figure Posted March 25, 2008 Report Share Posted March 25, 2008 Комп стал дольше тратить времени на одни и те же операции. Загрузка виндовс стала 2 минуты вместо 40 секунд. И так со всеми приложениями - скорость загрузки и выполнение типовых операций стало занимать в разы больше времени. При просмотре видео avi, mpeg4 изображение каждые 1,5 секунды останавливается на 0,1 секунды. Игры, так же как видео, отображаются с остановками с таким же периодом. Прошу опытных людей помоч. Logfile of HijackThis v1.99.1 Scan saved at 13:51:04, on 25.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\system32\nvsvc32.exe D:\Program Files\Agnitum\Outpost Firewall\outpost.exe D:\WINDOWS\system32\rtService.exe D:\Program Files\TMeter\TrafSvc.exe D:\PROGRA~1\DrWeb\spiderui.exe D:\WINDOWS\system32\ctfmon.exe D:\WINDOWS\system32\rundll32.exe D:\WINDOWS\system32\wscntfy.exe D:\Program Files\Internet Explorer\iexplore.exe D:\PROGRA~1\DrWeb\spidernt.exe D:\WINDOWS\system32\taskmgr.exe D:\WINDOWS\system32\NOTEPAD.EXE C:\Distr\antivirus\hjt avz\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - F:\PROGRAMS\FLASHGET\jccatch.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - F:\PROGRAMS\FLASHGET\fgiebar.dll O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" D:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install O4 - HKLM\..\Run: [startdrv] D:\WINDOWS\Temp\startdrv.exe O4 - HKLM\..\Run: [spIDerNT] D:\PROGRA~1\DrWeb\spiderui.exe /agent O4 - HKLM\..\Run: [TrafMonitor] D:\Program Files\TMeter\trafmonitor.exe /logon /admin O4 - HKLM\..\Run: [Outpost Firewall] D:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice O4 - HKLM\..\Run: [OutpostFeedBack] D:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Firewall auto setup] D:\DOCUME~1\trend\LOCALS~1\Temp\winlogon.exe O4 - HKCU\..\Run: [noskrnl] D:\WINDOWS\noskrnl.exe O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Закачать все при помощи FlashGet - F:\Programs\FlashGet\jc_all.htm O8 - Extra context menu item: Закачать при помощи FlashGet - F:\Programs\FlashGet\jc_link.htm O9 - Extra button: Быстрая настройка Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - D:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\PROGRAMS\FLASHGET\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\PROGRAMS\FLASHGET\flashget.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: d:\windows\system32\drwebsp.dll O10 - Unknown file in Winsock LSP: d:\windows\system32\drwebsp.dll O10 - Unknown file in Winsock LSP: d:\windows\system32\drwebsp.dll O10 - Unknown file in Winsock LSP: d:\windows\system32\drwebsp.dll O10 - Unknown file in Winsock LSP: d:\windows\system32\drwebsp.dll O10 - Unknown file in Winsock LSP: d:\windows\system32\drwebsp.dll O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab O16 - DPF: {41EDBEE7-94AD-4200-B54D-8C4A9E878BE4} (SDiagOCX Control) - http://www4.bcs.ru/SDiagOCX.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{DA19382D-CEDB-4785-A224-D31D5C24544A}: NameServer = 80.70.96.137,80.70.96.130 O20 - AppInit_DLLs: wbsys.dll D:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll O20 - Winlogon Notify: WBSrv - D:\Program Files\Stardock\Object Desktop\WindowBlinds\wbsrv.dll (file missing) O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing) O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing) O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe O23 - Service: ICF - Unknown owner - D:\WINDOWS\system32\icf.exe (file missing) O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - D:\WINDOWS\system32\imapi.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - D:\WINDOWS\system32\mnmsrvc.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - D:\Program Files\Agnitum\Outpost Firewall\outpost.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - D:\WINDOWS\system32\sessmgr.exe O23 - Service: ruToken Service - Компания "Актив" - D:\WINDOWS\system32\rtService.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - D:\WINDOWS\System32\SCardSvr.exe O23 - Service: SpIDer Guard for Windows (SPIDERNT) - Doctor Web, Ltd. - D:\PROGRA~1\DrWeb\spidernt.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - D:\WINDOWS\system32\smlogsvc.exe O23 - Service: TMeter 7.7.451 (TrafSvc) - Unknown owner - D:\Program Files\TMeter\TrafSvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - D:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - D:\WINDOWS\system32\wbem\wmiapsrv.exe Quote Link to comment Share on other sites More sharing options...
ser208 Posted March 25, 2008 Report Share Posted March 25, 2008 (edited) Зловреды присутствуют. Сделай логи, как в этом сообщении Pili Еще зайди в Диспетчер задач -- IDE/ATA - контроллеры -- Вторичный или Первичный каналы. Посмотри, не слетел ли контроллер твоего харда в режим PIO. Edited March 25, 2008 by ser208 Quote Link to comment Share on other sites More sharing options...
figure Posted March 25, 2008 Author Report Share Posted March 25, 2008 Зловреды присутствуют. Сделай логи, как в этом сообщении Pili Еще зайди в Диспетчер задач -- IDE/ATA - контроллеры -- Вторичный или Первичный каналы. Посмотри, не слетел ли контроллер твоего харда в режим PIO. Сейчас выполняю процедуры как написано у Pili. А пока поясни пожалуйста о режимах передачи. У меня два харда. Вся инфа и две опер системы на винте который на первичном канале (Primary master). На втором харде ничего нет. Проблемы указанные в первом сообщении присутствуют только в одной системе-она "рабочая". А на запасной системе все работает быстро. В рабочей системе на первичном канале IDE режим PIO, на втором канале режим ультра DMA:2. При загрузке запасной системы режим на первичном канале ультра DMA:5, на вторичном ультра DMA:2. Quote Link to comment Share on other sites More sharing options...
figure Posted March 26, 2008 Author Report Share Posted March 26, 2008 Проблема разрешилась. Переустановил драйвер на 1 канале после чего вернулся режим УДМА, все заработало быстро. Спасибо за помощь ser208. Quote Link to comment Share on other sites More sharing options...
ser208 Posted March 26, 2008 Report Share Posted March 26, 2008 (edited) Проблема разрешилась. Переустановил драйвер на 1 канале после чего вернулся режим УДМА, все заработало быстро. Спасибо за помощь ser208. Так у тебя вирусы. O4 - HKCU\..\Run: [Firewall auto setup] D:\DOCUME~1\trend\LOCALS~1\Temp\winlogon.exe O4 - HKCU\..\Run: [noskrnl] D:\WINDOWS\noskrnl.exeO4 - HKLM\..\Run: [startdrv] D:\WINDOWS\Temp\startdrv.exe И это при беглом просмотре. Так что проблема осталась. Логи полные выложи, чтобы подлечиться. Только не правь их в HijackThis -- это бесполезно. А насчет контроллеров -- в большинстве случаев помогает просто удаление канала. После перезагрузки все встает на свои места, т.е. в DMA. Edited March 26, 2008 by ser208 Quote Link to comment Share on other sites More sharing options...
figure Posted March 27, 2008 Author Report Share Posted March 27, 2008 Выкладываю логи для исследования. Пожалуйста посмотри ser208. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.zip virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.zip Quote Link to comment Share on other sites More sharing options...
ser208 Posted March 27, 2008 Report Share Posted March 27, 2008 (edited) В Hijack сделай Fix checked строки: O4 - HKLM\..\Run: [startdrv] D:\WINDOWS\Temp\startdrv.exe O4 - HKCU\..\Run: [Firewall auto setup] D:\DOCUME~1\trend\LOCALS~1\Temp\winlogon.exe O4 - HKCU\..\Run: [noskrnl] D:\WINDOWS\noskrnl.exe O20 - Winlogon Notify: WBSrv - D:\Program Files\Stardock\Object Desktop\WindowBlinds\wbsrv.dll (file missing) O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing) В AVZ зайди меню Файл -- Выполнить скрипт. Скопируй код и нажми Запустить. beginSetAVZGuardStatus(True);SearchRootkit(true, true); QuarantineFile('D:\DOCUME~1\trend\LOCALS~1\Temp\winlogon.exe',''); QuarantineFile('D:\WINDOWS\Temp\startdrv.exe',''); QuarantineFile('D:\WINDOWS\noskrnl.exe',''); BC_DeleteFile('D:\DOCUME~1\trend\LOCALS~1\Temp\winlogon.exe'); BC_DeleteFile('D:\WINDOWS\Temp\startdrv.exe'); BC_DeleteFile('D:\WINDOWS\noskrnl.exe');BC_Activate;RebootWindows(true);end. Если хочешь отключить потенциально-опасные службы, то после перезагрузки выполни еще один скрипт: beginRegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);SetServiceStart('RDSessMgr', 4);SetServiceStart('mnmsrvc', 4);SetServiceStart('Schedule', 4);SetServiceStart('SSDPSRV', 4);SetServiceStart('TermService', 4);end. Зачем тебе на компе криптографический софт? Папку "Quarantine" в AVZ запакуй, выложи на любой файлообменник и ссылку брось мне в личку (ни в коем случае не здесь). Сделай повторно логи обязательно. Edited March 27, 2008 by ser208 Quote Link to comment Share on other sites More sharing options...
Pili Posted March 27, 2008 Report Share Posted March 27, 2008 В меню AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью прав. кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить» beginSearchRootkit(true, true);SetAVZGuardStatus(True);StopService('ICF');SetServiceStart('ICF', 4);QuarantineFile('D:\WINDOWS\noskrnl.exe','');QuarantineFile('D:\WINDOWS\Temp\startdrv.exe','');QuarantineFile('D:\DOCUME~1\trend\LOCALS~1\Temp\winlogon.exe','');QuarantineFile('D:\WINDOWS\system32\icf.exe','');DeleteService('ICF');DeleteFile('D:\WINDOWS\system32\icf.exe');DeleteFile('D:\DOCUME~1\trend\LOCALS~1\Temp\winlogon.exe');DeleteFile('D:\WINDOWS\Temp\startdrv.exe');DeleteFile('D:\WINDOWS\noskrnl.exe');BC_ImportALL;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Файл quarantine.zip выслать на user15802[at]mail.ru или выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ, в теле письма указать ссылку на тему. Logfile of HijackThis v1.99.1 Скачайте новую версию HijackThis повторите логи virusinfo_syscheck.zip и hijackthis Quote Link to comment Share on other sites More sharing options...
figure Posted March 28, 2008 Author Report Share Posted March 28, 2008 Выполнил лечение, как написано в сообщении у ser208. Вот логи. Папка карантин в AVZ после скрипта 2 "сбор информации" пустая. Подскажите, где можно посмотреть описание вирусов и проч вред программ. virusinfo_syscheck.zip hijackthis.zip virusinfo_syscheck.zip hijackthis.zip Quote Link to comment Share on other sites More sharing options...
Pili Posted March 28, 2008 Report Share Posted March 28, 2008 ser208 успел раньше :) figure: В меню AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью прав. кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить» beginSearchRootkit(true, true);SetAVZGuardStatus(True);StopService('ICF');SetServiceStart('ICF', 4);QuarantineFile('D:\WINDOWS\system32\icf.exe','');DeleteService('ICF');DeleteFile('D:\WINDOWS\system32\icf.exe');BC_ImportALL;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Файл quarantine.zip выслать на user15802[at]mail.ru или выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ, в теле письма указать ссылку на тему. Logfile of HijackThis v1.99.1 повторите логи virusinfo_syscheck.zip и hijackthis Quote Link to comment Share on other sites More sharing options...
ser208 Posted March 28, 2008 Report Share Posted March 28, 2008 Пропустил службу ICF, т.к. она не работает. Но подчистить нужно было, как у Pili Если с карантином не получается, то брось, зараза известная, так что в антивирусных базах должна быть. Quote Link to comment Share on other sites More sharing options...
Pili Posted March 28, 2008 Report Share Posted March 28, 2008 ser208: если figure выполнил правила в точности и cureit пропустил заразу... стоит карантинить :) Только у меня впечатление, что проверка с помощью cureit не проводилась. другое дело, что "Папка карантин в AVZ после скрипта 2 "сбор информации" пустая." figure: карантин д.б. появиться после вып-ия скриптов. Инф-ия о вирусах есть на virusinfo.info раздел Компьютерные вирусы, Spyware, Adware, Hijackersи на viruslist.com Quote Link to comment Share on other sites More sharing options...
figure Posted March 28, 2008 Author Report Share Posted March 28, 2008 Проверку с помощью cureit проводил, но только "быструю". Служба icf после скрипта Pili исчезла. Логи я посмотрел. Спасибо за помощь ser208 и Pili. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.