Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows Vista (http://forum.oszone.net/forumdisplay.php?f=66)
-   -   15минутное обращение к HDD при открытии файлов!(виноват Jetico?) [скрины] [Vista x64] (http://forum.oszone.net/showthread.php?t=134475)

J-Pro 11-03-2009 23:16 1061076

15минутное обращение к HDD при открытии файлов!(виноват Jetico?) [скрины] [Vista x64]
 
Добрый день, уважаемые форумчане.

Я в отчаянии :( С некоторых пор стала происходить странная вещь: при открытии какого-то файла(avi, xls, jpg, png и т.д.) происходит циклическое однообразное обращение к диску на протяжении от 10 до 20 минут. Перед этим обращением почти всегда открывается необходимая программа(соответственно, media player classic, ms excel, cam2pc), но открытый файл не показывает. Лишь по истечению этого времени, открывается содержимое. На протяжении этого времени почти ничего нельзя открыть нового, программу закрыть нельзя(даже из таск менеджера или процесс иксплорера). В уже открытых программах работать можно, к примеру, файрфокс в это время странички открывает нормально.
Замечу ещё, что чаще всего такое происходит, если файл открывается из Far'а(нажатием Shift+Enter). Но бывает и из виндовозного иксплорера. Если открываю из Фара, то в это время обращения к диску фар закрыть тоже никак нельзя.

До этого система работала стабильнее некуда. Все вышеописанные программы функционировали без единой зацепки или проблемы. Единственное серьёзное изменение - это поставил Jetico Personal Firewall версию 2. В этом файрволе process attack и indirect network access отключил, т.е. мониторится только общий доступ к сети и доступ к сети из приложений. Нареканий на работу файрвола нет вообще.

Теперь о скриншотах. Вот несколько опытов:

I.
1. Открытие картинки из фара(Shift+Enter).
2. Запускается cam2pc.exe(вижу по процессам)
3. Непрерывно начинает мигать лампочка HDD (повторяющаяся часть лога Process Monitor'а, его File monitor'а тут)
4. Через минут 15 происходит открытие картинки.

II.
1. Открытие xls-файла из фара(Shift+Enter).
2. НЕ запускается MS Excel
3. Непрерывно начинает мигать лампочка HDD (повторяющаяся часть лога Process Monitor'а, его File monitor'а тут)
4. Через минут 15 файрвол сообщает о каких-то попытках коннекта в интернет System и svchost.exe, КОТОРЫЙ учавствовал в обращении к диску (скрин попыток тут)

III.
1. Открытие avi-файла НЕ из фара.
2. Запускается mplayerc.exe(вижу по процессам)
3. Непрерывно начинает мигать лампочка HDD (повторяющаяся часть лога Process Monitor'а, его File monitor'а тут)
4. Через минут 15 файрвол сообщает о каких-то попытках коннекта в интернет System, explorer.exe и svchost.exe, КОТОРЫЙ учавствовал в обращении к диску (скрин попыток тут)


Как видите, какой-то бред... Я не пойму, что происходит! У меня стоит Avira Premium Security Suite, в котором работает только антивирус(всегда обновлённый), поэтому, вирусов быть не может.
Система Windows Vista Ultimate x64.

Пожалуйста, подскажите, куда копать, что делать? Повторюсь, ВСЕ вышеназванные и запечатлённые на скринах программы всегда работали без проблем и всё открывалось. А теперь, вот, с новым файрволом почти каждый раз такая фигня... Но у меня сомнения, что это вина Jetico... Что посоветуете делать?

Огромное спасибо заранее!

Valeant 12-03-2009 16:02 1061787

I.
1. На что бросаются глаза так это Length 512 т.е. блоки, в Viste данные блоки могут достигать размера от 4КБ-65КБ и даже 1024KБ.
2. у вас версия Process Monitor'а я думаю старая, обновите ее до 2.03
3. добавьте столбец "Command Line" и TID
4. совместно с любой другой программой выяснить по TID и "Command Line" доп. информацию (лучше в Process Explorer)
5. при открытии картинки из FAR например в стандартный "Фотоальбом", на пальцах выглядит так запуск должен быть передан через COM Surrogate например т.к. расширение *.jpg, то
C:\Windows\system32\DllHost.exe /Processid:{76D0CB12-7604-4048-B83C-1005C7DDC503}
...
{76D0CB12-7604-4048-B83C-1005C7DDC503} - %ProgramFiles%\Windows Photo Gallery\PhotoViewer.dll
и т.д.
...
А уже C:\Windows\system32\DllHost.exe /Processid:{76D0CB12-7604-4048-B83C-1005C7DDC503} через FASTIO_READ например будет чтение файла *.jpg

Странный скрин от ProcMon может фильтр добавлен?
II.
Аналогично см. выше

III.
Аналогично см. выше

Так же UDP порты с 137 и 139 любимые порты для всяких атак и деятельность по ним бывает активна после заражения вирусами и троянами. И ваш Jetico как раз и ругается на это.

Я думаю ваш ПК в добавок еще заражен трояном.

J-Pro 12-03-2009 18:52 1061959

Большое спасибо Вам за ответ!

Valeant,
Цитата:

Цитата Valeant
На что бросаются глаза так это Length 512 т.е. блоки, в Viste данные блоки могут достигать размера от 4КБ-65КБ и даже 1024KБ »

Что это может значить?

Цитата:

Цитата Valeant
обновите ее до 2.03 ...
добавьте столбец "Command Line" и TID ...
совместно с любой другой программой выяснить по TID и "Command Line" доп. информацию (лучше в Process Explorer) ...»

Хорошо, новые скрины запощу сюда.

Цитата:

Цитата Valeant
DllHost.exe »

Этот процесс вызывается только, если используется PhotoViewer.dll, правильно? А что происходит "на пальцах", если используется прописанная для всех картинок по умолчанию программа-вьювер xxxxxx.exe(в данном случае, cam2pc.exe)?

Цитата:

Цитата Valeant
Странный скрин от ProcMon может фильтр добавлен? »

А чем он странный? Тем, что всё циклически повторяется? Я обьясню: фильтры все по умолчанию, никаких своих я не ставил. Дело в том, что обращение к диску настолько частое(лампочка только горит, не мигает), что в логе попадаются такие, вот, участки, где никаких других данных не зафиксировано. Я специально выбрал для скрина именно такую часть лога. На самом деле, другая активность там так же учитывается.

Цитата:

Цитата Valeant
Так же UDP порты с 137 и 139 любимые порты для всяких атак и деятельность по ним бывает активна после заражения вирусами и троянами. И ваш Jetico как раз и ругается на это. »

Вот это очень интересно. Дело в том, что я постоянно отсеиваю(один раз отловил и занёс в конфиг запрет) коннекты от svchost.exe куда-то по порту 137. И их много, но они все пресекаются. Это распознаётся Jetico, как "Send datagram", а не outgoing connection. Честно говоря, вопрос с этими datagram'ами - одна из вещей, не понятных в Jetico... Просто потому, что неясно, почему send datagram - это не outgoing connection и наоборот...

Ещё раз спасибо за ответ, на выходных обязательно проделаю Ваши рекомендации + проверюсь доктор веб лайв сиди, как посоветовали на другом форуме. Результаты отпишу сюда.

Valeant 12-03-2009 21:47 1062120

Windows это куча программынх файлов и библиотек (в виде *.Dll). Вызов библиотек может происходить одним из методов DCOM можно напрямую запускать программу, а можно через DllHost.exe лучше найти про это информацию и почитать.

Про ProcMon почему так говорю, потому что информации он должен выдавать намного больше, а не та что на скрине, если только не включены фильтры отсеивающие ее. Не забутьте столбец обязательно добавить "Command Line" тогда вам многое станет понятно.
Так же опять подчеркну скрин http://img16.imageshack.us/img16/5431/farexcelhdd.jpg на данную активность зачем torrent читать файл FAR с локального диска, так же присутствие тут же svchost.exe так же наводит на мысль вируса или трояна, аналогично и в скрине http://img17.imageshack.us/img17/2382/cam2pchdd.jpg


Например:

Из FAR запуск *.avi (4Gb), все первое время происходит из под FAR сначала сопоставление расширения файла к программе запуска - изучение реестра,
...
HKEY_CLASSES_ROOT\CLSID\{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}\InprocServer32
@="%SystemRoot%\system32\wmpshell.dll"
...

FAR через load image в память C:\Windows\System32\wmpshell.dll (Image Base:0x71f70000 Image Size:0x1b000, duration данной операции 0.0, Image Base:0x72020000 Image Size:0x1b000 duration данной операции 0.0 и т.д.)
Далее так же из под FAR находим wmplayer.exe, загружается wmplayer.exe через load image в память (например Image Base:0x2520000 Image Size:0x2c000; и т.д.), так же все примочки к wmplayer.exe которые есть. И только потом

wmplayer.exe - IRP_MJ_READ(через систему драйверов читает) - файл *.avi

Будет проигрывать и читать до конца, duration данной одной операции 0.0019646 (Offset:0 Length:65536) и так до
конца читает

Другой пример файл размером *.avi - 700MB читается в точно таком же запуске только читается c переменными блоками от Length:16384 до Length:19968(duration данной операции 0.0010476), что в принципе наверное и правильно так как поток слабоват для видео, чтоб читать данные из файлов быстрее.

По видео файлам у вас попробуйте либо удалить K-Lite codec, поставить посвежее или другой !?!?!. Только после проверки на вирусы и трояны.

J-Pro 16-03-2009 07:00 1065170

В общем, народ, поигрался я на выходных с этой фигнёй, сдаю отчёт :) Всё по порядку:

I. После перерыва в 6 дней(комп не включался) включаю комп и виста вдруг пишет о том, что файл tcpip.sys с несоответствующей подписью. Грузиться отказывается, предлагает восстановить с инсталяционного диска. Восстановил. Но странно... да, файл патченный для халф-опен коннекшнов, но всё было нормально около 3 месяцев!

II. Как и советовали, скачал minDrWebLiveCD-5.0.0.0902170.iso, проверил все диски. Итог можете видеть на этой и этой картинках. Как видно, Trojan.Fakealert.1500 в дллках в SysWOW64 + в Temporary Internet Files(вообще я юзаю мозиллу, но иногда и ИЕ). Других вирусов не обнаружил. Все найденные трояны удалил. Кстати, к вопросу об эффективности авиры: при проверке "системных директорий" она не лезет в SysWOW64 и ей подобные (я проверял), т.к., видимо, не умеет работать с х64 системами. Но в любом случае должна была показать... ведь длл-ка как-то загружались...

III. Загрузил систему.
1. Наблюдаю 2 коннекта соответственно(см. скрин), запретил. Их только два и каждый раз после логона.
2. Через минут 10 после загрузки чё-то заметил мигающий HDD-диод. Ничего не запускал. Решил проверить процмоном. Результат поразил... Прошу прощения за качество картинки, но, как видите, когда я пытался сделать скрин, программа вылетела(и пока я не нажал "закрыть", не поверите, буфер обмена не работал). Как видите, в различных директориях процессом svchost.exe зачем-то создаются одинаковые батники с названием quasf.dll.bat. Я проверил эти директории, таких батников там нет. Значит, удалил свхост? Событий об удалении не было, вроде, в мониторе. Запускал? Что делал с ними? Странно... Опять же - наткнулся случайно!
3. Решил проверить файрвол, происходят ли ещё коннекты на 137 порт? Проверил... всё осталось. Скрин можете видеть тут. Зачем эти процессы туда лезут - не понятно...
4. На всякий случай сделал этот скрин из Jetico. Так видно, какие свхосты куда залезли. Ну и остальные процессы... Можно было и тспвью, но тут читабельнее, вродь.
5. Решил проверить сабж и снова открыть картинку из иксплорера. Открыл. Те же тормоза и обращения к диску. Скрин процмона с нужными столбцами тут. "Опять торренты!", - подумал я. Вырубил уторрент и повторил эксперимент: скрин.
6. Пока занимался вышеописанным, всё время вылазили предупреждения, что в инет лезут приложения, которые туда лезть НИКАК не могут! Например, смотрим картинку. Что это значит? Неужели, всё настолько серьёзно, что этот троян пытается коннектиться через другие приложения? Ну не могут же мспэйнт и апачмонитор в нет ходить!
7. Кто-то просил список процессов... Вот он. Ах да... там нет процесса C:\Windows\System32\RacAgent.exe(25 088 bytes), который тоже просил доступ к сети, как в пункте 6. Зачем привёл размер? Потому что в описании этого процесса в нете нашёл, что он весит около 20 кб. Но это, наверное, от того, что у меня х64 система, а в описании размер был для х86.
8. Ну и напоследок ещё раз решил глянуть логи файрвола. Приводу скрин самых свежих(да, да, 5 утра :) )
9. [добавил] Открыл из иксплорера xls-файл(от microsoft excel). 4 раза открывался без проблем, но на пятый опять сабж. Но на сей раз по TID'у я его вычислил в процесс иксплорере. Скрин тут. Кому-то это о чём-то говорит?

Что делать? Думаю, самый лёгкий(относительно) и надёжный способ - переставить систему :) Но хотелось бы без такой меры... уж очень много там всего стоит. Что-то ещё можно сделать? За ответы всем спасибо заранее!

Valeant 16-03-2009 14:40 1065448

J-Pro,

Цитата:

J-Pro,
1. Наблюдаю 2 коннекта соответственно(см. скрин), запретил. Их только два и каждый раз после логона.
Могу сказать, а зачем запретили shchost.exe выход в сеть -> а как у вас например mozila в интернет выходит или как ipsec будет работать. 1900 порту(UDP) сидит служба обнаружения SSDP (SSDP Discovery) -> лучше вообще данные службы отключить SSDP Discovery и UPnP (универсальная система Plug & Play). Просто надо быть повнимательней и наверное на Jetico есть готовые правила.

Цитата:

J-Pro,
2. Через минут 10 после загрузки чё-то заметил мигающий HDD-диод. Ничего не запускал. Решил проверить процмоном. Результат поразил... Как видите, в различных директориях процессом svchost.exe зачем-то создаются одинаковые батники с названием quasf.dll.bat.
Не доконца может дочистили, поищите описание данных Trojan.Fakealert в интернете, что они делают.
И поищите еще через autoruns.exe на подозрительные вещи.

Цитата:

J-Pro,
3. Решил проверить файрвол, происходят ли ещё коннекты на 137 порт? Проверил... всё осталось. Скрин можете видеть тут. Зачем эти процессы туда лезут - не понятно...
Отключите NetBios

Цитата:

J-Pro,
9. Открыл из эксплорера xls-файл(от microsoft excel). 4 раза открывался без проблем, но на пятый опять сабж. Но на сей раз по TID'у я его вычислил в процесс иксплорере. Скрин тут. Кому-то это о чём-то говорит?
На пятый раз заразились заразой.
Я же не спроста сказал включить TID, по номерам данных потоков (Threads) в ProcessExplorer нужно было посмотреть согласно скринам PID 1384 (svchost.exe) -> TID 4616, 3832, 4628 и т.д. что это за потоки, и для чтения файла одного так много потоков не создается. И обратите внимание на смещения при чтении.

Для п. 3-8 из всего сказанного остаюсь при своем ПК заражен вирусом или трояном (вылечен не доконца)

Выход загрузка с чего нибудь, проверка на вирусы и трояны двумя антивирусниками, очистка всех TEMP каталогов, и кэший броузеров, проверка на запуск всего через autoruns и так же обратить внимание на закладку драйверов, все что будет найдено проверить на удаление ссылок в реестре.

J-Pro 16-03-2009 18:10 1065634

Valeant,
Спасибо за ответ.

Цитата:

Цитата Valeant
зачем запретили shchost.exe выход в сеть »

Ну я не совсем запретил... Только на 137-139 порты(т.к. говорили, что по ним частенько трояны коннектятся) + 1900(не знал, что сидит на этом порту)

Цитата:

Цитата Valeant
как у вас например mozila в интернет выходит или как ipsec будет работать »

Простите, не понял вопрос. Мозилла в инет выходит как обычно, в жетико для него прописан "свод" правил, называется Web Browser(80 порт и т.д.).

Цитата:

Цитата Valeant
1900 порту(UDP) сидит служба обнаружения SSDP (SSDP Discovery) -> лучше вообще данные службы отключить SSDP Discovery и UPnP (универсальная система Plug & Play) »

В настройках моего рутера я видел где-то пункт UPnP enabled. Может, из-за этого не стоит отключать? Или это не касается моего компьютера? (простите, в вопросах UPnP и SSDP не шарю :)) И если не сложно, не могли бы Вы подсказать, как правильно их отключить?

Цитата:

Цитата Valeant
Отключите NetBios »

Тут тоже, если можно, подскажите, как правильно его отключить? В свойствах подключения к сети NetBios'а нет.

Цитата:

Цитата Valeant
На пятый раз заразились заразой »

Как же заразился, если ничего не делал между этими попытками? Разве такое возможно? Разве что что-то само запустилось по расписанию какому-нить...

Цитата:

Цитата Valeant
нужно было посмотреть согласно скринам PID »

Нда, я посмотрел, но не там, где надо :) На днях тест повторю. Результаты запощу.

Цитата:

Цитата Valeant
ПК заражен вирусом или трояном (вылечен не доконца) »

Тут я согласен, естественно... Но беспокоит вопрос: может ли быть заражен сам svchost.exe? Или какие-то другие процессы? Т.е. достаточно ли будет удалить заразу в виде длл и фигни, запускающейся автоматом? Ведь svchost.exe так часто коннектился по 137 порту из-за заражения или... ?

Спасибо!

[добавил]P.S.:
Цитата:

Цитата Valeant
поищите описание данных Trojan.Fakealert в интернете »

Кому интересно, вот описание и инструкции по удалению. Я почитал, но, как можно заметить, файлы дллек у меня были абсолютно другие. Но я ещё проверю на наличие описанных в ссылке.

Valeant 16-03-2009 18:40 1065673

Если в системе есть зараженный файл (*.dll, *.jpg, *.exe, *.tmp, *.temp и т.д.) и он прописался в реестре (т.е. механизм запуска через драйвера, службу и т.д) то сколько не запускай ПК само тело будет каждый раз выполнять процедуру заражения вашего ПК - поэтому говорю загрузка с диска или флэшки, антивирусы (только с новыми базами) должны это устранять как нам хотелось бы, но не всегда.....

По чаше посещайте http://www.viruslist.com/ru/index.html (особенно Новые описания),
http://www.viruslist.com/ru/viruses/...pter=152526512 или с подобной тематикой.

Да и очень много процессов запущено на данном пк согласно скрина http://img18.imageshack.us/img18/3509/processlist.png, а они вам все нужны эти процессы.

Все вопросы которые вы затронули можно по ним "научный труд писать", думаю данный форум предназначен не для этого, а информацию по данным вопросам можно найти в интернете.

J-Pro 16-03-2009 20:45 1065793

Valeant, я прошу прощения за, быть может, ламерский вопрос, но может ли вирусоносная длл-ка может заставить svchost.exe(к примеру) коннектиться куда-то на свой адрес? Или для этого обязательно должен быть заражён(изменён) сам файл svchost.exe?

Цитата:

Цитата Valeant
Да и очень много процессов ... они вам все нужны»

Да, все нужны. Я же не буду ставить их для смеха :)

Цитата:

Цитата Valeant
Все вопросы которые вы затронули можно по ним "научный труд писать", думаю данный форум предназначен не для этого, а информацию по данным вопросам можно найти в интернете »

Наверное, Вы правы, спасибо.

P.S.: На одном форуме посоветовали тулзу Unhackme. Скачал, дома попробую. Ещё действительно засомневался в авире, тем более в её работе в х64 системах. Запустил в нёй проверку системных дир винды, дык он как раз SysWOW64 и не проверил. Только system32 и т.д. Решил найти альтернативу, глянул топы антивирусов, вроде, битдефендер один из лучших - тож скачал бесплатную версию, проверю комп им. Ещё попробую провериться Ad-Aware, помню, в своё время он хорошо себя показал. О результатах сообщу.

J-Pro 17-03-2009 06:21 1066011

Valeant, поставил Unhackme, она висит в трее и через этот значок в трее можно запустить сканер. Так вот, жму правой кнопкой, выбираю "вызвать Unhackme"(процесс reanimator.exe) и винт снова начинает шуршать. Смотрю процмон, вижу это. Поступил, как Вы советовали, нашёл сриды: вот. Что можно об этом сказать?

Valeant 17-03-2009 16:12 1066425

J-Pro,
По поводу Ad-Aware - очень хорошая программа, только та что старенькая SE, только к ней поновей базу файл defs.ref, очень хорошо справляется с возложенной на нае задачей.

Цитата:

Да, все нужны. Я же не буду ставить их для смеха
??????

Все svchost запускаются процессом services.exe. Используется единый процесс для работы нескольких сервисов (хорошо видно в ProsessExplore расположив столбец Process в виде дерева нажав лев.кн.мыши несколько раз на данном названии столбца)
В ветке HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services перечислены все сервисы данной системы, в поле ImagePath видна команда запуска .

Например
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess
ImagePath = %SystemRoot%\system32\svchost.exe -k netsvcs

Некоторые вирусы, трояны и т.д. маскируются под имя svchost, замещая настоящий на свою копию.
Или даже используют способ загрузки через драйвера, устанавливая свой драйвер в систему и запуская его при запуске системы.

Цитата:

J-Pro,
но может ли вирусоносная длл-ка может заставить svchost.exe(к примеру) коннектиться куда-то на свой адрес? Или для этого обязательно должен быть заражён(изменён) сам файл svchost.exe?
Не обязательно.

Цитата:

J-Pro,
происходит циклическое однообразное обращение к диску на протяжении от 10 до 20 минут.
На что бросаются глаза так это Length 512
Наверное надо было бы начать с начало, а установлены ли драйвера на материнку, а в каком режиме работает винт PIO или UDMA? А с какой скорость копируются файлы куда нибудь?
И не как не пойму по ProcMon полное название операции Read....., есть операции чтения через FAST_IO_ напрямую, или IRP_MJ_ через драйвер. У вас версия какая.

Данной программой Unhackme не пользовался, достаточно хорошая autoruns.exe из этой же серии где в закладке Service и Drivers и Logon ищем все подозрительное.

J-Pro 19-03-2009 18:19 1068543

Valeant, три ночи я, простите, трахался с компом, пробовал то Unhackme, то Ad-Aware AE(свежая версия), то авторанс. В общем, первая чё-то нашла, удалила, потом не нашла, потом опять нашла, в общем, её поведение мне абсолютно неясно. Единственное, чем она помогла - тем, что дала мне понять, что на компе руткиты, т.к. файлы найденных "угроз" не были обнаружены. В общем, раз 10, наверное, я перегружался, пробовал различные методы сканирования и лечения этой программой, результат один и тот же - всё равно это злосчастное обращение к диску при открытии файлов другой программой(не только фаром, но и из какого-нить сетапа галкой "запустить программу" и т.д.).

Вчера ночью я попробовал Ad-Aware. Помнится, пару лет назад я тоже успешно использовал Ad-Aware SE, она мне помогала. А тут, блин, нашла один вирус, и то, тот, который лежал в папке карантина доктора веба :) В общем, тоже не помогла.

Ну а потом я решил, всё-таки, потратить время и тщательно просмотреть все закладки autoruns.exe. Нашёл там(в драйверах и сервисах) штук 7-8 записей, файлы которых найдены не были. Хоть и у некоторых было написано что-то умное в названии, я нафиг поудалял, потому что если файл не найден, думаю, это как раз тот руткит, который НЕ нужен. Перегрузился, перепроверил ещё раз, вроде ничего похожего. Попробовал пооткрывать файлы из фара: 10 попыток, разные файлы - все нормально открылись. Какая-то радость есть, но всё же и сомнение, что удалил не всё, тоже осталось. Ведь, если ни авира, ни анхакми, ни адэвэйр не нашли эту фигню, то разве можно так просто с помощью авторанс её раз и навсегда удалить? Наверняка у неё припасено что-то в другом месте :) Хотя... поживём - увидим.

В любом случае, Valeant, Вам ОГРОМНОЕ спасибо за помощь, я узнал много нового ;)

P.S.: После "лечения" и последующей перезагрузки, глянул в процмон, а там свхост "шерстит" все файлы, шо есть на винтах одним своим сридом(у которого в столбце Start Address было 0х00 - что-то такое). Предполагаю, что это работа какого-то майкрософтовского индексера-поисковика... Ткните плиз в тему, ежели такая имеется, где описано, как этот поисковик вырубить. Всё равно, если я что-то ищу - пользуюсь фаром, а эти постоянные индексации мне абсолютно не нужны... (если, конечно, это были они :))

Valeant 19-03-2009 21:05 1068710

Про индекс - поисковик наверное шутка - это легко проверяется включить ProcMon поставить фильтр на данную службу
Microsoft Windows Search Indexer - команд линия C:\Windows\system32\SearchIndexer.exe /Embedding и посмотреть в течения часа какая же будет активность данной службы в этом окне, например у меня она не отключена да и незаметно когда она работает (загрузка на проц) может дать ей время отработать и все успокоится.

SearchIndexer.exe - запускает два процесса
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchProtocolHost.exe

Иногда сидит в памяти занимая 40MB, но вот заметил из всего процессорного времени работы наблюдая в ProcessExplorer при обычной работе открытие документа, файла в проводнике и т.д. что-то она неактивна по процессорному времени (CPU Time):
- Idle - 2:00:26.467
- SearchIndexer.exe - отработала 0:00:06.426

Так что в ней проблем не вижу

Не знаю как вы а я еще пользуюсь очисткой реестра. "Почаще" запускайте ProcessExplorer и autoruns, и будет вам "счатье", будете видит перед глазами одно и то же т.е. все запущенные процессы, и если вдруг появится новый то сразу же бросится в глаза.

J-Pro 20-03-2009 03:41 1068980

Valeant, про SearchIndexer понял, спасибо. Значит, это не он.

Только что включил комп, прошло немного времени и повторилось то, что я перепутал с индексированием. Вы Вашим опытным взглядом не могли бы осмотреть и попробовать определить, что это может быть? Я всё сохранил, как нужно. Итак, лог процмона(взял скрины из четырёх его частей, сверху вниз): первый, второй, третий, четвёртый. А вот тут открытый срид с ID 2444. Что скажете, что это может быть? Всё тот же троянец или ординарные действия ОС?

Спасибо Вам огромное заранее...

Valeant 20-03-2009 15:36 1069390

Из Command Line строки у вас видна команда на запуск
c:\windows\system32\svchost.exe -k secsvcs - WinDefend системный сервис Vista.

Очень странное svchost с PID 986, да и странный поток 2444 и 304 у которых нет название в поле Start Address а просто стоит 0x0. Судя по названиям Operation идет просто сбор информации по файлам, а если перейти в закладку Services то можно было бы увидеть какие сервисы запускаются этим svchost.

А зачем так много антивирусных программ WinDefend, Antivirus и Ad-Aware да еще и одновременно. Отключите оставьте что нибудь одно, можно начать с WinDefend.

J-Pro 20-03-2009 15:58 1069410

1. Сегодня при открытии архива из фара(шифт+ентер=>открывается винрар) опять произошёл сабж :( Все остальные файлы, вроде, пока открываются быстро.

2.
Цитата:

Цитата Valeant
у которых нет название в поле Start Address а просто стоит 0x0 »

Вот и мне так показалось.

Цитата:

Цитата Valeant
если перейти в закладку Services »

Буду знать :) Пытался посмотреть стэк срида, дык недоступен...

Цитата:

Цитата Valeant
А зачем так много антивирусных программ WinDefend, Antivirus и Ad-Aware да еще и одновременно. Отключите оставьте что нибудь одно, можно начать с WinDefend »

Ad-Aware, как я понял, у меня стоит без антивируса, только руткиты и всякое адвэйр. А на вирусы проверяет авира. А Дефендер надо бы отключить, достал он меня своими обновлениями. Да и нафиг он нужен, если всё это время работал и пропустил троян...

J-Pro 20-03-2009 21:02 1069701

Да и ещё... сегодня в процессе работы за компом вылетел синий экран. Дамп весь сохранил на всякий случай. Если кому интересно - выложу. За полгода работы системы это первый синий экран.
На одном форуме вычитал, что:
Цитата:

...
Whenever Windows detects that any of the PFN lists or any of the PFN entries themselves have become invalid, the system halts with a PFN_LIST_CORRUPT bugcheck. This bugcheck usually occurs for one of two reasons, the first reason being memory corruption. If there is a buggy driver in the system that is writing on memory that it does not own, it could easily corrupt one of the PFN lists or entries. In order to rule this out, you should run Driver Verifier with Special Pool enabled for suspect drivers in the system. This will hopefully allow you to catch the misbehaving driver in the act of scribbling memory, instead of receiving a crash sometime later when the O/S discovers the damage.
The second cause for this bugcheck is incorrect MDL handling.
...
Может, это действительно произошло из-за трояна, который грузится драйвером? Но в авторанс я ничего подозрительного больше не видел... Хотя... это нужно каждый драйвер проверять в гугле из списка :(

Добавил: Да, кстати, проанализировав ошибку по этой и этой страничке, выяснил, что причина: "A driver attempted to free a page that is still locked for IO. " Из дампа можно узнать, что за драйвер?

Valeant 21-03-2009 11:46 1070130

Из джампа узнать драйвер пользуюсь

1. установить Debugging Tools for Windows http://www.microsoft.com/whdc/DevToo...g/default.mspx
2. сценарий http://tools.oszone.net/Vadikan/files/kdfe.zip
3. далее выполнить сценарий kdfe.cmd указав в качестве параметра путь к файлу дампа памяти Mini*.dmp

kdfe.cmd "%systemroot%\Minidump\Mini1110307-01.dmp"

J-Pro 22-03-2009 03:14 1070775

Valeant,
Спасибо Вам за ответ, очень полезная информация, взял на вооружение.

Всё запустил, итог:
Код:

Crash date:        Wed Mar 19 05:45:06.678 2008 (GMT+2)
Stop error code:    0x4E_9a
Process name:      System
Probably caused by: NETIO.SYS ( NETIOWfpPoolFree+19 )

Видимо, синий экран не связан с вирусом... Как Вы думаете?

Цитата:

Цитата Valeant
а если перейти в закладку Services то можно было бы увидеть какие сервисы запускаются этим svchost. »

Сегодня с винраром ситуация повторилась и я зашёл в сервисы. Вроде ничего подозрительного, вот скрин.

Valeant 22-03-2009 19:05 1071200

Цитата:

J-Pro,
Probably caused by: NETIO.SYS ( NETIOWfpPoolFree+19 )
драйвер NETIO.SYS по названию понятно NET и I/O - сетевая подсистеме ввода/вывода, а внутри данного файла можно обнаружить
..N e t w o r k I / O S u b s y s t e m ...M i c r o s o f t R W i n d o w s R O p e r a t i n g...
много программ используют его в своих целях и в том числе firewall и антивирусные программы с встроенными firewall.
Лучше для начало обновить драйвера на материнку chipset и на сетевую карту, потом поставить посвежее firewall.

И например после выхода SP1 вышли патчи http://support.microsoft.com/kb/952709 например в этом есть так же данный драйвер netio.sys. Для информации http://www.cybersecurity.ru/news/59522.html

Так же рекомендую поставить параметр в реестре
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
DisablePagingExecutive = 1

Отменяет выгрузку компонентов ядра на HDD (файл подкачки), как то попадалось в интернете сообщение, которое взял на заметку, при проблемных драйверах от сторонних производителей (которые часто устанавливаются с программой) помогает избежать вываливания в синий экран.

Цитата:

J-Pro,
Сегодня с винраром ситуация повторилась и я зашёл в сервисы. Вроде ничего подозрительного, вот скрин.
Смысл не понял winrar и данного скрина для svchost, какая взаимосвязь между ними.

J-Pro 22-03-2009 20:49 1071266

Цитата:

Цитата Valeant
Лучше для начало обновить драйвера на материнку chipset и на сетевую карту »

Сначала думал переставить систему, но теперь, наверное, буду пробовать драйвера и патчи. Хуже быть не может :) Кстати, а что, эти патчи в обновления не включаются? Просто у меня всегда последние обновления ОС...

Цитата:

Цитата Valeant
Отменяет выгрузку компонентов ядра на HDD (файл подкачки) »

Вот это интересно... Поставлю. Памяти у меня 8 гигов, можно вообще без файла подкачки работать(в принципе, его начальный размер я сменил до 512 метров и по статистике перформанс логов он почти не используется)

Цитата:

Цитата Valeant
Смысл не понял winrar и данного скрина для svchost, какая взаимосвязь между ними »

Я писал выше, что сабж больше не наблюдался, кроме одного раза, когда из фара я открыл архив(Shift+Enter). Т.е. когда фар вызвал винрар и передал ему этот архив в качестве аргумента. Вы мне написали, что я мог увидеть сервисы свхоста. Так вот, подобная ситуация с архивом повторилась и я посмотрел сервисы.

Добавил:

Цитата:

Цитата J-Pro
а что, эти патчи в обновления не включаются? »

Вот, проверил, у меня эти патчи стоят. В подтверждение скрин.

И ещё: почему то аплоад слабенький стал, глянул тспвью, увидел такую картину. Вы Вашим опытным взглядом, не могли бы сказать, это здоровые коннекты и "слушания"?

Valeant 23-03-2009 13:35 1071965

J-Pro,
NetBios - можно отключить, SSDP - можно отключить,
Для информации хороший сайт есть http://www.winblog.ru/ там есть ссылка http://www.winblog.ru/2006/10/23/23100610.html

J-Pro 21-04-2009 18:20 1100230

Эхх, не думал, что придётся сюда вернуться :)

В общем, с отключённым NetBios и SSDP (правда, через файрвол, но всё же) прожил какое-то время в старой висте, с сабжем. Позавчера решил переставить. Переставил ту же версию(СП1), скачал все апдейты, снова, как и при установке предыдущей системы отключил сервис superfetch(т.к. где-то читал, что из-за него при загрузке идёт долгое обращение к винту) и поставил весь тот же софт(кроме apache, squid и ftp). Прошёл день и вчера решил включить компьютер поработать. Включил, запустил файрфокс, затем нажал на ярлык thunderbird'а в Quick Launch'е и вспомнил "былые времена"... Thunderbird запустился через 10-15 минут, а в это время винт снова шуршал и происходили вышеописанные вещи :( На сей раз из фара ничего не запускал... просто дважды кликнул по ярлыку в Quick Launch'е.

Я в отчаянии... Вирусов нет точно. Видимо, конфликтует софт. Но какой и где - понятия не имею. Мало того - даже с помощью такого супер-софта, как от sysinternals, к сожалению, ничего нельзя сделать :( Или просто я не умею...

Было бы очень неплохо, если б Вы, знающие люди, дали её какие-то рекомендации, учитывая сложившуюся ситуацию. Как бы Вы поступили в данном случае?

Спасибо огромное заранее!

Valeant 21-04-2009 20:57 1100342

Привет J-Pro,

Цитата:

отключил сервис superfetch(т.к. где-то читал, что из-за него при загрузке идёт долгое обращение к винту)
Более понятно, на пальцах

Цитата:

Достоинства SuperFetch
В целях использования ОЗУ как кэша Vista задействует технологию SuperFetch для эффективного управления ресурсом. Алгоритм управления памятью многошаговый.
Сперва SuperFetch отслеживает пользовательскую активность и определяет наиболее часто используемые приложения, для чего создаёт базу данных, которая перманентно обновляется по ходу работы пользователя. В соответствии с информацией из этой базы данных, SuperFetch даёт инструкцию "Дефрагментатору диска" (Disk Defragmenter) следить за стратегическим расположением на диске часто запускаемых приложений, чтобы их можно было как можно быстрее загрузить в память, минимизируя при этом количество физических движений головок чтения/записи. Затем при каждом запуске системы SuperFetch заранее загружает эти приложения в память. Таким образом, когда вы запускаете свою любимую программу, она выгружается намного быстрее из кэша ОЗУ, чем когда система читает её с диска и загружает в память.
На первый взгляд процесс выглядит завершённым, но это не так. SuperFetch играет гораздо более значительную роль в способности системы сохранять свою эффективность со временем.
Поскольку среда оперативной памяти энергозависима и множество приложений одновременно требуют определенного объема, SuperFetch задействует технологию расстановки приоритетов операций ввода/вывода, которая помечает каждое приложение как программу с относительно низким или высоким приоритетом ввода/вывода.
Благодаря такой системе, SuperFetch определяет приложение с низким приоритетом как побочное, а приложение с высоким приоритетом — как главное. При этом SuperFetch постоянно отслеживает изменения приоритетов, чтобы система могла реагировать сообразно и в дальнейшем.
Представьте, что вы сравнительно долго работаете с документом в программе Word. Всё это время приложение Word распознаётся системой как программа с высоким приоритетом и, соответственно, определяется как главная. Когда вы уходите на обеденный перерыв, Word перестаёт быть активным приложением и другие работающие в фоновом режиме задачи, включая "Дефрагментатор диска", понимают, что ресурсы системы свободны и начинают действовать.
Когда это происходит, "Дефрагментатор диска" получает высокий приоритет, а Word — низкий, и SuperFetch удаляет Word из памяти в файл подкачки, освобождая место для процессов "Дефрагментатора диска". А сразу же по завершении этих процессов SuperFetch заново возвращает Word обратно в кэш памяти, поэтому, когда вы приходите с обеда, скорость отклика Word остаётся той же, какой и была в момент вашего ухода (то есть системе не потребуется загружать Word в память).
www.winblog.ru
Только вот все фоновые операции в Vista - сканирование Defender, индексирование поиска используют приоритет ввода-вывода Very Low (Очень низкий), в том числе и подгрузка программ в память.
Про то что винчестеры работают в UDMA-5 не спрашиваем, по тому что считаем что они работают.
Если только у вас не очень много программ, да и скорость чтения с винта не очень, тог да может и нужно отключить SuperFetch.

1.Смотрим журнал сообщений о работоспособности в системе Пуск->Администрирование->Просмотр событий
Смотрим все сообщения в журнале Windows.

2.Пуск->Администрирование->Монитор стабильности системы
С начало Монитор стабильности, потом в системном мониторе можно поставить счетчик на любое действие системы, но надо правда надо знать на что (http://www.microsoft.com/rus/technet...onitoring.mspx)

3.Свойства системы -> Параметры быстройдействия -> Оптимиз.работу программ

4.Панель управления -> Система -> Быстродействие системы (в самом низу) -> Дополнительные инструменты -> Создать отчет о производительности
Через 60сек будет отчет создан - посмотреть его

5. Раз есть под рукой программы от sysinternals, то начните я думаю с дефрага диска С, удалить все точки восстановления ну то есть обнулить их, освободиться от всего ненужного из ПО, далее на пол экрана открыть ProcessExplorer оставить ПК, чтоб "успокоился" т.е. Idle 95-99% и смотреть на поведение системы ну 5-10мин. Из запущенных служб будет работать обычно (если много чего не установлено) только Dwm.exe, да Interrups и DPS - но в сумме не более 2%. Ну потом запускать программу и отслеживать изменение в системе. Если было на что обратить внимание, то запускаем ProcMon и ищем в нем.

Забыл спросить а проц какой Core 2? Случайно в Bios не стоит включенным опция включения режима (Enhanced Intel Speedstep) перевода его на пониженную частоту (уменьшение множителя и питания), а при нагрузках множитель переключится на максимум, только вот когда он наступит.

Если все это хоть на что нибудь натолкнуло, то исправляем.


Время: 16:46.

Время: 16:46.
© OSzone.net 2001-