Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Загрузка процессора (http://forum.oszone.net/showthread.php?t=131482)

Epaminond 09-02-2009 21:32 1033937

Вложений: 1
srokk, Vadikan, вирусы нашлись, но в местах злачных и врят-ли запускались, т.к. за последних полгода систему много раз сносил.

Логи прикрепил.

konst06, первое решение я уже поюзал несколько раз - безрезультатно. Есть только ещё надежда на недавно выкопанную инструкцию, гласящую, что драйвера надо ставить было в другой последовательности - позже испробую. А RMClock: разве он решает проблему с прерываниями? Если я правильно понял, он гибче регулирует работу процессора.


Цитата:

Цитата Vadikan
Сообщение скопировано из форума XP.


Pili 09-02-2009 23:07 1034012

Epaminond, Здравствуйте. По логам зловредов не видно, попробуйте отключить неиспользуемые или не очень нужные службы (у вас их много), удалите из автозагрузки лишнее или целиком деинсталлируйте напр. Actual Booster, AlcoholAutomount, Mouse Suite 98 Daemon, переустановите драйвера, деинсаллируйте софт для виртуальных дисков, для проверки попробуйте удалить антивирус.
проверьте на всякий случай на virustotal.com файлы
Цитата:

C:\WINDOWS\system32\USER32.dll
C:\Program Files\SpeedFan\speedfan.exe
C:\WINDOWS\system32\webcheck.dll
Кроме загрузки процессора ещё какие-то проблемы, которые могут быть связаны с вирусами, проявляются?

Epaminond 10-02-2009 00:30 1034086

Нет, в остальном всё нормально. Драйвера уже переустанавливал не раз. Вместе со всей системой.

В USER32.dll и webcheck.dll всё чисто, а вот в speedfan.exe Sunbelt выкопал Trojan-Spy.Win32.Banker.ciy. Но это только он.

Pili 10-02-2009 08:23 1034206

Epaminond, м.б. фолс, отправьте C:\Program Files\SpeedFan\speedfan.exe на newvirus@kaspersky.com и сюда - отправлять в запароленном архиве, пароль virus, можете в вирлаб Eset сюда (отправлять в запароленном архиве, пароль infected), заодно можете проверить другие exe файлы из автозагрузки, например C:\Program Files\Analog Devices\SoundMAX\Smax4.exe, C:\WINDOWS\system32\ntbackup.exe

Epaminond 10-02-2009 11:36 1034321

speedfan.exe - отправил. Smax4.exe, ntbackup.exe - результат отрицательный.

//UPD

По speedfan.exe от Касперского: Вредоносный код в файле не обнаружен.

Pili 12-02-2009 09:51 1036191

Epaminond, значит проблема не в зловредах.
Если вы ещё думаете, что проблема в вирусах, можем продолжить проверку.
Скачайте SDFix здесь или здесь, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat из папки SDFix - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrl+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь и здесь

Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска.
После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.
Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.
Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь (на русском)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Скачайте OTListIt2, сохраните на рабочий стол и запустите, поставьте галочку Scan All Users, LOP Check, Purity Check и в Extra Registry - Use Safe list. Нажмите Run Scan, когда закончится процесс сканирования, откроются два файла OTListIt.Txt и Extras.txt , скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте полученные логи C:\OTListIt.Txt и C:\Extras.txt и прикрепите к сообщению.

Epaminond 15-02-2009 22:29 1039529

Вложений: 5
Pili, я почти уверен, что не в зловредах. Я переустанавливал систему несколько раз.

Результаты прикрепил.

Pili 16-02-2009 09:02 1039799

Epaminond, c:\program files\XP Antispy - деинсталлируйте, если папка пуста, скрипт ниже можете не выполнять.
проверьте на virustotal.com
C:\Documents and Settings\All Users\Application Data\.zreglib
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение
Код:

File::
c:\windows\qfe5D7.tmp
Folder::
c:\program files\XP Antispy

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe



Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Цитата:

Цитата Epaminond
я почти уверен, что не в зловредах. Я переустанавливал систему несколько раз. »

Тогда вам в другой раздел форума, тем более у вас какая-то сборка windows.
Попробуйте ещё провериться помощью Kaspersky WebScanner, нажмите Scan Settings и выберите Anti-Virus database: Extended
Выберите для сканирования My Computer. После окончания проверки сохраните, заархивируйте лог файл и прикрепите к сообщению.
Если до этого прроверялись с помощью AVPTool, можете провериться с помощью TrendMicro HouseCall Java Scan

Epaminond 16-02-2009 17:54 1040385

Вложений: 1
Цитата:

Цитата Pili
Тогда вам в другой раздел форума, тем более у вас какая-то сборка windows. »

У меня не сборка. Я устанавливал чистый Windows XP SP3. Даже драйвера не интегрировал. )

.zreglib чист. Отчёт ComboFix прикрепил. Проверка онлайн пока ещё идёт.

Pili 16-02-2009 19:09 1040440

Цитата:

Цитата Epaminond
У меня не сборка. »

У вас не сошлись с оригинальными сигнатуры системных файлов
Код:

2008-04-14 19:40  631808  0e1f9cddbf0c3484f651b930ebdf50c7        c:\windows\system32\user32.dll
2008-10-16 22:33  882688  44022d30e500b095bb8611ddfc6123e9        c:\windows\system32\wininet.dll
2009-02-03 00:50  361600  a29e1209f925a0e9b330e11da5fc7bab        c:\windows\system32\drivers\tcpip.sys
2009-02-06 23:41  2186752  0444ca2df1da364d4466ce6c67038274        c:\windows\system32\ntkrnlpa.exe
2009-02-06 23:41  2308096  a517c93c685d3d0bd301e9d6eee69bd3        c:\windows\system32\ntoskrnl.exe
2008-04-15 14:00  1926144  11ea501aa7d16a77e3c0dc09aa407bf1        c:\windows\explorer.exe
2008-04-15 14:00  37376  e880528acb65c5e05ee7cf83b08464ea        c:\windows\system32\ctfmon.exe

Это характерно для сборок (или когда ставят "украшательства"), можете проверить ОС на валидность с помощью MGADiag (вероятно не пройдет проверку), кстати файлы из вышеперечисленных можете проверить на virustotal.com
А так по логам ничего плохого, софта установлено много, но зловредов не вижу. Онлайн сканеры ничего не нашли? Попробуйте отключить неиспользуемые службы, обратите внимание на ошибки в журнале событий.
Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u
Скачайте OTCleanIt, запустите, нажмите CleanUp!

Epaminond 17-02-2009 00:46 1040739

Вложений: 1
Цитата:

Цитата Pili
У вас не сошлись с оригинальными сигнатуры системных файлов »

Это из-за украшательств, да. Проблема ещё до них возникла. )

Касперский кой-чего понаходил, но по идее ничего серьёзного. Trend Micro - аналогично. Лог Касперского прилагаю.

В журнале событий ошибки водятся. Наиболее часто встречаются:
  1. "Ошибка в процессе инициализации восстановления системы." Я вообще восстановление системы отключал, непонятно.
  2. "Сбой при запуске службы "Драйвер параллельного порта"" Вероятно связано с тем, что я обычно работаю без базы, на которой большинство портов.
  3. "Таймаут (30000 мс) ожидания для подключения службы Power Manager DBC Service." Чего-то с пауер менеджером не так. Вот только что?
  4. "Сбой при запуске службы "Power Manager DBC Service" из-за ошибки Служба не ответила на запрос своевременно. " Опять ПМ.
  5. "Ошибка [DATABASE NOT LOADED] обработки базы данных драйвера." Уж не знаю, что за драйвер такой. Неопределённых устройств нет.

Собственно само название процесса Hardware Interrupts наводит на мысль, что проблемы в драйверах. И я уже там покопал изрядно. Драйвера все самые новые. Все устройства определены. Биос перепрошит, обновлены прошивки харда и даже AMT. Тем не менее, время от времени слетает драйвер видеоадаптера. Просто говорит, что мол драйвер перестал работать правильно и включается ВГА. Что с ним делать - ума не приложу.

Pili 17-02-2009 08:43 1040897

Epaminond, Драйвер параллельного порта можете отключить, как устройство, попробуйте деинсталлировать софт, с которым связаны ошибки в журнале событий, удалить "украшательства".
Файлы, котоые нашел KAV
Код:

D:\Soft\CD\Alcohol120.7z/keymaker.exe
D:\Soft\Network\TheBat!\Plugins\SpamProtexx\agtbp.exe

Можете вручную удалить, но это не активные зловреды и не должны влиять на вашу проблему, судя по логам ваша проблема не связана с вирусами, вам стоит обратится по своей проблеме в другой раздел форума, например Программное обеспечение Windows или Железо

Epaminond 17-02-2009 18:55 1041481

Pili, спасибо большое за помощь и внимание. :)

Я попробую ещё раз переустановить Windows с рекомендациями по порядку установки драйверов. Если не поможет, тогда буду людям там голову морочить. :)

Pili 17-02-2009 19:02 1041490

Epaminond, пожалуйста :) Если будут проблемы с вирусами, заходите, поможем )
У вас специфическая система, поэтому ваша помощь в сборе и пополнении базы чистых файлов AVZ будет особенно полезной, заодно эвристикой CyberHelper`а (по отчету) проверитесь :)


Время: 14:45.

Время: 14:45.
© OSzone.net 2001-