Jump to content
СофтФорум - всё о компьютерах и не только

Recommended Posts

Комп стал дольше тратить времени на одни и те же операции. Загрузка виндовс стала 2 минуты вместо 40 секунд. И так со всеми приложениями - скорость загрузки и выполнение типовых операций стало занимать в разы больше времени. При просмотре видео avi, mpeg4 изображение каждые 1,5 секунды останавливается на 0,1 секунды. Игры, так же как видео, отображаются с остановками с таким же периодом. Прошу опытных людей помоч.

Logfile of HijackThis v1.99.1

Scan saved at 13:51:04, on 25.03.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\system32\nvsvc32.exe

D:\Program Files\Agnitum\Outpost Firewall\outpost.exe

D:\WINDOWS\system32\rtService.exe

D:\Program Files\TMeter\TrafSvc.exe

D:\PROGRA~1\DrWeb\spiderui.exe

D:\WINDOWS\system32\ctfmon.exe

D:\WINDOWS\system32\rundll32.exe

D:\WINDOWS\system32\wscntfy.exe

D:\Program Files\Internet Explorer\iexplore.exe

D:\PROGRA~1\DrWeb\spidernt.exe

D:\WINDOWS\system32\taskmgr.exe

D:\WINDOWS\system32\NOTEPAD.EXE

C:\Distr\antivirus\hjt avz\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - F:\PROGRAMS\FLASHGET\jccatch.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - F:\PROGRAMS\FLASHGET\fgiebar.dll

O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" D:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install

O4 - HKLM\..\Run: [startdrv] D:\WINDOWS\Temp\startdrv.exe

O4 - HKLM\..\Run: [spIDerNT] D:\PROGRA~1\DrWeb\spiderui.exe /agent

O4 - HKLM\..\Run: [TrafMonitor] D:\Program Files\TMeter\trafmonitor.exe /logon /admin

O4 - HKLM\..\Run: [Outpost Firewall] D:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice

O4 - HKLM\..\Run: [OutpostFeedBack] D:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Firewall auto setup] D:\DOCUME~1\trend\LOCALS~1\Temp\winlogon.exe

O4 - HKCU\..\Run: [noskrnl] D:\WINDOWS\noskrnl.exe

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Закачать все при помощи FlashGet - F:\Programs\FlashGet\jc_all.htm

O8 - Extra context menu item: Закачать при помощи FlashGet - F:\Programs\FlashGet\jc_link.htm

O9 - Extra button: Быстрая настройка Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - D:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\PROGRAMS\FLASHGET\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\PROGRAMS\FLASHGET\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: d:\windows\system32\drwebsp.dll

O10 - Unknown file in Winsock LSP: d:\windows\system32\drwebsp.dll

O10 - Unknown file in Winsock LSP: d:\windows\system32\drwebsp.dll

O10 - Unknown file in Winsock LSP: d:\windows\system32\drwebsp.dll

O10 - Unknown file in Winsock LSP: d:\windows\system32\drwebsp.dll

O10 - Unknown file in Winsock LSP: d:\windows\system32\drwebsp.dll

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {41EDBEE7-94AD-4200-B54D-8C4A9E878BE4} (SDiagOCX Control) - http://www4.bcs.ru/SDiagOCX.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{DA19382D-CEDB-4785-A224-D31D5C24544A}: NameServer = 80.70.96.137,80.70.96.130

O20 - AppInit_DLLs: wbsys.dll D:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll

O20 - Winlogon Notify: WBSrv - D:\Program Files\Stardock\Object Desktop\WindowBlinds\wbsrv.dll (file missing)

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe

O23 - Service: ICF - Unknown owner - D:\WINDOWS\system32\icf.exe (file missing)

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - D:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - D:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - D:\Program Files\Agnitum\Outpost Firewall\outpost.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - D:\WINDOWS\system32\sessmgr.exe

O23 - Service: ruToken Service - Компания "Актив" - D:\WINDOWS\system32\rtService.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - D:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SpIDer Guard for Windows (SPIDERNT) - Doctor Web, Ltd. - D:\PROGRA~1\DrWeb\spidernt.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - D:\WINDOWS\system32\smlogsvc.exe

O23 - Service: TMeter 7.7.451 (TrafSvc) - Unknown owner - D:\Program Files\TMeter\TrafSvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - D:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - D:\WINDOWS\system32\wbem\wmiapsrv.exe

Link to comment
Share on other sites

Зловреды присутствуют.

Сделай логи, как в этом сообщении Pili

Еще зайди в Диспетчер задач -- IDE/ATA - контроллеры -- Вторичный или Первичный каналы.

Посмотри, не слетел ли контроллер твоего харда в режим PIO.

Edited by ser208
Link to comment
Share on other sites

Зловреды присутствуют.

Сделай логи, как в этом сообщении Pili

Еще зайди в Диспетчер задач -- IDE/ATA - контроллеры -- Вторичный или Первичный каналы.

Посмотри, не слетел ли контроллер твоего харда в режим PIO.

Сейчас выполняю процедуры как написано у Pili. А пока поясни пожалуйста о режимах передачи. У меня два харда.

Вся инфа и две опер системы на винте который на первичном канале (Primary master). На втором харде ничего нет. Проблемы указанные в первом сообщении присутствуют только в одной системе-она "рабочая". А на запасной системе все работает быстро. В рабочей системе на первичном канале IDE режим PIO, на втором канале режим ультра DMA:2. При загрузке запасной системы режим на первичном канале ультра DMA:5, на вторичном ультра DMA:2.

Link to comment
Share on other sites

Проблема разрешилась. Переустановил драйвер на 1 канале после чего вернулся режим УДМА, все заработало быстро. Спасибо за помощь ser208.

Link to comment
Share on other sites

Проблема разрешилась. Переустановил драйвер на 1 канале после чего вернулся режим УДМА, все заработало быстро. Спасибо за помощь ser208.

Так у тебя вирусы.

O4 - HKCU\..\Run: [Firewall auto setup] D:\DOCUME~1\trend\LOCALS~1\Temp\winlogon.exe O4 - HKCU\..\Run: [noskrnl] D:\WINDOWS\noskrnl.exeO4 - HKLM\..\Run: [startdrv] D:\WINDOWS\Temp\startdrv.exe

И это при беглом просмотре.

Так что проблема осталась. Логи полные выложи, чтобы подлечиться.

Только не правь их в HijackThis -- это бесполезно.

А насчет контроллеров -- в большинстве случаев помогает просто удаление канала. После перезагрузки все встает на свои места, т.е. в DMA.

Edited by ser208
Link to comment
Share on other sites

В Hijack сделай Fix checked строки:

O4 - HKLM\..\Run: [startdrv] D:\WINDOWS\Temp\startdrv.exe  O4 - HKCU\..\Run: [Firewall auto setup] D:\DOCUME~1\trend\LOCALS~1\Temp\winlogon.exe  O4 - HKCU\..\Run: [noskrnl] D:\WINDOWS\noskrnl.exe O20 - Winlogon Notify: WBSrv - D:\Program Files\Stardock\Object Desktop\WindowBlinds\wbsrv.dll (file missing)  O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)  

В AVZ зайди меню Файл -- Выполнить скрипт. Скопируй код и нажми Запустить.

 beginSetAVZGuardStatus(True);SearchRootkit(true, true); QuarantineFile('D:\DOCUME~1\trend\LOCALS~1\Temp\winlogon.exe',''); QuarantineFile('D:\WINDOWS\Temp\startdrv.exe',''); QuarantineFile('D:\WINDOWS\noskrnl.exe',''); BC_DeleteFile('D:\DOCUME~1\trend\LOCALS~1\Temp\winlogon.exe'); BC_DeleteFile('D:\WINDOWS\Temp\startdrv.exe'); BC_DeleteFile('D:\WINDOWS\noskrnl.exe');BC_Activate;RebootWindows(true);end.

Если хочешь отключить потенциально-опасные службы, то после перезагрузки выполни еще один скрипт:

 beginRegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);SetServiceStart('RDSessMgr', 4);SetServiceStart('mnmsrvc', 4);SetServiceStart('Schedule', 4);SetServiceStart('SSDPSRV', 4);SetServiceStart('TermService', 4);end.

Зачем тебе на компе криптографический софт?

Папку "Quarantine" в AVZ запакуй, выложи на любой файлообменник и ссылку брось мне в личку (ни в коем случае не здесь).

Сделай повторно логи обязательно.

Edited by ser208
Link to comment
Share on other sites

В меню AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью прав. кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить»

beginSearchRootkit(true, true);SetAVZGuardStatus(True);StopService('ICF');SetServiceStart('ICF', 4);QuarantineFile('D:\WINDOWS\noskrnl.exe','');QuarantineFile('D:\WINDOWS\Temp\startdrv.exe','');QuarantineFile('D:\DOCUME~1\trend\LOCALS~1\Temp\winlogon.exe','');QuarantineFile('D:\WINDOWS\system32\icf.exe','');DeleteService('ICF');DeleteFile('D:\WINDOWS\system32\icf.exe');DeleteFile('D:\DOCUME~1\trend\LOCALS~1\Temp\winlogon.exe');DeleteFile('D:\WINDOWS\Temp\startdrv.exe');DeleteFile('D:\WINDOWS\noskrnl.exe');BC_ImportALL;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Файл quarantine.zip выслать на user15802[at]mail.ru или выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ, в теле письма указать ссылку на тему.

Logfile of HijackThis v1.99.1

Скачайте новую версию HijackThis

повторите логи virusinfo_syscheck.zip и hijackthis

Link to comment
Share on other sites

Выполнил лечение, как написано в сообщении у ser208. Вот логи. Папка карантин в AVZ после скрипта 2 "сбор информации" пустая. Подскажите, где можно посмотреть описание вирусов и проч вред программ.

virusinfo_syscheck.zip

hijackthis.zip

virusinfo_syscheck.zip

hijackthis.zip

Link to comment
Share on other sites

ser208 успел раньше :)

figure:

В меню AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью прав. кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить»

beginSearchRootkit(true, true);SetAVZGuardStatus(True);StopService('ICF');SetServiceStart('ICF', 4);QuarantineFile('D:\WINDOWS\system32\icf.exe','');DeleteService('ICF');DeleteFile('D:\WINDOWS\system32\icf.exe');BC_ImportALL;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Файл quarantine.zip выслать на user15802[at]mail.ru или выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ, в теле письма указать ссылку на тему.

Logfile of HijackThis v1.99.1

повторите логи virusinfo_syscheck.zip и hijackthis

Link to comment
Share on other sites

Пропустил службу ICF, т.к. она не работает. Но подчистить нужно было, как у Pili

Если с карантином не получается, то брось, зараза известная, так что в антивирусных базах должна быть.

Link to comment
Share on other sites

ser208: если figure выполнил правила в точности и cureit пропустил заразу... стоит карантинить :) Только у меня впечатление, что проверка с помощью cureit не проводилась.

другое дело, что "Папка карантин в AVZ после скрипта 2 "сбор информации" пустая."

figure: карантин д.б. появиться после вып-ия скриптов.

Инф-ия о вирусах есть на virusinfo.info раздел Компьютерные вирусы, Spyware, Adware, Hijackersи на viruslist.com

Link to comment
Share on other sites

Проверку с помощью cureit проводил, но только "быструю". Служба icf после скрипта Pili исчезла. Логи я посмотрел. Спасибо за помощь ser208 и Pili.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...