Показано с 1 по 9 из 9.

2-х минутное зависание XP после подключения pppoe (заявка № 58149)

  1. #1
    Junior Member Репутация
    Регистрация
    23.10.2009
    Сообщений
    5
    Вес репутации
    31

    Exclamation 2-х минутное зависание XP после подключения pppoe

    Windows XP Ogomor Ru + SP3 Ru + PostSP3_Ru_XP__10_06_2009_full.exe + Windows XP Pre-SP4 09.09.2009 Rus.exe

    При загрузке системы (после загрузки раб.стола и трея) 29 процессов, еще 2 подгружаются спустя минуту, ещё 4 спустя 2 минуты. До полной загрузки всех 35 системой пользоваться можно, но безрезультатно. До проверки с помощью AVP Tool, система вешалась на 2-3 минуты сразу после подключения соединения pppoe. Невозможно было зайти в почту Gmail через IE8, но решалось очисткой кэша. В списке пользователей диспетчера задач отсутствовали пользователи, в списке процессов также отсутствовали имена учетной записи процессов. Решилось включением ранее отключенной службы терминалов.
    После проверки AVP, и лечения sfc_os.dll, проблема с pppoe исчезла, с процессами при начальной загрузке осталась. При подключении, отправляется принимается порядка 4 кб, но это наверное нормально?

    Еще при установке сервис-паков и апдейтов слетело оформление огомора, любые, даже вновь устанавливаемые темы, теперь не меняют оформления панели и окон, цветовые схемы. Но это наверно вопрос не сюда.

    Добавлено через 10 минут

    UP: Проблема с pppoe вернулась сразу же, на втором подключении
    Последний раз редактировалось moco; 24.10.2009 в 01:30. Причина: Добавлено

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    В логах ничего подозрительного не увидел.

    Задержка при загрузке ОС может быть из-за того, что система не может получить IP-адрес в локальной сети (DHCP не работает или плохо работает). Если я правильно понимаю, у вас локалка состоит только из вашего ПК и DSL-модема? Попробуйте в свойствах подключения локальной сети прописать статический IP 192.168.1.2 и маску подсети 255.255.255.0.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    23.10.2009
    Сообщений
    5
    Вес репутации
    31
    Спасибо Bratez!

    Локалка у нас большая (iskratelecom.ru) , и по умолчанию протокол TCP/IP вообще отключен на локальном соединении. Произвольные адреса присваивать нельзя, да и пространство адресное отличается. С DHCP тоже всё нормально (на других машинах проблем нет).
    В логах подозрительное есть - таймаут завершения процессов за всеми мыслимыми пределами. Установлено не мной естественно. Или это последствия Trojan.Win32.Patched.hp? Что это вообще за зараза была? Ведь она взялась из апдейтов, или с самого дистрибутива!

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Таймаут можно исправить в AVZ, если запустить Мастер поиска и устранения проблем. Особой роли это не играет, на скорость загрузки не влияет.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    23.10.2009
    Сообщений
    5
    Вес репутации
    31
    Но всё-таки какая-то зараза сидит. Подскажите, как ещё можно обнаружить?

    Повторюсь, после проверки AVP tool в safe mode sfc_os.dll был вылечен от Trojan.Win32.Patched.hp, которые патчат системные библиотеки. После перезагрузки в нормальный режим первое соединение с интернетом не тормозило. После отключения и подключения снова, проблема вернулась.

    И еще предыдущий вопрос, нормально ли что список пользователей не отображается в диспетчере задач при отключенной службе терминалов?

    Upd: Стала притормаживать вся система. При работе с AVZ многократно повторяется системный звук. Насколько помню такое было прежде на зараженной системе.

    При попытке добавить в карантин модули ядра:

    82913177.sys
    dump_atapi.sys
    dump_WMILIB.SYS

    AVZ пишет:

    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\DRIVERS\82913177.sys)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\Drivers\dump_atapi.sys)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS)
    Карантин с использованием прямого чтения - ошибка
    Ещё не открывается диспетчер процессов в AVZ с ошибкой. http://pic.ipicture.ru/uploads/091025/d5MDdP2vDO.jpg
    Вот модули принадлежат я так понимаю этому самому wintrust:
    C:\WINDOWS\system32\MsSip1.dll Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\Subject Packages\MS Subjects 1, $DLL
    C:\WINDOWS\system32\MsSip2.dll Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\Subject Packages\MS Subjects 2, $DLL
    C:\WINDOWS\system32\MsSip3.dll Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\Subject Packages\MS Subjects 3, $DLL

    В автозапуске были (на диске нет, видимо я удалил ранее и logon и scrnsave):
    C:\WINDOWS\System32\logon.scr Активен Ключ реестра HKEY_USERS, S-1-5-19\Control Panel\Desktop, scrnsave.exe
    C:\WINDOWS\System32\logon.scr Активен Ключ реестра HKEY_USERS, S-1-5-20\Control Panel\Desktop, scrnsave.exe
    А также mvfs32.dll, mssip1 2 и 3, psxss.exe

    Добавлено через 1 час 14 минут

    Всё из описанного на дисках отсутствует, явно. Таким образом я подозреваю что зараженный файл защиты системных файлов sfc_os.dll сделал своё дело, и то что он вылечен мне не поможет.
    Товарищи, как найти и чем лечить эти скрытые гадости?

    Прицепил текущие логи avz по модулям и т.д. на всякий случай.

    В system32 файл usrlogon.cmd должен быть?

    Сейчас переводил время на час назад, часовой пояс стоял Ташкент.

    UPD

    Проведена проверка с livecd drweb, с флешки nod32. Всё чисто, ничего не нашли.
    При загрузке в хр проведено испытание: после загрузки 29 процессов, был запущен avz, и включен avzguard. Никакие процессы более не запускались в течении вот уже 10 минут. Две службы отключены мной в менеджере автозагрузки - wuauclt и Веб-клиент, куда делись остальные непонятно, к сожалению логов с их названием нет.

    После соединения pppoe зависания нет только первый раз после загрузки, при повторных подключениях висит 3 минуты.
    После отключения avzguard запустились еще какие-то службы (добавился один процесс svchost).

    Интересно все же можно как-то узнать что это за стелс?
    Последний раз редактировалось moco; 25.10.2009 в 02:11. Причина: Добавлено

  7. #6
    Junior Member Репутация
    Регистрация
    23.10.2009
    Сообщений
    5
    Вес репутации
    31
    При загрузке просит установить драйвера для неизвестного устройства LEGACY/NETTCPPORTSHARING

    Чувствую что дальше вопросы тут задавать бесполезно. И на том спасибо.

    Служба терминалов запущена, пользователи в диспетчере задач отображаются, но:
    http://pic.ipicture.ru/uploads/091025/wtwBhB4qSv.jpg

    Добавлено через 1 час 22 минуты

    Служба общего доступа к портам Net.Tcp перед выводом окна свойств, появляется такая панель:
    http://pic.ipicture.ru/uploads/091025/aRe11piTIL.jpg

    Добавлено через 17 минут

    Последний раз редактировалось moco; 25.10.2009 в 13:48. Причина: Добавлено

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Как я уже сказал, признаков заражения в ваших логах не видно. Разобраться дистанционно в неполадках с реестром или сетевыми протоколами вряд ли получится. Попробуйте применить эту утилиту: http://www.veldhuizen.speedxs.nl/winsockxpfix.exe. Есть шанс, что поможет, а хуже не станет однозначно. Имейте ввиду, что после перезагрузки придется заново ввести настройки сетевых подключений. Если утилита не поможет, наверно стоит подумать о переустановке, как это ни печально...
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    23.10.2009
    Сообщений
    5
    Вес репутации
    31
    Спасибо. Bratez, а какая программа устанавливает nircmd без моего ведома? У меня гостей не было.

    http://pic.ipicture.ru/uploads/091025/B2iQ8bmcGT.jpg

    Кстати я пользуюсь utorrent. Этот фикс не прикроет количество соединений?

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Цитата Сообщение от moco Посмотреть сообщение
    Этот фикс не прикроет количество соединений?
    Имеется ввиду tcpip.sys патченный на большее кол-во соединений? По идее не должно, хотя честно говоря, не проверял. Но ведь можно потом если что, пропатчить заново...
    I am not young enough to know everything...

  • Уважаемый(ая) moco, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 0
      Последнее сообщение: 26.09.2010, 13:26
    2. Ответов: 16
      Последнее сообщение: 27.06.2010, 08:21
    3. Ответов: 0
      Последнее сообщение: 01.11.2009, 13:54
    4. Ответов: 0
      Последнее сообщение: 01.11.2009, 13:54
    5. Зависание после включения
      От QU1ET в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 05.08.2009, 08:15

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00684 seconds with 16 queries