figure Опубликовано 25 марта, 2008 Жалоба Поделиться Опубликовано 25 марта, 2008 Комп стал дольше тратить времени на одни и те же операции. Загрузка виндовс стала 2 минуты вместо 40 секунд. И так со всеми приложениями - скорость загрузки и выполнение типовых операций стало занимать в разы больше времени. При просмотре видео avi, mpeg4 изображение каждые 1,5 секунды останавливается на 0,1 секунды. Игры, так же как видео, отображаются с остановками с таким же периодом. Прошу опытных людей помоч. Logfile of HijackThis v1.99.1 Scan saved at 13:51:04, on 25.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\system32\nvsvc32.exe D:\Program Files\Agnitum\Outpost Firewall\outpost.exe D:\WINDOWS\system32\rtService.exe D:\Program Files\TMeter\TrafSvc.exe D:\PROGRA~1\DrWeb\spiderui.exe D:\WINDOWS\system32\ctfmon.exe D:\WINDOWS\system32\rundll32.exe D:\WINDOWS\system32\wscntfy.exe D:\Program Files\Internet Explorer\iexplore.exe D:\PROGRA~1\DrWeb\spidernt.exe D:\WINDOWS\system32\taskmgr.exe D:\WINDOWS\system32\NOTEPAD.EXE C:\Distr\antivirus\hjt avz\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - F:\PROGRAMS\FLASHGET\jccatch.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - F:\PROGRAMS\FLASHGET\fgiebar.dll O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" D:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install O4 - HKLM\..\Run: [startdrv] D:\WINDOWS\Temp\startdrv.exe O4 - HKLM\..\Run: [spIDerNT] D:\PROGRA~1\DrWeb\spiderui.exe /agent O4 - HKLM\..\Run: [TrafMonitor] D:\Program Files\TMeter\trafmonitor.exe /logon /admin O4 - HKLM\..\Run: [Outpost Firewall] D:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice O4 - HKLM\..\Run: [OutpostFeedBack] D:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Firewall auto setup] D:\DOCUME~1\trend\LOCALS~1\Temp\winlogon.exe O4 - HKCU\..\Run: [noskrnl] D:\WINDOWS\noskrnl.exe O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Закачать все при помощи FlashGet - F:\Programs\FlashGet\jc_all.htm O8 - Extra context menu item: Закачать при помощи FlashGet - F:\Programs\FlashGet\jc_link.htm O9 - Extra button: Быстрая настройка Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - D:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\PROGRAMS\FLASHGET\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\PROGRAMS\FLASHGET\flashget.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: d:\windows\system32\drwebsp.dll O10 - Unknown file in Winsock LSP: d:\windows\system32\drwebsp.dll O10 - Unknown file in Winsock LSP: d:\windows\system32\drwebsp.dll O10 - Unknown file in Winsock LSP: d:\windows\system32\drwebsp.dll O10 - Unknown file in Winsock LSP: d:\windows\system32\drwebsp.dll O10 - Unknown file in Winsock LSP: d:\windows\system32\drwebsp.dll O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab O16 - DPF: {41EDBEE7-94AD-4200-B54D-8C4A9E878BE4} (SDiagOCX Control) - http://www4.bcs.ru/SDiagOCX.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{DA19382D-CEDB-4785-A224-D31D5C24544A}: NameServer = 80.70.96.137,80.70.96.130 O20 - AppInit_DLLs: wbsys.dll D:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll O20 - Winlogon Notify: WBSrv - D:\Program Files\Stardock\Object Desktop\WindowBlinds\wbsrv.dll (file missing) O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing) O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing) O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe O23 - Service: ICF - Unknown owner - D:\WINDOWS\system32\icf.exe (file missing) O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - D:\WINDOWS\system32\imapi.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - D:\WINDOWS\system32\mnmsrvc.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - D:\Program Files\Agnitum\Outpost Firewall\outpost.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - D:\WINDOWS\system32\sessmgr.exe O23 - Service: ruToken Service - Компания "Актив" - D:\WINDOWS\system32\rtService.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - D:\WINDOWS\System32\SCardSvr.exe O23 - Service: SpIDer Guard for Windows (SPIDERNT) - Doctor Web, Ltd. - D:\PROGRA~1\DrWeb\spidernt.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - D:\WINDOWS\system32\smlogsvc.exe O23 - Service: TMeter 7.7.451 (TrafSvc) - Unknown owner - D:\Program Files\TMeter\TrafSvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - D:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - D:\WINDOWS\system32\wbem\wmiapsrv.exe Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 25 марта, 2008 Жалоба Поделиться Опубликовано 25 марта, 2008 (изменено) Зловреды присутствуют. Сделай логи, как в этом сообщении Pili Еще зайди в Диспетчер задач -- IDE/ATA - контроллеры -- Вторичный или Первичный каналы. Посмотри, не слетел ли контроллер твоего харда в режим PIO. Изменено 25 марта, 2008 пользователем ser208 Ссылка на комментарий Поделиться на другие сайты Поделиться
figure Опубликовано 25 марта, 2008 Автор Жалоба Поделиться Опубликовано 25 марта, 2008 Зловреды присутствуют. Сделай логи, как в этом сообщении Pili Еще зайди в Диспетчер задач -- IDE/ATA - контроллеры -- Вторичный или Первичный каналы. Посмотри, не слетел ли контроллер твоего харда в режим PIO. Сейчас выполняю процедуры как написано у Pili. А пока поясни пожалуйста о режимах передачи. У меня два харда. Вся инфа и две опер системы на винте который на первичном канале (Primary master). На втором харде ничего нет. Проблемы указанные в первом сообщении присутствуют только в одной системе-она "рабочая". А на запасной системе все работает быстро. В рабочей системе на первичном канале IDE режим PIO, на втором канале режим ультра DMA:2. При загрузке запасной системы режим на первичном канале ультра DMA:5, на вторичном ультра DMA:2. Ссылка на комментарий Поделиться на другие сайты Поделиться
figure Опубликовано 26 марта, 2008 Автор Жалоба Поделиться Опубликовано 26 марта, 2008 Проблема разрешилась. Переустановил драйвер на 1 канале после чего вернулся режим УДМА, все заработало быстро. Спасибо за помощь ser208. Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 26 марта, 2008 Жалоба Поделиться Опубликовано 26 марта, 2008 (изменено) Проблема разрешилась. Переустановил драйвер на 1 канале после чего вернулся режим УДМА, все заработало быстро. Спасибо за помощь ser208. Так у тебя вирусы. O4 - HKCU\..\Run: [Firewall auto setup] D:\DOCUME~1\trend\LOCALS~1\Temp\winlogon.exe O4 - HKCU\..\Run: [noskrnl] D:\WINDOWS\noskrnl.exeO4 - HKLM\..\Run: [startdrv] D:\WINDOWS\Temp\startdrv.exe И это при беглом просмотре. Так что проблема осталась. Логи полные выложи, чтобы подлечиться. Только не правь их в HijackThis -- это бесполезно. А насчет контроллеров -- в большинстве случаев помогает просто удаление канала. После перезагрузки все встает на свои места, т.е. в DMA. Изменено 26 марта, 2008 пользователем ser208 Ссылка на комментарий Поделиться на другие сайты Поделиться
figure Опубликовано 27 марта, 2008 Автор Жалоба Поделиться Опубликовано 27 марта, 2008 Выкладываю логи для исследования. Пожалуйста посмотри ser208. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.zip virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 27 марта, 2008 Жалоба Поделиться Опубликовано 27 марта, 2008 (изменено) В Hijack сделай Fix checked строки: O4 - HKLM\..\Run: [startdrv] D:\WINDOWS\Temp\startdrv.exe O4 - HKCU\..\Run: [Firewall auto setup] D:\DOCUME~1\trend\LOCALS~1\Temp\winlogon.exe O4 - HKCU\..\Run: [noskrnl] D:\WINDOWS\noskrnl.exe O20 - Winlogon Notify: WBSrv - D:\Program Files\Stardock\Object Desktop\WindowBlinds\wbsrv.dll (file missing) O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing) В AVZ зайди меню Файл -- Выполнить скрипт. Скопируй код и нажми Запустить. beginSetAVZGuardStatus(True);SearchRootkit(true, true); QuarantineFile('D:\DOCUME~1\trend\LOCALS~1\Temp\winlogon.exe',''); QuarantineFile('D:\WINDOWS\Temp\startdrv.exe',''); QuarantineFile('D:\WINDOWS\noskrnl.exe',''); BC_DeleteFile('D:\DOCUME~1\trend\LOCALS~1\Temp\winlogon.exe'); BC_DeleteFile('D:\WINDOWS\Temp\startdrv.exe'); BC_DeleteFile('D:\WINDOWS\noskrnl.exe');BC_Activate;RebootWindows(true);end. Если хочешь отключить потенциально-опасные службы, то после перезагрузки выполни еще один скрипт: beginRegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);SetServiceStart('RDSessMgr', 4);SetServiceStart('mnmsrvc', 4);SetServiceStart('Schedule', 4);SetServiceStart('SSDPSRV', 4);SetServiceStart('TermService', 4);end. Зачем тебе на компе криптографический софт? Папку "Quarantine" в AVZ запакуй, выложи на любой файлообменник и ссылку брось мне в личку (ни в коем случае не здесь). Сделай повторно логи обязательно. Изменено 27 марта, 2008 пользователем ser208 Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 27 марта, 2008 Жалоба Поделиться Опубликовано 27 марта, 2008 В меню AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью прав. кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить» beginSearchRootkit(true, true);SetAVZGuardStatus(True);StopService('ICF');SetServiceStart('ICF', 4);QuarantineFile('D:\WINDOWS\noskrnl.exe','');QuarantineFile('D:\WINDOWS\Temp\startdrv.exe','');QuarantineFile('D:\DOCUME~1\trend\LOCALS~1\Temp\winlogon.exe','');QuarantineFile('D:\WINDOWS\system32\icf.exe','');DeleteService('ICF');DeleteFile('D:\WINDOWS\system32\icf.exe');DeleteFile('D:\DOCUME~1\trend\LOCALS~1\Temp\winlogon.exe');DeleteFile('D:\WINDOWS\Temp\startdrv.exe');DeleteFile('D:\WINDOWS\noskrnl.exe');BC_ImportALL;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Файл quarantine.zip выслать на user15802[at]mail.ru или выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ, в теле письма указать ссылку на тему. Logfile of HijackThis v1.99.1 Скачайте новую версию HijackThis повторите логи virusinfo_syscheck.zip и hijackthis Ссылка на комментарий Поделиться на другие сайты Поделиться
figure Опубликовано 28 марта, 2008 Автор Жалоба Поделиться Опубликовано 28 марта, 2008 Выполнил лечение, как написано в сообщении у ser208. Вот логи. Папка карантин в AVZ после скрипта 2 "сбор информации" пустая. Подскажите, где можно посмотреть описание вирусов и проч вред программ. virusinfo_syscheck.zip hijackthis.zip virusinfo_syscheck.zip hijackthis.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 28 марта, 2008 Жалоба Поделиться Опубликовано 28 марта, 2008 ser208 успел раньше :) figure: В меню AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью прав. кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить» beginSearchRootkit(true, true);SetAVZGuardStatus(True);StopService('ICF');SetServiceStart('ICF', 4);QuarantineFile('D:\WINDOWS\system32\icf.exe','');DeleteService('ICF');DeleteFile('D:\WINDOWS\system32\icf.exe');BC_ImportALL;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Файл quarantine.zip выслать на user15802[at]mail.ru или выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ, в теле письма указать ссылку на тему. Logfile of HijackThis v1.99.1 повторите логи virusinfo_syscheck.zip и hijackthis Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 28 марта, 2008 Жалоба Поделиться Опубликовано 28 марта, 2008 Пропустил службу ICF, т.к. она не работает. Но подчистить нужно было, как у Pili Если с карантином не получается, то брось, зараза известная, так что в антивирусных базах должна быть. Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 28 марта, 2008 Жалоба Поделиться Опубликовано 28 марта, 2008 ser208: если figure выполнил правила в точности и cureit пропустил заразу... стоит карантинить :) Только у меня впечатление, что проверка с помощью cureit не проводилась. другое дело, что "Папка карантин в AVZ после скрипта 2 "сбор информации" пустая." figure: карантин д.б. появиться после вып-ия скриптов. Инф-ия о вирусах есть на virusinfo.info раздел Компьютерные вирусы, Spyware, Adware, Hijackersи на viruslist.com Ссылка на комментарий Поделиться на другие сайты Поделиться
figure Опубликовано 28 марта, 2008 Автор Жалоба Поделиться Опубликовано 28 марта, 2008 Проверку с помощью cureit проводил, но только "быструю". Служба icf после скрипта Pili исчезла. Логи я посмотрел. Спасибо за помощь ser208 и Pili. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти