Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] упала производительность (http://forum.oszone.net/showthread.php?t=292549)

derden 13-12-2014 22:32 2443664
упала производительность
 
Вложений: 1
в общем-то хотелось бы узнать диагноз по вирусам...


после уменьшения производительности стал подмечать, иной раз, что ноутбук мой дико подгружает что-то, но в процессах ничего не обычного не замечаю (как для обновления, то, слишком тяжело идет)...

...где нашел, вычистил остатки baidu.


...в автозагрузке в графе "издатель недоступен":

- n/a нет класcификации:
имя файла: 1418484766
параметр запуска: 1418484766
путь к файлу: 1418484766
тип запуска: реестр:текущий пользователь
размещение: software\microsoft\windows\currentversion\runonce
классификация: нет класcификации

("остановить", "удалить" или не трогать его?).


- n/a нет класcификации:
имя файла: nerocheck.exe
параметр запуска: c:\windows\system32\nerocheck.exe
путь к файлу: c:\windows\system32\nerocheck.exe
тип запуска: реестр: локальный компьютер
размещение: software\microsoft\windows\currentversion\run
классификация: нет класcификации

(ни одно из действий не активно, и по адресу его не обнаруживаю (на другом диске стоит "nero 11")).


стал постоянно зависать при входе в онлайн игру "wot" (черный экран и зацикленый ритмический звук).
тоже и с вновь установленной игрой оффлайн "xcom-enemy unknown" (год назад на эту же игру такой реакции не было).

в играх скорее всего проблемы с видео, но может это как-то связано?!

.log-файл прилагается.


заранее благодарен за помощь!

regist 13-12-2014 23:01 2443673
Цитата:
>> Start -> Run menu item is blocked
сами блокировали?

+ рекомендую отключить автозапуск со съёмных устройств.

------------------
- выполните такой скрипт в AVZ
Код:
begin
 ClearQuarantine;
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk','');
 QuarantineFile('C:\Users\ДЕН\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk','');
 QuarantineFile('C:\Users\ДЕН\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Samsung\Easy Display Manager\Easy Display Manager.lnk','');
 QuarantineFile('C:\firefox.bat','');
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\Program Files\DMLauncher_Vista.bat','');
 DeleteFile('C:\firefox.bat','');
 DeleteFile('C:\iexplore.bat','');
 DeleteFile('C:\Program Files\DMLauncher_Vista.bat','');
  ExecuteRepair(2);
 ExecuteRepair(3);
 ExecuteRepair(4);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы.

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

derden 21-05-2015 19:39 2509942
здравствуй друг!

убер сори шо не отреагировал на твой совет(есть вопрос), не было времени!
...можно продолжить или лучше новую тему создавать опять?

с уважением!

regist 21-05-2015 20:20 2509960
если система таже, то продолжайте здесь. Только лучше свежие логи сделайте, за это время могли новую заразу подхватить.

derden 24-05-2015 16:24 2510904
Вложений: 1
по первому вашему совету:

вот это ">> Start -> Run menu item is blocked" не знаю где находится;

... и здесь "+ рекомендую отключить автозапуск со съёмных устройств", в >>Панель управления\Автозапуск, единственная галочка снята с "использовать автозапуск для всех носителей и устройств" (уже очень давно снята).


в предложенном скрипте,... ...'C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Samsung\Easy Display Manager\Easy Display Manager.lnk' - по ходу эта прога Easy Display Manager шла, в стандартном наборе samsung, к ноуту.

iskander-k 25-05-2015 19:52 2511257
HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=00162ea74ce44fe5f714247463d1b0d1&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=00162ea74ce44fe5f714247463d1b0d1&text={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=00162ea74ce44fe5f714247463d1b0d1&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=00162ea74ce44fe5f714247463d1b0d1&text=
R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
O1 - Hosts: ::1 localhost
O4 - HKLM\..\Run: [NeroCheck] C:\Windows\system32\NeroCheck.exe




файл C:\Windows\system32\NeroCheck.exe проверьте на https://www.virustotal.com/ru/

derden 26-05-2015 17:19 2511632
пофиксил все выделенные вами пункты. Во время выделения обратил внимание на "O13 - DefaultPrefix: http://yаmdехx.nеt" но, не трогал его!


файл C:\Windows\system32\NeroCheck.exe на месте не обнаружен! (если это имелось в виду под словом "...
Цитата:
Цитата iskander-k
проверьте на »
...").



что делать с первым советом regist по поводу выполнения скриптов AVZ?

с уважением!

iskander-k 26-05-2015 18:58 2511688
Цитата:
Цитата derden
проверьте на »
..."). »
извиняюсь - поправил

Цитата:
Цитата derden
что делать с первым советом regist по поводу выполнения скриптов AVZ? »
ничего - время прошло уже
Цитата:
Цитата derden
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=r...63d1b0d1&text=" но, не трогал его! »
тоже надо было пофиксить

derden 27-05-2015 15:51 2512009
могу ли я повторить операцию с HiJackThis и допофиксить пропущенный "O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=r...63d1b0d1&text=", или его уже не будет в списке?

regist 27-05-2015 16:07 2512013
Цитата:
Цитата derden
могу ли я повторить операцию с HiJackThis и допофиксить пропущенный "O13 - DefaultPrefix: »
да повторите и пофиксьте.

+
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

derden 28-05-2015 16:15 2512366
Вложений: 1
1. пофиксил HiJackThis "O13 - Defau...".

2. просканировал AdwCleaner.

Sandor 28-05-2015 21:57 2512533
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления потребуется перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

derden 29-05-2015 19:20 2512873
Вложений: 1
дословно исполнил! (нажал 1."Scan" ("Сканировать"), а по окончанию сканирования нажал 2."Clean" ("Очистить") (галочки в закладках не трогал), 3.перезагрузил)

Sandor 30-05-2015 14:59 2513094
Хорошо. Дополнительно:
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS.

derden 30-05-2015 15:54 2513118
Вложений: 1
исполнил, вроде!

regist 30-05-2015 18:15 2513160
Такой лог сделайте http://safezone.cc/resources/check-b...as-regist.122/
+ свежий лог сканирования AdwCleaner
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.85.22 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.0
    v385c
    BREG
    delref HTTP://WEBALTA.RU
    delall %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\107\BDCOMPROXY.DLL
    del %SystemDrive%\PROGRAM FILES\DMLAUNCHER_VISTA.BAT
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. Подробнее читайте в этом руководстве.

derden 31-05-2015 17:28 2513465
Вложений: 3
1. сделал лог Check Browsers LNK
+ свежий лог AdwCleaner

2. "uVS" запускал не от имени Администратора. (т. к. в руководстве на это не указывалось)
в uVS, между пунктами "4." и "5." я забыл закрыть свой total commander и нажал Выполнить.
после перезагрузки (как описано в руководстве), ни архива, ни папки, ни чего с префиксом "ZOO" я не обнаружил. По этому ни куда, ни чего на адрес "quarantine<at>safezone.cc(at=@)" не отправлял. Нашел только вот это "2015-05-31_16-27-17_log.txt", что и приложил к двум другим логам.

regist 31-05-2015 20:56 2513529
  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Удалить).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.


- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

derden 01-06-2015 16:29 2513807
Вложений: 1
перетаскивал лог Check_Browsers_LNK.log на утилиту ClearLNK тот который присылал вам до этого (новый не делал).

Sandor 01-06-2015 16:39 2513810
Что с проблемой?

derden 02-06-2015 18:41 2514244
... не знаю! но, до этого, старался выполнять инструкции хороших людей!

regist 02-06-2015 18:59 2514257
Цитата:
Цитата derden
... не знаю! »
так проверьте и отпишитесь.

derden 03-06-2015 20:19 2514689
а чем, если не секрет? (мой NOD32 и до этого ни чего подозрительного не находил)

regist 03-06-2015 20:40 2514693
Я так понимаю вас сейчас ничего не беспокоит? Если то отмечайте тему решённой.

derden 04-06-2015 15:20 2514951
... понял!

большое спасибо друзья за заботу (и потраченное время) !

удачи вам!


Время: 21:07.

Время: 21:07.
© OSzone.net 2001-