Посоветовали вас. :)
Надеюсь на ващу помощь:
Acer Aspire 4720z. Windows XP. Проблеме дня 4.

Пару раз ноут неожиданно отрубался. Пробую определить причину, замечаю:
В какой-то момент, после запуска какой-нибудь несложной программы (например, Опера, видео-проигрыватель) процессор выдает нагрузку от 70 до 100%. При этом, даже если с полминуты он занят под все 100% в это время программы запускаются, работают и никаких тормозов не наблюдается. (что для меня крайне странно, хотя я не спец, вам виднее). При выключении этой программы или вообще всех пользовательских программ нагрузка не сбрасывается!
Логично, при этом процессор греется до 95-100 градусов, и вентилятор бесится сродни пылесосу. Попытка посмотреть, может через некоторое время процессор сам справится и скинет нагрузку, потерпела неудачу: после нескольких минут работы в таком режиме мне стало жалко, что спалю процессор нафиг при 100-то градусах. Получается, что первые 2 раза происходил перегрев, потому ноут и отрубался.
Проблема решается перезагрузкой. Причем пару раз было достаточно просто выйти в меню смены пользователя, а пару раз это не помогало и приходилось полноценно перегружать комп.

В логах в то же время, когда случается эта фигня, числится ошибка "1 \Device\ACPIEC: Встроенный контроллер оборудования не ответил в отведенный таймаут. Драйвер контроллера попытается выполнить запрос повторно." Однако, кажется, таких ошибок там значительно больше, чем было глюков с отрубанием и нагревом, хотя тут могу и ошибаться..


Что противно, так это то, что глюк этот проявляется вообще беспорядочно: ноут может весь день работать с кучей программ - и все нормально, никаких сбоев, а в другой день сразу после включения начинает с ума сходить и перегреваться, и может за час 2 раза сработать.


Поначалу было подозрение, что проблема возникла из-за железа. Но с асеровского форума послали сюда. :mellow:
Надеюсь, что эта проблема действительно по вашей части и поможете ее устранить. Спасайте! :wacko:

Здравствуйте..!:)

• Отключите временно:
Антивирус/Файерволл

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Documents and Settings\W.T\Application Data\MjEqtZqZiP1M0El','');
QuarantineFile('C:\MjEqtZqZiP1M0El','');
QuarantineFile('C:\WINDOWS\system32\236.tmp','');
QuarantineFile('C:\WINDOWS\system32\209.tmp','');
DeleteFile('C:\WINDOWS\system32\236.tmp');
DeleteFile('C:\WINDOWS\system32\209.tmp');
DeleteFile('C:\MjEqtZqZiP1M0El');
DeleteFile('C:\Documents and Settings\W.T\Application Data\MjEqtZqZiP1M0El');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через этой формы (http://www.oszone.net/virusnet/)

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://data.mbamupdates.com/tools/mbam-rules.exe)

Пожалуйста, подготовить новые логи с АВЗ и RSIT...!!!

О, как... Сделаю. :yes:

Только вот этот момент не дошел:
Пожалуйста, подготовить новые логи с АВЗ и RSIT...!!!
Во-первых, что за AB3?
Во-вторых, что касается RSIT. То есть после всех вами описанных операций заново подготовить все логи, которые готовились для первого поста, правильно понимаю?



И еще... Мой глаз падал на эту странную папочку "MjEqtZqZiP1M0El", но к тому моменту столько ваших программок было проинсталлено, что уже неизвестно было, может она "из своих". :) А насколько вижу из вашего скрипта, именно эта живность гадит? О чем я... так вот там же немного позже появилась еще одна крокозябра (первый ряд)
http://i32.fastpic.ru/thumb/2011/1019/4b/e46e1d3b2c4a62ab5b30febe82acad4b.jpeg (http://fastpic.ru/view/32/2011/1019/e46e1d3b2c4a62ab5b30febe82acad4b.png.html)
Её вам на анализ не надо? :)
Если да, то как и каким по очереди шагом это делать? ...для особо бездарных. :unsure:

.........То есть после всех вами описанных операций заново подготовить все логи, которые готовились для первого поста, правильно понимаю?

Конечно ... для контроля и дополнительное лечение при необходимости..!

Пожалуйста, подготовить новые логи с АВЗ и RSIT...!!! Во-первых, что за AB3?
Хых, вот я дятел! Только сейчас дошло, что А БЭ Три (АВ3) - это AVZ, написанный русской аббривеатурой. :biggrin:

quarantine.zip улетел.

Мне MBAM столько гадостей выдал. :o Только пока я ничего не трогаю (не удаляю), оставляю всё как есть, высылаю логи и жду вашего вердикта.

Программу Thunder вы устанавливали ?

•Скачайте ComboFix (http://subs.geekstogo.com/ComboFix.exe) или здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

• Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html).

KillAll::

File::
C:\MjEqtZqZiP1M0El.bak
C:\Documents and Settings\W.T\Application Data\MjEqtZqZiP1M0El.bak
Driver::

Folder::
C:\MjEqtZqZiP1M0El.bak
C:\Documents and Settings\W.T\Application Data\MjEqtZqZiP1M0El.bak
Registry::

FileLook::

DirLook::


После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



Когда сохранится новый отчёт ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Программу Thunder вы устанавливали ?
Да, было такое )

Удалите в МВАМ (необходимо повторное сканирование) все найденное, кроме

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Зараженные файлы:
c:\program files\alcohol 120\Langs\AX_RU.dll (Malware.Packer.GenX) -> No action taken.
w:\Down 2\Проги\all video sound extractor 3.5\all.video.sound.extractor.3.5-patch.exe (PUP.Hacktool.Patcher) -> No action taken.
w:\Проги\tuneup.utilities.2010.9.0.4020.35_2b\Keygen.exe (RiskWare.Tool.HCK) -> No action taken.
w:\Проги\winamp pro v5.551 build 2419 multilingual\Cure\winamp.5.50_keygen-fff.exe (RiskWare.Tool.CK) -> No action taken.

Далее Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
DeleteFileMask('C:\Documents and Settings\W.T\Application Data\MjEqtZqZiP1M0El.bak', '*.*', true);
DeleteDirectory('C:\Documents and Settings\W.T\Application Data\MjEqtZqZiP1M0El.bak');
DeleteFileMask('C:\MjEqtZqZiP1M0El.bak', '*.*', true);
DeleteDirectory('C:\MjEqtZqZiP1M0El.bak');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.



После выполнения скрипта компьютер перезагрузится!

Сделайте повторные логи AVZ + RSIT
отпишитесь о самочувствии

SolarSpark

MBAMом всё удалено, на всякий случай прикрепляю лог.

После вашего скрипта из C:\\ папка MjEqtZqZiP1M0El.bak исчезла. Но там осталась вторая странная папка LvHs4NdkNZUawZS

Сделайте повторные логи AVZ + RSIT
Сделано. :yes:

изменения в самочувствии есть?

откройте папку LvHs4NdkNZUawZS и перечислите файлы которые в ней находятся
Проверьте их сами на http://www.virustotal.com и ссылки на результаты проверок сюда приведите

изменения в самочувствии есть?
Я не могу пока сказать. Глюки проявлялись беспорядочно и всего раз 5 за почти неделю (при этом три раза за 1 день). Так что пока остается только ждать.

откройте папку LvHs4NdkNZUawZS и перечислите файлы которые в ней находятся
klpclst.dat

W.T., отлично) добьем заразу

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\LvHs4NdkNZUawZS\klpclst.dat','');
DeleteFile('C:\LvHs4NdkNZUawZS\klpclst.dat');
DeleteFileMask('C:\Documents and Settings\W.T\Application Data\LvHs4NdkNZUawZS', '*.*', true);
DeleteDirectory('C:\Documents and Settings\W.T\Application Data\LvHs4NdkNZUawZS');
DeleteFileMask('C:\LvHs4NdkNZUawZS', '*.*', true);
DeleteDirectory('C:\LvHs4NdkNZUawZS');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.


смените все пароли после лечения!

Создайте новую контрольную точку восстановления и очистите предыдущие:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.
- регулярно проверять систему антивирусными утилитами CureIT и AVPTool

W.T., отлично) добьем заразу
Веселый вы народ. Все от вирусов орут благим матом, а вы нашли червячка и радуетесь. )))

После выполнения скрипта папка с крокозябрами вроде исчезла. :drug:
Просветите напоследок, от чего меня хоть лечили-то? )) и почему процессор от этого так перегревался?

И еще: Куда вам ткнуть, чтобы благодарность сделать? )) ...только если глюки снова проявятся, я ведь вернусь... :)

Куда вам ткнуть, чтобы благодарность сделать? )) »
внизу каждого сообщения есть "полезное сообщение"

только если глюки снова проявятся, я ведь вернусь »
не болейте...но если придется-милости просим

Все от вирусов орут благим матом, а вы нашли червячка и радуетесь. ))) »
радуемся, что причину нашли)) и удалили...

от чего меня хоть лечили-то? )) »
вот от этой заразы (http://www.threatexpert.com/report.aspx?md5=6ca0a67975c954311b102edcfd815391)

еще папку пропустила у вас зловредную C:\Documents and Settings\W.T\Application Data\MicroST
удалите ручками

вот от этой заразы
Кхм... нашли, что показать. )) Как зайцу латынь. )) Моя-то надежда была на пару фраз на русском и "на пальцах". :)
Но по вашей ссылке мой глаз упал на что-то там про файл igfxtray.dat.
У меня и щаз в папке C:\Documents and Settings\W.T\Application Data болтается такой. Это ничего?

еще папку пропустила у вас зловредную C:\Documents and Settings\W.T\Application Data\MicroST
Сколько же этих гадов... Удалю.
падажжыте.. вы женщина? Ого! :)

C:\Documents and Settings\W.T\Application Data болтается такой »
удаляйте.. безусловно

Моя-то надежда была на пару фраз на русском и "на пальцах" »
свежий троян

Ну что, а вот и я, цветов не надо... :(

Вчера с утра не открывался один сайт, но мне подумалось, что это на сайте какая-нибудь профилактика.
К вечеру комп неожиданно ушел в перезагрузку. После этого перестали открываться почти любые сайты. Чаще всего браузер выдавал что-то вроде (блин, память девичья) "Соединение закрыто удаленным сервером", иногда загружал только верхний баннер на фоне белой страницы, иногда - выдавал страницу в виде html-кода, иногда перекидывал на Internet.com, где писали про крайне низкий ответ и скорость соединения (хотя параллельно пару сайтов, которые открывались, работали с нормскоростью)
При очередной попытке загрузить какой-то сайт, Опера выдала предупреждение, что в системе найден вирус Trojan.Win32.bkiu, и предложила скачать критическое обновление, но, есс-но, открыть страницу не удалось, т.к. "соединение закрыто..."
NOD32 ничего не нашел.
MBAM нашел 1 какую-то фигню, но там даже близко не пахло трояном.
Несколько раз пробую запустить AVZ. Первый раз он находит несколько подозрений, что-то пытается запихать в карантин, но потом на финальном этапе "Исследование системы" благополучно и наглухо зависает. :( После перзагрузки пытаюсь снова провести диагностику, но каждый раз после загрузки компа и начала диагностики AVZ'ом в процессах один из svchost.eхe (SYSTEM) грузит ЦП на 50%. К нему иногда присоединяется другой svchost.exe (LOCAL или NETWORK SERVICE), который грузит ЦП на остальные 50%. Всё стоит.

Откатила систему на последнюю точку восстановления. Не знаю, это помогло или просто совпадение, но смогла наконец-то запустить нормально AVZ, и сайты пока открываются. Боюсь, это удовольствие ненадолго. Система жутко глючит, спасайте!

P.S.: Мне кажется, что в Диспетчере в процессах у меня за последние несколько дней появилось несколько левых процессов, которых раньше не было.

UPD:
AVPTool последней версии нашел 1 гадость, но не ту, на которую ругался браузер. :unsure:

C:\WINDOWS\system32\B785.tmp тоже удалите

C:\WINDOWS\system32\B785.tmp тоже удалите
Сделано :unsure: