неубиваемый процесс system

[alpina]

Здравствуйте.

Вот нацепляла чего-то. CureIt убил несколько разных бяк, а процесс system как висел, так и висит. Оживляется при подключении интернета.

Как избавиться?

Логи по инструкции - вот.

[thyrex]

Уж не был ли одной из бяк Brontok...

Пофиксить в HiJack

O1 - Hosts: <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"O1 - Hosts: "http://www.w3.org/TR/html4/loose.dtd">O1 - Hosts: <html>O1 - Hosts: <head>O1 - Hosts: <script LANGUAGE="JavaScript">O1 - Hosts: <!--O1 - Hosts: if (window != top)O1 - Hosts: top.location.href = location.href;O1 - Hosts: // -->O1 - Hosts: </script>O1 - Hosts: <title>Site Unavailable</title>O1 - Hosts: <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">O1 - Hosts: <style type="text/css">O1 - Hosts: body{text-align:center;}O1 - Hosts: .geohead {font-family:Verdana, Arial, Helvetica, sans-serif; font-size:10px;width:750px;margin:10px 0 10px 0;height:35px;}O1 - Hosts: .geohead #geologo {width:270px;display:block; float:left; }O1 - Hosts: .geohead #rightside {width:480px;display:block; float:right;border-bottom:1px solid #999999; height:27px;}O1 - Hosts: .geohead #rightside #welcome {width:50%;display:block; float:left; text-align:left;}O1 - Hosts: .geohead #rightside #wlinks {width:50%;display:block; float:right; text-align:right;}O1 - Hosts: .ftr { margin:0px; color:#404040; font:x-small Arial,sans-serif; text-align:center; width:750px;}O1 - Hosts: .bodywrap{display:block;height:470px;}O1 - Hosts: .bodycnt{width:510px; display:block; float:left; background-color:#EEE9F5; height:auto; text-align:left; font-family:Arial, Helvetica, sans-serif;font-size:13px; color:#000000; padding:20px 20px 35px 20px;}O1 - Hosts: .title { font-family:Arial, Helvetica, sans-serif; font-weight:bold; font-size:24px; color:#7C56A9}O1 - Hosts: .adcnt{width:172px; display:block; float:right; text-align:left;cursor:pointer;cursor:hand;}O1 - Hosts: .adcnt td {text-align:left;}O1 - Hosts: .adsubt{font-size:10px; font-family:verdana; font-weight:bold; color:#b4b4b4; cursor:default;margin-top:5px;}O1 - Hosts: .ybadge { font-family: Verdana, Arial, Helvetica, sans-serif; font-size:10px; color: #666666; margin-top:10px;}O1 - Hosts: .ybadge img {margin-top:6px;}O1 - Hosts: .adtable {font-family:Verdana, Arial, Helvetica, sans-serif; font-size:10px;border: 1px solid #d6dbe7; background-color:#eff7ff; padding:3px; margin-bottom:10px; width:172px;}O1 - Hosts: .adttl{font-weight:bold;margin-bottom:3px;}O1 - Hosts: .addescr{color:#6b6b6b; margin-bottom:3px;}O1 - Hosts: .adlink a {color:#008200; text-decoration:none;}O1 - Hosts: </style>O1 - Hosts: </head>O1 - Hosts: <body>O1 - Hosts: <!-- following code added by server. PLEASE REMOVE -->O1 - Hosts: <!-- preceding code added by server. PLEASE REMOVE -->O1 - Hosts: <div id="maincnt">O1 - Hosts: <div class="geohead"><div id="geologo"><a href="http://geocities.yahoo.com"><img height=33 alt="Yahoo! GeoCities" src="http://us.i1.yimg.com/us.yimg.com/i/us/nt/ma/ma_geo_1.gif" width=259 border=0></a></div>O1 - Hosts: <div id="rightside"><div id="wlinks"><a href="http://geocities.yahoo.com">GeoCities Home</a> - <a href="http://www.yahoo.com">Yahoo!</a> - <a href="http://help.yahoo.com/help/us/geo/">Help</a></div>O1 - Hosts: </div></div>O1 - Hosts: <div class="bodywrap">O1 - Hosts: <div class="bodycnt">O1 - Hosts: <div class="title">Sorry, this GeoCities site is currently unavailable.</div>O1 - Hosts: <p>The GeoCities web site you were trying to view has temporarily exceeded its data transfer limit. Please try again later. </p>O1 - Hosts: <p>Are you the site owner?O1 - Hosts: Avoid service interruptions in the future by increasing your data transfer limit!O1 - Hosts: <a href="http://help.yahoo.com/help/us/geo/transfer/transfer-05.html" target="_blank">Find out how.</a> </p>O1 - Hosts: <p><a href="http://help.yahoo.com/help/us/geo/transfer/" target="_blank">Learn more about data transfer.</a></p>O1 - Hosts: </div>O1 - Hosts: <div class="adcnt">O1 - Hosts: <a target="_top" href="http://geocities.yahoo.com"><img src="http://us.i1.yimg.com/us.yimg.com/i/us/smbiz/b/geo_mast_small2.gif" alt="Yahoo! GeoCities" border="0" height="15" hspace="0" vspace="0" width="141"></a>O1 - Hosts: <div class="adsubt">SPONSORED LINKS</div>O1 - Hosts: <!--<table width="172" border="0" bgcolor="#FFFFFF" class="adtable"><tr><td align=left>-->O1 - Hosts: <div class="adtable">O1 - Hosts: <div class="adttl" title="Reliable plans include domain & 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=27166/*http://smallbusiness.yahoo.com/webhosting" target="_blank">Yahoo! Web Hosting<br>O1 - Hosts: $25 Setup Waived</a></div>O1 - Hosts: <div class="addescr" title="Reliable plans include domain & 24x7 support.">Reliable plans include domain & 24x7 support.</div>O1 - Hosts: <div class="adlink" title="Reliable plans include domain & 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=27166/*http://smallbusiness.yahoo.com/webhosting" target="_blank">webhosting.yahoo.com</a></div>O1 - Hosts: </div>O1 - Hosts: <div class="adtable">O1 - Hosts: <div class="adttl" title="Reliable plans include domain & 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=27176/*http://smallbusiness.yahoo.com/domains/" target="_blank">Domain Names from Yahoo! only $9.95/yr</a></div>O1 - Hosts: <div class="addescr" title="Includes starter web page, email & domain forwarding, 24x7 support.">Includes starter web page, email & domain forwarding, 24x7 support.</div>O1 - Hosts: <div class="adlink" title="Includes starter web page, email & domain forwarding, 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=27176/*http://smallbusiness.yahoo.com/domains/" target="_blank">domains.yahoo.com</a></div>O1 - Hosts: </div>O1 - Hosts: <div class="adtable">O1 - Hosts: <div class="adttl" title="Setup fee waived. Up to 10 emails, SpamGuard, forwarding & virus scanning."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=27184/*http://smallbusiness.yahoo.com/mail" target="_blank">Yahoo! Business Email<br> Domain Included</a></div>O1 - Hosts: <div class="addescr" title="Setup fee waived. Up to 10 emails, SpamGuard, forwarding & virus scanning.">Setup fee waived. Up to 10 emails, SpamGuard, forwarding & virus scanning.</div>O1 - Hosts: <div class="adlink" title="Setup fee waived. Up to 10 emails, SpamGuard, forwarding & virus scanning."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=27184/*http://smallbusiness.yahoo.com/mail" target="_blank">smallbusiness.yahoo.com</a></div>O1 - Hosts: </div>O1 - Hosts: <div class="adtable">O1 - Hosts: <div class="adttl" title="$50 setup fee waived. A reliable ecommerce plan, 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=/27190/*http://smallbusiness.yahoo.com/merchant" target="_blank">Ecommerce from Yahoo!<br> 1 Month Free</a></div>O1 - Hosts: <div class="addescr" title="$50 setup fee waived. A reliable ecommerce plan, 24x7 support.">$50 setup fee waived. A reliable ecommerce plan, 24x7 support.</div>O1 - Hosts: <div class="adlink" title="$50 setup fee waived. A reliable ecommerce plan, 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=/27190/*http://smallbusiness.yahoo.com/merchant" target="_blank">smallbusiness.yahoo.com</a></div>O1 - Hosts: </div>O1 - Hosts: <div class="ybadge">O1 - Hosts: Get your own web site at <br><a target="_top" href="http://geocities.yahoo.com">Yahoo! GeoCities</a>O1 - Hosts: <a href="http://smallbusiness.yahoo.com/webhosting/" target="_top"><img src="http://us.i1.yimg.com/us.yimg.com/i/us/wh/gr/badge_hostedby_purp_2.gif" alt="Hosted by Yahoo! Web Hosting" align="middle" border="0" height="31" width="88"></a>O1 - Hosts: </div>O1 - Hosts: </div>O1 - Hosts: </div>O1 - Hosts: <div class=ftr>O1 - Hosts: <hr size=1 width=100%>O1 - Hosts: Copyright ©O1 - Hosts: 2005 Yahoo! Inc. All rights reserved<br>O1 - Hosts: <a href="http://privacy.yahoo.com/privacy/us/geo/">Privacy Policy</a>O1 - Hosts: - <a href="http://docs.yahoo.com/info/copyright/copyright.html">Copyright Policy</a>O1 - Hosts: - <a href="http://docs.yahoo.com/info/guidelines/community.html">Guidelines</a>O1 - Hosts: - <a href="http://docs.yahoo.com/info/terms/geoterms.html">Terms of Service</a>O1 - Hosts: - <a href="http://help.yahoo.com/help/us/geo/">Help</a>O1 - Hosts: </div>O1 - Hosts: </div>O1 - Hosts: </body>O1 - Hosts: </html>O1 - Hosts: <!-- text below generated by server. PLEASE REMOVE --></object></layer></div></span></style></noscript></table></script></applet>O1 - Hosts: <IMG SRC="http://geo.yahoo.com/serv?s=19190039&t=1172481398&f=us-w69" ALT=1 WIDTH=1 HEIGHT=1>

Выполните скрипт в AVZ

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\Documents and Settings\SP\Шаблоны\Brengkolang.com','');QuarantineFile('C:\WINDOWS\system32\regedit.exe','');DeleteFile('C:\WINDOWS\system32\regedit.exe');DeleteFile('C:\Documents and Settings\SP\Шаблоны\Brengkolang.com');DeleteFile('C:\Windows\Tasks\At1.job');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. 

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделайте новые логи + такой отчет

[alpina]

Уж не был ли одной из бяк Brontok...

кое-что из cureit от 14 августа вот (приложение)

сейчас прогоню cureit еще разок (уезжала на пару дней, компом пользовались без меня) и займусь инструкциями

спасибо

[alpina]

кроме того, помню, что 14-го в диспетчере процессов вылезал процесс braviax. сегодня нету, свежий CureIt ни на что не ругался.

HiJack'ом пофиксила, скрипты выполнила.

После перезагрузки Spybot мне выкинул три сообщения

Первое изменение я кое-как связала со скриптом и разрешила, другие два - нет (надо было?)

отчет Getsysteminfo по ссылке и в приложении:

http://www.getsysteminfo.com/read.php?file...f199e7615750cca

Касперский не установлен.

[thyrex]

Новых логов так и не увидел, хотя просил вместе с отчетом

Очистите временные файлы через Пуск – Программы – Стандартные – Служебные – Очистка диска или с помощью ATF Cleaner

– скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

– если вы используете Firefox, нажмите Firefox – Select All – Empty Selected

– нажмите No, если вы хотите оставить ваши сохраненные пароли

– если вы используете Opera, нажмите Opera – Select All – Empty Selected

– нажмите No, если вы хотите оставить ваши сохраненные пароли

Такое многообразие защитного ПО (avast! Antivirus, Norton Security Scan, Panda ActiveScan, SpyBot) ни к чему. Удалите лишнее.

[alpina]

Новые логи вот , не хотела терять сообщение в перезагрузке между скриптами.

За клинер спасибо, а то очистка из меню браузеров - это очень надолго.

Процесс system по-прежнему наблюдается в диспетчере процессов.

quarantine.zip услала, как ответят - отпишусь.

[akoK]

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.

[KTOTyT]

Можно я тоже "влезу"? У меня примерно такая проблема тоже была. Я о ней, кстати, на форуме писал.

Только без конца в интернет и из него отправлялясь некая информация иногда по 60 кб.

Скачайте Microsoft Malicious Software Removal Tool с нашего любимого Софтодрома. Версия 2.12.

Лично у меня эта программа удалила вирус рассылки. Он тоже оживлялся, как у Вас, при подключении к инету и,

как я уже написал, отправлял что-то.

[alpina]

@akoK

Malwarebytes' Anti-Malware с обновленными базами нашел 12 объектов. Я не стала сразу постить отчет, чтобы не плодить сообщения, решила прогнать сразу и gmer тоже. Быстрая проверка показала что-то, что я не поняла, как только пошел скан жестких дисков, вывалился синий экран с сообщением, что файл aujasnkj.sys вызывает ошибку PAGE_FAULT_IN_NONPAGED_AREA.

После перезагрузки Виндоус показала сообщение "система восстановлена после серьезной ошибки" - как так? Я же отключила восстановление системы, по инструкции? А Spybot выкинул сообщение - с ним что делать? Разрешить, запретить?

Сейчас прогоню Malwarebytes' Anti-Malware, т.к. первый лог не сохранился.

Что делать с gmer'ом?

[akoK]

alpina: спайбот среагировал на падение windows. Лог гмера попытайтесь выполнить после чистки Malwarebytes' Anti-Malware.

[alpina]

Прогнала Malwarebytes' Anti-Malware, вот лог.

Гмер запустился нормально, конца-краю этому процессу не видно. Новых строчек в логе не появлялось уже несколько часов, прикладываю по состоянию на полчаса назад, когда процесс закончится - сохраню отчет еще раз.

Процесс system живехонек и уже достаточно долго активен (часы) без подключения к интернету, грузит процессор на уровне 35-40% (параллельно с гмером).

Я уже думаю, что проще систему было переставить. Так бы и сделала, если не засунула куда-то диск с лицензией.

С адреса newvirus@kaspersky.com ответили, что приложенный файл не дошел и попросили запаролить архив, отослала с паролем, как ответят, отпишусь.

[ser208]

Чем Вам system не угодил? Он как бы должен быть.

Скачайте Process Explorer.

Щелкните 2 раз по процессу System, на вкладке Threads можно увидеть, какой поток грузит процесс.

Edited August 17, 2009 by ser208

[alpina]

как бы или должен быть?

раньше не было. вот буквально еще на прошлой неделе - не было (в диспетчер процессов гляжусь регулярно, как в зеркало).

не угодил хотя бы этим, а еще тем, что ни спайбот, ни процесс эксплорер не дают о нем информации никакой.

не, ну если мне авторитетно скажут, что у мея паранойя и все с моим компом в порядке, я только обрадуюсь.

но что-то не так, точно. вот звук стал вылетать периодически.

[ser208]

Ну и я зараженный.

Ну это как бы и не процесс, созданный файлом. Ядро.

Поэтому инфы нет.

(в диспетчер процессов гляжусь регулярно, как в зеркало).

Регулярно? А теперь еще и внимательно.

Edited August 17, 2009 by ser208

[edde]

Процесс system, или System idle? :) system idle process - это бездействие системы и беспокоится не о чем. если процесс System грузит систему - удалите лишнее из автозагрузки, отключите службу индексирования.

[Henry14]

Процесс system, или System idle? :) system idle process - это бездействие системы и беспокоится не о чем. если процесс System грузит систему - удалите лишнее из автозагрузки, отключите службу индексирования.

Всем привет! У меня такая ситуация,может кто подскажет, что делать:стояла Vista Basic, решил поставить Ultimate, но она чего-то не установилась до конца. И теперь я не могу войти в систему,т.е. получается , что у меня нет вообще ОС???????(пишу не по теме форума, но больше никого нет)

[alpina]

Процесс system, или System idle?

не, что такое бездействие системы, я в курсе. у меня примерно как у предыдущего оратора на скриншоте, процесс в пару сотен килобайт, иногда меньше, иногда ничем не занят, иногда занимает до 40% процессора.

если процесс System грузит систему - удалите лишнее из автозагрузки, отключите службу индексирования.

в автозагрузке и так ничего нет (в меню), а по жизни грузятся... ну скайп там, торрент-клиент, спайбот, не так много в общем.

а главное - ничего нового за последние месяцы не добавилось в этот список, а процесс появился на прошлой неделе, точно говорю.

по теме: гмер работу закончил, ничего нового в отчет не дописал.

[sar_64]

в автозагрузке и так ничего нет (в меню), а по жизни грузятся... ну скайп там, торрент-клиент, спайбот, не так много в общем.

alpina

Если вы имеете ввиду автозагрузку меню ПУСК, то там может ничего и не быть.

Нажмите ПУСК, Выполнить, наберите msconfig и ОК. (Если Виста, то вместо Выполнить, Поиск)

Далее перейдите во вкладку Автозагрузка.

Там можете поотключать лишние процессы, только не переусердствуйте.

После перезагрузки системы, отключенные процессы не будут сами загружаться

[akoK]

!

Предупреждение: Что за шум? Представьте, что вы в больнице, а не в цирке. Спасибо за понимание.

alpina: судя по логу MBAM, Вы не выполнили предложенные действия. Прочитайте инструкцию... это поможет :)

Примените рекомендуемое действие только к файлам:

C:\WINDOWS\system32\wisdstr.exe (Trojan.FakeAlert) -> No action taken.
C:\Documents and Settings\SP\DoctorWeb\Quarantine\videoinspector.exe (Adware.Relevant) -> No action taken.
C:\Program Files\FreshDownload\fdgo.exe (Rogue.Installer) -> No action taken.
C:\Documents and Settings\SP\Application Data\wiaserva.log (Malware.Trace) -> No action taken.
C:\Documents and Settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Trace.Pandex) -> No action taken.
C:\Documents and Settings\SP\oashdihasidhasuidhiasdhiashdiuasdhasd (Trace.Pandex) -> No action taken.

И повторите логи. Посмотрим что осталось.

ALL: если есть подозрения, то прошу выполнить правила и создать свою тему. Edited August 18, 2009 by akoK

[alpina]

alpina: судя по логу MBAM, Вы не выполнили предложенные действия. Прочитайте инструкцию... это поможет :)

Примените рекомендуемое действие только к файлам:

И повторите логи. Посмотрим что осталось.

ALL: если есть подозрения, то прошу выполнить правила и создать свою тему.

Найденное MBAM все было лечено, в процессе потребовало перезагрузиться, повторный прогон вчера ничего не обнаружил. А лог сохранился такой, да.

Еще раз просканировать?

i

Уведомление:

Убрал модераторский тег.

Edited August 18, 2009 by akoK

[akoK]

alpina: тогда не нужно.

Повторите логи.

[alpina]

Повторите логи.

Повторяю.

Не могу присоединить остальные файлы - сообщение "Общее дисковое пространство требует для всех загружаемых файлов больше, чем на каждое сообщение или глобальный лимит. Пожалуйста, уменьшите число или размер загружаемых файлов."

В разделе прикрепление файлов надпись: Максимально допустимый объем всех файлов: 1.21 килобайт

Это с форумом что-то или у меня?

[akoK]

alpina: удалите старые вложения.

[alpina]

alpina: удалите старые вложения.

Разобралась.

Логи вот.

Вчерашние логи MBAM тоже вот - я не туда посмотрела, оказывается.

[ser208]

Оффтоп

Модератору: постараюсь не шуметь. :)

а главное - ничего нового за последние месяцы не добавилось в этот список, а процесс появился на прошлой неделе, точно говорю.

Иллюзия. Он у всех есть всегда.

процесс в пару сотен килобайт, иногда меньше, иногда ничем не занят, иногда занимает до 40% процессора.

Здесь можно поглядеть, чем он загружается.