Показать полную графическую версию : [решено] Зависают любые антивирусы на месте, система вешается
Зависает любой антивирус на одном месте - F:\Documents and Settings\Vova\Local Settings\Temporary Internet Files\content.ie5. При этом система наглухо вешается. Также виснет при попытке очистки временных файлов интернета, проверке жесткого диска (штатной программой windows), при ручном удалении файлов из этой папки. Пропал файл iexplorer. Перестал загружаться рабочий стол - на определенном месте загрузки вис, но после установки IE 8 стал нормально грузиться стол.
Anruf, Очистите временные файлы с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1)
- скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1) или с зеркала (http://virusnet.info/forum/downloads.php?do=file&id=1&act=down), запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли.
После чего выполните рекомендации по сбору логов - AVZ (http://tools.oszone.net/Drongo/avz4.rar) + HiJackThis - Выполните рекомендации (http://www.forum.oszone.net/post-717373-2.html) и прикрепите к следующему сообщению полученные логи.
Я всё сделал. Но:
1. не обновлялись базы AVZ ;
2. ATF Cleaner - зависает наглухо при нажатии на Empty Selected. При этом на "Firefox - select all - empty selected" не вис.
я прикрепил логи в первое сообщение согласно правилам форума.
Выполните скрипт в AVZ
begin
ExecuteREpair(20);
RebootWindows(true);
end. Компьютер перезагрузится.
Проверьте доступность обновлений AVZ
F:\windows\system32\sfcfiles.dll проверьте на virustotal (http://www.virustotal.com/ru)
Ссылку на результат проверки сообщите
Сделано. AVZ обновился. Результат проверки на virustotal
Файл уже проанализирован:
MD5: 7e6654a9cf11089a17883e876c14bc93
First received: 2010.03.20 11:30:35 UTC
Дата: 2010.03.20 11:30:35 UTC [>56D]
Результаты: 1/42
Permalink: analisis/d227ceb626bb93c71fb2b355d86767b7fb8864e8a987c3d04bfb126127c9b31e-1269084635
http://www.virustotal.com/ru/reanalisis.html?d227ceb626bb93c71fb2b355d86767b7fb8864e8a987c3d04bfb126127c9b31e-1273953658
http://www.virustotal.com/ru/analisis/d227ceb626bb93c71fb2b355d86767b7fb8864e8a987c3d04bfb126127c9b31e-1273953658
что-то непонятно. Первый раз был результат 1/42, а потом 0/42.
Anruf, Файл чистый. Проблем больше нет?
так же не очищается папка F:\Documents and Settings\Vova\Local Settings\Temporary Internet Files\content.ie5. Из-за неё все виснет. Как при проверке антивирусом, так и при очистке ccleanerом. В диспетчере задач постоянно какой-то процесс rundll32.exe. Я уверен, что это какой-то вирус.
В диспетчере задач постоянно какой-то процесс rundll32.exe. Я уверен, что это какой-то вирус »Это системный процесс.
• Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix - how-to-use-combofix (http://www.bleepingcomputer.com/combofix/how-to-use-combofix)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe
Combofix запускается, создал "recovery point", на этом всё зависает. Перезагружал через кнопку только reset. Один раз даже обновился сам через интернет. Далее так же - начинает работу и зависает. Мне кажется, что он как раз и зависает когда обращается к участку F:\Documents and Settings\Vova\Local Settings\Temporary Internet Files\content.ie5.
файл combofix.txt нигде не создался, не на одном диске. Но в Моем компьютере, на диске F:\ появилась иконка combofix. При клике по ней открывается "мой компьютер".
Попробуйте проверить компьютер Dr.Web LiveCD (http://www.freedrweb.com/livecd/). Или загрузиться из под LiveCD почистить вручную кеш интернета.
пока удалил combofix. Выдал такой log.
• Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html)
KillAll::
Rootkit::
C:\cmt.exe
File::
C:\cmt.exe
Driver::
Folder::
Registry::
f:\windows\system32\OP2jnCF.exe
f:\windows\system32\tRxPiR5.exe
f:\windows\system32\h8jgrbm.exe
f:\windows\system32\coHnwSb.exe
f:\windows\system32\Vr8idJ7.exe
f:\windows\system32\c5ah6mF.exe
f:\windows\system32\1syRqyU.exe
f:\windows\system32\W2lUilF.exe
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://virusnet.info/images/cfscript.gif
Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению
Загружался с диска Dr.Web LiveCD. Но он видит диск С и диск D. При этом диск D пишет что то типа raid бла бла.
Начинаешь проверку (сканирование), загружает базы антивирусные в память и пишет, что сканирование завершено. Короче, не видит он мои 2 диска, которые работаю в raid массиве.
Сделал всё как Вы написали про файл CFScript.txt.
Cobbofix запустился. Потом выдал окно, что типа надо временно отключить то ли автозапуск CD, то ли эмуляцию CD. Нажал "ок". Перезагрузка. Загрузилось окно combofix. начал работу и выскочил "синий экран смерти". Выдал следующее "BAD_POOL_HEADER" TECHNICAL INFO STOP: 0X00000019 (0X00000020, 0X8951B000, 0X8951B418,0X1A830000)
Anruf, Тогда давайте так удалять
• Скачайте OTMoveIt3 by OldTimer (http://oldtimer.geekstogo.com/OTMoveIt3.exe) или с зеркала (http://virusnet.info/soft/OTMoveIt3.exe) и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Выделите и скопируйте текст ниже (Ctrl+C)
:Processes
explorer.exe
:Services
:Files
f:\windows\system32\OP2jnCF.exe
f:\windows\system32\tRxPiR5.exe
f:\windows\system32\h8jgrbm.exe
f:\windows\system32\coHnwSb.exe
f:\windows\system32\Vr8idJ7.exe
f:\windows\system32\c5ah6mF.exe
f:\windows\system32\1syRqyU.exe
f:\windows\system32\W2lUilF.exe
C:\cmt.exe
:Reg
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
Сделал. Файл с текстом сам открылся после перезагрузки.
========= PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
========== FILES ==========
f:\windows\system32\OP2jnCF.exe moved successfully.
f:\windows\system32\tRxPiR5.exe moved successfully.
f:\windows\system32\h8jgrbm.exe moved successfully.
f:\windows\system32\coHnwSb.exe moved successfully.
f:\windows\system32\Vr8idJ7.exe moved successfully.
f:\windows\system32\c5ah6mF.exe moved successfully.
f:\windows\system32\1syRqyU.exe moved successfully.
f:\windows\system32\W2lUilF.exe moved successfully.
File/Folder C:\cmt.exe not found.
========== REGISTRY ==========
========== COMMANDS ==========
File delete failed. F:\DOCUME~1\Vova\LOCALS~1\Temp\SmaE.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. F:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Java cache emptied.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 05162010_194540
Files moved on Reboot...
F:\DOCUME~1\Vova\LOCALS~1\Temp\SmaE.tmp moved successfully.
F:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat moved successfully.
Всё удалено успешно. Вот ваша проблемная папка с файлом ...\Temporary Internet Files\Content.IE5\index.dat тоже удалилась.
F:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat moved successfully. »Теперь проблема осталась?
все равно вешается система при проверке антивирусом на месте F:\Documents and Settings\Vova\Local Settings\Temporary Internet Files\Content.IE5\G1E749AN. Файл с расширением htc. Последний раз на файле CAW???.htc.
F:\Documents and Settings\Vova\Local Settings\Temporary Internet Files\Content.IE5\
в этой папке еще висят такие папки - 69ULWVH3 (скрытая), G1E749AN, OHM749IJ, VJ37M9WD (скрытая), WGZ008GH (скрытая), X639SHTZ (скрытая).
А давайте мы эти папки попробуем удалить? :) Вообще, впишите дополнительно все папки из ...\Temporary Internet Files\Content.IE5\ которые ещё остались.
• Скачайте OTMoveIt3 by OldTimer (http://oldtimer.geekstogo.com/OTMoveIt3.exe) или с зеркала (http://virusnet.info/soft/OTMoveIt3.exe) и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Выделите и скопируйте текст ниже (Ctrl+C)
:Processes
explorer.exe
:Services
:Files
F:\Documents and Settings\Vova\Local Settings\Temporary Internet Files\Content.IE5\69ULWVH3
F:\Documents and Settings\Vova\Local Settings\Temporary Internet Files\Content.IE5\G1E749AN
F:\Documents and Settings\Vova\Local Settings\Temporary Internet Files\Content.IE5\OHM749IJ
F:\Documents and Settings\Vova\Local Settings\Temporary Internet Files\Content.IE5\VJ37M9WD
F:\Documents and Settings\Vova\Local Settings\Temporary Internet Files\Content.IE5\WGZ008GH
F:\Documents and Settings\Vova\Local Settings\Temporary Internet Files\Content.IE5\X639SHTZ
:Reg
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
Первый раз - OTmoveIt завис. Потом запустил от имени администратора. (Система WinXP SP3). Программа перегрузила компьютер. Вышел лог:
========= PROCESSES ==========
Unable to kill process: explorer.exe
========== SERVICES/DRIVERS ==========
========== FILES ==========
File/Folder F:\Documents and Settings\Vova\Local Settings\Temporary Internet Files\Content.IE5\69ULWVH3 not found.
File/Folder F:\Documents and Settings\Vova\Local Settings\Temporary Internet Files\Content.IE5\G1E749AN not found.
File/Folder F:\Documents and Settings\Vova\Local Settings\Temporary Internet Files\Content.IE5\OHM749IJ not found.
File/Folder F:\Documents and Settings\Vova\Local Settings\Temporary Internet Files\Content.IE5\VJ37M9WD not found.
File/Folder F:\Documents and Settings\Vova\Local Settings\Temporary Internet Files\Content.IE5\WGZ008GH not found.
File/Folder F:\Documents and Settings\Vova\Local Settings\Temporary Internet Files\Content.IE5\X639SHTZ not found.
========== REGISTRY ==========
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. F:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Java cache emptied.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 05162010_202622
Files moved on Reboot...
F:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat moved successfully.
Все папки на месте, кроме F:\Documents and Settings\Vova\Local Settings\Temporary Internet Files\Content.IE5\69ULWVH3
Удалите так
• Скачайте Avenger by Swandog46 (http://swandog46.geekstogo.com/avenger2/download.php) или с зеркала (http://virusnet.info/soft/avenger.zip) и распакуйте на рабочий стол.
Запустите Avenger, скопируйте и вставьте текст ниже в окно выполнения скрипта
Begin copying here:
Drivers to disable:
Drivers to delete:
Files to delete:
Folders to delete:
F:\Documents and Settings\Vova\Local Settings\Temporary Internet Files\Content.IE5
"F:\Documents and Settings\Vova\Local Settings\Temporary Internet Files\Content.IE5"
Registry values to delete:
Registry keys to delete:
Примечание: Скрипт создан специально для этого пользователя. Если скрипт сформирован не для вас, не используйте данный скрипт, это может повредить вашей системе.
Нажмите Execute и подтвердите, нажав Yes
Avenger автоматически выполнит следующее:
* Перезагрузит компьютер (в случае если скрипт содержит Drivers to Delete, Avenger перезагрузит компьютер дважды)
* При перезагрузке кратковременно появится черное окно, это нормально
* После перезагрузки будет создан лог файл C:\avenger.txt с результатами работы Avenger.
* Avenger также сохранит удаляемые файлы в архиве C:\avenger\backup.zip.
Скопируйте и вставьте содержимое файла c:\avenger.txt в следующее сообщение.
The Avenger Script Tutorial (http://swandog46.geekstogo.com/avenger2/tutorial.html)
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.
Available in ZeroNet 1osznRoVratMCN3bFoFpR2pSV5c9z6sTC