комп висит намертво

@dantist_140 · Регистрация: 03.06.2010

Author24 — интернет-сервис помощи студентам

работал, работал...и вдруг завис намертво. Музыка играет через винамп, а сделать ничего нельзя, абсолютно. Диспетчер задач не вызывается, вернее может он и вызывается но я его не вижу. Будто тупо скриншот поставили и все.
Если перезагрузить, несколько минут работает, и поять. Особенно сразу виснет если откывать папки. Пытался сделать логи - хрен, AVZ зависла на трети пути, mbam оставил на ночь(в надежде что отвиснет), утром встаю а он на 46 секундах повис и до сих пор.
Скачал новый Dr.Web LiveCD, проверился. Нашел 17 вирусов. При попытке лечить\удалить пишет мне ,,no space on device,, хотя диск почти чист.(40/200гб). В итоге както получилось что вылеченных 12...

. Зависоны не прошли...

решил еще раз загрузить. Запустил сразу диспетчер...и заметил некий процесс fs.bin, при попытке завершить - отказано в доступе. Все равно все зависло.

Добавлено через 26 секунд
Avast молчит

Добавлено через 1 минуту
Еще вродебы перед тем как все началось...помню запустился Sun Java. LiveCD нашел там 3 вируса.

@~~Katharsis~~ · 04.03.2011, 20:35

dantist_140, первый раз что ли?

Что делать если AVZ не запускается?
Как подготовить лог AVZ в безопасном режиме

хотя бы RSIT и HijackThis

@dantist_140 · 04.03.2011, 20:45 **[ТС]**

Сообщение от Katharsis

первый раз что ли?

Нуу...такое...да. Первый раз так висит жестко. Никогда так не висел.

Сообщение от Katharsis

хотя бы RSIT и HijackThis

щас...помудирим.

@dantist_140 · 04.03.2011, 22:25 **[ТС]**

Итак, все проделал: AVZ в безопасном режиме по мойму не очень проверил...и лог не сохранил.

ActionScript 3

Выполняется стандартный скрипт: 1. Поиск и нейтрализации RootKit UserMode и KernelMode
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 Ошибка обмена с драйвером  [00000002] - [1]
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
 Драйвер успешно загружен
 Ошибка обмена с драйвером  [00000002] - [1]

Зато нормально проверился mbam, и все остальное. Логи AVZ сделаны уже в нормальном режиме после проверки mbam.

@dantist_140 · 04.03.2011, 22:26 **[ТС]**

Вроде все прошло...

@gordey · 04.03.2011, 23:48

dantist_140, AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\temp\alsysio.sys','');
 QuarantineFile('c:\program files\winrar\rar.exe.bak','');
 QuarantineFile('c:\program files\winrar\unrar.exe.bak','');
 QuarantineFile('c:\program files\winrar\winrar.exe.bak','');
 QuarantineFile('c:\windows\system32\dk2win32.dll.bak','');
 DeleteFile('c:\temp\alsysio.sys');
 DeleteFile('c:\program files\winrar\rar.exe.bak');
 DeleteFile('c:\program files\winrar\unrar.exe.bak');
 DeleteFile('c:\program files\winrar\winrar.exe.bak');
 DeleteFile('c:\windows\system32\dk2win32.dll.bak');
 DeleteService('alsysio');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте по этой форме

Пофиксить в HijackThis следующие строчки

Код

 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk

Внимание !!! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Повторите логи!

@dantist_140 · 05.03.2011, 00:39 **[ТС]**

новые логи...

@Sfera · 05.03.2011, 08:43

И как это смотреть? логи переделайте-базы обновите!

@dantist_140 · 06.03.2011, 19:59 **[ТС]**

снова новые логи

@~~Katharsis~~ · 06.03.2011, 21:08

PCHDPlayer.exe (стриптиз) - ваше?

Через поиск AVZ найдите этот файл setupapi.exe Как искать файлы при помощи AVZ и отправить на анализ.

Проверьте на virustotal.com:

setupapi.exe
c:\windows\explorer.exe
C:\WINDOWS\system32\logonuiX.exe
c:\windows\system32\winlogon.exe

ссылки на результат запостите здесь

@dantist_140 · 06.03.2011, 22:11 **[ТС]**

Сообщение от Katharsis

PCHDPlayer.exe (стриптиз) - ваше?

Наше, а он заразен?

Сообщение от Katharsis

Через поиск AVZ найдите этот файл setupapi.exe

Через AVZ я его нашел, и он их добавил к карантину. А как их теперь достать?
По этим путям C:\WINDOWS\system32\setupapi.exe и C:\WINDOWS\setupapi.exe
их нет.

Сообщение от Katharsis

ссылки на результат запостите здесь

explorer.exe
logonuiX.exe
winlogon.exe

@~~Katharsis~~ · 06.03.2011, 22:23

Сообщение от dantist_140

Наше, а он заразен?

если свое, можно оставить.

Сообщение от dantist_140

Через AVZ я его нашел, и он их добавил к карантину. А как их теперь достать?

В карантин попала копия. Отправить туда же. Оригинал найти и проверить на VT (может быть в папках с Internet Explorer и другими браузерами.)

winlogon.exe и explorer.exe заменить на чистые с дистрибутива. Как заменить системный файл

После всего повторно: AVZ, mbam (полное сканирование), rsit

@dantist_140 Злой зубной доктор 150 / 106 / 5 Регистрация: 03.06.2010 Сообщений: 1,338
		1
	комп висит намертво 04.03.2011, 20:26. Показов 2971. Ответов 11 Метки нет (Все метки) работал, работал...и вдруг завис намертво. Музыка играет через винамп, а сделать ничего нельзя, абсолютно. Диспетчер задач не вызывается, вернее может он и вызывается но я его не вижу. Будто тупо скриншот поставили и все. Если перезагрузить, несколько минут работает, и поять. Особенно сразу виснет если откывать папки. Пытался сделать логи - хрен, AVZ зависла на трети пути, mbam оставил на ночь(в надежде что отвиснет), утром встаю а он на 46 секундах повис и до сих пор. Скачал новый Dr.Web LiveCD, проверился. Нашел 17 вирусов. При попытке лечить\удалить пишет мне ,,no space on device,, хотя диск почти чист.(40/200гб). В итоге както получилось что вылеченных 12.... Зависоны не прошли... решил еще раз загрузить. Запустил сразу диспетчер...и заметил некий процесс fs.bin, при попытке завершить - отказано в доступе. Все равно все зависло. Добавлено через 26 секунд Avast молчит Добавлено через 1 минуту Еще вродебы перед тем как все началось...помню запустился Sun Java. LiveCD нашел там 3 вируса. 0

@~~Katharsis~~ Заблокирован
	04.03.2011, 20:35	2
	dantist_140, первый раз что ли? Что делать если AVZ не запускается? Как подготовить лог AVZ в безопасном режиме хотя бы RSIT и HijackThis 0

@dantist_140 Злой зубной доктор 150 / 106 / 5 Регистрация: 03.06.2010 Сообщений: 1,338
	04.03.2011, 20:45 [ТС]	3
	Сообщение от Katharsis первый раз что ли? Нуу...такое...да. Первый раз так висит жестко. Никогда так не висел. Сообщение от Katharsis хотя бы RSIT и HijackThis щас...помудирим. 0

@dantist_140 Злой зубной доктор 150 / 106 / 5 Регистрация: 03.06.2010 Сообщений: 1,338
	04.03.2011, 22:26 [ТС]	5
	Вроде все прошло... 0

@Sfera 1130 / 161 / 4 Регистрация: 24.12.2010 Сообщений: 389
	05.03.2011, 08:43	8
	И как это смотреть? логи переделайте-базы обновите! 0

@~~Katharsis~~ Заблокирован
	06.03.2011, 21:08	10
	PCHDPlayer.exe (стриптиз) - ваше? Через поиск AVZ найдите этот файл setupapi.exe Как искать файлы при помощи AVZ и отправить на анализ. Проверьте на virustotal.com: setupapi.exe c:\windows\explorer.exe C:\WINDOWS\system32\logonuiX.exe c:\windows\system32\winlogon.exe ссылки на результат запостите здесь 0

@dantist_140 Злой зубной доктор 150 / 106 / 5 Регистрация: 03.06.2010 Сообщений: 1,338
	06.03.2011, 22:11 [ТС]	11
	Сообщение от Katharsis PCHDPlayer.exe (стриптиз) - ваше? Наше, а он заразен? Сообщение от Katharsis Через поиск AVZ найдите этот файл setupapi.exe Через AVZ я его нашел, и он их добавил к карантину. А как их теперь достать? По этим путям C:\WINDOWS\system32\setupapi.exe и C:\WINDOWS\setupapi.exe их нет. Сообщение от Katharsis ссылки на результат запостите здесь explorer.exe logonuiX.exe winlogon.exe 0

@~~Katharsis~~ Заблокирован
	06.03.2011, 22:23	12
	Сообщение от dantist_140 Наше, а он заразен? если свое, можно оставить. Сообщение от dantist_140 Через AVZ я его нашел, и он их добавил к карантину. А как их теперь достать? В карантин попала копия. Отправить туда же. Оригинал найти и проверить на VT (может быть в папках с Internet Explorer и другими браузерами.) winlogon.exe и explorer.exe заменить на чистые с дистрибутива. Как заменить системный файл После всего повторно: AVZ, mbam (полное сканирование), rsit 0