Добрый день, уважаемые форумчане.

Я в отчаянии :( С некоторых пор стала происходить странная вещь: при открытии какого-то файла(avi, xls, jpg, png и т.д.) происходит циклическое однообразное обращение к диску на протяжении от 10 до 20 минут. Перед этим обращением почти всегда открывается необходимая программа(соответственно, media player classic, ms excel, cam2pc), но открытый файл не показывает. Лишь по истечению этого времени, открывается содержимое. На протяжении этого времени почти ничего нельзя открыть нового, программу закрыть нельзя(даже из таск менеджера или процесс иксплорера). В уже открытых программах работать можно, к примеру, файрфокс в это время странички открывает нормально.
Замечу ещё, что чаще всего такое происходит, если файл открывается из Far'а(нажатием Shift+Enter). Но бывает и из виндовозного иксплорера. Если открываю из Фара, то в это время обращения к диску фар закрыть тоже никак нельзя.

До этого система работала стабильнее некуда. Все вышеописанные программы функционировали без единой зацепки или проблемы. Единственное серьёзное изменение - это поставил Jetico Personal Firewall версию 2. В этом файрволе process attack и indirect network access отключил, т.е. мониторится только общий доступ к сети и доступ к сети из приложений. Нареканий на работу файрвола нет вообще.

Теперь о скриншотах. Вот несколько опытов:

I.
1. Открытие картинки из фара(Shift+Enter).
2. Запускается cam2pc.exe(вижу по процессам)
3. Непрерывно начинает мигать лампочка HDD (повторяющаяся часть лога Process Monitor'а, его File monitor'а тут (http://img17.imageshack.us/img17/2382/cam2pchdd.jpg))
4. Через минут 15 происходит открытие картинки.

II.
1. Открытие xls-файла из фара(Shift+Enter).
2. НЕ запускается MS Excel
3. Непрерывно начинает мигать лампочка HDD (повторяющаяся часть лога Process Monitor'а, его File monitor'а тут (http://img16.imageshack.us/img16/5431/farexcelhdd.jpg))
4. Через минут 15 файрвол сообщает о каких-то попытках коннекта в интернет System и svchost.exe, КОТОРЫЙ учавствовал в обращении к диску (скрин попыток тут (http://img13.imageshack.us/img13/2049/farexcelhddconnect.jpg))

III.
1. Открытие avi-файла НЕ из фара.
2. Запускается mplayerc.exe(вижу по процессам)
3. Непрерывно начинает мигать лампочка HDD (повторяющаяся часть лога Process Monitor'а, его File monitor'а тут (http://img129.imageshack.us/img129/7839/mpchdd2.jpg))
4. Через минут 15 файрвол сообщает о каких-то попытках коннекта в интернет System, explorer.exe и svchost.exe, КОТОРЫЙ учавствовал в обращении к диску (скрин попыток тут (http://img15.imageshack.us/img15/6954/mpchdd2connect.jpg))


Как видите, какой-то бред... Я не пойму, что происходит! У меня стоит Avira Premium Security Suite, в котором работает только антивирус(всегда обновлённый), поэтому, вирусов быть не может.
Система Windows Vista Ultimate x64.

Пожалуйста, подскажите, куда копать, что делать? Повторюсь, ВСЕ вышеназванные и запечатлённые на скринах программы всегда работали без проблем и всё открывалось. А теперь, вот, с новым файрволом почти каждый раз такая фигня... Но у меня сомнения, что это вина Jetico... Что посоветуете делать?

Огромное спасибо заранее!

I.
1. На что бросаются глаза так это Length 512 т.е. блоки, в Viste данные блоки могут достигать размера от 4КБ-65КБ и даже 1024KБ.
2. у вас версия Process Monitor'а я думаю старая, обновите ее до 2.03
3. добавьте столбец "Command Line" и TID
4. совместно с любой другой программой выяснить по TID и "Command Line" доп. информацию (лучше в Process Explorer)
5. при открытии картинки из FAR например в стандартный "Фотоальбом", на пальцах выглядит так запуск должен быть передан через COM Surrogate например т.к. расширение *.jpg, то
C:\Windows\system32\DllHost.exe /Processid:{76D0CB12-7604-4048-B83C-1005C7DDC503}
...
{76D0CB12-7604-4048-B83C-1005C7DDC503} - %ProgramFiles%\Windows Photo Gallery\PhotoViewer.dll
и т.д.
...
А уже C:\Windows\system32\DllHost.exe /Processid:{76D0CB12-7604-4048-B83C-1005C7DDC503} через FASTIO_READ например будет чтение файла *.jpg

Странный скрин от ProcMon может фильтр добавлен?
II.
Аналогично см. выше

III.
Аналогично см. выше

Так же UDP порты с 137 и 139 любимые порты для всяких атак и деятельность по ним бывает активна после заражения вирусами и троянами. И ваш Jetico как раз и ругается на это.

Я думаю ваш ПК в добавок еще заражен трояном.

Большое спасибо Вам за ответ!

Valeant, На что бросаются глаза так это Length 512 т.е. блоки, в Viste данные блоки могут достигать размера от 4КБ-65КБ и даже 1024KБ »Что это может значить?

обновите ее до 2.03 ...
добавьте столбец "Command Line" и TID ...
совместно с любой другой программой выяснить по TID и "Command Line" доп. информацию (лучше в Process Explorer) ...»Хорошо, новые скрины запощу сюда.

DllHost.exe »Этот процесс вызывается только, если используется PhotoViewer.dll, правильно? А что происходит "на пальцах", если используется прописанная для всех картинок по умолчанию программа-вьювер xxxxxx.exe(в данном случае, cam2pc.exe)?

Странный скрин от ProcMon может фильтр добавлен? »А чем он странный? Тем, что всё циклически повторяется? Я обьясню: фильтры все по умолчанию, никаких своих я не ставил. Дело в том, что обращение к диску настолько частое(лампочка только горит, не мигает), что в логе попадаются такие, вот, участки, где никаких других данных не зафиксировано. Я специально выбрал для скрина именно такую часть лога. На самом деле, другая активность там так же учитывается.

Так же UDP порты с 137 и 139 любимые порты для всяких атак и деятельность по ним бывает активна после заражения вирусами и троянами. И ваш Jetico как раз и ругается на это. »Вот это очень интересно. Дело в том, что я постоянно отсеиваю(один раз отловил и занёс в конфиг запрет) коннекты от svchost.exe куда-то по порту 137. И их много, но они все пресекаются. Это распознаётся Jetico, как "Send datagram", а не outgoing connection. Честно говоря, вопрос с этими datagram'ами - одна из вещей, не понятных в Jetico... Просто потому, что неясно, почему send datagram - это не outgoing connection и наоборот...

Ещё раз спасибо за ответ, на выходных обязательно проделаю Ваши рекомендации + проверюсь доктор веб лайв сиди, как посоветовали на другом форуме. Результаты отпишу сюда.

Windows это куча программынх файлов и библиотек (в виде *.Dll). Вызов библиотек может происходить одним из методов DCOM можно напрямую запускать программу, а можно через DllHost.exe лучше найти про это информацию и почитать.

Про ProcMon почему так говорю, потому что информации он должен выдавать намного больше, а не та что на скрине, если только не включены фильтры отсеивающие ее. Не забутьте столбец обязательно добавить "Command Line" тогда вам многое станет понятно.
Так же опять подчеркну скрин http://img16.imageshack.us/img16/5431/farexcelhdd.jpg на данную активность зачем torrent читать файл FAR с локального диска, так же присутствие тут же svchost.exe так же наводит на мысль вируса или трояна, аналогично и в скрине http://img17.imageshack.us/img17/2382/cam2pchdd.jpg


Например:

Из FAR запуск *.avi (4Gb), все первое время происходит из под FAR сначала сопоставление расширения файла к программе запуска - изучение реестра,
...
HKEY_CLASSES_ROOT\CLSID\{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}\InprocServer32
@="%SystemRoot%\system32\wmpshell.dll"
...

FAR через load image в память C:\Windows\System32\wmpshell.dll (Image Base:0x71f70000 Image Size:0x1b000, duration данной операции 0.0, Image Base:0x72020000 Image Size:0x1b000 duration данной операции 0.0 и т.д.)
Далее так же из под FAR находим wmplayer.exe, загружается wmplayer.exe через load image в память (например Image Base:0x2520000 Image Size:0x2c000; и т.д.), так же все примочки к wmplayer.exe которые есть. И только потом

wmplayer.exe - IRP_MJ_READ(через систему драйверов читает) - файл *.avi

Будет проигрывать и читать до конца, duration данной одной операции 0.0019646 (Offset:0 Length:65536) и так до
конца читает

Другой пример файл размером *.avi - 700MB читается в точно таком же запуске только читается c переменными блоками от Length:16384 до Length:19968(duration данной операции 0.0010476), что в принципе наверное и правильно так как поток слабоват для видео, чтоб читать данные из файлов быстрее.

По видео файлам у вас попробуйте либо удалить K-Lite codec, поставить посвежее или другой !?!?!. Только после проверки на вирусы и трояны.

В общем, народ, поигрался я на выходных с этой фигнёй, сдаю отчёт :) Всё по порядку:

I. После перерыва в 6 дней(комп не включался) включаю комп и виста вдруг пишет о том, что файл tcpip.sys с несоответствующей подписью. Грузиться отказывается, предлагает восстановить с инсталяционного диска. Восстановил. Но странно... да, файл патченный для халф-опен коннекшнов, но всё было нормально около 3 месяцев!

II. Как и советовали, скачал minDrWebLiveCD-5.0.0.0902170.iso, проверил все диски. Итог можете видеть на этой (http://img18.imageshack.us/img18/5286/trojan21280.jpg) и этой (http://img18.imageshack.us/img18/1650/trojan11280.jpg) картинках. Как видно, Trojan.Fakealert.1500 в дллках в SysWOW64 + в Temporary Internet Files(вообще я юзаю мозиллу, но иногда и ИЕ). Других вирусов не обнаружил. Все найденные трояны удалил. Кстати, к вопросу об эффективности авиры: при проверке "системных директорий" она не лезет в SysWOW64 и ей подобные (я проверял), т.к., видимо, не умеет работать с х64 системами. Но в любом случае должна была показать... ведь длл-ка как-то загружались...

III. Загрузил систему.
1. Наблюдаю 2 коннекта соответственно(см. скрин (http://img13.imageshack.us/img13/3035/connectsstartup.png)), запретил. Их только два и каждый раз после логона.
2. Через минут 10 после загрузки чё-то заметил мигающий HDD-диод. Ничего не запускал. Решил проверить процмоном. Результат (http://img18.imageshack.us/img18/7899/strangeactions.jpg) поразил... Прошу прощения за качество картинки, но, как видите, когда я пытался сделать скрин, программа вылетела(и пока я не нажал "закрыть", не поверите, буфер обмена не работал). Как видите, в различных директориях процессом svchost.exe зачем-то создаются одинаковые батники с названием quasf.dll.bat. Я проверил эти директории, таких батников там нет. Значит, удалил свхост? Событий об удалении не было, вроде, в мониторе. Запускал? Что делал с ними? Странно... Опять же - наткнулся случайно!
3. Решил проверить файрвол, происходят ли ещё коннекты на 137 порт? Проверил... всё осталось. Скрин можете видеть тут (http://img18.imageshack.us/img18/9981/rejected.jpg). Зачем эти процессы туда лезут - не понятно...
4. На всякий случай сделал этот (http://img18.imageshack.us/img18/4282/processconnectionsjetic.png) скрин из Jetico. Так видно, какие свхосты куда залезли. Ну и остальные процессы... Можно было и тспвью, но тут читабельнее, вродь.
5. Решил проверить сабж и снова открыть картинку из иксплорера. Открыл. Те же тормоза и обращения к диску. Скрин процмона с нужными столбцами тут (http://img18.imageshack.us/img18/4849/explorerjpgopen.jpg). "Опять торренты!", - подумал я. Вырубил уторрент и повторил эксперимент: скрин (http://img18.imageshack.us/img18/3585/explorerjpgopenwoutorre.jpg).
6. Пока занимался вышеописанным, всё время вылазили предупреждения, что в инет лезут приложения, которые туда лезть НИКАК не могут! Например, смотрим картинку (http://img18.imageshack.us/img18/6674/connectssoft.jpg). Что это значит? Неужели, всё настолько серьёзно, что этот троян пытается коннектиться через другие приложения? Ну не могут же мспэйнт и апачмонитор в нет ходить!
7. Кто-то просил список процессов... Вот (http://img18.imageshack.us/img18/3509/processlist.png) он. Ах да... там нет процесса C:\Windows\System32\RacAgent.exe(25 088 bytes), который тоже просил доступ к сети, как в пункте 6. Зачем привёл размер? Потому что в описании этого процесса в нете нашёл, что он весит около 20 кб. Но это, наверное, от того, что у меня х64 система, а в описании размер был для х86.
8. Ну и напоследок ещё раз решил глянуть логи файрвола. Приводу скрин (http://img13.imageshack.us/img13/5945/connects2.png) самых свежих(да, да, 5 утра :) )
9. [добавил] Открыл из иксплорера xls-файл(от microsoft excel). 4 раза открывался без проблем, но на пятый опять сабж (http://img16.imageshack.us/img16/2431/excelfiles.png). Но на сей раз по TID'у я его вычислил в процесс иксплорере. Скрин тут (http://img16.imageshack.us/img16/5459/excelthread.png). Кому-то это о чём-то говорит?

Что делать? Думаю, самый лёгкий(относительно) и надёжный способ - переставить систему :) Но хотелось бы без такой меры... уж очень много там всего стоит. Что-то ещё можно сделать? За ответы всем спасибо заранее!

J-Pro,


J-Pro,
1. Наблюдаю 2 коннекта соответственно(см. скрин), запретил. Их только два и каждый раз после логона.

Могу сказать, а зачем запретили shchost.exe выход в сеть -> а как у вас например mozila в интернет выходит или как ipsec будет работать. 1900 порту(UDP) сидит служба обнаружения SSDP (SSDP Discovery) -> лучше вообще данные службы отключить SSDP Discovery и UPnP (универсальная система Plug & Play). Просто надо быть повнимательней и наверное на Jetico есть готовые правила.


J-Pro,
2. Через минут 10 после загрузки чё-то заметил мигающий HDD-диод. Ничего не запускал. Решил проверить процмоном. Результат поразил... Как видите, в различных директориях процессом svchost.exe зачем-то создаются одинаковые батники с названием quasf.dll.bat.


Не доконца может дочистили, поищите описание данных Trojan.Fakealert в интернете, что они делают.
И поищите еще через autoruns.exe на подозрительные вещи.

J-Pro,
3. Решил проверить файрвол, происходят ли ещё коннекты на 137 порт? Проверил... всё осталось. Скрин можете видеть тут. Зачем эти процессы туда лезут - не понятно...

Отключите NetBios


J-Pro,
9. Открыл из эксплорера xls-файл(от microsoft excel). 4 раза открывался без проблем, но на пятый опять сабж. Но на сей раз по TID'у я его вычислил в процесс иксплорере. Скрин тут. Кому-то это о чём-то говорит?

На пятый раз заразились заразой.
Я же не спроста сказал включить TID, по номерам данных потоков (Threads) в ProcessExplorer нужно было посмотреть согласно скринам PID 1384 (svchost.exe) -> TID 4616, 3832, 4628 и т.д. что это за потоки, и для чтения файла одного так много потоков не создается. И обратите внимание на смещения при чтении.

Для п. 3-8 из всего сказанного остаюсь при своем ПК заражен вирусом или трояном (вылечен не доконца)

Выход загрузка с чего нибудь, проверка на вирусы и трояны двумя антивирусниками, очистка всех TEMP каталогов, и кэший броузеров, проверка на запуск всего через autoruns и так же обратить внимание на закладку драйверов, все что будет найдено проверить на удаление ссылок в реестре.

Valeant,
Спасибо за ответ.

зачем запретили shchost.exe выход в сеть »Ну я не совсем запретил... Только на 137-139 порты(т.к. говорили, что по ним частенько трояны коннектятся) + 1900(не знал, что сидит на этом порту)

как у вас например mozila в интернет выходит или как ipsec будет работать »Простите, не понял вопрос. Мозилла в инет выходит как обычно, в жетико для него прописан "свод" правил, называется Web Browser(80 порт и т.д.).

1900 порту(UDP) сидит служба обнаружения SSDP (SSDP Discovery) -> лучше вообще данные службы отключить SSDP Discovery и UPnP (универсальная система Plug & Play) »В настройках моего рутера я видел где-то пункт UPnP enabled. Может, из-за этого не стоит отключать? Или это не касается моего компьютера? (простите, в вопросах UPnP и SSDP не шарю :)) И если не сложно, не могли бы Вы подсказать, как правильно их отключить?

Отключите NetBios »Тут тоже, если можно, подскажите, как правильно его отключить? В свойствах подключения к сети NetBios'а нет.

На пятый раз заразились заразой »Как же заразился, если ничего не делал между этими попытками? Разве такое возможно? Разве что что-то само запустилось по расписанию какому-нить...

нужно было посмотреть согласно скринам PID »Нда, я посмотрел, но не там, где надо :) На днях тест повторю. Результаты запощу.

ПК заражен вирусом или трояном (вылечен не доконца) »Тут я согласен, естественно... Но беспокоит вопрос: может ли быть заражен сам svchost.exe? Или какие-то другие процессы? Т.е. достаточно ли будет удалить заразу в виде длл и фигни, запускающейся автоматом? Ведь svchost.exe так часто коннектился по 137 порту из-за заражения или... ?

Спасибо!

[добавил]P.S.: поищите описание данных Trojan.Fakealert в интернете »Кому интересно, вот (http://www.411-spyware.com/remove-trojan-fakealert) описание и инструкции по удалению. Я почитал, но, как можно заметить, файлы дллек у меня были абсолютно другие. Но я ещё проверю на наличие описанных в ссылке.

Если в системе есть зараженный файл (*.dll, *.jpg, *.exe, *.tmp, *.temp и т.д.) и он прописался в реестре (т.е. механизм запуска через драйвера, службу и т.д) то сколько не запускай ПК само тело будет каждый раз выполнять процедуру заражения вашего ПК - поэтому говорю загрузка с диска или флэшки, антивирусы (только с новыми базами) должны это устранять как нам хотелось бы, но не всегда.....

По чаше посещайте http://www.viruslist.com/ru/index.html (особенно Новые описания),
http://www.viruslist.com/ru/viruses/encyclopedia?chapter=152526512 или с подобной тематикой.

Да и очень много процессов запущено на данном пк согласно скрина http://img18.imageshack.us/img18/3509/processlist.png, а они вам все нужны эти процессы.

Все вопросы которые вы затронули можно по ним "научный труд писать", думаю данный форум предназначен не для этого, а информацию по данным вопросам можно найти в интернете.

Valeant, я прошу прощения за, быть может, ламерский вопрос, но может ли вирусоносная длл-ка может заставить svchost.exe(к примеру) коннектиться куда-то на свой адрес? Или для этого обязательно должен быть заражён(изменён) сам файл svchost.exe?

Да и очень много процессов ... они вам все нужны»Да, все нужны. Я же не буду ставить их для смеха :)

Все вопросы которые вы затронули можно по ним "научный труд писать", думаю данный форум предназначен не для этого, а информацию по данным вопросам можно найти в интернете »Наверное, Вы правы, спасибо.

P.S.: На одном форуме посоветовали тулзу Unhackme. Скачал, дома попробую. Ещё действительно засомневался в авире, тем более в её работе в х64 системах. Запустил в нёй проверку системных дир винды, дык он как раз SysWOW64 и не проверил. Только system32 и т.д. Решил найти альтернативу, глянул топы антивирусов, вроде, битдефендер один из лучших - тож скачал бесплатную версию, проверю комп им. Ещё попробую провериться Ad-Aware, помню, в своё время он хорошо себя показал. О результатах сообщу.

Valeant, поставил Unhackme, она висит в трее и через этот значок в трее можно запустить сканер. Так вот, жму правой кнопкой, выбираю "вызвать Unhackme"(процесс reanimator.exe) и винт снова начинает шуршать. Смотрю процмон, вижу это (http://img16.imageshack.us/img16/7038/reading.png). Поступил, как Вы советовали, нашёл сриды: вот (http://img16.imageshack.us/img16/7286/threads.png). Что можно об этом сказать?

J-Pro,
По поводу Ad-Aware - очень хорошая программа, только та что старенькая SE, только к ней поновей базу файл defs.ref, очень хорошо справляется с возложенной на нае задачей.

Да, все нужны. Я же не буду ставить их для смеха
??????

Все svchost запускаются процессом services.exe. Используется единый процесс для работы нескольких сервисов (хорошо видно в ProsessExplore расположив столбец Process в виде дерева нажав лев.кн.мыши несколько раз на данном названии столбца)
В ветке HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services перечислены все сервисы данной системы, в поле ImagePath видна команда запуска .

Например
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess
ImagePath = %SystemRoot%\system32\svchost.exe -k netsvcs

Некоторые вирусы, трояны и т.д. маскируются под имя svchost, замещая настоящий на свою копию.
Или даже используют способ загрузки через драйвера, устанавливая свой драйвер в систему и запуская его при запуске системы.


J-Pro,
но может ли вирусоносная длл-ка может заставить svchost.exe(к примеру) коннектиться куда-то на свой адрес? Или для этого обязательно должен быть заражён(изменён) сам файл svchost.exe?

Не обязательно.


J-Pro,
происходит циклическое однообразное обращение к диску на протяжении от 10 до 20 минут.

На что бросаются глаза так это Length 512
Наверное надо было бы начать с начало, а установлены ли драйвера на материнку, а в каком режиме работает винт PIO или UDMA? А с какой скорость копируются файлы куда нибудь?
И не как не пойму по ProcMon полное название операции Read....., есть операции чтения через FAST_IO_ напрямую, или IRP_MJ_ через драйвер. У вас версия какая.

Данной программой Unhackme не пользовался, достаточно хорошая autoruns.exe из этой же серии где в закладке Service и Drivers и Logon ищем все подозрительное.

Valeant, три ночи я, простите, трахался с компом, пробовал то Unhackme, то Ad-Aware AE(свежая версия), то авторанс. В общем, первая чё-то нашла, удалила, потом не нашла, потом опять нашла, в общем, её поведение мне абсолютно неясно. Единственное, чем она помогла - тем, что дала мне понять, что на компе руткиты, т.к. файлы найденных "угроз" не были обнаружены. В общем, раз 10, наверное, я перегружался, пробовал различные методы сканирования и лечения этой программой, результат один и тот же - всё равно это злосчастное обращение к диску при открытии файлов другой программой(не только фаром, но и из какого-нить сетапа галкой "запустить программу" и т.д.).

Вчера ночью я попробовал Ad-Aware. Помнится, пару лет назад я тоже успешно использовал Ad-Aware SE, она мне помогала. А тут, блин, нашла один вирус, и то, тот, который лежал в папке карантина доктора веба :) В общем, тоже не помогла.

Ну а потом я решил, всё-таки, потратить время и тщательно просмотреть все закладки autoruns.exe. Нашёл там(в драйверах и сервисах) штук 7-8 записей, файлы которых найдены не были. Хоть и у некоторых было написано что-то умное в названии, я нафиг поудалял, потому что если файл не найден, думаю, это как раз тот руткит, который НЕ нужен. Перегрузился, перепроверил ещё раз, вроде ничего похожего. Попробовал пооткрывать файлы из фара: 10 попыток, разные файлы - все нормально открылись. Какая-то радость есть, но всё же и сомнение, что удалил не всё, тоже осталось. Ведь, если ни авира, ни анхакми, ни адэвэйр не нашли эту фигню, то разве можно так просто с помощью авторанс её раз и навсегда удалить? Наверняка у неё припасено что-то в другом месте :) Хотя... поживём - увидим.

В любом случае, Valeant, Вам ОГРОМНОЕ спасибо за помощь, я узнал много нового ;)

P.S.: После "лечения" и последующей перезагрузки, глянул в процмон, а там свхост "шерстит" все файлы, шо есть на винтах одним своим сридом(у которого в столбце Start Address было 0х00 - что-то такое). Предполагаю, что это работа какого-то майкрософтовского индексера-поисковика... Ткните плиз в тему, ежели такая имеется, где описано, как этот поисковик вырубить. Всё равно, если я что-то ищу - пользуюсь фаром, а эти постоянные индексации мне абсолютно не нужны... (если, конечно, это были они :))

Про индекс - поисковик наверное шутка - это легко проверяется включить ProcMon поставить фильтр на данную службу
Microsoft Windows Search Indexer - команд линия C:\Windows\system32\SearchIndexer.exe /Embedding и посмотреть в течения часа какая же будет активность данной службы в этом окне, например у меня она не отключена да и незаметно когда она работает (загрузка на проц) может дать ей время отработать и все успокоится.

SearchIndexer.exe - запускает два процесса
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchProtocolHost.exe

Иногда сидит в памяти занимая 40MB, но вот заметил из всего процессорного времени работы наблюдая в ProcessExplorer при обычной работе открытие документа, файла в проводнике и т.д. что-то она неактивна по процессорному времени (CPU Time):
- Idle - 2:00:26.467
- SearchIndexer.exe - отработала 0:00:06.426

Так что в ней проблем не вижу

Не знаю как вы а я еще пользуюсь очисткой реестра. "Почаще" запускайте ProcessExplorer и autoruns, и будет вам "счатье", будете видит перед глазами одно и то же т.е. все запущенные процессы, и если вдруг появится новый то сразу же бросится в глаза.

Valeant, про SearchIndexer понял, спасибо. Значит, это не он.

Только что включил комп, прошло немного времени и повторилось то, что я перепутал с индексированием. Вы Вашим опытным взглядом не могли бы осмотреть и попробовать определить, что это может быть? Я всё сохранил, как нужно. Итак, лог процмона(взял скрины из четырёх его частей, сверху вниз): первый (http://img19.imageshack.us/img19/5421/svchost0.png), второй (http://img19.imageshack.us/img19/1441/svchost1.png), третий (http://img19.imageshack.us/img19/6047/svchost2.png), четвёртый (http://img19.imageshack.us/img19/9660/svchost3.png). А вот тут (http://img19.imageshack.us/img19/7426/thread.png) открытый срид с ID 2444. Что скажете, что это может быть? Всё тот же троянец или ординарные действия ОС?

Спасибо Вам огромное заранее...

Из Command Line строки у вас видна команда на запуск
c:\windows\system32\svchost.exe -k secsvcs - WinDefend системный сервис Vista.

Очень странное svchost с PID 986, да и странный поток 2444 и 304 у которых нет название в поле Start Address а просто стоит 0x0. Судя по названиям Operation идет просто сбор информации по файлам, а если перейти в закладку Services то можно было бы увидеть какие сервисы запускаются этим svchost.

А зачем так много антивирусных программ WinDefend, Antivirus и Ad-Aware да еще и одновременно. Отключите оставьте что нибудь одно, можно начать с WinDefend.

1. Сегодня при открытии архива из фара(шифт+ентер=>открывается винрар) опять произошёл сабж :( Все остальные файлы, вроде, пока открываются быстро.

2. у которых нет название в поле Start Address а просто стоит 0x0 » Вот и мне так показалось.

если перейти в закладку Services »Буду знать :) Пытался посмотреть стэк срида, дык недоступен...

А зачем так много антивирусных программ WinDefend, Antivirus и Ad-Aware да еще и одновременно. Отключите оставьте что нибудь одно, можно начать с WinDefend »Ad-Aware, как я понял, у меня стоит без антивируса, только руткиты и всякое адвэйр. А на вирусы проверяет авира. А Дефендер надо бы отключить, достал он меня своими обновлениями. Да и нафиг он нужен, если всё это время работал и пропустил троян...

Да и ещё... сегодня в процессе работы за компом вылетел синий экран (http://img12.imageshack.us/img12/6312/dsc00178rs1024.jpg). Дамп весь сохранил на всякий случай. Если кому интересно - выложу. За полгода работы системы это первый синий экран.
На одном форуме вычитал, что: ...
Whenever Windows detects that any of the PFN lists or any of the PFN entries themselves have become invalid, the system halts with a PFN_LIST_CORRUPT bugcheck. This bugcheck usually occurs for one of two reasons, the first reason being memory corruption. If there is a buggy driver in the system that is writing on memory that it does not own, it could easily corrupt one of the PFN lists or entries. In order to rule this out, you should run Driver Verifier with Special Pool enabled for suspect drivers in the system. This will hopefully allow you to catch the misbehaving driver in the act of scribbling memory, instead of receiving a crash sometime later when the O/S discovers the damage.
The second cause for this bugcheck is incorrect MDL handling.
...

Может, это действительно произошло из-за трояна, который грузится драйвером? Но в авторанс я ничего подозрительного больше не видел... Хотя... это нужно каждый драйвер проверять в гугле из списка :(

Добавил: Да, кстати, проанализировав ошибку по этой (http://www.aumha.org/a/stop.php) и этой (http://msdn.microsoft.com/en-gb/library/ms793247.aspx) страничке, выяснил, что причина: "A driver attempted to free a page that is still locked for IO. " Из дампа можно узнать, что за драйвер?

Из джампа узнать драйвер пользуюсь

1. установить Debugging Tools for Windows http://www.microsoft.com/whdc/DevTools/Debugging/default.mspx
2. сценарий http://tools.oszone.net/Vadikan/files/kdfe.zip
3. далее выполнить сценарий kdfe.cmd указав в качестве параметра путь к файлу дампа памяти Mini*.dmp

kdfe.cmd "%systemroot%\Minidump\Mini1110307-01.dmp"

Valeant,
Спасибо Вам за ответ, очень полезная информация, взял на вооружение.

Всё запустил, итог:Crash date: Wed Mar 19 05:45:06.678 2008 (GMT+2)
Stop error code: 0x4E_9a
Process name: System
Probably caused by: NETIO.SYS ( NETIOWfpPoolFree+19 )
Видимо, синий экран не связан с вирусом... Как Вы думаете?

а если перейти в закладку Services то можно было бы увидеть какие сервисы запускаются этим svchost. »Сегодня с винраром ситуация повторилась и я зашёл в сервисы. Вроде ничего подозрительного, вот (http://img4.imageshack.us/img4/4355/servicesq.png) скрин.

J-Pro,
Probably caused by: NETIO.SYS ( NETIOWfpPoolFree+19 )

драйвер NETIO.SYS по названию понятно NET и I/O - сетевая подсистеме ввода/вывода, а внутри данного файла можно обнаружить
..N e t w o r k I / O S u b s y s t e m ...M i c r o s o f t R W i n d o w s R O p e r a t i n g...
много программ используют его в своих целях и в том числе firewall и антивирусные программы с встроенными firewall.
Лучше для начало обновить драйвера на материнку chipset и на сетевую карту, потом поставить посвежее firewall.

И например после выхода SP1 вышли патчи http://support.microsoft.com/kb/952709 например в этом есть так же данный драйвер netio.sys. Для информации http://www.cybersecurity.ru/news/59522.html

Так же рекомендую поставить параметр в реестре
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
DisablePagingExecutive = 1

Отменяет выгрузку компонентов ядра на HDD (файл подкачки), как то попадалось в интернете сообщение, которое взял на заметку, при проблемных драйверах от сторонних производителей (которые часто устанавливаются с программой) помогает избежать вываливания в синий экран.


J-Pro,
Сегодня с винраром ситуация повторилась и я зашёл в сервисы. Вроде ничего подозрительного, вот скрин.

Смысл не понял winrar и данного скрина для svchost, какая взаимосвязь между ними.