Комп тормозит

[figure]

Комп стал дольше тратить времени на одни и те же операции. Загрузка виндовс стала 2 минуты вместо 40 секунд. И так со всеми приложениями - скорость загрузки и выполнение типовых операций стало занимать в разы больше времени. При просмотре видео avi, mpeg4 изображение каждые 1,5 секунды останавливается на 0,1 секунды. Игры, так же как видео, отображаются с остановками с таким же периодом. Прошу опытных людей помоч.

Logfile of HijackThis v1.99.1

Scan saved at 13:51:04, on 25.03.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\system32\nvsvc32.exe

D:\Program Files\Agnitum\Outpost Firewall\outpost.exe

D:\WINDOWS\system32\rtService.exe

D:\Program Files\TMeter\TrafSvc.exe

D:\PROGRA~1\DrWeb\spiderui.exe

D:\WINDOWS\system32\ctfmon.exe

D:\WINDOWS\system32\rundll32.exe

D:\WINDOWS\system32\wscntfy.exe

D:\Program Files\Internet Explorer\iexplore.exe

D:\PROGRA~1\DrWeb\spidernt.exe

D:\WINDOWS\system32\taskmgr.exe

D:\WINDOWS\system32\NOTEPAD.EXE

C:\Distr\antivirus\hjt avz\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - F:\PROGRAMS\FLASHGET\jccatch.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - F:\PROGRAMS\FLASHGET\fgiebar.dll

O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" D:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install

O4 - HKLM\..\Run: [startdrv] D:\WINDOWS\Temp\startdrv.exe

O4 - HKLM\..\Run: [spIDerNT] D:\PROGRA~1\DrWeb\spiderui.exe /agent

O4 - HKLM\..\Run: [TrafMonitor] D:\Program Files\TMeter\trafmonitor.exe /logon /admin

O4 - HKLM\..\Run: [Outpost Firewall] D:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice

O4 - HKLM\..\Run: [OutpostFeedBack] D:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Firewall auto setup] D:\DOCUME~1\trend\LOCALS~1\Temp\winlogon.exe

O4 - HKCU\..\Run: [noskrnl] D:\WINDOWS\noskrnl.exe

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Закачать все при помощи FlashGet - F:\Programs\FlashGet\jc_all.htm

O8 - Extra context menu item: Закачать при помощи FlashGet - F:\Programs\FlashGet\jc_link.htm

O9 - Extra button: Быстрая настройка Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - D:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\PROGRAMS\FLASHGET\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\PROGRAMS\FLASHGET\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: d:\windows\system32\drwebsp.dll

O10 - Unknown file in Winsock LSP: d:\windows\system32\drwebsp.dll

O10 - Unknown file in Winsock LSP: d:\windows\system32\drwebsp.dll

O10 - Unknown file in Winsock LSP: d:\windows\system32\drwebsp.dll

O10 - Unknown file in Winsock LSP: d:\windows\system32\drwebsp.dll

O10 - Unknown file in Winsock LSP: d:\windows\system32\drwebsp.dll

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {41EDBEE7-94AD-4200-B54D-8C4A9E878BE4} (SDiagOCX Control) - http://www4.bcs.ru/SDiagOCX.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{DA19382D-CEDB-4785-A224-D31D5C24544A}: NameServer = 80.70.96.137,80.70.96.130

O20 - AppInit_DLLs: wbsys.dll D:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll

O20 - Winlogon Notify: WBSrv - D:\Program Files\Stardock\Object Desktop\WindowBlinds\wbsrv.dll (file missing)

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe

O23 - Service: ICF - Unknown owner - D:\WINDOWS\system32\icf.exe (file missing)

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - D:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - D:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - D:\Program Files\Agnitum\Outpost Firewall\outpost.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - D:\WINDOWS\system32\sessmgr.exe

O23 - Service: ruToken Service - Компания "Актив" - D:\WINDOWS\system32\rtService.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - D:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SpIDer Guard for Windows (SPIDERNT) - Doctor Web, Ltd. - D:\PROGRA~1\DrWeb\spidernt.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - D:\WINDOWS\system32\smlogsvc.exe

O23 - Service: TMeter 7.7.451 (TrafSvc) - Unknown owner - D:\Program Files\TMeter\TrafSvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - D:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - D:\WINDOWS\system32\wbem\wmiapsrv.exe

[ser208]

Зловреды присутствуют.

Сделай логи, как в этом сообщении Pili

Еще зайди в Диспетчер задач -- IDE/ATA - контроллеры -- Вторичный или Первичный каналы.

Посмотри, не слетел ли контроллер твоего харда в режим PIO.

Изменено 25 марта, 2008 пользователем ser208

[figure]

Зловреды присутствуют.

Сделай логи, как в этом сообщении Pili

Еще зайди в Диспетчер задач -- IDE/ATA - контроллеры -- Вторичный или Первичный каналы.

Посмотри, не слетел ли контроллер твоего харда в режим PIO.

Сейчас выполняю процедуры как написано у Pili. А пока поясни пожалуйста о режимах передачи. У меня два харда.

Вся инфа и две опер системы на винте который на первичном канале (Primary master). На втором харде ничего нет. Проблемы указанные в первом сообщении присутствуют только в одной системе-она "рабочая". А на запасной системе все работает быстро. В рабочей системе на первичном канале IDE режим PIO, на втором канале режим ультра DMA:2. При загрузке запасной системы режим на первичном канале ультра DMA:5, на вторичном ультра DMA:2.

[figure]

Проблема разрешилась. Переустановил драйвер на 1 канале после чего вернулся режим УДМА, все заработало быстро. Спасибо за помощь ser208.

[ser208]

Проблема разрешилась. Переустановил драйвер на 1 канале после чего вернулся режим УДМА, все заработало быстро. Спасибо за помощь ser208.

Так у тебя вирусы.

O4 - HKCU\..\Run: [Firewall auto setup] D:\DOCUME~1\trend\LOCALS~1\Temp\winlogon.exe O4 - HKCU\..\Run: [noskrnl] D:\WINDOWS\noskrnl.exeO4 - HKLM\..\Run: [startdrv] D:\WINDOWS\Temp\startdrv.exe

И это при беглом просмотре.

Так что проблема осталась. Логи полные выложи, чтобы подлечиться.

Только не правь их в HijackThis -- это бесполезно.

А насчет контроллеров -- в большинстве случаев помогает просто удаление канала. После перезагрузки все встает на свои места, т.е. в DMA.

Изменено 26 марта, 2008 пользователем ser208

[figure]

Выкладываю логи для исследования. Пожалуйста посмотри ser208.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.zip

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.zip

[ser208]

В Hijack сделай Fix checked строки:

O4 - HKLM\..\Run: [startdrv] D:\WINDOWS\Temp\startdrv.exe  O4 - HKCU\..\Run: [Firewall auto setup] D:\DOCUME~1\trend\LOCALS~1\Temp\winlogon.exe  O4 - HKCU\..\Run: [noskrnl] D:\WINDOWS\noskrnl.exe O20 - Winlogon Notify: WBSrv - D:\Program Files\Stardock\Object Desktop\WindowBlinds\wbsrv.dll (file missing)  O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)  

В AVZ зайди меню Файл -- Выполнить скрипт. Скопируй код и нажми Запустить.

 beginSetAVZGuardStatus(True);SearchRootkit(true, true); QuarantineFile('D:\DOCUME~1\trend\LOCALS~1\Temp\winlogon.exe',''); QuarantineFile('D:\WINDOWS\Temp\startdrv.exe',''); QuarantineFile('D:\WINDOWS\noskrnl.exe',''); BC_DeleteFile('D:\DOCUME~1\trend\LOCALS~1\Temp\winlogon.exe'); BC_DeleteFile('D:\WINDOWS\Temp\startdrv.exe'); BC_DeleteFile('D:\WINDOWS\noskrnl.exe');BC_Activate;RebootWindows(true);end.

Если хочешь отключить потенциально-опасные службы, то после перезагрузки выполни еще один скрипт:

 beginRegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);SetServiceStart('RDSessMgr', 4);SetServiceStart('mnmsrvc', 4);SetServiceStart('Schedule', 4);SetServiceStart('SSDPSRV', 4);SetServiceStart('TermService', 4);end.

Зачем тебе на компе криптографический софт?

Папку "Quarantine" в AVZ запакуй, выложи на любой файлообменник и ссылку брось мне в личку (ни в коем случае не здесь).

Сделай повторно логи обязательно.

Изменено 27 марта, 2008 пользователем ser208

[Pili]

В меню AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью прав. кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить»

beginSearchRootkit(true, true);SetAVZGuardStatus(True);StopService('ICF');SetServiceStart('ICF', 4);QuarantineFile('D:\WINDOWS\noskrnl.exe','');QuarantineFile('D:\WINDOWS\Temp\startdrv.exe','');QuarantineFile('D:\DOCUME~1\trend\LOCALS~1\Temp\winlogon.exe','');QuarantineFile('D:\WINDOWS\system32\icf.exe','');DeleteService('ICF');DeleteFile('D:\WINDOWS\system32\icf.exe');DeleteFile('D:\DOCUME~1\trend\LOCALS~1\Temp\winlogon.exe');DeleteFile('D:\WINDOWS\Temp\startdrv.exe');DeleteFile('D:\WINDOWS\noskrnl.exe');BC_ImportALL;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Файл quarantine.zip выслать на user15802[at]mail.ru или выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ, в теле письма указать ссылку на тему.

Logfile of HijackThis v1.99.1

Скачайте новую версию HijackThis

повторите логи virusinfo_syscheck.zip и hijackthis

[figure]

Выполнил лечение, как написано в сообщении у ser208. Вот логи. Папка карантин в AVZ после скрипта 2 "сбор информации" пустая. Подскажите, где можно посмотреть описание вирусов и проч вред программ.

virusinfo_syscheck.zip

hijackthis.zip

virusinfo_syscheck.zip

hijackthis.zip

[Pili]

ser208 успел раньше :)

figure:

В меню AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью прав. кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить»

beginSearchRootkit(true, true);SetAVZGuardStatus(True);StopService('ICF');SetServiceStart('ICF', 4);QuarantineFile('D:\WINDOWS\system32\icf.exe','');DeleteService('ICF');DeleteFile('D:\WINDOWS\system32\icf.exe');BC_ImportALL;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Файл quarantine.zip выслать на user15802[at]mail.ru или выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ, в теле письма указать ссылку на тему.

Logfile of HijackThis v1.99.1

повторите логи virusinfo_syscheck.zip и hijackthis

[ser208]

Пропустил службу ICF, т.к. она не работает. Но подчистить нужно было, как у Pili

Если с карантином не получается, то брось, зараза известная, так что в антивирусных базах должна быть.

[Pili]

ser208: если figure выполнил правила в точности и cureit пропустил заразу... стоит карантинить :) Только у меня впечатление, что проверка с помощью cureit не проводилась.

другое дело, что "Папка карантин в AVZ после скрипта 2 "сбор информации" пустая."

figure: карантин д.б. появиться после вып-ия скриптов.

Инф-ия о вирусах есть на virusinfo.info раздел Компьютерные вирусы, Spyware, Adware, Hijackersи на viruslist.com

[figure]

Проверку с помощью cureit проводил, но только "быструю". Служба icf после скрипта Pili исчезла. Логи я посмотрел. Спасибо за помощь ser208 и Pili.