Постоянно черезмерно загружен SYSTEM

Модератор: YoungMax

Постоянно черезмерно загружен SYSTEM

Сообщение pwpoe74 » 27 сен 2010 19:07

Когда вхожу в сеть SYSTEM просто сходит с ума загрузка процессора 100%
SYSTEM 80 и больше.Бездействие системы 00.
Клипы с ютьюба превращаются в слайд-шоу,при том что больше никаких приложений не открыто.Никогда раньше такого не было.ОС недавно переустонавливал,программ теперь стоит ещё меньшьше.Непойму в чём дело.
Вложения
.rar
(41.55 Кб) Скачиваний: 511
Стыдить лжеца, шутить над дураком
И спорить с женщиной все то-же,
Что черпать воду решетом:
От сих троих избавь нас боже
© М.Ю. Лермонтов
pwpoe74
Наблюдатель
Наблюдатель
 
Сообщения: 19
Зарегистрирован:
22 май 2010 16:10

Re: Постоянно черезмерно загружен SYSTEM

Сообщение Lucky SB » 27 сен 2010 19:22

фирус C:\DOCUME~1\Admin\LOCALS~1\Temp\Rar$EX00.312\game.exe
Можешь попробовать сам удалит, или подождать, пока тебе скриптик для удаления дадут.

ЗЫЖ на мой взгляд лучше один кис, чем дрвеб+оутпост.
BS3023-RIPE
Телепат-любитель
Аватара пользователя
Lucky SB
Командир корабля
Командир корабля
 
Сообщения: 2978
Зарегистрирован:
06 дек 2007 20:30

Re: Постоянно черезмерно загружен SYSTEM

Сообщение YoungMax » 27 сен 2010 19:33

Добрый Вечер!

В HiJackThis пофиксите (поставьте галки напротив и нажмите Fix Checked):
Код: Выделить всё
O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user'


Выполните скрипт в AVZ, компьютер перезагрузится.
Код: Выделить всё
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('e:\6b6182dd1e72e45b176ec7f7\wgasetup.exe','');
QuarantineFile('C:\PROGRA~1\TROJAN~1\Trshlex.dll','');
TerminateProcessByName('C:\DOCUME~1\Admin\LOCALS~1\Temp\Rar$EX00.312\game.exe');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Rar$EX00.312\game.exe' , '');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}'); 
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{52B87208-9CCF-42C9-B88E-069281105805}');
DeleteFile('e:\6b6182dd1e72e45b176ec7f7\wgasetup.exe');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Rar$EX00.312\game.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.


После перезагрузки обновите базы Avz, повторите логи, выполните скрипт. В папке с Avz будет лежать архив "quarantine.zip" - отправьте его мне в личку.
Код: Выделить всё
begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Don't feed a troll
RTFM
YoungMax
Штурман
Штурман
 
Сообщения: 913
Зарегистрирован:
27 фев 2009 19:00

Re: Постоянно черезмерно загружен SYSTEM

Сообщение pwpoe74 » 28 сен 2010 03:17

Повторил логи. Архив "quarantine.zip" отправил в личку

Lucky SB писал(а):
ЗЫЖ на мой взгляд лучше один кис, чем дрвеб+оутпост.

У меня комп не новый.Когда его брал уже говорили что Касперский будет сильно тормозить.Если только он изменился...
Я бы попробовал,да не знаю потянет ли...
Вложения
2.rar
(39.86 Кб) Скачиваний: 506
Стыдить лжеца, шутить над дураком
И спорить с женщиной все то-же,
Что черпать воду решетом:
От сих троих избавь нас боже
© М.Ю. Лермонтов
pwpoe74
Наблюдатель
Наблюдатель
 
Сообщения: 19
Зарегистрирован:
22 май 2010 16:10

Re: Постоянно черезмерно загружен SYSTEM

Сообщение YoungMax » 28 сен 2010 06:17

В HiJackThis фиксили строчки?

Пофиксите снова:
Код: Выделить всё
O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'Default user')



Выполните скрипт:
Код: Выделить всё
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\tssdis.exe','');
DeleteFile('C:\WINDOWS\System32\tssdis.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Control Panel\Desktop','scrnsave.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Control Panel\Desktop','scrnsave.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.


Просканируйтесь этой утилитой ftp://ftp.freedom-vrn.ru/incoming/Young ... _04-29.exe

Что с проблемой?
Don't feed a troll
RTFM
YoungMax
Штурман
Штурман
 
Сообщения: 913
Зарегистрирован:
27 фев 2009 19:00

Re: Постоянно черезмерно загружен SYSTEM

Сообщение pwpoe74 » 28 сен 2010 16:21

Да я всё фиксил и профиксил снова.
Утилита ничего не нашла.На всякий случай сделал ей отчёт о системе.(в прикреплённом файле)
А эти все утилиты они руткиты отлавливают?Есть ли смысл проверить какой-нибудь UnHackMe?
Я вот что заметил:при загрузке когда пишется WINDOWS,экран на какое-то время темнеет,потом опять всё в порядке.
Хотя видеодрайверы обновлял и к старым возвращался,но всё также.
Вложения
avptool_sysinfo.zip
(17.5 Кб) Скачиваний: 486
Стыдить лжеца, шутить над дураком
И спорить с женщиной все то-же,
Что черпать воду решетом:
От сих троих избавь нас боже
© М.Ю. Лермонтов
pwpoe74
Наблюдатель
Наблюдатель
 
Сообщения: 19
Зарегистрирован:
22 май 2010 16:10

Re: Постоянно черезмерно загружен SYSTEM

Сообщение YoungMax » 28 сен 2010 17:37

Выполните скрипт
Код: Выделить всё
begin
SearchRootkit(true, true);
QuarantineFile('mnmdd.sys', 'CHQ=N');
QuarantineFile('C:\WINDOWS\System32\Drivers\dump_diskdump.sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\System32\Drivers\dump_nvgts.sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\Drivers\uphcleanhlp.sys', 'CHQ=S');
BC_QrFile('C:\WINDOWS\System32\Drivers\dump_diskdump.sys');
BC_QrFile('C:\WINDOWS\System32\Drivers\dump_nvgts.sys');
BC_QrFile('C:\WINDOWS\system32\Drivers\uphcleanhlp.sys');
BC_Activate;
RebootWindows(true);
end.


После перезагрузки выполните скрипт:
Код: Выделить всё
var
  qfolder: string;
  qname: string;
begin
  qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
  qfolder := ExtractFilePath(qname);
  if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
  CreateQurantineArchive(qname);
  ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.

Архив quarantine.zip отправьте мне в личку.


Что с проблемой?
Don't feed a troll
RTFM
YoungMax
Штурман
Штурман
 
Сообщения: 913
Зарегистрирован:
27 фев 2009 19:00

Re: Постоянно черезмерно загружен SYSTEM

Сообщение pwpoe74 » 28 сен 2010 18:19

Всё выполнил.Всё отправил.
Что с проблемой пока ещё не понял,вроде получше.Но я пока во внешку стараюсь не лезть.
Может какие дыры или трояны обнаружатся.Думаю вдруг ещё рано...
Если уже можно,то попробую.
Стыдить лжеца, шутить над дураком
И спорить с женщиной все то-же,
Что черпать воду решетом:
От сих троих избавь нас боже
© М.Ю. Лермонтов
pwpoe74
Наблюдатель
Наблюдатель
 
Сообщения: 19
Зарегистрирован:
22 май 2010 16:10

Re: Постоянно черезмерно загружен SYSTEM

Сообщение YoungMax » 28 сен 2010 18:21

Архив пуст :(
Тогда так:
Зайдите в авз, Файл-Просмотр карантина, отметить все файлы и нажать кнопку Архивировать.
Архив скинуть.
Don't feed a troll
RTFM
YoungMax
Штурман
Штурман
 
Сообщения: 913
Зарегистрирован:
27 фев 2009 19:00

Re: Постоянно черезмерно загружен SYSTEM

Сообщение pwpoe74 » 28 сен 2010 18:26

-=YoungMax=- писал(а):Архив пуст :(
Тогда так:
Зайдите в авз, Файл-Просмотр карантина, отметить все файлы и нажать кнопку Архивировать.
Архив скинуть.

Там пусто.
Стыдить лжеца, шутить над дураком
И спорить с женщиной все то-же,
Что черпать воду решетом:
От сих троих избавь нас боже
© М.Ю. Лермонтов
pwpoe74
Наблюдатель
Наблюдатель
 
Сообщения: 19
Зарегистрирован:
22 май 2010 16:10

Re: Постоянно черезмерно загружен SYSTEM

Сообщение YoungMax » 28 сен 2010 18:33

Надеюсь Восстановление системы отключено?
А если посмтреть в папке с Avz папку Quarantine, там что-либо есть? Если да, то заархивируйте всю папку Quarantine и скиньте мне.
Don't feed a troll
RTFM
YoungMax
Штурман
Штурман
 
Сообщения: 913
Зарегистрирован:
27 фев 2009 19:00

Re: Постоянно черезмерно загружен SYSTEM

Сообщение pwpoe74 » 28 сен 2010 19:23

System загружен в районе 60.Так что проблема осталась.
Стыдить лжеца, шутить над дураком
И спорить с женщиной все то-же,
Что черпать воду решетом:
От сих троих избавь нас боже
© М.Ю. Лермонтов
pwpoe74
Наблюдатель
Наблюдатель
 
Сообщения: 19
Зарегистрирован:
22 май 2010 16:10

Re: Постоянно черезмерно загружен SYSTEM

Сообщение YoungMax » 28 сен 2010 19:40

Разведка донесла,что дело скорее всего в Dr.Web.
Отключите атвтозагрузку Dr.Web и понаблюдайте.
Don't feed a troll
RTFM
YoungMax
Штурман
Штурман
 
Сообщения: 913
Зарегистрирован:
27 фев 2009 19:00

Re: Постоянно черезмерно загружен SYSTEM

Сообщение pwpoe74 » 29 сен 2010 01:01

-=YoungMax=- писал(а):Разведка донесла,что дело скорее всего в Dr.Web.

Ну так он у меня был всегда,но такого не было.Тут в теме КИС советовали,есть вероятность что он изменит ситуацию к лучшему?
Присоединяю очередные логи.
P.S.Я тут гуглил по своему вопросу и натолкнулся на тему"Процесс system грузит процессор на 100%"
Меня заинтересовал последний пост на этой странице http://forum.ru-board.com/topic.cgi?for ... opic=13374
У меня похожие симптомы при загрузке.
P.S.S.Сейчас пишу,загрузка ЦП 100%.Загрузка System 80-90.
Вложения
3.rar
(39.26 Кб) Скачиваний: 585
Стыдить лжеца, шутить над дураком
И спорить с женщиной все то-же,
Что черпать воду решетом:
От сих троих избавь нас боже
© М.Ю. Лермонтов
pwpoe74
Наблюдатель
Наблюдатель
 
Сообщения: 19
Зарегистрирован:
22 май 2010 16:10

Re: Постоянно черезмерно загружен SYSTEM

Сообщение YoungMax » 29 сен 2010 06:37

pwpoe74
Можно попробовать поставить KIS.
В логах с утра не вижу ничего такого .
Сделайте лог утилиты как в этом посте

KIS 2010
Don't feed a troll
RTFM
YoungMax
Штурман
Штурман
 
Сообщения: 913
Зарегистрирован:
27 фев 2009 19:00

След.

Вернуться в Помогите!!

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2