-
Junior Member
- Вес репутации
- 53
2-х минутное зависание XP после подключения pppoe
Windows XP Ogomor Ru + SP3 Ru + PostSP3_Ru_XP__10_06_2009_full.exe + Windows XP Pre-SP4 09.09.2009 Rus.exe
При загрузке системы (после загрузки раб.стола и трея) 29 процессов, еще 2 подгружаются спустя минуту, ещё 4 спустя 2 минуты. До полной загрузки всех 35 системой пользоваться можно, но безрезультатно. До проверки с помощью AVP Tool, система вешалась на 2-3 минуты сразу после подключения соединения pppoe. Невозможно было зайти в почту Gmail через IE8, но решалось очисткой кэша. В списке пользователей диспетчера задач отсутствовали пользователи, в списке процессов также отсутствовали имена учетной записи процессов. Решилось включением ранее отключенной службы терминалов.
После проверки AVP, и лечения sfc_os.dll, проблема с pppoe исчезла, с процессами при начальной загрузке осталась. При подключении, отправляется принимается порядка 4 кб, но это наверное нормально?
Еще при установке сервис-паков и апдейтов слетело оформление огомора, любые, даже вновь устанавливаемые темы, теперь не меняют оформления панели и окон, цветовые схемы. Но это наверно вопрос не сюда.
Добавлено через 10 минут
UP: Проблема с pppoe вернулась сразу же, на втором подключении
Последний раз редактировалось moco; 24.10.2009 в 02:30.
Причина: Добавлено
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
В логах ничего подозрительного не увидел.
Задержка при загрузке ОС может быть из-за того, что система не может получить IP-адрес в локальной сети (DHCP не работает или плохо работает). Если я правильно понимаю, у вас локалка состоит только из вашего ПК и DSL-модема? Попробуйте в свойствах подключения локальной сети прописать статический IP 192.168.1.2 и маску подсети 255.255.255.0.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Спасибо Bratez!
Локалка у нас большая (iskratelecom.ru) , и по умолчанию протокол TCP/IP вообще отключен на локальном соединении. Произвольные адреса присваивать нельзя, да и пространство адресное отличается. С DHCP тоже всё нормально (на других машинах проблем нет).
В логах подозрительное есть - таймаут завершения процессов за всеми мыслимыми пределами. Установлено не мной естественно. Или это последствия Trojan.Win32.Patched.hp? Что это вообще за зараза была? Ведь она взялась из апдейтов, или с самого дистрибутива!
-
Таймаут можно исправить в AVZ, если запустить Мастер поиска и устранения проблем. Особой роли это не играет, на скорость загрузки не влияет.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Но всё-таки какая-то зараза сидит. Подскажите, как ещё можно обнаружить?
Повторюсь, после проверки AVP tool в safe mode sfc_os.dll был вылечен от Trojan.Win32.Patched.hp, которые патчат системные библиотеки. После перезагрузки в нормальный режим первое соединение с интернетом не тормозило. После отключения и подключения снова, проблема вернулась.
И еще предыдущий вопрос, нормально ли что список пользователей не отображается в диспетчере задач при отключенной службе терминалов?
Upd: Стала притормаживать вся система. При работе с AVZ многократно повторяется системный звук. Насколько помню такое было прежде на зараженной системе.
При попытке добавить в карантин модули ядра:
82913177.sys
dump_atapi.sys
dump_WMILIB.SYS
AVZ пишет:
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\DRIVERS\82913177.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\Drivers\dump_atapi.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS)
Карантин с использованием прямого чтения - ошибка
Ещё не открывается диспетчер процессов в AVZ с ошибкой. http://pic.ipicture.ru/uploads/091025/d5MDdP2vDO.jpg
Вот модули принадлежат я так понимаю этому самому wintrust:
C:\WINDOWS\system32\MsSip1.dll Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\Subject Packages\MS Subjects 1, $DLL
C:\WINDOWS\system32\MsSip2.dll Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\Subject Packages\MS Subjects 2, $DLL
C:\WINDOWS\system32\MsSip3.dll Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\Subject Packages\MS Subjects 3, $DLL
В автозапуске были (на диске нет, видимо я удалил ранее и logon и scrnsave):
C:\WINDOWS\System32\logon.scr Активен Ключ реестра HKEY_USERS, S-1-5-19\Control Panel\Desktop, scrnsave.exe
C:\WINDOWS\System32\logon.scr Активен Ключ реестра HKEY_USERS, S-1-5-20\Control Panel\Desktop, scrnsave.exe
А также mvfs32.dll, mssip1 2 и 3, psxss.exe
Добавлено через 1 час 14 минут
Всё из описанного на дисках отсутствует, явно. Таким образом я подозреваю что зараженный файл защиты системных файлов sfc_os.dll сделал своё дело, и то что он вылечен мне не поможет.
Товарищи, как найти и чем лечить эти скрытые гадости?
Прицепил текущие логи avz по модулям и т.д. на всякий случай.
В system32 файл usrlogon.cmd должен быть?
Сейчас переводил время на час назад, часовой пояс стоял Ташкент.
UPD
Проведена проверка с livecd drweb, с флешки nod32. Всё чисто, ничего не нашли.
При загрузке в хр проведено испытание: после загрузки 29 процессов, был запущен avz, и включен avzguard. Никакие процессы более не запускались в течении вот уже 10 минут. Две службы отключены мной в менеджере автозагрузки - wuauclt и Веб-клиент, куда делись остальные непонятно, к сожалению логов с их названием нет.
После соединения pppoe зависания нет только первый раз после загрузки, при повторных подключениях висит 3 минуты.
После отключения avzguard запустились еще какие-то службы (добавился один процесс svchost).
Интересно все же можно как-то узнать что это за стелс?
Последний раз редактировалось moco; 25.10.2009 в 02:11.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 53
При загрузке просит установить драйвера для неизвестного устройства LEGACY/NETTCPPORTSHARING
Чувствую что дальше вопросы тут задавать бесполезно. И на том спасибо.
Служба терминалов запущена, пользователи в диспетчере задач отображаются, но:
http://pic.ipicture.ru/uploads/091025/wtwBhB4qSv.jpg
Добавлено через 1 час 22 минуты
Служба общего доступа к портам Net.Tcp перед выводом окна свойств, появляется такая панель:
http://pic.ipicture.ru/uploads/091025/aRe11piTIL.jpg
Добавлено через 17 минут
Последний раз редактировалось moco; 25.10.2009 в 13:48.
Причина: Добавлено
-
Как я уже сказал, признаков заражения в ваших логах не видно. Разобраться дистанционно в неполадках с реестром или сетевыми протоколами вряд ли получится. Попробуйте применить эту утилиту: http://www.veldhuizen.speedxs.nl/winsockxpfix.exe. Есть шанс, что поможет, а хуже не станет однозначно. Имейте ввиду, что после перезагрузки придется заново ввести настройки сетевых подключений. Если утилита не поможет, наверно стоит подумать о переустановке, как это ни печально...
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Спасибо. Bratez, а какая программа устанавливает nircmd без моего ведома? У меня гостей не было.
http://pic.ipicture.ru/uploads/091025/B2iQ8bmcGT.jpg
Кстати я пользуюсь utorrent. Этот фикс не прикроет количество соединений?
-
Сообщение от
moco
Этот фикс не прикроет количество соединений?
Имеется ввиду tcpip.sys патченный на большее кол-во соединений? По идее не должно, хотя честно говоря, не проверял. Но ведь можно потом если что, пропатчить заново...
I am not young enough to know everything...
-