[решено] Система грузится 15 мин. Процессы не могут получить доступ к памяти.

Tekime · Отправлено: **00:52, 16-11-2008** | #11

Если надо отключить, то буду. Как узнать какие используют? У меня все с кряками, так что... Одну знаю, но установил только пару дней назад.

Severny · Отправлено: **01:04, 16-11-2008** | #12

Цитата Tekime:

Брандмауэр начал ругаться, что AVG выключен. »

Мы того и добивались.
Это после Combofix. Не брандмауэр, но Система Безопасности. Чтобы не надоедала, давай отключим (ох, получу от модератора

)
Выполни скрипт.

Код:

begin
 SetServiceStart('sfdrv01', 4);
 SetServiceStart('cmdAgent', 4);
 SetServiceStart('wscsvc', 4);
 DeleteService('cmdAgent');
 DeleteFile('C:\Program Files\COMODO\Firewall\cmdagent.exe');
RebootWindows(true);
end.

Цитата Tekime:

Как узнать какие используют? »

Попробуем только StarForce.

Цитата Tekime:

В безопасном режиме такая же ситуация с диспетчером задач: имя пользователя определено только у бездействия - system. Остальные подгружаются потом. »

Ну не знаю. Может посмотреть в событиях системы, какая служба подгружается с задержкой.
Мой компьютер правой кнопкой -- Управление -- Просмотр событий - Система.

Тебе нужно отлючить Восстановление системы. В правилах написано как.

Tekime · Отправлено: **09:42, 16-11-2008** | #13

StarForce удалил, драйвер защиты DiRT (большинство ошибок в журнале из-за нее было) тоже.
Остались 2 ошибки:

Код:

Тип события:	Ошибка
Источник события:	ACPIEC
Категория события:	Отсутствует
Код события:	1
Дата:		16.11.2008
Время:		13:13:57
Пользователь:		Н/Д
Компьютер:	COMP
Описание:
\Device\ACPIEC: Встроенный контроллер оборудования не ответил в отведенный таймаут. Это может указывать на ошибку в микропрограмме контроллера, или некорректно работающий BIOS, который выполняет небезопасные запросы к контроллеру. Драйвер контроллера попытается выполнить запрос повторно.
Данные:
0000: 00 00 68 00 01 00 be 00   ..h...¾.
0008: 00 00 00 00 01 00 05 c0   .......À
0010: 00 00 00 00 00 00 00 00   ........
0018: 00 00 00 00 00 00 00 00   ........
0020: 00 00 00 00 00 00 00 00   ........
0028: 99 9e 36 00 13 19 ff ff   ™ž6...ÿÿ
0030: 73 00 05 00 13 0a 10 00   s.......
0038: 83 00 52 01 a3 09 a7 04   ƒ.R.£.§.
0040: 13 0a 1b 00 33 82 05 00   ....3‚..
0048: 15 08 0e 00 10 08 5b 00   ......[.
0050: 60 00 05 00 90 01 47 0d   `....G.
0058: 70 00 07 00 10 08 11 00   p.......
0060: 80 00 07 00 10 08 60 00   €.....`.
0068: 60 00 05 00 50 00 ca 09   `...P.Ê.
0070: 70 00 09 00 10 1a 0f 00   p.......
0078: 80 00 0a 00 30 83 08 00   €...0ƒ..
0080: 15 10 0a 00 21 41 0b 00   ....!A..
0088: 11 11 7a 07 a1 1b ae 4a   ..z.¡.®J

Код:

Тип события:	Уведомление
Источник события:	Tcpip
Категория события:	Отсутствует
Код события:	4202
Дата:		16.11.2008
Время:		10:46:58
Пользователь:		Н/Д
Компьютер:	COMP
Описание:
Система обнаружила, что сетевой адаптер \DEVICE\TCPIP_{F664EE37-3621-4660-B521-E2768DFF2DB6} был отключен от сети, и сетевая конфигурация этого адаптера была освобождена. Если сетевой адаптер не был отключен, то возможно, что он неисправен. Чтобы получить обновленные  драйверы, обратитесь к вендору.
Данные:
0000: 00 00 00 00 02 00 50 00   ......P.
0008: 00 00 00 00 6a 10 00 40   ....j..@
0010: 02 00 00 00 00 00 00 00   ........
0018: 00 00 00 00 00 00 00 00   ........
0020: 00 00 00 00 00 00 00 00   ........

После нее в журнале 2 мин 30 сек до следующего события. Очевидно, из-за карточки задержка идет. Драйвера официальные.

Tekime · Отправлено: **15:49, 16-11-2008** | #14

Если сетевуху отключить, остается только ошибка ACPIEC и та же самая задержка.

Pili · Отправлено: **16:22, 16-11-2008** | #15

Tekime, RegSupremePro.exe зловред по VT - см. здесь , остальные в карантине чистые, рекомендую вообще удалить или не использовать эту версию total commander
Выполните скрипт в AVZ

Код:

SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\Program Files\Total Commander Podarok Edition\Programm\RegSupremePro\RegSupremePro.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

По удалению AVG - можете установить AVG - http://free.avg.com/download обновить базы, просканировать систему и удалить (по желанию) через установку/удаление программ, то же самое можете проделать с Comodo.
По ACPIEC, для выключения службы можете сохранить текст ниже как ACPIEC_OFF.reg и применить

Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ACPIEC]
"Start"=dword:00000004

Если снова захотите включить, твик ACPIEC_on.reg

Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ACPIEC]
"Start"=dword:00000000

По логам зловредов больше не видно, ваши проблемы скорее всего связаны с той сборкой windows, которую вы используете, но всё-таки попробуем посмотреть ещё др. утилитами:
Скачайте RSIT, сохраните на рабочий стол и запустите, когда закончится процесс сканирования, запакуйте файлы log.txt и info.txt и прикрепите архив.
Скачайте OTViewIt сохраните на рабочий стол и запустите, запакуйте полученные логи OTViewIt.txt и Extras.txt и прикрепите к сообщению.

Tekime · Отправлено: **17:58, 18-11-2008** | #16

Логи.
На скрине не ошибки?

Severny · Отправлено: **19:02, 18-11-2008** | #17

Цитата Tekime:

На скрине не ошибки? »

Это не ошибки. Относится к прерываниям и железу (драйверам). На скрине все в порядке.

Pili · Отправлено: **20:14, 18-11-2008** | #18

Цитата Tekime:

На скрине не ошибки? »

На последнем 1.jpg нет.
Можете пофиксить в HJT

Код:

O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user')
O9 - Extra button: Microsoft Knowledge Base - {8B2D996F-B7D1-4961-A929-414D9CF5BA7B} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra 'Tools' menuitem: Microsoft Knowledge Base - {8B2D996F-B7D1-4961-A929-414D9CF5BA7B} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O20 - Winlogon Notify: AWinNotifyVitaKey MC3000 - C:\WINDOWS\

И дополнительно попробуйте убрать из автозагрузки PLFSetI.exe, пофиксив строчку

Код:

O4 - HKLM\..\Run: [PLFSetI] C:\WINDOWS\PLFSetI.exe

Удалите все *.tmp из папок C:\WINDOWS\System32\ и C:\WINDOWS\
CursorXP рекомендую деинсталлировать - "украшательство". Загрузка также м.б. долгой из-за установленого VMware

По логам зловредов не видно. Драйверов от avg в реестре не видно, часть файлов осталась

Код:

C:\WINDOWS\System32\drivers\Avg\incavi.avm
C:\WINDOWS\System32\drivers\Avg\avi7.avg
C:\WINDOWS\System32\drivers\Avg\miniavi.avg
 C:\WINDOWS\System32\drivers\Avg\microavi.avg
C:\WINDOWS\System32\drivers\Avg
C:\Documents and Settings\Администратор\Application Data\AVGTOOLBAR
C:\Documents and Settings\All Users\Application Data\avg8

От Comodo осталась служба

Код:

S4 cmdAgent;COMODO Firewall Pro Helper Service; C:\Program Files\COMODO\Firewall\cmdagent.exe []

службу можете удалить командой

Код:

sc delete cmdAgent

Имхо, проблема в самой сборке windows (ошибки в журнале событий косвенно увказывают на это), но, можете ещё просканироваться с помощью F-Secure Online Scanner или(и) TrendMicro HouseCall Java Scan - эти онлайновые сканеры умеют лечить зловредов, логи сканирования можете сохранить и выложить.

Tekime · Отправлено: **21:03, 18-11-2008** | #19

В общем все грузиться шустро, за исключением задержки в 2.30 мин из-за вот этой ошибки:

Код:

Тип события:	Уведомление  Источник события:	Tcpip  Категория события:	Отсутствует  Код события:	4202  Дата:		18.11.2008  Время:		20:26:39  Пользователь:		Н/Д  Компьютер:	COMP  Описание:  Система обнаружила, что сетевой адаптер \DEVICE\TCPIP_{66E48EC7-FDC8-4455-92A9-EFFDA9909543} был отключен от сети, и сетевая конфигурация этого адаптера была освобождена. Если сетевой адаптер не был отключен, то возможно, что он неисправен. Чтобы получить обновленные  драйверы, обратитесь к вендору.  Данные:  0000: 00 00 00 00 02 00 50 00   ......P.  0008: 00 00 00 00 6a 10 00 40   ....j..@  0010: 02 00 00 00 00 00 00 00   ........  0018: 00 00 00 00 00 00 00 00   ........  0020: 00 00 00 00 00 00 00 00   ........

Pili · Отправлено: **21:55, 18-11-2008** | #20

сетевой адаптер \DEVICE\TCPIP_{66E48EC7-FDC8-4455-92A9-EFFDA9909543
Это у вас Generic Marvell Yukon 88E8071 based Ethernet Controller
служба(драйвер) yukonwxp это

Код:

R2 yukonwxp;NDIS5.1 Miniport Driver for Marvell Yukon Ethernet Controller; C:\WINDOWS\system32\DRIVERS\yk51x86.sys [2008-02-21 286336]

Попробуйте переустановить драйвера