-
Junior Member
- Вес репутации
- 61
Последствия netsh.exe
По-видимому, подцепил что-то связанное с netsh.exe. После загрузки появляется окно netsh.exe. Система тормозится, в трее нет большинства моих иконок, в том числе раскладки клавиатуры. В списке процессов 2 экземпляра netsh.exe и 6 экземпляров svchost.exe.
Утилитой CureIt от Dr Web пролечил в безопасном режиме.
Кроме того, теперь в безопасном режиме процесс services.exe занимает 99% процессорного времени. Пробовал полечить AvpTool, так за час проверило только 67 файлов (<1%). В обычном режиме процесс services.exe занимает много процессорного времени только во время загрузки. Затем он становится 0%. Поэтому AvpTool не пролечил. AvpTool пролечил в обычном режиме. После этого окно с netsh.exe не появляется.
Не могу сделать логи с помощью HijackThis.exe. На следующем шаге приостанавливается, видно на скрине.
Дает следующее сообщение:
Смог продолжить лог только после того, как закончил процесс msiexec.exe, который связан с Windows Installer, и самый большой svchost.exe. Вообще начались проблемы с Windows Installer, не дает деинсталлировать программы.
Вот такой набор образовался. Высылаю логи.
Последний раз редактировалось StepIn; 16.10.2008 в 19:01.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
-
-
Junior Member
- Вес репутации
- 61
Скрипт выполнил. Вот новые логи.
Последний раз редактировалось StepIn; 16.10.2008 в 19:01.
-
Сообщение от
StepIn
Скрипт выполнил. Вот новые логи.
Акронис Тру Имадж остановите хоть на время лечения, образ последний удалите - там звери.
В логе Хайджека
Код:
...
192.168.2.2;
:http:www.gazeta.ru/;
:http:www.rsdn.ru/;
194.154.75.207....
это так и было или Вы так скопировали?
-
-
00000ED9.sys- попробуйте поискать припомощи авз и прислать ....
если не получится авз - модули пространства ядра снимите дамп запакуйте и пришлите ...
-
-
Junior Member
- Вес репутации
- 61
>>Акронис Тру Имадж остановите хоть на время лечения, образ >>последний удалите - там звери.
Акронис Тру Имадж не запущен. Запущен только агент scheduler, но никаких задач нет, никакие образы не создаются. К сожалению удалить Акронис сейчас не могу, так как проблемы с Windows Installer. Как восстановить Windows Installer?
>>В логе Хайджека это так и было или Вы так скопировали?
Все так и было. Это у меня были проблемы с прокси, и я прописал эти адреса в Интернет опциях броузера.
>>00000ED9.sys- попробуйте поискать припомощи авз и прислать ....
>>если не получится авз - модули пространства ядра снимите дамп >>запакуйте и пришлите
Этот файл найти не получилось. Но после рестарта системы появляется похожий модуль с другим именем. Высылаю дамп 0000121D.sys.
Последний раз редактировалось StepIn; 16.10.2008 в 19:01.
-
Junior Member
- Вес репутации
- 61
Уважаемый V_Bond, что вы можете сказать про дамп модуля пространства ядра?
-
похоже он не вредоносен ....
-
-
Junior Member
- Вес репутации
- 61
Спасибо за ответ, V_Bond. Не подскажете, как восстановить Windows Installer? Я сейчас не могу ни установить, ни деинсталлировать программы. И как можно восстановить иконки в трее, в том числе иконку раскладки клавиатуры?
-
-
-
Junior Member
- Вес репутации
- 61
Еще раз большое спасибо V_Bond, с языковой панелью на рабочем столе все в порядке.
Про редистрибутор Windows Installer я знаю, но, к сожалению, на компьютере сейчас нельзя ни установить, ни деинсталлировать никакие программы. Деинсталляция программ зависает сразу после начала. Пока не нашел процесс, который ее держит. Установка Windows Installer начинается, но практически сразу и заканчивается. Очень быстро, не так как обычно. Аналогичная ситуация в безопасном режиме.
Есть еще какие-то варианты?
-
при попытке инсталировать какая - нибуть ошибка выдается ?
пуск - выполнить sfc /scannow (понадобиться дистрибутив)
-
-
Junior Member
- Вес репутации
- 61
Установка Windows Installer начинается, и практически сразу заканчивается. Никаких ошибок нет при этом. Наверное, это нормальный процесс инсталляции, в случае уже установленной Windows Installer. Акронис по-прежнему удалить не могу. Но возможно это проблемы моего экземпляра на моем компьютере. Другие программы пробовал инсталлировать и деинсталлировать, все хорошо. Правда, они не msi.
sfc /scannow выполнил без сообщений.
С системой дальше проблемы:
Логи с помощью HijackThis опять могу сделать только после окончания процесса svchost.exe. Хотя вчера и позавчера HijackThis делал логи без остановки.
При переключении дисков из Total Commander наблюдаются тормоза.
Сначала была проблема с IE при работе через прокси. Без прокси IE нормально открывал сайты, а с прокси зависал. Сейчас IE зависает и без прокси. При этом Opera работает без проблем.
Высылаю логи.
Последний раз редактировалось StepIn; 16.10.2008 в 19:01.
-
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
-
-
Junior Member
- Вес репутации
- 61
Скрипт выполнил. Карантин выслал. Новые логи.
Последний раз редактировалось StepIn; 16.10.2008 в 19:01.
-
сейчас ничего зловредного ...
-
-
Junior Member
- Вес репутации
- 61
Логи с помощью HijackThis уже можно делать без остановки.
При выборе дисков из Total Commander остаются тормоза. Переустановил Total Commander, проблема осталась.
Сейчас IE виснет при работе через прокси. Без прокси IE все нормально. Opera работает без проблем.
-
Сообщение от
StepIn
При выборе дисков из Total Commander остаются тормоза. Переустановил Total Commander, проблема осталась.
возможно какой - то из дисков свалился в pio режим
Сообщение от
StepIn
Сейчас IE виснет при работе через прокси. Без прокси IE все нормально. Opera работает без проблем.
не допускаете что проблема в прокси ?
-
-
Junior Member
- Вес репутации
- 61
возможно какой - то из дисков свалился в pio режим
Нет, посмотрел - диск стоит Ultra DMA 5. Вчера - позавчера тоже был тормоз. Потом на время пропал. Теперь опять появился.
не допускаете что проблема в прокси ?
Думаю что нет, так Opera работает через прокси. Скорее всего настройки IE.
Как вы думаете установка SP3, поможет? Или обождать?
-
SP3 стоит попробовать поставить ...
-