Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Защита ОС: вирусы, антивирусы, файрволы. (https://forum.antichat.xyz/forumdisplay.php?f=80)
-   -   Вирус на компе. (https://forum.antichat.xyz/showthread.php?t=155780)

waik 11.11.2009 18:24
Вирус на компе.
 
Здравствуйте.На компе у меня висит интерестный зверь.Вот его особенности:

-Вырубается инет.В день раза 4.Но не каких левых
соединений нету.

-Интернет соединение удоляеться.Приходиться создавать
новые.

-Установлены на компе Dr.web(обновляеться) +outpost фаер(некого не пускает и невыпускает)

-Неоправданно лагает комп.Загрузка ЦП не соответствует загрузке процессов.


-Проверял CureIt и AVZ обновленными,проверял
полностью в безопасном режиме но они молчат.


-Есть много странных процессов на компе.(на мой взгляд)


Что делать?Прошу вашей помощи.

Xcontrol212 11.11.2009 20:16
Цитата:
Сообщение от waik
Здравствуйте.На компе у меня висит интерестный зверь.Вот его особенности:

-Вырубается инет.В день раза 4.Но не каких левых
соединений нету.

-Интернет соединение удоляеться.Приходиться создавать
новые.

-Установлены на компе Dr.web(обновляеться) +outpost фаер(некого не пускает и невыпускает)

-Неоправданно лагает комп.Загрузка ЦП не соответствует загрузке процессов.


-Проверял CureIt и AVZ обновленными,проверял
полностью в безопасном режиме но они молчат.


-Есть много странных процессов на компе.(на мой взгляд)


Что делать?Прошу вашей помощи.
а ты уверен,что это вирус?
Мб при криво поставлен драйвер к видюхе или куда-нибудь,или проблема с железкой!
Пробывал откат делать? и скажи когда примерно начала лагать твой ПК?

Logatel 11.11.2009 21:09
Проверял в безопасном режиме?
Попробуй Live CD.

B0o0M 11.11.2009 21:29
А попробуй посмотреть что у тя из процессо в грузиццо, или сделать аткат системы
была падобная проблема личился откатом

waik 11.11.2009 23:50
не-не откат делать не есть хорошо.Не хачу в общем откат делать.

Xcontrol212 12.11.2009 00:00
Цитата:
Сообщение от waik
не-не откат делать не есть хорошо.Не хачу в общем откат делать.
мне кажется,что у тебя там не вирус,а проблема
Если ты хочешь откат делать,то я уверен на 99%,то,что проблема,почему лагает осень трудно,т.к. винда большая и найти компонент из-за которого лагает.... :p

waik 12.11.2009 00:02
А что может вызывать отключение инет-подключения,помогает только ребут компа.

LStr1ke 12.11.2009 00:02
Чисти/проверяй реестр.
Посмотри процессы, конкретные пути заапущенных процессов.
Подозрительные файлы отсылай на проверку. Смотри логи фаера, просканируй трафф, возможно что-то где-то сидит без ведома фаера.

waik 12.11.2009 00:04
чисти/проверяй реестр.Может ты поточнее скажешь куда смотреть.реестр он не маленький.

RazdoR 12.11.2009 01:36
Цитата:
Сообщение от waik
А что может вызывать отключение инет-подключения,помогает только ребут компа.
И еще тема оформления сменяется на классическую?

waik 12.11.2009 01:46
Я всегда на классической сижу.Я классическую сразу ставлю как винду ставлю.

waik 12.11.2009 02:02
а скины чего?Диспетчера задач?

Fepsis 12.11.2009 02:09
1) какова реакция компьютера на работу в безопасном режиме..?!
2) работа в безопасном режиме с загрузкой сетевых подключений какой результат показывает..?! (инет так же вырубается..!?)
3) выдает ли комп какие-то сообщения, ошибки при отключении интернета..?! Как скоро после включения зависает комп и начинаются проблемы..?!
4) почему не хочешь делать откат..?!

=Zeus= 12.11.2009 02:09
Короче либо делай следующее и клади сюда, либо иди лесом. Тут телепатов нету.

1. Скрин всех процессов через программу "ProcessExplorer"
2. Лог программы "HiJackThis"
Это для начала. Еще лучше просканиться LiveCD из-под безопастного, и пересмотри политику безопастности фаера, какие программы добавлены в исключения, ненужные\неизвестные удали, а для таких как svchost.exe внимательно посмотри, что да как.

waik 12.11.2009 02:17
Цитата:
Сообщение от Fepsis
1) какова реакция компьютера на работу в безопасном режиме..?!
2) работа в безопасном режиме с загрузкой сетевых подключений какой результат показывает..?! (инет так же вырубается..!?)
3) выдает ли комп какие-то сообщения, ошибки при отключении интернета..?! Как скоро после включения зависает комп и начинаются проблемы..?!
4) почему не хочешь делать откат..?!
1)Грузиться отлично без проблем,работает тоже отлично

2)Не включал сеть в безопасномю

3)Нет никаких ошибок.Соединение просто вырубается.Комп не зависает,просто при двойном клике на соединение нечего не происходит.Помогает только перезагрузка.

4)Настроен конфиг для каждого юзера.+делать сейвы нужных ветко в реестре.

Fepsis 12.11.2009 02:27
Ну если просто в безопасный режим зайти, то понятно что сети не будет... Попробуй "Безопасный режим с поддержкой сетевых драйверов"...
Попробуй убрать всё из автозапуска в msconfig...
Какой интернет кстати..?!

waik 12.11.2009 02:32
интернет VPN.
http://s43.radikal.ru/i099/0911/93/80e5d76f8300t.jpg

waik 12.11.2009 02:33
Код:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 9:16:32, on 01.01.2002
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
J:\WINDOWS\System32\smss.exe
J:\WINDOWS\system32\winlogon.exe
J:\WINDOWS\system32\services.exe
J:\WINDOWS\system32\lsass.exe
J:\WINDOWS\system32\svchost.exe
J:\WINDOWS\System32\svchost.exe
J:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe
J:\WINDOWS\system32\nvsvc32.exe
J:\WINDOWS\system32\svchost.exe
J:\WINDOWS\system32\winlogon.exe
J:\WINDOWS\Explorer.EXE
J:\PROGRA~1\DrWeb\spiderui.exe
J:\WINDOWS\SOUNDMAN.EXE
J:\WINDOWS\ALCWZRD.EXE
J:\Program Files\DrWeb\SpIDerAgent.exe
J:\WINDOWS\system32\ctfmon.exe
J:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - J:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - J:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [OutpostMonitor] J:\PROGRA~1\Agnitum\OUTPOS~1\op_mon.exe /tray /noservice
O4 - HKLM\..\Run: [OutpostFeedBack] "J:\Program Files\Agnitum\Outpost Firewall Pro\feedback.exe" /dump:os_startup
O4 - HKLM\..\Run: [SpIDerNT] J:\PROGRA~1\DrWeb\spiderui.exe /agent
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE J:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [SpIDerAgent] J:\Program Files\DrWeb\SpIDerAgent.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] J:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] J:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] J:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-21-1177238915-1644491937-839522115-1003\..\Run: [CTFMON.EXE] J:\WINDOWS\system32\ctfmon.exe (User 'Waik')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] J:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] J:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://J:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Быстрая настройка Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - J:\Program Files\Agnitum\Outpost Firewall Pro\ie_bar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - J:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - J:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - J:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{64147522-9974-483C-976F-736F2A77FCCE}: NameServer = 10.1.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{B2804CDE-B107-403D-8B87-8609599CACC3}: NameServer = 10.1.1.2 195.200.95.29
O17 - HKLM\System\CS1\Services\Tcpip\..\{64147522-9974-483C-976F-736F2A77FCCE}: NameServer = 10.1.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{64147522-9974-483C-976F-736F2A77FCCE}: NameServer = 10.1.1.1
O20 - AppInit_DLLs: j:\progra~1\agnitum\outpos~1\wl_hook.dll
O23 - Service: Agnitum Client Security Service (acssrv) - Agnitum Ltd. - J:\PROGRA~1\Agnitum\OUTPOS~1\acs.exe
O23 - Service: Dr.Web ® Scanning Engine (DrWebEngine) (DrWebEngine) - Doctor Web, Ltd. - J:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - J:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - J:\WINDOWS\system32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - J:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - J:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - J:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - J:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - J:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SpIDer Guard for Windows (SPIDERNT) - Doctor Web, Ltd. - J:\PROGRA~1\DrWeb\spidernt.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - J:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - J:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - J:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 5839 bytes

waik 12.11.2009 16:17
это уже гон

waik 13.11.2009 19:09
теперь еще и на сайты антивирусов не заходит.сканю антивирусами в сейв моде и все молчат!


p.S hosts-чистый

Xcontrol212 13.11.2009 20:41
Диспетчер задач доступен?
предположение,что салитер у тебя там)

LStr1ke 13.11.2009 21:02
Цитата:
теперь еще и на сайты антивирусов не заходит.сканю антивирусами в сейв моде и все молчат!
Попробуй это http://www.rapidshare.ru/1250716.
---

ErrorNeo 13.11.2009 21:24
запусти regedit.exe , поставь мышу на строку HKEY_LOCAL_MACHINE => правая кнопка мыши => экспортировать.
файл заархивируй и скинь мне - если там что секретное то в ПМ - любопытно.
Может найду твоего вируса

upd.
HKEY_CURRENT_USER если не жалка тоже можешь заархивить и скинуть - там автозагрузки скрытые посмотреть мона

waik 22.11.2009 02:01
сделал откат.Все ок,но на комп постояяно попадает вирус shadow.based уже надоело удолять.Хз от кудо лезет.

Fepsis 22.11.2009 02:05
Цитата:
Сообщение от waik
сделал откат.Все ок,но на комп постояяно попадает вирус shadow.based уже надоело удолять.Хз от кудо лезет.
Заплатку от майкрософт поставь.. Название точное не помню.. Погугли... Она прикрывает дыру через которую он в винду лезет...


Время: 10:17