Активность процесса System во время загрузки вешает комп
Купил ноут, поставил Висту, позже SP1, комп 1-2 раза в неделю вываливался в BSOD с ошибкой IRQ_NOT_LESS_OR_EQUAL - это почти не мешало.
Установил VS2008, SQL, IIS7 (мой хлеб)- все работало около месяца. Потом как-то обнаружил в списке служб несколько служб со случайными именами, никак себя не выдававших. Удалил их помощью sc. Проверил комп OneCare, который что-то таки убил (!!!), но давно это было... Регулярно ставлю обновления, кое-как проверяюсь "Защитником", который всегда запущен и сообщает мне о всяких изменениях в процессах, пользуюсь "Средством удаления вредоносных программ". Работаю с включенным через групповую политику домена брандмауэром, знаю его как родного. Не работаю под учетной записью администратора, поэтому никакого антивируса не ставил. И вот результат
(intro)
Сбросил брандмауер в "установки по умолчанию" на вкладке "дополнительно", настроил все нужные мне адреса, порты и программы. И тут началось:
(bad)
Включаю или перегружаю комп. Сразу логинюсь, смотрю в трее на иконку Process Explorer (из Sysinternals Suite). Если иконка показывает всплеск активности, то все впорядке. Если "активность уходит в насыщение" единственным выходом через 5-10 минут будет выключатель компа, потому что через это время мышка и клава зависнут, а проц покажет 100% занятости. Если не ждать эти 5-10 минут, и, увидев "злополучное насыщение", сразу перегружать/выключать комп, то он зависнет с сообщением "Завершение работы..." Ждал когда-то часа 2, все это время вентилятор гудел, как ненормальный, - не дождался.
(good)
Если сразу после входа, я вижу всего лишь "всплеск" активности, то "жить" можно долго, если только не выключать комп, а пользоваться гибернацией или сном.
Но иногда по 5 раз подряд приходится выключать и потом включать, чтобы комп нормально включился.
BSOD не появлялся давно.
Сдается мне, что это все последствия того вируса, который был когда-то, и которому я не придал должного значения.
К логам еще добавляю два скриншота, это свойства процесса System которые выдает Process Explorer: один правильный, второй "предсмертный". ДРУГИЕ ПРОЦЕССЫ ЧРЕЗМЕРНОЙ АКТИВНОСТИ НЕ ПРОЯВЛЯЮТ.
Еще пробовал:
1. Выводил комп из домена, добавлял в домен.
2. Отключал/включал брандмауер (с отключенным сетевым проводом).
Последний раз редактировалось alexs_001; 19.06.2009 в 17:51.
Причина: глупый заголовок
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Система перезагрузится.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно Правил (Диагностика)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.
К сожалению, все не прошло гладко, и мне пришлось восстанавливать систему. Так что, возможно, придется все еще раз повторить.
До отключения восстановления я успел сделать Complete PC и комп восстановил из этого образа (процедура полного восстановления занимает около 25 минут). Затем только смог выполнить Ваши инструкции.
Скрипт изменил, чтобы попал NDIS.sys, указав к нему полный путь, иначе он в карантине нулевой длины. Также добавил virusinfo_cure.zip: Ваш скрипт не поймал .tmp файлы. Они появляются при запуске IE8 и исчезвют при его закрытии, имена у них другие, чем в скрипте.
Сделал с помощью AVZ. Только у меня не было пунктов
"Очистить кеш системы Prefetch" и "Очистить кеш с описаниями компьютеров в сети". Корзину очистил правой кнопкой. Раздела "Compress old files" в реестре нету.
Новые логи выкладываю.
Поскольку у меня есть проверенный образ системы, могу делать любые эксперименты, ничего не потеряю - точно.
Проблема повторилась после перезагрузки, удалось загрузиться с 4-го раза.
В моем архиве уже что-то не так.
Забыл раньше сказать, что сей глюк никогда не наблюдается в безопасном режиме.
Сделайте повторный лог только согласно пункта 2 Правил (Диагностика) с помощью полиморфного AVZ md5: 2091925798b7909e010e3f7e328c5f0d В нём базы обновлять не нужно!
virusinfo_syscheck.zip
Порылся по инету, нашел, что проблема специфическая для моей сетевой карты Broadcom и Wi-Fi адаптера Intel 3945ABG. Если их отключить, то все работает (!!!)
Проблему решил так:
1. удалил MS Virtual PC 2007,
2. отключил сетевые карты в диспетчере устройств,
3. перезагрузился. все ок.
4. включил их, обновил драйверы обеих сетевых карт с сайта производителя.
5. отключил сетевые карты в диспетчере.
6. перезагрузился. все ок.
7. включил сетевые карты в диспетчере.
8. удалил сетевые карты в окне Свойства на вкладке Драйвер, кнопка Удалить (там где почему-то указано "для опытных" , может, это не то, что по правой кнопке Удалить???).
9. обновил конфигурацию в диспетчере утройств, карты нашлись и устнановились сами с новыми (п.4) дровами (если не делать п.8, Виста после перезагрузки чудно откатывает дрова на предыдущие версии (!) Будто давишь Откатить вместо Удалить...).
10) перезагрузился
Больше глюков не было. Возможно, проблема была также в Virtual PC 2007, вопрос исследуется.
Большое СПАСИБО профессионалам virusinfo.info за потраченное на меня время, за интересный форум, публикации, и ЗА ИХ ДОБРЫЕ ДЕЛА!!!
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: