Всем доброго времени суток!
Такая проблема. Win2003 server sp2, очень долго открывается проводник. В таскменеджере в это время никаких подозрительныных тормозов. Происходит так: запуск эксплорера - окно не прорисовывается, внизу, в таскбаре подвисает квикланч, не работает переключение программ(альт-таб работает). По раб. столу в это время можно таскать ярлыки-окна, без тормозов. Потом, секунд через 30 всреднем появляется окно проводника (мгновенно отрисовывается), таскбар отлипает. Никак не могу побороть.
АВЗ показывает кучу скрытых процессов, побороть их не удалось.
И ещё маленький вопрос, я айссвордом обнакурил в режиме ядра что
активен IsDrv122.sys На диске его ессно не видно, пробовал восстанавливать то, что он перехватывает - не помогает.
Логи прикрепил, всем заранее огромное спасибо!
Последний раз редактировалось scuttler; 19.02.2008 в 14:49.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
В google крайне мало о нем инфы...
Где-то пишут, что это Win32.Almanahe, но там в паре к нему должен быть cdralw.sys (его не нашел) и в реестре где-то он должен прописываться (типа shell = explorer.exe, cdravl.exe), но у меня ничего такого нету.
Icesword Scan - Module hooks.
NtOpenProcess, CreateThread, CreateProcessEx, TerminateProcess, TerminateThread.
Если восстановить, пишет что удачно, но при повторном сканировании всё на месте.
Меня очень смущает огромное кол-во маскированных процессов в АВЗ, с этим как-то можно побороться?
Udp:
Поискал через авз по имени, нашел вот тут:
\Temporary Internet Files\Content.IE5\0X6TIFW5\isdrv122.sys[1].htm
файл успешно поместелся в карантин, выслать?
Последний раз редактировалось scuttler; 19.02.2008 в 14:58.
Перечитал первый пост...
А это часом не IceSword'овский ли драйверок?
Очень даже может быть)
Я uziyodg1.sys ещё подозревал, но оказалось, что это драйвер AVZ)))
Про файл в Temporary Internet Files вы угадали на 100%, посмотрел его проводником - это страничка на которой я искал эту гадость
Сейчас сделал эксперемент, переименовал эксплорер в 1.com и запустил. Сначала теже тормоза, со 2го раза открылся влёт и обычный и переименованный. Скорее всего, конечно совпадение.
Вобщем, скорее всего не вирус это, а кривизна какая-то.
В любом случае, огромное спасибо за помощь!
Уважаемый(ая) scuttler, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: