03.12.2007, 17:40 | #1 (permalink) |
Member
Регистрация: 30.04.2007
Сообщений: 86
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
|
Что было сделано: 1. Попытался вызвать Каспер из трея и через Пуск. Не открывается. Появляются "часики" у мышки, потом пропадают - и всё. Как будто ничего и не происходило. 2. Попытался завершить процесс через диспетчер задач. Тут небольшие подробности. Имеется не 2 процесса avp.exe, а 3. Не знаю, нормально ли это. Первый запущен от SYSTEM (он и нагружается на 98-99%), остальные два - под учеткой пользователя. Не грузят вообще никак. Все время на нулях. Так вот. При попытке завершения этих процессов выскакивает сообщение о том, что нет прав доступа. Процессы не завершаются. 3. Изначально подумал на глюк Каспера. Простая перезагрузка, естественно, ничего не дала. Решил переставить Каспер. Вызвал через Пуск не с первого раза меню деинсталляции. Удаление доходит до этапа остановки служб. Далее удаление становится невозможным, выскакивает сообщение о невозможности остановки. Приходится прекращать удаление. 4. Заходил в безопасном режиме. Думал, что удаление возможно будет там. Через безопасный вообще не удалось ничего удалить. Сообщение с ошибкой о проблемах с инсталлятором, что-то типа того. В общем, удаление невозможно. 5. Восстановил систему из безопасного режима до состояния двухнедельной давности (только что установленная Винда). Заново проставил все драйвера (ибо все восстановилось до совершенно "чистого" состояния). Вычистил за Каспером папки. 6. Проверил диск С он-лайн (на том же самом касперовском сайте). Проверка ничего не дала. 7. Скачал 7й КИС, поставил. Все нормально. Никаких проблем с программой. Загрузка ЦП в норме. Проверил комп еще раз - чисто. Сегодня всё повторяется. Загрузка на 100%, невозможно нормально пользоваться компом. Каспер не удаляется. 3 процесса всё также висят в диспетчере. Плюс ко всему такие тормоза дают большие проблемы с сетью. Локалка не может получить айпишник, соответственно, в сеть выйти можно только "через раз", и то не с первой попытки. Может кто-то сталкивался с таким? Что это может быть и что можно с этим сделать? Заранее спасибо. |
03.12.2007, 17:40 | |
Helpmaster
Member
Регистрация: 08.03.2016
Сообщений: 0
|
Можно поискать нужные ответы тут Подозрение на взлом Подозрение на неисправность винчестера Вирус Вирус или что? |
03.12.2007, 18:06 | #2 (permalink) |
Member
Регистрация: 26.11.2006
Сообщений: 788
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 23
|
качаете ... http://www.trendsecure.com/portal/en...HiJackThis.zip делаете лог ... Нажмите на кнопку Do a system scan and save a logfile ...
выкладываете здесь ... |
03.12.2007, 19:29 | #3 (permalink) |
Member
Регистрация: 30.04.2007
Сообщений: 86
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
|
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:13:53, on 03.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\WinRAR\WinRAR.exe C:\DOCUME~1\1\LOCALS~1\Temp\Rar$EX01.235\HijackThi s.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rambler.ru/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Добавить в Анти-Баннер - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{7267AFA1-9198-4965-BDC3-83EDEF0FEC2D}: NameServer = 213.234.192.7 195.14.50.21 O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe -- End of file - 3337 bytes |
03.12.2007, 19:34 | #4 (permalink) |
Member
Регистрация: 26.11.2006
Сообщений: 788
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 23
|
все удивительно чисто .... пробуем по другому ...скачайте http://www.z-oleg.com/secur/avz/download.php
обновите ... файл выполнить скрипт ... стандартный скрипт 3 ... полученный файл ... virusinfo_syscure.zip выложите на slil.ru ссылку сюда .... |
03.12.2007, 21:47 | #5 (permalink) |
Member
Регистрация: 30.04.2007
Сообщений: 86
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
|
<УДАЛЕНО> - не знаю, даст ли это что-нибудь. Запустил стандартный третий скрипт. Проверил. Красных строк вообще не было. Вот, получился такой маленький файл.
|
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
04.12.2007, 13:52 | #7 (permalink) |
Member
Регистрация: 30.04.2007
Сообщений: 86
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
|
Так. Простите, но я в таком случае не понимаю, как его получить. Обновляю базы, файл - стандартный скрипт - выбираю третий, запускаю. По итогам проверки нажимаю на "дискетку" справа от окошка с результатами. Сохраняется этот файл. А Вы что имете в виду и как это получить?
|
04.12.2007, 16:05 | #10 (permalink) |
Member
Регистрация: 30.04.2007
Сообщений: 86
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
|
сейчас на компе поставлен AVG-антивирус. Тоже ничего не нашел, кроме кряка для ВинРара, который он опознал как вирус DOS.
Вот ссылка на нужный файл: <УДАЛЕНО> Это уже с АВГ на компе. |
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
|
|