Проблема с Каспером. Подозрение на вирус.

[Ansicht]

Всем здравствуйте! В общем, дело такое. Секунд через 15 после включения компа и, собственно, загрузки до рабочего стола, комп начинает страшно тормозить. Загрузка ЦП - 100%. Всё "отъедает" avp.exe. Естественно, пользоваться компом сложно/невозможно. Даже элементарная Опера открывается минуты через две, после непосредственного вызова программы.
Что было сделано:
1. Попытался вызвать Каспер из трея и через Пуск. Не открывается. Появляются "часики" у мышки, потом пропадают - и всё. Как будто ничего и не происходило.
2. Попытался завершить процесс через диспетчер задач. Тут небольшие подробности. Имеется не 2 процесса avp.exe, а 3. Не знаю, нормально ли это. Первый запущен от SYSTEM (он и нагружается на 98-99%), остальные два - под учеткой пользователя. Не грузят вообще никак. Все время на нулях. Так вот. При попытке завершения этих процессов выскакивает сообщение о том, что нет прав доступа. Процессы не завершаются.
3. Изначально подумал на глюк Каспера. Простая перезагрузка, естественно, ничего не дала. Решил переставить Каспер. Вызвал через Пуск не с первого раза меню деинсталляции. Удаление доходит до этапа остановки служб. Далее удаление становится невозможным, выскакивает сообщение о невозможности остановки. Приходится прекращать удаление.
4. Заходил в безопасном режиме. Думал, что удаление возможно будет там. Через безопасный вообще не удалось ничего удалить. Сообщение с ошибкой о проблемах с инсталлятором, что-то типа того. В общем, удаление невозможно.
5. Восстановил систему из безопасного режима до состояния двухнедельной давности (только что установленная Винда). Заново проставил все драйвера (ибо все восстановилось до совершенно "чистого" состояния). Вычистил за Каспером папки.
6. Проверил диск С он-лайн (на том же самом касперовском сайте). Проверка ничего не дала.
7. Скачал 7й КИС, поставил. Все нормально. Никаких проблем с программой. Загрузка ЦП в норме. Проверил комп еще раз - чисто.
Сегодня всё повторяется. Загрузка на 100%, невозможно нормально пользоваться компом. Каспер не удаляется. 3 процесса всё также висят в диспетчере. Плюс ко всему такие тормоза дают большие проблемы с сетью. Локалка не может получить айпишник, соответственно, в сеть выйти можно только "через раз", и то не с первой попытки.
Может кто-то сталкивался с таким? Что это может быть и что можно с этим сделать? Заранее спасибо.

 

[V_Bond]

качаете ... http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip делаете лог ... Нажмите на кнопку Do a system scan and save a logfile ...
выкладываете здесь ...

 

[Ansicht]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:13:53, on 03.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\1\LOCALS~1\Temp\Rar$EX01.235\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rambler.ru/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Добавить в Анти-Баннер - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{7267AFA1-9198-4965-BDC3-83EDEF0FEC2D}: NameServer = 213.234.192.7 195.14.50.21
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 3337 bytes

 

[V_Bond]

все удивительно чисто .... пробуем по другому ...скачайте http://www.z-oleg.com/secur/avz/download.php
обновите ... файл выполнить скрипт ... стандартный скрипт 3 ... полученный файл ... virusinfo_syscure.zip
выложите на slil.ru ссылку сюда ....

 

[Ansicht]

<УДАЛЕНО> - не знаю, даст ли это что-нибудь. Запустил стандартный третий скрипт. Проверил. Красных строк вообще не было. Вот, получился такой маленький файл.

 

[V_Bond]

я вам конкретно указал на нужный мне файл ... вы что прислали ?

 

[Ansicht]

Так. Простите, но я в таком случае не понимаю, как его получить. Обновляю базы, файл - стандартный скрипт - выбираю третий, запускаю. По итогам проверки нажимаю на "дискетку" справа от окошка с результатами. Сохраняется этот файл. А Вы что имете в виду и как это получить?

 

[V_Bond]

он сам формируется после выполнения скрипта ... находится c:\avz\LOG\ ... надеюсь вы не из архива утилиту запускаете ... ?

 

[Ansicht]

И еще. Каспер удалось удалить с энного раза. Все данные, выложенные мной здесь - БЕЗ Каспера.

 

[Ansicht]

сейчас на компе поставлен AVG-антивирус. Тоже ничего не нашел, кроме кряка для ВинРара, который он опознал как вирус DOS.
Вот ссылка на нужный файл: <УДАЛЕНО> Это уже с АВГ на компе.

 

[V_Bond]

каспер сохранил вашу систему в чистоте .... ( думаю стоит вернуть на место ... менять бмв на запорожец ... по крайней мере странно )
отключите восстановление системы ....
ничего зловредного у вас не вижу .....
нужно пересмотреть железо ....

 

[Ansicht]

Вот и я подумываю о том, что комп девственно чист. Вернуть на место, конечно, стоит. Дело только в том, что он опять отъедать будет непомерно много.
Восстановление отключим.
Вот такой вопрос. Если комп 1,12 Ггц, 512 Мб оперативки, это нормально для Каспера, или причина может быть в том, что комп "слабоват" для такого антивира? До этого стоял ТрендМикро. Каспер, в принципе, тоже был. Но, если я не ошибаюсь, 5й. Ну, или какая там была последняя версия в 2004 году...
И последнее. Что может быть с железом? Насчет чего нужно побеспокоиться?

 

[V_Bond]

машинка у вас прямо скажем слабенькая .... наверно почти для всего ...
насчет антивируса ... 5-ка горадо более требовательна к ресурсам чем 7 ... в вашем случае нужно использовать облегченные настройки ... особенно проактивки .... но работать должно все и без тормозов ...
все же проверте температуры .... думаю у вас перегревается процессор .... проверте вентилятор ... термопасту и т.д

 

[Ansicht]

Посмотрел температуры Эверестом. Это то, что он "снял" где-то через 15-20 минут работы.
Температуры:
Системная плата 38 °C (100 °F)
ЦП 50 °C (122 °F)
Seagate ST380011A 44 °C (111 °F)

У меня возник вопрос по вольтажу. Естественно, значения, указанные ниже, изменяются. И бывает так, что показания второй колонки превышают показатели первой. Не намного, конечно, но есть. Примерно так, как в нижеуказанном у +12 V. Это естественно, или нет? У себя на компе я и температур таких не видел, и вольтажа тоже.
Вольтаж:
Ядро ЦП 1.74 V
+3.3 V 3.17 V
+5 V 4.92 V
+12 V 12.48 V
+5 V резерв 5.03 V

И еще. Эверест не измеряет температуру ГП. Это нормально?

 

[V_Bond]

S&M - Утилита для проверки оперативной памяти, жестких дисков, а также стабильности процессора. Кроме этого, производит мониторинг напряжений на материнской плате .... http://www.testmem.nm.ru/snm.zip она прогреет процессор ... и тогда можно будет все выяснить.... погоняйте .... тесты

 

[smallbuk]

Думаю, что проблема в Каспере 5. (Если я правильно понял, то именно эта версия используется). Когда-то тоже пытался ее юзать. Потом плюнул и не вспоминал до выхода 6 серии.
Пятерка дюже требовательна до ресурсов. Гони ее прочь.

 

[Ansicht]

smallbuk, нет. У меня 7ка была. А до этого шестерка. Пятерку давно снесли.
V_Bond, хм... А что я должен предоставить вам после проверки системы этой утилитой? Какой-то файл, или еще что-то?

 

[V_Bond]

там пишется лог ... если хотите я могу посмотреть ... если вдруг не разберетесь ...

 

[Ansicht]

V_Bond, распаковал в папку. Запустил на своем компе. Не на том, на котором проблемы. В общем, там по итогам проверки получается совсем маленький файлик, на листик блокнотовский. В этом файле указано, что было выполнено, и настройки тестирования. Если Вас не затруднит, скажите, может там где в настройках лишнюю галку поставить надо? И что я должен в итоге увидеть в файле. Данные какого плана?

 

[V_Bond]

нажмите помощь .... поставте максимальную сложность проверки ... принять настройки .... на вкладке ЦПУ поставте все галки (на вкладке настройки тоже все галки ) затем на вкладке монитор следите за температурами ... ну и максималиные затем сообщите ...