Всем доброго времени суток!
Буду очень признателен, если кто-нить поможет разобраться с ситуацией:
9 декабря с.г. в 13.26 МСК drweb (v.4.44) обнаружил заразу lich.sys. При этом компьютер ребутил чуть ли не каждую минуту. Безуспешно попытавшись "вылечить," затем "удалить", я переместил его в карантин. Просмотрев затем диск, я обнаружил там lich.exe, который также переместил в "infected". Затем, выполнив msconfig.exe, обнаружил в автозапуске службу ZZZsvc_lich, которую также запретил.
Теперь при загрузке Windows XP SP1 компьютер ведет себя так:
1. если включен модем ADSL (т.е есть связь с Интернетом), грузится почти все кроме DrWeb, ZoneAlarm Pro и почему-то звука. Компьютер при этом безбожно тормозит, панель быстрого запуска иногда виснет, а иногда - нет, по верещанию "винта" слышно, что идет какой-то процесс. (ориентировочно svchost.exe, т.к. в окошке диспетчера у меня их аж пять штук) Примерно через 10 минут вышеупомянутые объекты догружаются, о чем возвещает стандартный звук при загрузке Windows.
2. если же модем не включен, то грузится все кроме звука,компьютер при этом также подтормаживает.
В обоих случаях, DrWeb ничего больше не обнаруживает.
От всей души пытался выполнить указанные в правилах скрипты, однако, при соблюдении всех необходимых условий, один из скриптов (пункт восемь правил) до конца не доходит: либо зависает AVZ (версия 4,29 с последним обновлением), либо компьютер и вовсе ребутится. Поэтому посылаю только два лога (пп.10 и 13 правил) Кстати, несмотря на отключенное восстановление системы, после каждого ребута выдается сообщение, дескать система восстановлена (?!!) после серьезной ошибки, и вся вышеуказанная байда повторяется снова и снова.
Подскажите, плиз, выход (советы типа format C: не приветствуются: слишком много, долго и нудно придется восстанавливать :-( )
Thanks...
Последний раз редактировалось BitMan63; 14.12.2007 в 03:10.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Думаю, представляет интерес лог HijackThis (см. присобаченный файл), сделанный во время примерно 10-ти минутного "таймаута" при загрузке ОС, описанного вверху темы.
P.S. Что характерно, до выполнения рекомендованных Вами процедур не удавалось получить такой лог: HijackThis зависал, а сейчас - прошло!
AVZ никак не хочет впихивать сам файл в архив - только ini! Пришлось пихать пинками. Антивирус DrWeb при вышеуказанных процедурах не выгружал, а просто приостанавливал мониторинг. Архив отправил.
Присланный файл чистый. Больше ничего подозрительного нет.
Попробуйте воспользоваться этой утилитой: http://www.tacktech.com/pub/winsockfix/WinsockFix.zip
(предварительно запишите настройки сетевых подключений, т.к. они будут сброшены. запустите программу и нажмите Fix).
Не уверен, что поможет, но хуже не будет точно.
Если проблема останется, сразу после появления панели задач запустите Пуск - Выполнить - services.msc и посмотрите, не висит ли какая-нибудь служба в состоянии "Запуск".
Присланный файл чистый. Больше ничего подозрительного нет.
Попробуйте воспользоваться этой утилитой: http://www.tacktech.com/pub/winsockfix/WinsockFix.zip
(предварительно запишите настройки сетевых подключений, т.к. они будут сброшены. запустите программу и нажмите Fix).
Не уверен, что поможет, но хуже не будет точно.
Если проблема останется, сразу после появления панели задач запустите Пуск - Выполнить - services.msc и посмотрите, не висит ли какая-нибудь служба в состоянии "Запуск".
Не знаю, помогла ли утилита или нет, но видимых изменений я не заметил. После ребута сразу по появлении панели задач сделал выполнение services.msc. В состоянии запуска была лишь служба терминалов. Я в свойствах отключил ее (а кому она на фиг нужна окромя зловредов?!), сделал "Применить", но эффекту - нуль! Еще перезагрузка: теперь в состоянии запуска служба обнаружения SSDP. Отключить и ее?
SSDP тоже можно отключить, но это конечно не решит проблему...
Думаю, вам надо взять дистрибутив XP с интегрированным SP2 и накатить поверх вашей в режиме обновления. Есть большая вероятность, что проблема исчезнет, + получаете столь необходимый вашей системе update.
Думаю, вам надо взять дистрибутив XP с интегрированным SP2 и накатить поверх вашей в режиме обновления. Есть большая вероятность, что проблема исчезнет, + получаете столь необходимый вашей системе update.
С большим удовольствием давным-давно сделал бы это, но почему-то на обоих моих компьютерах (конфигурация одинаковая и весьма старенькая: Celeron-1700,мамка Gygabyte 667, RAM 512K, HD 120Gb, GeForce 5200 128K) таким дистрибутивом ни черта не устанавливается: на обоих компьютерах совершенно в одинаковом месте процесс установки зависает окончательно и бесповоротно. При этом система еще не SP2, но уже и не SP1, причем обратно не откатывается, так что приходится переустановливать обратно SP1 со всеми вытекающими... Пробовал разные дистрибутивы из разных источников, но эффект -увы!- всегда один и тот же. Так что же, без переустановки не загрызем гадину?!
...Думаю, вам надо взять дистрибутив XP с интегрированным SP2 и накатить поверх вашей в режиме обновления. Есть большая вероятность, что проблема исчезнет, + получаете столь необходимый вашей системе update.
поскольку процесс этот трудо- и нерво- емкий, оставил это на посленовогодний отходняк
Однако, просматривая между делом более поздние посты, я понял, что "не один во Вселенной": у очень многих "постирующих" те же симптомы: проблема со звуком; непонятные "тормоза", вызываемые каким-то кривым процессом svchost.exe (конкретно у меня с PID 1136, реже - 1144), оттягивающим на себя до 98% загрузки ЦП; неудаляемый обычными средствами раздел в системном реестре HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\LEGACY_ZZZ SVC_LICH и т.д.
Может быть, у уважаемых аксакалов появились какие-либо более свежие мысли относительно моей ситуации?!
Во всяком случае как минимум, как можно иным способом удалить означенную заразу из реестра, и будет ли от этого какая-нить польза?!
Благодарю...
Удалил из системного реестра разделы ZZZSVC_LICH и ZZZDRV_LICH: они были созданы заразой в ветках HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services
В результате "таймаут" при запуске Windows (см.начало темы) уменьшился вдвое: с 10 мин до 5. По прошествии "таймаута" система работает безупречно вплоть до следующего включения компа или ребута.
Что может быть еще?!!!
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: