Доброго времени суток!

Столкнулся с задачей: ноутбук Леново с win7 32x стал при загрузке в обычном режиме очень сильно виснуть, вплоть до полной остановки процессов и отсутствия реакции на мышь, клавиатуру. При этом из корпуса доносятся странные пощелкивания (тихие) с периодичностью 5-7 секунд. Эти звуки идут в такт мигания индикатора обработки данных (на корпусе ноутбука).

При загрузке в безопасном режиме с включенными сетевыми драйверами работает ноутбук нормально.

Проделав рекомендуемые операции с помощью Cure it, RSIT и AVZ. Зависания и щелчки исчезли. Но хочу удостовериться, что работа ноутбука теперь будет стабильная.
Поэтому во вложении - файлы логов.

Прошу вашей помощи. Спасибо!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://safezone.cc/forum/showthread.php?t=10) (Файл - Выполнить скрипт):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}');
QuarantineFile('C:\Windows\Installer\{147DFAD8-34C3-4DE1-9FCA-ACEFDE9EF810}\NewShortcut11_8ACB210B42E44145A8C31F8E3DD765A3.exe','');
BC_ImportAll;
BC_Activate;
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (http://safezone.cc/forum/showthread.php?t=9) (некоторые строки могут отсутствовать):
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)

Сделайте новый комплект логов AVZ и RSIT и прикрепите к следующему сообщению новые логи virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt

Скачайте AdwCleaner (by Xplode) (http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt. Прикрепите отчет к своему следующему сообщению.Подробнее читайте в этом руководстве (http://safezone.cc/forum/showthread.php?goto=newpost&t=19726).


Подготовьте лог OTL by OldTimer, как описано на этой странице (http://safezone.cc/forum/showpost.php?p=64662&postcount=1). Прикрепите полученные логи OTL.txt и Extra.txt к своему следующему сообщению. Если логи не прикрепляются запакуйте их в архив.

Добрый день!

Выполнил скрипты в AVZ.
Пофиксил в HijackThis.

Сделал комплект логогв AVZ и RSIT.

Сделал скан AdwCleaner'ом.
Подготовил лог OTL by OldTimer.

Во вложении - необходимы файлы.
примечание: Файлы OTL.txt и Extra.txt запакованы в архиве OTL_txt и Extra_txt.zip

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt. Прикрепите отчет к своему следующему сообщениюВнимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

Запустите повторно OTL by OldTimer (http://oldtimer.geekstogo.com/OTL.exe) или OTL.com (http://oldtimer.geekstogo.com/OTL.com) или OTL.scr (http://oldtimer.geekstogo.com/OTL.scr).

Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

В окно Custom Scans/Fixes скопируйте следующую информацию:

:processes

:OTL
IE - HKU\S-1-5-21-2928806390-3606030750-3569849974-1000\..\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633}: "URL" = http://webalta.ru/search?q={searchTerms}&from=IE

:Services

:Files

ipconfig /flushdns /c

:Reg

:Commands
[EMPTYTEMP]
[purity]
[start explorer]
[Reboot]
Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
Компьютер перезагрузится.
После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Как самочувствие системы?

Добрый день!

Система вроде работает в нормальном режиме.

Запустил повторно AdwCleaner (by Xplode). Отчет во вложении.

Сделал фиксы в Otl Oltimer. Ниже текст из лога.

All processes killed
========== PROCESSES ==========
========== OTL ==========
Registry key HKEY_USERS\S-1-5-21-2928806390-3606030750-3569849974-1000\Software\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633}\ not found.
========== SERVICES/DRIVERS ==========
========== FILES ==========
< ipconfig /flushdns /c >
Ќ*бва®©Є* Їа®в®Є®«* IP ¤«п Windows
Љни б®Ї®бв*ўЁвҐ«п DNS гбЇҐи*® ®зЁйҐ*.
C:\Users\Ivan\Desktop\AVZ\cmd.bat deleted successfully.
C:\Users\Ivan\Desktop\AVZ\cmd.txt deleted successfully.
========== REGISTRY ==========
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 56502 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Ivan
->Temp folder emptied: 40828 bytes
->Temporary Internet Files folder emptied: 3254822 bytes
->Java cache emptied: 255503 bytes
->Google Chrome cache emptied: 165665322 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 1561 bytes

User: Public

User: Администратор
->Temp folder emptied: 49741 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 56502 bytes

User: Все пользователи

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 16044 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 162,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 12032012_224800

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...