-
Junior Member
- Вес репутации
- 51
Стабильно высокая загрузка ЦП
Добрый день всем!
В начале августа установил KIS 2010. Начались критические ошибки, появляющиеся после выключения torrent-клиента. После очередной вынужденной перезагрузки установленная на компьютере система - Windows XP (SP3) потеряла былую производительность.
Это проявляется в высоких показателях загруженности процессора при проведении тех операций, которые раньше не вызывали такой загрузки CPU: открытие тех или иных программ может затянуться на 1-2 минуты (MediaMonkey, MicrosoftOffice, IE8, Opera, даже простой блокнот), поиск того или иного файла на дисках - это стопроцентная загрузка CPU (чего раньше никогда не наблюдалась), сам процесс поиска занимает очень много времени. Поиск вирусов для заменившего KIS 2010 ESET превратился в практически нереализуемую задачу, которая производится тем медленне, чем дольше запущена. Причём после остановки этого поиска вирусов работать на ПК становится невозможным.
Если проводить загрузку в безопасном режиме, то основные проблемы остаются, однако проявляют себя не так сильно. Например, возможно провести проверку компьютера Dr. Web CureIt! и AVPTool, что я и сделал. AVPTool было обнаружено пять TrojWare (4 Trojan-Downloader и 1 Trojan-Banker) среди файлов .exe, котрые находились не в системном разделе и однозначно не запускались. Файлы были удалены, но проблемы остались. После этого была проведена полная проверка Dr. Web CureIt!, которая не выявила никаких вирусов и вредоносного ПО.
Есть ещё три примечания, которые, возможно, окажутся полезными.
1. Позже выяснилось (при помощи kdfe.cmd), что критически ошибки вызывал kl1.sys, на который torrent-клиент реагировал некорректно именно при закрытии этого клиента.
2. При помощи Windows Resource Kit Tools (команды kernrate) можно заметить, что в моменты загрузки CPU (если Windows XP загружена в обычном режиме) максимальное количество % у модуля ntkrnlpa (50 - 95 %, в спокойном состоянии этот показатель 15-25 %). Также высок % у модуля hal - 15 - 50 % во время высокой загруженности CPU, 5 - 10 в обычном состоянии. В безопасном режиме, при работе какой-либо программы, большая загрузка у того же модуля hal и у модуля ntoskrnl (% загрузки примерно такие же как у hal и ntkrnlpa соответственно в обычном режиме загрузки).
3. Process Explorer указывает на большую загрузку процесса DPCs (Defferred Procedure Calls) - 10 - 50 %.
Отчёты прилагаются. В случае необходимости выложу отчёт virusinfo_cure.zip.
Очень надеюсь на вашу помощь.
Последний раз редактировалось hinn_hinni; 09.08.2010 в 14:41.
Причина: KIS7 >> KIS 2010
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\system32.exe','');
QuarantineFile('C:\WINDOWS\system32\winsystem.exe','');
QuarantineFile('C:\WINDOWS\system32\ntfs_ext7.exe','');
DeleteFile('C:\WINDOWS\system32\ntfs_ext7.exe');
DeleteFile('C:\WINDOWS\system32\winsystem.exe');
DeleteFile('C:\WINDOWS\system32\system32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NTFS_ext_drv');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам
Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 51
Извините за длительность, сканирование компьютера для лога проходит достаточно долго вследствие загрузки CPU.
В карантин файлов не попало.
Логи высылаю. В случае необходимости выложу отчёт virusinfo_cure.zip.
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip загрузите по ссылке прислать запрошенный карантин над первым сообщением темы
-
-
Junior Member
- Вес репутации
- 51
Файл quarantine.zip по ссылке над сообщением не загружается. ("Результат загрузки: Ошибка загрузки. Данный файл уже был загружен").
Но и в zip-архиве quarantine.zip файлов насколько я понимаю нет - при наведении мыши на него (архив) всплывает контекстное меню с сообщением, что там 0 папок и 0 файлов. 
-
Ясно, тогда загружать не нужно. Что с проблемой?
-
-
Junior Member
- Вес репутации
- 51
К сожалению проблема осталась в том виде, в каком описывалась изначально.
-
Сделайте такой лог: http://virusinfo.info/showthread.php?t=53070
KIS 7 уже давно устарел. Установите KIS 2010.
-
-
Junior Member
- Вес репутации
- 51
Извините, в первом сообщении я допустил непреднамеренную ошибку.
В начале августа я установил именно KIS 2010 с тестовым ключом на 30 дней. В настоящий момент он заменён на ESET NOD32 ver. 4.
Первое сообщение в этой связи поправлю.
Лог программы Malwarebytes' Anti-malware высылаю.
-
Удалите в МВАМ всё, кроме
Код:
Зараженные модули в памяти:
C:\WINDOWS\system32\antiwpa.dll (Trojan.I.Stole.Windows) -> No action taken.
C:\ATI\3aLab.iRadio.v1.4.0.402.Keymaker.Only-CAFE\keygen.exe (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\+LLш+¦Tш+T¦ш+L¦\Local Settings\Temp\_AZTMP0_\DragTemp\Cracktro.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\+LLш+¦Tш+T¦ш+L¦\Local Settings\Temp\_AZTMP0_\Exec\Cracktro.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\All Users\Application Data\ABBYY\FineReader\9.00\Licenses\Abbyy-FineReader-Pro-Multilanguage-9.0.0.662-Crack.exe (Trojan.Downloader) -> No action taken.
C:\Program Files\3aLab\iRadio\keygen.exe (Trojan.Downloader) -> No action taken.
C:\Program Files\ABBYY FineReader 9.0\Abbyy-FineReader-Pro-Multilanguage-9.0.0.662-Crack.exe (Trojan.Downloader) -> No action taken.
F:\3_Other\!Guitar\!from user baskak\GTPro\Guitar Rig\Keygen for Guitar Rig 1.2\Keygen for Guitar Rig 1.2.exe (Malware.Packer.Gen) -> No action taken.
F:\3_Other\!Programm\Iradio\Patch.exe (Trojan.Downloader) -> No action taken.
F:\3_Other\!Programm\MiniLyrics_6.1.3723\KGN\keygen.exe (Trojan.Agent) -> No action taken.
F:\На время\!!3\Гитара\Guitar Rig\Keygen for Guitar Rig 1.2\Keygen for Guitar Rig 1.2.exe (Malware.Packer.Gen) -> No action taken.
H:\3_other\!program\AmpliTube Fender\!установочник\KeyGen.exe (Trojan.Agent.CK) -> No action taken.
H:\3_other\!program\Mediamonkey 3.1.1.1261 GOLD\!setup\Mediamonkey + лекарство\keygen.exe (RiskWare.Tool.CK) -> No action taken.
H:\3_other\!program\PerfectDisk 10\!установочник\Keygen\keygen.exe (Trojan.Agent) -> No action taken.
H:\На время\временое старье\ой и ска!!!!!!!!!\ппц\Downloads\Программы\sa-mp-0.2.1-install.exe (Trojan.Agent) -> No action taken.
H:\На время\Задание\IP-TV Player\Vlc\Plugins\libaout_directx_plugin.dll (Trojan.Downloader) -> No action taken.
H:\На время\Задание\IP-TV Player\Vlc\Plugins\libvobsub_plugin.dll (Trojan.Downloader) -> No action taken.
W:\Program Files\ABBYY FineReader 9.0\Abbyy-FineReader-Pro-Multilanguage-9.0.0.662-Crack.exe (Trojan.Downloader) -> No action taken.
W:\Program Files\Artlantis Studio\Artlantis_R_1.1_crk.exe (Trojan.Dropper) -> No action taken.
W:\Program Files\Autodesk\3ds Max 2009\XF-IPClamp11-KG.exe (Trojan.Downloader) -> No action taken.
W:\Program Files\Graphisoft\ArchiCAD 9\Расширения ArchiCAD\Отобрано\ArchiFacade 1.81\crack.exe (Trojan.Downloader) -> No action taken.
W:\Program Files\Graphisoft\ArchiCAD 9\Расширения ArchiCAD\Отобрано\ArchiFacade 1.90\crack.exe (Trojan.Downloader) -> No action taken.
W:\Program Files\Graphisoft\ArchiCAD 9\Расширения ArchiCAD\Отобрано\ArchiForma 2.0\crack.exe (Trojan.Downloader) -> No action taken.
W:\Program Files\Graphisoft\ArchiCAD 9\Расширения ArchiCAD\Отобрано\ArchiForma 2.01\crack.exe (Trojan.Downloader) -> No action taken.
W:\Program Files\Graphisoft\ArchiCAD 9\Расширения ArchiCAD\Отобрано\ArchiForma 2.05\crack.exe (Trojan.Downloader) -> No action taken.
W:\Program Files\Graphisoft\ArchiCAD 9\Расширения ArchiCAD\Отобрано\ArchiPaint 1.90\crack.exe (Trojan.Downloader) -> No action taken.
W:\Program Files\Graphisoft\ArchiCAD 9\Расширения ArchiCAD\Отобрано\ArchiTime 1.81\crack.exe (Trojan.Downloader) -> No action taken.
W:\Program Files\Graphisoft\ArchiCAD 9\Расширения ArchiCAD\Отобрано\ArchiTime 1.90\crack.exe (Trojan.Downloader) -> No action taken.
W:\Program Files\Graphisoft\ArchiCAD 9\Расширения ArchiCAD\Отобрано\ArchiWall 1.81\crack.exe (Trojan.Downloader) -> No action taken.
W:\Program Files\Graphisoft\ArchiCAD 9\Расширения ArchiCAD\Отобрано\ArchiWall 1.90\crack.exe (Trojan.Downloader) -> No action taken.
W:\Program Files\Graphisoft\ArchiCAD 9\Расширения ArchiCAD\Отобрано\ArchiWall 1.95\crack.exe (Trojan.Downloader) -> No action taken.
W:\Program Files\Graphisoft\ArchiCAD 9\Расширения ArchiCAD\Отобрано\ArchiSketchy 1.81\crack.exe (Trojan.Downloader) -> No action taken.
W:\Program Files\Graphisoft\ArchiCAD 9\Расширения ArchiCAD\Отобрано\ArchiSketchy 1.95\crack.exe (Trojan.Downloader) -> No action taken.
W:\Program Files\Graphisoft\ArchiCAD 9\Расширения ArchiCAD\Отобрано\ArchiTabula 1.81\crack.exe (Trojan.Downloader) -> No action taken.
W:\Program Files\Graphisoft\ArchiCAD 9\Расширения ArchiCAD\Отобрано\ArchiTabula 1.90\crack.exe (Trojan.Downloader) -> No action taken.
W:\Program Files\Graphisoft\ArchiCAD 9\Расширения ArchiCAD\Отобрано\ArchiTerra 2.05\crack.exe (Trojan.Downloader) -> No action taken.
C:\Program Files\ICQToolbar\toolbaru.dll (Trojan.BHO) -> No action taken.
Перезагрузите ПК
Такой отчёт подготовьте: http://virusinfo.info/showthread.php?t=59446
-
-
Junior Member
- Вес репутации
- 51
-
-
-
Junior Member
- Вес репутации
- 51
Поведение ЦП изменилось незначительно: если выгружены все программы (включая антивирус, сетевой экран), то загрузка всё равно продолжает оставаться значительной (от 5 до 25 %). При запуске приложений (например, Opera, Malwarebytes' Anti-malware), запуске обновления компонентов Windows XP, CPU загружается через небольшой промежуток времени до 100 %, после держится в пределах 80 - 100 % вплоть до перезагрузки системы.
Таким образом, CPU стал несколько меньше грузиться только при выгруженных программах. Но всё равно ведёт себя не так, как вёл себя до критической вынужденной перезагрузки, с которой всё началось.
Также остаётся актуальным следующее:
При помощи Windows Resource Kit Tools (команды kernrate) можно заметить, что в моменты загрузки CPU (если Windows XP загружена в обычном режиме) максимальное количество % у модуля ntkrnlpa (50 - 95 %, в спокойном состоянии этот показатель 15-25 %). Также высок % у модуля hal - 15 - 50 % во время высокой загруженности CPU, 5 - 10 в обычном состоянии. В безопасном режиме, при работе какой-либо программы, большая загрузка у того же модуля hal и у модуля ntoskrnl (% загрузки примерно такие же как у hal и ntkrnlpa соответственно в обычном режиме загрузки).
-
Деинсталлируйте NOD32, MBAM, сетевой экран. Что с загрузкой процессора?
-
-
Junior Member
- Вес репутации
- 51
Поведение ЦП не изменилось. При простом поиске фалов - 75 - 100 %.
-
Можете вспомнить когда это началось?
-
-
Junior Member
- Вес репутации
- 51
в интервале с 31 июля по 2 августа включительно. Однако, откаты системы к более ранним по отношению к 31 июля датам видимого эффекта не давали.
Поэтому после отката восстанавливал систему назад.
-
Проведите процедуру, описанную в первом сообщении тут: http://virusinfo.info/showthread.php?t=3519
-
-
Junior Member
- Вес репутации
- 51
Ребята, большое спасибо за оказанное внимание и поддержку.
От проблемы избавился, погуглив ещё по нескольким запросам.
В итоге выполнил действия:
1. http://www.osp.ru/text/print/302/5818429.html
2. http://shkolazhizni.ru/archive/0/n-19779/
Предложенную AndreyKa процедуру проведу тем не менее, но завтра, когда система подтвердит свою стабильность.
Ещё раз спасибо!
