Тормозит компьютер в корпор. сети. Подозрение на червя
Доброе утро(день). Второй день разбираюсь с проблемой -
при совершении любых операций с файлами начинает дико тормозить компьютер. Когда отключаю сеть(комп находится в корпор. сети без выхода в интернет), то все летает. С помощью команды netstat увидел, что при открытии файла(например, или при копировании ctrl+C) компьютер одновременно пытается коннектится на стоящий рядом в сети с именем haysanovann.csm.local, файл открывается, соединение прекращается. http://i080.radikal.ru/1009/6a/be2467645b7f.jpg - вид командной строки.
Синхронизация отключена везде. Нашел похожую тему-там предлагались скрипты с AVZ, я их выполнил, "пофиксил", перезагрузился. Hijackthis все равно после перезагрузки "выплевывает"
--------------------------
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = csm.local
O17 - HKLM\Software\..\Telephony: DomainName = csm.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{595E29E7-C4BE-4530-8703-209E1FA1F242}: NameServer = 192.168.1.243
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = csm.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = csm.local
------------------------
csm.local - это наш домен. Когда в hijjackthis удаляю эти галочки, то при команде netstat коннектится перестает к другому компьютеру, но все равно тормозит, но намного меньше. Раз в 5 быстрее загружается.
Пытался удалить что-то подобное через программу autoruns, ничего особо похожего не нашел.
В р езультате, пришел к тому, что ввел в карантин в hijackthis эти ключи реестра(O17) и все. При перезагрузке они не появляются, но компьютер тормозит все равно!!
Помогите, а то в нашем офисе все изматерились, а админ бессиен, и может только переустанвить виндовз.
Последний раз редактировалось z3tourney1; 15.09.2010 в 09:53.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выложил логи, просто на момент создания темы доступа к тому компьютеру не было.
Добавлено через 7 часов 31 минуту
Сейчас проверил другие компьютеры в сети. Эти значения:
------------------------------------
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = csm.local
O17 - HKLM\Software\..\Telephony: DomainName = csm.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{595E29E7-C4BE-4530-8703-209E1FA1F242}: NameServer = 192.168.1.243
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = csm.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = csm.local
------------------------------
у рядом стоящих тоже прописаны. Какое-то время у нас рушился сервер из-за вирусов, да и никакой защиты от вирусов вообще не было. Или, может, это какието парамеры синхронизации(раньше стояла)?
Последний раз редактировалось z3tourney1; 15.09.2010 в 16:51.
Причина: Добавлено
ашел похожую тему-там предлагались скрипты с AVZ, я их выполнил, "пофиксил", перезагрузился.
Важное замечание
Пожалуйста, не выполняйте скрипты лечения, написанные для других пользователей. Каждый случай уникален, Вы можете нанести вред и Вашему компьютеру, и нашему сервису. За последствия, наступившие в случае невыполнения данного пункта, портал VirusInfo ответственности не несет! В данном случае администрация ресурса имеет право отказать в оказании помощи без пояснения причин.
Сайт нашел чисто случайно по словам SYN_SENT, читал в текстовой версии, потом посмотрел полную, скачал и установил АВЗ, выполнил те скрипты.
Зарегестрировался, создал тему, обновил сообщение, обновил АВЗ. Я же не телепат, что нужно делать сначала, что нельзя. Программу только освоил второй день, вижу, что здесь помогают людям, и люди довольны.
И на момент создания темы базы были последние(они обновились вчера в 11:5. ТАк что пока вместо помощи получаю какие-то упреки.
Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
миднайт, выполнил первый раз Ваш скрипт, указал на то, что система не обновлена до СП3, обновил, перезапустил скрипт, вот запросил еще кучу обновлений:
сейчас постараюсь все компоненты обновить. Но после СП3(такое ощущение), что еще сильнее тормозить стало, а html-файлы вообще долго открываются
Вот логи новые при SP 3
Зависания компьютера и торможения остались на том же уровне. И постоянно что-то передает(горят оба экранчика - индикаторы сетевого соединения). В netstat показано, что обращается по 2м портам к все тому же компьютеру(рядом стоящий в сети)
В AVZ - Файл - Мастер поиска и устранения проблем - Системные проблемы - Все проблемы - Пуск
Отметить следующие пункты и нажать кнопку "Исправить":
>> Разрешен автозапуск со сменных носителей
Internet Explorer v6.00 - не обновили.
Kaspersky Anti-Virus 6.0 for Windows Workstations - обновите. Более ничего плохого не видно. Очистите темп-папки, кэш проводников, cookies и корзину.
миднайт, антивирус обновить-это в каком плане? До КИС 2010? Или модули приложения обновить? Галочка стоит "обновлять модули приложения", компьютер выхода в интернет не имеет, обновляется с сервера. Соотв-но такой же вопрос и по ИЕ-обновить до последнего, или обновить флэш-плеер? Плеер обновил.
>>Очистите темп-папки, кэш проводников, cookies и корзину.
Все, что можно было-очистил, почистил с помощью АВЗ. Все работает на прежнем уровне.
Может быть, дело в принтере? На другом компьютере в сети смотрел загрузку процессора, там canonlpt..(что-то там) в пассивном состоянии до 30 процентов использует процессора. да и spoоlss -вроде драйверы принтера.
И что делать? Может, установить какие-то утилиты от Касперского, например? Я АнтиСпайвер установил-ничего не нашла.
Добавлено через 2 часа 28 минут
Скачал Kaspersky Virus Removal Tool 2010 , пока проверяет. Но, сдается мне, что результат опять будет "нулевым".
Для тех, кто читает этот пост последним из темы, напишу, что проблема осталась та же - тормозит компьютер при запуске любого файла со стационарного расположения. Причем, особенно долго открываются файлы блокнота, и просто меню свойств файла долго открывается. БЕз сети все летает.. На всех компьютерах в офисе выполняется похожая вещб-при открытии файла лезет на рядом стоящий комп и затормаживает систему
Последний раз редактировалось z3tourney1; 23.09.2010 в 11:36.
Причина: Добавлено
Восстановление системы: включено. Почему? В правилах сказано, что нужно отключать. У вас оттуда восстанавливается зловред. Отключите восстановление системы. Сделайте лог avptool, либо AVZ.
Восстановление системы только включил, когда запорол Касперского, и стал "чинить"(АВЗ при чистке удалил какие-то длл важные, и КАВ заглючил). Все предыдущие логи(когда решалась проблема) были по правилам. Завтра верну все как положено.
С компьютерами в этом кабинете раньше игрались. Пытались сделать что-то похожее на мониторинг начальнику. Чтобы он мог отслеживать все изменения. Были включены всякие удаленные доступы к компьютеру, рабочему столу. Расшарены некоторые папки. Все, что мог, закрыл. Может, просто где-то есть галочка, чтобы все настройки такого взаимодействия сбросить?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: