bat
Компьютер перезагрузится

Сделать новый лог gmer

вот что получилось в этот раз:

Код:

GMER 1.0.15.15020 [0erxrnze.exe] - http://www.gmer.net

Rootkit scan 2009-08-08 10:52:53

Windows 5.1.2600 Service Pack 2





---- Registry - GMER 1.0.15 ----



Reg  HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4                           1?2?

Reg  HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0)                                                                     1?

Reg  HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0)                                                                       1?

Reg  HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0)                                                                    1?

Reg  HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4                                                1?

Reg  HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0)                                                                             1?

Reg  HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@#\4A\4B\4@\4>\49\4A\4B\0042\4>\4 \0B\0l\0u\0e\0t\0o\0o\0t\0h\0 \0(\0?\4@\4>\4B\4>\4:\4>\4;\4 \0R\0F\0C\0O\0M\0M\0 \0T\0D\0I\0)  1?

Reg  HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000a9417cf04                                                                                                                                                       

Reg  HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares@!\0045\4B\0045\0042\0040\4O\4                                                                                                                                          CSCFlags=0?MaxUses=4294967295?Path=D:\????????Permissions=0?Remark=?Type=0?

Reg  HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4                               1?2?

Reg  HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0)                                                                         1?

Reg  HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0)                                                                           1?

Reg  HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0)                                                                        1?

Reg  HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4                                                    1?

Reg  HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0)                                                                                 1?

Reg  HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@#\4A\4B\4@\4>\49\4A\4B\0042\4>\4 \0B\0l\0u\0e\0t\0o\0o\0t\0h\0 \0(\0?\4@\4>\4B\4>\4:\4>\4;\4 \0R\0F\0C\0O\0M\0M\0 \0T\0D\0I\0)      1?

Reg  HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000a9417cf04 (not active ControlSet)                                                                                                                                   

Reg  HKLM\SYSTEM\ControlSet002\Services\lanmanserver\Shares@!\0045\4B\0045\0042\0040\4O\4                                                                                                                                              CSCFlags=0?MaxUses=4294967295?Path=D:\????????Permissions=0?Remark=?Type=0?



---- EOF - GMER 1.0.15 ----

В логе чисто. Что с работой в нормальном режиме?

без изменения..все также, вот еще что заметил в безопасном, когда захожу в свойства экрана на вкладку Заставки, изменяю любой параметр, жму ОК, и если снова зайти, то параметры остаються прежнии..

Выполните скрипт в AVZ

Код:

begin

ExecuteRepair(6);

ExecuteRepair(8);

ExecuteRepair(9);

ExecuteRepair(11);

ExecuteRepair(17);

ExecuteRepair(19);

RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);

RebootWindows(true);

end.

Компьютер перезагрузится.

Что-нибудь изменилось в лучшую сторону?

нет, ничего не изменилось :( наверное все-таки придеться переустанавливать ОС

Попробуйте в безопасном режиме отключить автозапуск Avast'a при старте системы и проверить работу в нормальном режиме

Цитата:

Цитата thyrex

Попробуйте в безопасном режиме отключить автозапуск Avast'a при старте системы и проверить работу в нормальном режиме »

без изменений

Сделайте отчет утилиты GSI

Выполните процедуру, описанную в первом сообщении этой темы

И в дополнение к вышесказанному:
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Скачайте DDS или с зеркала и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, запакуйте файлы из файлов DDS.txt и Attach.txt и вложите в сообщение

Цитата:

Цитата akok

Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe »

Это все выполнять в Безопасном режиме? Потому что я могу только в нем работать.

Multik84, почему нет? Выполняйте.

Цитата:

Цитата akok

почему нет? Выполняйте. »

в нормальной работе виндовс я не могу этого сделать..Или я просто не понял Вашего последного поста....

Multik84, прошу простить. Я имел в виду, что выполняйте рекомендации в безопасном режиме.

Спасибо за понимание.