Службы

zzsnn · Отправлено: **19:44, 13-05-2008** | #2

Данная служба регистрирует сообщения о событиях, полученные от программ и операционной системы Windows. Отчеты службы содержат сведения, которые используются в процессе диагностики возникающих неполадок. Для просмотра отчетов служит программа «Просмотр событий». Сообщения, полученные от программ, других служб и операционной системы, регистрируются в файлах журналов событий. Такие сообщения содержат диагностические сведения, а также ошибки, которые различаются в зависимости от программы, службы или компонента, являющегося источником возникновения события. Эта служба не может быть остановлена. C помощью данной службы можно посмотреть какие программы "вылетают" при работе операционной системы, очень полезный инструмент для опытного пользователя.

Название службы: Eventlog
Название процесса: services.exe
По умолчанию в Windows XP Home: Автоматически
По умолчанию в Windows XP Pro: Автоматически
Рекомендуемое значение: Автоматически
Вход от имени: Локальная система
Используемые протоколы и порты, на которых служба ожидает входящий трафик: TCP: 135, TCP: 1024-65534

Какие сервисы нужны для нормального функционирования службы Журнал событий (Event Log):

Никакие
Какие сервисы требуют работу службы Журнал событий (Event Log) для нормального функционирования:

Никакие

Данная служба посылает и получает сообщения, переданные администраторами или службой оповещений. Если служба остановлена, оповещение не будет передано. Эта служба позволяет обмениваться сообщениями между клиентами и серверами. Данная служба не имеет отношения к программа Windows Messenger, это WinPopUp. Рекомендуется отключить данную службу для того, чтобы запретить net send сообщения для скрытия вашего компьютера от сети интернет. Для проверки работоспособности службы введите в командной строке команду net send 127.0.0.1 hi. Если вы получите сообщение hi, то служба работает. Служба сообщений использует UDP порты 135, 137 и 138, а также TCP порты 135, 139 и 445.

Название службы: Messenger
Название процесса: services.exe
По умолчанию в Windows XP Home: Отключена
По умолчанию в Windows XP Pro: Отключена
Рекомендуемое значение: Отключена
Вход от имени: Локальная система
Используемые протоколы и порты, на которых служба ожидает входящий трафик: UDP: 138

Какие сервисы нужны для нормального функционирования службы Служба сообщений (Messenger):

NetBIOS Interface
Plug and Play (Plug and Play)
Удаленный вызов процедур (RPC) (Remote Procedure Call (RPC))
Рабочая станция (Workstation)
Какие сервисы требуют работу службы Служба сообщений (Messenger) для нормального функционирования:

Никакие

Позволяет компьютеру распознавать изменения в установленном оборудовании и подстраиваться под них, либо, не требуя вмешательства пользователя, либо сводя его к минимуму. Остановка или отключение этой службы может привести к нестабильной работе системы. Это служба является "сердцем" всей системы Plug and Play устройств на компьютере. Я крайне не рекомендую отключать данную службу, так как. вы можете столкнуться с множеством проблем. Имейте ввиду, что UPnP НЕ ТОЖЕ самое, что и PnP. UPnP служит для связи через TCP/IP с оборудованием (сканерами, принтерами и т.д.). Ваше звуковая карта - это PnP устройство. НЕ ОТКЛЮЧАЙТЕ службу Plug and Play.

Название службы: PlugPlay
Название процесса: services.exe
По умолчанию в Windows XP Home: Автоматически
По умолчанию в Windows XP Pro: Автоматически
Рекомендуемое значение: Автоматически
Вход от имени: Локальная система

Какие сервисы нужны для нормального функционирования службы Plug and Play (Plug and Play):

Никакие
Какие службы требуют работу службы Plug and Play (Plug and Play) для нормального функционирования:

Служба факсов (Fax Service)
Диспетчер логических дисков (Logical Disk Manager)
Служба администрирования диспетчера логических дисков (Logical Disk Manager Administrative Service)
Служба администрирования диспетчера логических дисков (Logical Disk Manager Administrative Service)
Служба сообщений (Messenger)
Смарт-карты (Smart Card)
Телефония (Telephony)
Служба факсов (Fax Service)
Диспетчер авто-подключений удаленного доступа (Remote Access Auto Connection Manager)
Диспетчер подключений удаленного доступа (Remote Access Connection Manager)
Брандмауэр Интернета (ICF) /Общий доступ к Интернету (ICS) (Internet Connection Firewall/Internet Connection Sharing)
Диспетчер авто-подключений удаленного доступа (Remote Access Auto Connection Manager)
Windows Audio (Windows Audio)

Под эту службу очень часто маскируются вирусы и трояны. Вариантов решения несколько. Кроме прверки антивирусами (из безопасного режима) и антитрояновскими программами например AVZ http://z-oleg.com/secur/avz_doc/ или Spybot http://www.spybot.info/ можно воспользоваться так называемой "чистой" загрузкой Windows (это когда работают только службы Майкрософт) и из под неё разбираться что и как грузит ось.
Ну и конечно надо почистить реестр и сделать дефрагментацию. Очень часто только последние операции дают у некоторых юзеров фантастический прирост скорости.

Severny · Отправлено: **20:01, 13-05-2008** | #3

pasha281282,
Скачай Process Explorer XP. Щелкни 2 раза по процессу services.exe и перейди на вкладку Threads. Посмотри, какой поток загружает этот процесс.

zzsnn, На форуме есть перечень утилит, рекомендуемых для выявления и лечения малвари.

Drinko · Отправлено: **00:59, 14-05-2008** | #4

[решено] Процесс services.exe периодически нагружает систему на 100%
[решено] процесс System загружает процессор

Цитата Severny:

Скачай Process Explorer XP. »

Process Explorer

Выполните плиз эти рекомендации.

pasha281282 · Отправлено: **11:19, 15-05-2008** | #5

Вот логи

Pili · Отправлено: **13:17, 15-05-2008** | #6

pasha281282, Явных зловредов не видно, ОС вроде не стандартная (какая-то сборка), попробуйте деинсталлировать VistaDriveIcon. Если ставили антивирус касперского версии выше KIS7 , удалите полностью антивирус касперского и поставьте заново (или временно, для проверки, поработайте без него).
В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить»

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('E:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\z629oy11.default\FlashGot.exe','');
 QuarantineFile('E:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\z629oy11.default\extensions\{19503e42-ca3c-4c27-b1e2-9cdb2170ee34}\chrome\flashgot.jar','');
 QuarantineFile('C:\Мои документы\ШАРА\Bonus\OPEN PASS\OPENPASS.RAR','');
 QuarantineFile('E:\Program Files\Kristanix\Right Click Image Converter\extRCIC.dll','');
 QuarantineFile('E:\WINDOWS\system32\DRIVERS\tcpip.sys','');
 DeleteFile('C:\Мои документы\ШАРА\Bonus\OPEN PASS\OPENPASS.RAR');
BC_ImportALL;
ExecuteSysClean;
BC_QrSvc('OMSCAN')
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку).
если файл OPENPASS.RAR вам очень нужен (PSWTool.Win32.OpenPass.10), можете удалить из скрипта строчку

Код:

DeleteFile('C:\Мои документы\ШАРА\Bonus\OPEN PASS\OPENPASS.RAR');

можно пофиксить в hijackthis строчки

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = start.qip.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection E:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection E:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection E:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection E:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user')

Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".

Severny · Отправлено: **14:35, 15-05-2008** | #7

Это делал?

pasha281282 · Отправлено: **15:31, 15-05-2008** | #8

Поставил CureIt просканировал, нашел троянчик в дровах, удалил его и проблемка решилась вроде. Спасибо всем

Severny · Отправлено: **15:48, 15-05-2008** | #9

Цитата pasha281282:

нашел троянчик в дровах, »

В папке system32\drivers ты имеешь ввиду?

pasha281282 · Отправлено: **18:33, 16-05-2008** | #10

да в ней самой, как удалил сразу тормаз пропал

Странно тока что KIS не нашел этот троян.....