Alex Smailov Опубликовано 5 марта, 2008 Жалоба Поделиться Опубликовано 5 марта, 2008 Приветствую! Прошу помочь в решении проблемы. Очень сильно упала скорость открытия страничек интеренета и пользования всяких интернет приложений, что бы открылся ya.ru приходтся ждать 50-60 сек. Я выхожу в интернет черех роутер с другом - у него все работает быстро(у нас выделенка 4 мегабита. Перед резким снижением скорости я заходил на сайт ragnarokbot.ru вылетело окно НОДа (nod32) об обнаружении вируса или трояна - точно не помню. сказал что файл удален. Но ппосле этого начались проблемы со скоростью. В диспечере задач вредоносные процессы вроде бы не отображены. Наткнулся на на программу показывающую запущенные процессы - hijackthis, а затем на Ваш форум. ВОт лог hijackthis Logfile of HijackThis v1.99.1Scan saved at 11:45:13, on 14.02.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Trust\GM-4200 Gamer Mouse Optical\Panel.exe C:\Program Files\Eset\nod32kui.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Download Master\dmaster.exe C:\Program Files\Eset\nod32krn.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\taskmgr.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\WinRAR\WinRAR.exe D:\Download\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://192.168.10.1/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Gamburg provider - {6607E676-1BDE-4cb3-9913-4DC5EBCAE35E} - unifff.dll (file missing) O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll O3 - Toolbar: Rambler-Ассистент - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - C:\Program Files\Rambler Assistant\ramblertoolbarU0.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [KillCopy] C:\PROGRA~1\KILLSOFT\KILLCOPY\kcresume.exe /startup O4 - HKLM\..\Run: [Trust Gaming mouse] "C:\Program Files\Trust\GM-4200 Gamer Mouse Optical\Panel.exe" O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [advap32] C:\DOCUME~1\Miless\LOCALS~1\Temp\4597686/r O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: &ieSpell Options - res://C:\Program Files\ieSpell\iespell.dll/SPELLOPTION.HTM O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Check &Spelling - res://C:\Program Files\ieSpell\iespell.dll/SPELLCHECK.HTM O8 - Extra context menu item: Lookup on Merriam Webster - file://C:\Program Files\ieSpell\Merriam Webster.HTM O8 - Extra context menu item: Lookup on Wikipedia - file://C:\Program Files\ieSpell\wikipedia.HTM O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm O8 - Extra context menu item: Найти с помощью Рамблера - res://C:\Program Files\Rambler Assistant\ramblertoolbarU0.dll/search.htm O8 - Extra context menu item: Опубликовать в Дневнике - res://C:\Program Files\Rambler Assistant\ramblertoolbarU0.dll/planet.htm O8 - Extra context menu item: Перевести с помощью словарей Рамблера - res://C:\Program Files\Rambler Assistant\ramblertoolbarU0.dll/dic.htm O9 - Extra button: ieSpell - {0E17D5B7-9F5D-4fee-9DF6-CA6EE38B68A8} - C:\Program Files\ieSpell\iespell.dll O9 - Extra 'Tools' menuitem: ieSpell - {0E17D5B7-9F5D-4fee-9DF6-CA6EE38B68A8} - C:\Program Files\ieSpell\iespell.dll O9 - Extra button: (no name) - {1606D6F9-9D3B-4aea-A025-ED5B2FD488E7} - C:\Program Files\ieSpell\iespell.dll O9 - Extra 'Tools' menuitem: ieSpell Options - {1606D6F9-9D3B-4aea-A025-ED5B2FD488E7} - C:\Program Files\ieSpell\iespell.dll O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://camera.corbina.ru/activex/AMC.cab O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe Почините меня! Ссылка на комментарий Поделиться на другие сайты Поделиться
Alex Smailov Опубликовано 6 марта, 2008 Автор Жалоба Поделиться Опубликовано 6 марта, 2008 Также добавлю, что скорость скачивания не пострадала. Тормозит только открытие страничек. И перемщение между ними. Ссылка на комментарий Поделиться на другие сайты Поделиться
Loader Опубликовано 6 марта, 2008 Жалоба Поделиться Опубликовано 6 марта, 2008 O4 - HKLM\..\Run: [advap32] C:\DOCUME~1\Miless\LOCALS~1\Temp\4597686/r эта строка вызывает подозрение. Насчет скорости открытия страниц: 1. Попробуй полазить по интернету при выключенной качалке (т.е. когда ничего из интернета не скачиваешь) 2. Попробуй альтернативные браузеры Opera или Firefox (у тебя на IE столько опций навешано возможно из-за этого и тормозит) Ссылка на комментарий Поделиться на другие сайты Поделиться
Alex Smailov Опубликовано 6 марта, 2008 Автор Жалоба Поделиться Опубликовано 6 марта, 2008 O4 - HKLM\..\Run: [advap32] C:\DOCUME~1\Miless\LOCALS~1\Temp\4597686/r эта строка вызывает подозрение. Насчет скорости открытия страниц: 1. Попробуй полазить по интернету при выключенной качалке (т.е. когда ничего из интернета не скачиваешь) 2. Попробуй альтернативные браузеры Opera или Firefox (у тебя на IE столько опций навешано возможно из-за этого и тормозит) Спасибо большое за подсказку. Что-то я не обратил внимания на этот подозрительный процесс. Из темпа что-то там работает... Перенес два скрытых системных файла 4597686 и почти такой же в отдельную папку, после, перезагрузил компьютер, при загрузке виндоуса быстренько включил hijackthis и мне НОД показал трояна "C:\WINDOWS\System32\Drivers\Xce46.sys" . Вот лог при удалении файла. Win32/Wigon.AX trojan deleted Event occurred at an attempt to access the file by the application: D:\Download\HijackThis.exe. Далее я удалил отдульную папку с двумя файлами которые лежали в "C:\DOCUME~1\Miless\LOCALS~1\Temp\4597686/r". Сейчас все в норме и странички открываются быстро. Спасибо большое!!! Ссылка на комментарий Поделиться на другие сайты Поделиться
Alex Smailov Опубликовано 6 марта, 2008 Автор Жалоба Поделиться Опубликовано 6 марта, 2008 Итория продолжается. Не все так просто как казалось. При следующем запуске системы, проблемы вернулись. Скачав АВЗ и обновив ее, я обнаружил при помощи менеджера автозапуска в дериктории WinLogon процесс не отмеченый зеленым. C:\windows\system\WLctrl32.dll полазив по просторам инета обнаружил что это свежеиспеченный троян-даунлодер. Причем следующим постом был описан троян со случайным названием состоящим из 4 лат символов и 2 цифр с расширением sys - троян убивающий трафик(то есть как раз моя проблема). Так вот троян-даунлодер все время скачивал в дерикторию windows\system32\drivers убийцу трафика, нод его убивал, тот снова скачивал и генерил новое имя и т.д. WLctrl32.dll я удалил из реестра при помощи АВЗ - пока проблемы не наблюдаются. Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 6 марта, 2008 Жалоба Поделиться Опубликовано 6 марта, 2008 Logfile of HijackThis v1.99.1Scan saved at 11:45:13, on 14.02.2008 1 HijackThis уже 2.02 2 сегодня не 14.02.2008 (дата создания логов), а тема когда поднята? В этот период многое могло изменится :) 3. логи AVZ от 3-го и 2-го стандартного скрипта не помешали бы, но если проблема уже отсутствует... чистого интернета ) Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти