Подвисание компа, подозрение на вирусы!

@francyz44 · Регистрация: 16.01.2011

Студворк — интернет-сервис помощи студентам

Всем привет!

Несколько дней назад начал подвисать комп, также загрузка компьютера стала дольше! При работе в браузерах также происходит зависание, пользуюсь Opera, Firefox! Диспетчер задач показывает практически всегда загрузку ЦП на 60-100%!

Помогите пожалуйста разобраться в чем может быть причина!

Надеюсь все правильно оформил!

@Farger · 12.03.2011, 19:24

Здравствуйте, сейчас посмотрю логи.

@gordey · 12.03.2011, 19:25

.................................

@Farger · 12.03.2011, 20:28

Файл C:\Program Files\keychecker.exe проверьте на virustotal и ссылку на результат дайте в вашем следующем сообщении.

Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
• Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
• Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
• Нажмите No, если вы хотите оставить ваши сохраненные пароли.
• Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
• Нажмите No, если вы хотите оставить ваши сохраненные пароли.

Пофиксите в HiJackThis
Отметьте галочками указанные строки и нажмите Fix Checked.

Code
1
 O20 - AppInit_DLLs: C:\Windows\system32\vksaver.dll

Перед выполнением скрипта отключите интернет, выгрузите антивирусное и защитное ПО.
Выполните скрипт в AVZ: AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить"

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\program files\pchd\pchdplayer.exe');
QuarantineFile('C:\Users\F9C2~1\AppData\Local\Temp\_ISTMP1.DIR\_ISTMP0.DIR\siwvid.sys','');
 QuarantineFile('C:\Windows\System32\drivers\dwshd.sys','');
QuarantineFile('C:\Windows\system32\vksaver.dll','');
QuarantineFile('c:\program files\pchd\pchdplayer.exe','');
DeleteFile('C:\Windows\system32\vksaver.dll');
DeleteFile('c:\program files\pchd\pchdplayer.exe');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
DeleteFileMask('c:\program files\pchd', '*.*', true);
 DeleteDirectory('c:\program files\pchd');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После всех процедур выполните скрипт

Code
1
2
3
begin   
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');  
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

После всего, сделайте повторные логи AVZ+лог MBAM

@francyz44 · 13.03.2011, 00:05 **[ТС]**

Сообщение от Farger

Файл C:\Program Files\keychecker.exe проверьте на virustotal и ссылку на результат дайте в вашем следующем сообщении.

Сделал, вот ссылка - http://www.virustotal.com/file... 1299951311

Сообщение от Farger

Пофиксите в HiJackThis
Отметьте галочками указанные строки и нажмите Fix Checked.

Сделано!

Сообщение от Farger

Выполните скрипт в AVZ:

Сделано! Отослал куда сказали! Жду ответа))

Сообщение от Farger

Скачайте Malwarebytes' Anti-Malware

Сделал, прикрепил ниже!

Сообщение от Farger

После всего, сделайте повторные логи AVZ

Сделал, прикрепил!

@Farger · 13.03.2011, 00:29

А вы сами знаете, что за файл C:\Program Files\keychecker.exe?
В MBAM удалите:

Заражённые ключи в реестре:
HKEY_CLASSES_ROOT\AppID\{B0ED4726-5BC8-4E22-A7A8-3074A73CE64E} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{1408E208-2AC1-42D3-9F10-78A5B36E05AC} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\xvideoplugin.JetMimeFi ltr (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\xvideoplugin.JetMimeFi ltr.1 (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.

Заражённые файлы:
c:\program files\shares.dll (Spyware.OnlineGames) -> No action taken.

Кряк - на ваше усмотрение (может содержать вирусы).

Лог MBAM повторите.

@francyz44 · 14.03.2011, 15:45 **[ТС]**

Сообщение от Farger

А вы сами знаете, что за файл C:\Program Files\keychecker.exe?

Да это программа для выпрямления ссылок, проверки премиум и голд ключей от файлообменников(deposiе, ******** и т.д.)! Она у меня установлена давно, думаю врят ли в ней причина!

Сообщение от Farger

В MBAM удалите:

Сделано!

Сообщение от Farger

Лог MBAM повторите.

Сделано, все чисто!

Но подвисание системы до сих пор наблюдается(( Можете еще что то посоветовать?

Добавлено через 21 час 40 минут
Up up!

@arbitr · 14.03.2011, 19:59

можно... по данным логам заражения не наблюдаю.. так что можно сделать логи другой утилиты..
но предварительно, вы смотрели в дисп. задач какой процесс у вас больше всего ресурсов потребляет?? далее включен ли в этот момент у вас денвер? лично у меня при работе денвера (комп правда не мощный прямо скажем.. ) наблюдаются некоторые "тормоза" так же хочу отметить что виста очень требовательна к ресурсам, и одни и те же задачи на vista и xp при одинаковой конфигурации выполняются за разное время и с разным потреблением ресурсов.
так вот могу порекомендовать.. дефрагментацию.. удаление старых файлов.. чистку реестра.
можно сделать дополнительное сканирование более "жесткой" утилитой для дополнительной проверки на вируса но хочу отметить что она может удалить самостоятельное некоторые ваши программы, такие как C:\Program Files\keychecker.exe или аналогичные.. их конечно можно потом восстановить из карантина или же переустановить, если да то выполнить следующее.
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe
Внимание!! так как у вас виста то данную утилиту необходимо запускать от имени администратора.

@francyz44 · 15.03.2011, 18:24 **[ТС]**

Arbitr, спасибо)))

Прочитал Ваш пост и сразу вспомнил про денвер!!! Как раз за несколько дней до появления проблем, я удалил денвер, но удалился он как то коряво! Сейчас в msconfig убрал автозапуск virtual driver for denwer! Перезагрузился и сразу заметил улучшения, вроде все в норме))) Дак вот не могу понять как полностью удалить денвер? Почему он до сих пор запускался?

В деспетчере задач вроде все в норме! Но иногда svchost.exe почему то запущен около 15 раз! Дефрагментацию делаю, и старые файлы тоже чищу периодически! А вот с реестром, проблема - пробывал чистить - auslogics BoostSpeed и когда следующий раз включал комп, он не смог запуститься! Запустился только после восстановления! Т.е. прога удалила что то не то!
Можете посоветовать хорошую прогу для чистки реестра?

А Combofix думаю пока не буду пользоваться, вроде все нормализовалось))) Еще дождусь результата от касперского, может там что то прояснится!

Большое спасибо за помощь!

@Katharsis · 15.03.2011, 18:47

Для ускорения загрузки и работы системы выполните следующее:
1. очиска дисков. Пуск - Программы – Стандартные – Служебные – Очистка диска. Очистите временные файлы и корзину. Для очистки ненужных записей в реестре можете использовать Ccleaner в автоматическом режиме, перед удалением чего либо из реестра необходимо создавать резервные копии.
2. проверка дисков. пуск - выплонить - вбить

chkdsk /f /r

нажать enter

3. дефрагментация дисков. Пуск - программы- стандартные - служебные -дефрагментация.
4. очистка автозагрузки. пуск - выплонить - вбить msconfig, перейти на вкладку "автозагрузка" отметить те программы, которыми не пользуетесь постоянно, но только те, которые знаете.
5. откройте папку C:\Windows\prefetch удалите файлы из этой папки, кроме Layout.ini - это немного ускорит загрузку. Добавтье в реестр:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl Set\Control\Session Manager\MemoryManagement\PrefetchParamet ers]
"EnablePrefetcher"=dword:00000003

Скопируйте этот текст в болкнот, сохраните под любым именем с расширением .reg , дважды кликните по файлу и подтвердите добавление. При этом служба "планировщик заданий" должна быть запущена.

Во избежание новых заражений желательно отключить автозапуск программ с различных носителей, кроме CDROM. (это по вашему желанию) Для этого скопируйте этот код в блокнот, сохраните под любым именем с расширением .reg Кликните по файлу и подтвердите добавление в реестр.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000dd

Если больше никаких проблем не возникает, то:

Создайте новую контрольную точку восстановления и очистите заражённую:

1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить

2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли

если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли.

Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.
- регулярно проверять систему антивирусными утилитами CureIT и AVPTool

@francyz44 · 15.03.2011, 20:10 **[ТС]**

Katharsis, большое спасибо за помощь и подробное разъяснение

Единственное что не много не понял - activeX! IE уже не помню когда последний раз пользовался! Настройки нашел, но там много пунктов, скажите что поменять?

@Katharsis · 15.03.2011, 20:29

Можно ли удалить надстройки или элементы управления ActiveX?

Надстройки Internet Explorer: вопросы и ответы

@francyz44 · 15.03.2011, 20:46 **[ТС]**

Еще раз спасибо!

Новые блоги и статьи Все статьи Все блоги /
Уведомление о неверно выбранном значении справочника Maks 06.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "НарядПутевка", разработанного в конфигурации КА2. Задача: уведомлять пользователя, если в документе выбран неверный склад. . .	Установка Qt Creator для C и C++: ставим среду, CMake и MinGW без фреймворка Qt 8Observer8 05.04.2026 Среду разработки Qt Creator можно установить без фреймворка Qt. Есть отдельный репозиторий для этой среды: https:/ / github. com/ qt-creator/ qt-creator, где можно скачать установщик, на вкладке Releases:. . .	AkelPad-скрипты, структуры, и немного лирики.. testuser2 05.04.2026 Такая программа, как AkelPad существует уже давно, и также давно существуют скрипты под нее. Тем не менее, прога живет, периодически что-то не спеша дополняется, улучшается. Что меня в первую очередь. . .	Отображение реквизитов в документе по условию и контроль их заполнения Maks 04.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеСпецтехники", разработанного в конфигурации КА2. Данный документ берёт данные из другого нетипового документа. . .
Фото всей Земли с борта корабля Orion миссии Artemis II kumehtar 04.04.2026 Это первое подобное фото сделанное человеком за 50 лет. Снимок называют новым вариантом легендарной фотографии «The Blue Marble» 1972 года, сделанной с борта корабля «Аполлон-17». Новое фото. . .	Вывод диалогового окна перед закрытием, если документ не проведён Maks 04.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: реализовать программный контроль на предмет проведения документа. . .	Программный контроль заполнения реквизитов табличной части документа Maks 02.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: 1. Реализовать контроль заполнения реквизита. . .	wmic не является внутренней или внешней командой Maks 02.04.2026 Решение: DISM / Online / Add-Capability / CapabilityName:WMIC~~~~ Отсюда: https:/ / winitpro. ru/ index. php/ 2025/ 02/ 14/ komanda-wmic-ne-naydena/

@Farger 124 / 40 / 2 Регистрация: 03.02.2011 Сообщений: 153
	12.03.2011, 19:24
	Здравствуйте, сейчас посмотрю логи. 0

@gordey 349 / 130 / 1 Регистрация: 24.07.2009 Сообщений: 556
	12.03.2011, 19:25
	................................. 0

@arbitr 1073 / 368 / 4 Регистрация: 05.08.2010 Сообщений: 1,056
	14.03.2011, 19:59
	можно... по данным логам заражения не наблюдаю.. так что можно сделать логи другой утилиты.. но предварительно, вы смотрели в дисп. задач какой процесс у вас больше всего ресурсов потребляет?? далее включен ли в этот момент у вас денвер? лично у меня при работе денвера (комп правда не мощный прямо скажем.. ) наблюдаются некоторые "тормоза" так же хочу отметить что виста очень требовательна к ресурсам, и одни и те же задачи на vista и xp при одинаковой конфигурации выполняются за разное время и с разным потреблением ресурсов. так вот могу порекомендовать.. дефрагментацию.. удаление старых файлов.. чистку реестра. можно сделать дополнительное сканирование более "жесткой" утилитой для дополнительной проверки на вируса но хочу отметить что она может удалить самостоятельное некоторые ваши программы, такие как C:\Program Files\keychecker.exe или аналогичные.. их конечно можно потом восстановить из карантина или же переустановить, если да то выполнить следующее. Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Внимание!! так как у вас виста то данную утилиту необходимо запускать от имени администратора. 2

@francyz44 0 / 0 / 0 Регистрация: 16.01.2011 Сообщений: 14
	15.03.2011, 18:24 [ТС]
	Arbitr, спасибо))) Прочитал Ваш пост и сразу вспомнил про денвер!!! Как раз за несколько дней до появления проблем, я удалил денвер, но удалился он как то коряво! Сейчас в msconfig убрал автозапуск virtual driver for denwer! Перезагрузился и сразу заметил улучшения, вроде все в норме))) Дак вот не могу понять как полностью удалить денвер? Почему он до сих пор запускался? В деспетчере задач вроде все в норме! Но иногда svchost.exe почему то запущен около 15 раз! Дефрагментацию делаю, и старые файлы тоже чищу периодически! А вот с реестром, проблема - пробывал чистить - auslogics BoostSpeed и когда следующий раз включал комп, он не смог запуститься! Запустился только после восстановления! Т.е. прога удалила что то не то! Можете посоветовать хорошую прогу для чистки реестра? А Combofix думаю пока не буду пользоваться, вроде все нормализовалось))) Еще дождусь результата от касперского, может там что то прояснится! Большое спасибо за помощь! 0

@francyz44 0 / 0 / 0 Регистрация: 16.01.2011 Сообщений: 14
	15.03.2011, 20:10 [ТС]
	Katharsis, большое спасибо за помощь и подробное разъяснение Единственное что не много не понял - activeX! IE уже не помню когда последний раз пользовался! Настройки нашел, но там много пунктов, скажите что поменять? 0

@Katharsis 8571 / 4877 / 66 Регистрация: 16.09.2010 Сообщений: 14,446
	15.03.2011, 20:29
	Можно ли удалить надстройки или элементы управления ActiveX? Надстройки Internet Explorer: вопросы и ответы 2

@francyz44 0 / 0 / 0 Регистрация: 16.01.2011 Сообщений: 14
	15.03.2011, 20:46 [ТС]
	Еще раз спасибо! 0

Подвисание компа, подозрение на вирусы!

Решение