Помогите побороть глюки Винды...

[Unit2k]

Суть такова. Есть Win XP sp3. В последнее время в ней замечаются несколько не особо критичных, но крайне раздражающих глюков.
1. Врубается выбор пользователя при загрузке. Учитывая, что я совершенно один пользователь за своим компьютером, эта менюшка для меня лишь лишние телодвижения. В редакторе реестра ставлю 1 вместо 0 в параметре AutoAdminLogon. Помогает... но! на одну лишь перезагрузку.  Т.е. 1 раз перезагружусь - нормально заходит.. но уже на следующую опять вылазит меню! 
2. Пропадает обоина после той же перезагрузки. Т.е. ставлю радующую глаз картинку, но после перезагрузки меня встречает унылый серый фон.
Такие дела. Конечно я скаинировал систему на вирусы. Нод32 с последними базами ничего не нашел. Скачал CureIT - тоже ноль результатов после полного сканирования.
Стоит так же сказать, что винда недавно пережила вирусную атаку, собсна заразу вывел и все симптомы тогдашних вирусов(загрузка ЦП, внезапные диссконекты инета) сейчас ликвидированы, но походу вирус отколол что-то от некогда рабочей винды. Перестанавливать пока жутко влом, но глюки вышеназванные достали.  Плюс ещё у меня по какой-то причине теперь не усанавливается ПанкБастер для игры по-сети, в Код4 и Баттлфиелд2.  Странная ошибка верификации...  В общем винда разваливаетя по-кускам.  Но может все-таки есть способ устранить вышеназванные глюки?

[УльтраБлокС]

1. Врубается выбор пользователя при загрузке. Учитывая, что я совершенно один пользователь за своим компьютером, эта менюшка для меня лишь лишние телодвижения. В редакторе реестра ставлю 1 вместо 0 в параметре AutoAdminLogon. Помогает... но! на одну лишь перезагрузку.   Т.е. 1 раз перезагружусь - нормально заходит.. но уже на следующую опять вылазит меню!

Скажем так, это не глюк. Можно заюзать Process Monitor и уточнить что меняет этот параметр. Вообщем фигня это.

2. Пропадает обоина после той же перезагрузки. Т.е. ставлю радующую глаз картинку, но после перезагрузки меня встречает унылый серый фон.
Такие дела. Конечно я скаинировал систему на вирусы. Нод32 с последними базами ничего не нашел. Скачал CureIT - тоже ноль результатов после полного сканирования.
Стоит так же сказать, что винда недавно пережила вирусную атаку, собсна заразу вывел и все симптомы тогдашних вирусов(загрузка ЦП, внезапные диссконекты инета) сейчас ликвидированы, но походу вирус отколол что-то от некогда рабочей винды. Перестанавливать пока жутко влом, но глюки вышеназванные достали.  Плюс ещё у меня по какой-то причине теперь не усанавливается ПанкБастер для игры по-сети, в Код4 и Баттлфиелд2.   Странная ошибка верификации...   В общем винда разваливаетя по-кускам.   Но может все-таки есть способ устранить вышеназванные глюки?

А это уже далеко не нормально. Видимо часть вируса таки осталась.

Вообщем у меня один раз тоже была вирусная атака. И даже после удаления вируса что-то было не комфортно в системе (непонятные явления были, глюки). В итоге я полностью снёс папку с виндой, чтобы источников заражения не было и переустановил винду. Надо отметить что после этого винда была зарезервирована на случай крайней необходимости, а сам я пересел на линуху.

[HardWareMan]

1. Врубается выбор пользователя при загрузке. Учитывая, что я совершенно один пользователь за своим компьютером, эта менюшка для меня лишь лишние телодвижения. В редакторе реестра ставлю 1 вместо 0 в параметре AutoAdminLogon. Помогает... но! на одну лишь перезагрузку.  Т.е. 1 раз перезагружусь - нормально заходит.. но уже на следующую опять вылазит меню! 

Скажем так, это не глюк. Можно заюзать Process Monitor и уточнить что меняет этот параметр. Вообщем фигня это.

Более того, нужно просто удалить ненужных пользователей, которым отклонен локальный вход. Например, драйвера ATIшные ставят пользователя ASP.NET, из-за которого появляется этот самый скрин входа. Убиваем его и о чудо: и дрова/софт ATIшные пашут и экрана нет (спрашивается, НАЖУЯ ЭТО НАДО БЫЛО ДЕЛАТЬ?). Надеюсь, знаешь, как юзеров крутить? Только не удали локальногостя, локально одмина и еще пару служебных, ато потом плакать будешь. Лучше покажи, какие у тебя есть и я скажу какие не нужны.

[Unit2k]

HardWareMan, спасибо! Первая проблема решена. Удалил "левых" пользователей, среди которых оказался вышеназваный АSP (откуда он взялся. у меня Nvidia) и какой-то аккаунт МSSQL! Вот походу в нем и была проблема. Я как-то ради интереса пробовал поднимать сервак ММОРПГ PW, ну необходимо было ставить МSSQL.. вот похоже из-за него и была проблемка. 2 раза перезагрузил комп - меню не вылезло.
так.. вот теперь ещё бы разобраться почему не ставиться ПанкБастер.. там уже явно проблема посерьезнее.  Мне даже не помогли на профильном форуме игры...

[УльтраБлокС]

Служба ( ) не устанавливается.

Хм, эта фигня прописывается в системные службы? 

Ну надо вместо PnkBstrA поискать PnkBstrU.

[Unit2k]

УльтраБлокС, да.. в system 32 в идеале должны лежать файлы pnkbstrA.exe и pnkbstrB.exe это и есть 2 службы.

[УльтраБлокС]

Unit2k, лол, а я думал что есть PnkBstrA - ANSI и PnkBstrU или PnkBstrW - юникод 

[Unit2k]

УльтраБлокС, ну вот ща бы насоветовал мне)

[Photon9]

Процессор на ноуте постоянно нагружен до 100%, до глюка стоял аваст, но он ничего не находил, пробовал я ставить доктор веб, тот же результат ESS вообще отказывается запускатся? винда XP SP2.
Возможно ли залечить проблемку, или переустановка?

[УльтраБлокС]

Если нагрузка на проц 100% - скорее всего вирус (но также может быть процесс, вертящийся в цикле без выхода (что тоже может быть следствием работы малваря)).

А какой процесс нагружает проц? Не svchost?

[Vegas]

Вирусня.
Варианты.
1. Яб переустановил (восстановил образ, который всегда делаю заранее. Макс. 10 мин.).
2. Грузимся с ЛайвCD со свежими базами и чистимся.
3. Вытащить хард, просканировать у друга хорошим антивирем (требует или ноута на 2 харда, или ТАКОЙ адаптер).

[УльтраБлокС]

В случаях с серьёзными вирями (которые инжектируют свой код в системные файлы) я всегда переустанавливал систему. Как-то было некомфортно. Либо паранойя давала о себе знать, либо действительно в системе было что-то не то.

[Photon9]

Хм, всё решилось само причём весьма странным образом. Антивирус который 3 дня не подавал признаков жизни ни с того ни с сего обновился и удалил 2 трояна, загрузка проца сразу пропала и ноут забегал быстрее  .

[DeniSS]

Дык! Веревки перепилил, вырвался на свободу и жахнул по захватчику!

[lextin]

Берёшь новую винду,лучше всего лицензионную и переустанавливаешь,вот и все дела и никаких глюков

[HardWareMan]

Берёшь новую винду,лучше всего лицензионную и переустанавливаешь,вот и все дела и никаких глюков

Аргументируй.

[aptyp]

Правильно. чистый инстал винды лучше инстала поверх. лицензия или копия лучше кривых калосборок.

[Unit2k]

Вот ещё странность.

Не пойму я, че делает свкхост там. Походит на вирус, но касперский молчит, да и с компом ничего странного за исключением непонятных сетевых атак не происходит.

[gepar]

В том что свхост ходит в инет мало удивительного.

[Unit2k]

Но вот раньше что-то я подобного не замечал.

[gepar]

Но вот раньше что-то я подобного не замечал.

Вот ты не замечал, а он ходил 

[HardWareMan]

В том что свхост ходит в инет мало удивительного.

svchost = сокращение от service host. Процесс, который несет на себе все службы. Внимание вопрос: протоколы, обслуживающие звук, сеть, диски (еще много чего) - это что?

[gepar]

HardWareMan,кому адресуется вопрос? Если мне то вопрос не понят так как я не HardWareMan и настолько хорошо в винде и железе не разбираюсь  Я знаю что через свхост подцепляется целая куча библиотек от всяческого софта и не только и потом ходят обновляться/сливать куда-то свои данные, наблюдаю это с помощью нодовского файревола. Как почистить этот хлам в теме о виндовс 7 я вопрос уже задавал, но никто так и не ответил, а жаль, уверен что можно бы половину списка удалить. Хотя я и так заблокировал всему левому доступ к сети так что в принципе ничто инфу обо мне не сливает, но то что "оно" сидит в системе неприятно.

Добавлено позже:
Всё выше написанное действительно только для настоящего свхоста, в инете написано что некоторые вирусы свой свхост пихают запущенный от лица пользователя (в отличии от настоящего запущенного от системы), но я такого не встречал так что предположу что у Unit2k в инет ходит настоящий, а не лжесвхост.

[УльтраБлокС]

Всё выше написанное действительно только для настоящего свхоста

А если в настоящий svchost внедрён малварь-код, как это например делает кидо?

в инете написано что некоторые вирусы свой свхост пихают запущенный от лица пользователя (в отличии от настоящего запущенного от системы)

А ничего что есть баги, заюзав которые можно поднять привелегии до (и следовательно запускать проги от имени) SYSTEM?

но я такого не встречал так что предположу что у Unit2k в инет ходит настоящий, а не лжесвхост.

Если лежит в %WINDIR\System32\svchost.exe то настоящий, но это не гарантирует что к нему не прицеплен малварь.

да и с компом ничего странного за исключением непонятных сетевых атак не происходит.

Это довольно странно. Либо у тебя провайдерская локалка (у кого-то вирь ломится к тебе) или у тебя внешний IP и к тебе тоже кто-то ломится.

В первом случаи надо либо отключать провайдерскую локалку, либо ставить фаервол (впрочем если есть сообщения о сетевых атаках, то он по ходу уже установлен).
Во втором - крыть сетевые порты, особенно нижние (1-1000). А лучше закрыть все и открывать только по необходимости.

[Unit2k]

Свкхост настоящий и похоже не модифицирован (уж касперский бы заметил). Другое дело, что раньше не замечал я его там, где он сейчас. Висели его процессы себе под winlogon и все норм. А тут он под эксплорером, при наведении курсора служб никаких не кажет. В общем, я его от греха подальше выгружаю при старте системы(если ток не забываю). Косяков при этом никаких не вижу. Все работает нормально.



Добавлено позже:
Ах да. Ещё была тема, что нещадно начал тормозить инет. Я впрочем не подавал особого беспокойства т.к. думал на прова - мало-ли - сеть загружена или работы какие проводятся. Ближе к ночи норм будет. Но нет! Даже в 00.00 инет тормозит. И тут я вспонимаю про свкхост и тут же выгружаю его - буквально тут же инет начинает работать нормально.  Уж не знаю что за дела. Впрочем это единичный случай - бывали дни, он висел весь вечер и инет работал так же нормально.

[УльтраБлокС]

Вообщем не должен от explorer'а запускаться svchost. Эта какая-то дрянь. Все svchost'ы должны происходить от services.exe

[Unit2k]

Вообщем мне кажется что что-то тут не так...

мне тоже так кажется.  Иначе бы вопрос на повестке дня не ставил. 

Добавлено позже:

Вообщем не должен от explorer'а запускаться svchost. Эта какая-то дрянь. Все svchost'ы должны происходить от services.exe

Я этого не знал, но предполагал. Вот интересно, что HardWareMan скажет.

[HardWareMan]

Касаемо вопроса. Service - это служба по английский. Соответственно Service Host - это хост служб. Службы - это программы, работающие в фоновом режиме и не требующие интерактивного общения с пользователем. Так же, службы могут обеспечивать работу других программ. В линуксе это демоны. Ну так вот, службы всякие бывают. Например самба. Этот процесс отвечает за шаринг файлов и принтеров в сетях майкрософт. А значит - будет слушать порты и ломиться в сеть. А ходит он под свцхостом. Еще вопросы?

А если в настоящий svchost внедрён малварь-код, как это например делает кидо?

Кидо не внедряет малварь в свцхост. Он запускает себя под свцхостом (и его можно выпнуть без краха системы).

Вообщем не должен от explorer'а запускаться svchost. Эта какая-то дрянь. Все svchost'ы должны происходить от services.exe

Вточечности так. Все сервиси должен запускать винлогон. Главное - найти лжесвцхост, если такой есть.

[gepar]

Другое дело, что раньше не замечал я его там, где он сейчас. Висели его процессы себе под winlogon и все норм. А тут он под эксплорером, при наведении курсора служб никаких не кажет. В общем, я его от греха подальше выгружаю при старте системы(если ток не забываю). Косяков при этом никаких не вижу. Все работает нормально.

Смена сортировки списка процессов не означает что сам процесс изменился 
УльтраБлокС,HardWareMan,кхм, если я правильно понял то Unit2k о местоположении в списке говорит, а не о привилегиях запуска процесса. Да и запущенный процесс как от explorer'а я никогда не видел, разве что имя пользователя задать explorer и запустить 

Добавлено позже:

А ничего что есть баги, заюзав которые можно поднять привелегии до (и следовательно запускать проги от имени) SYSTEM?

Не видел никогда, это вам линуксоидам приснилось, требую пруфлинк (вася-пупкин. нет - не в авторитете, пруф должен вести на нормальный сайт).

[УльтраБлокС]

Да и запущенный процесс как от explorer'а я никогда не видел, разве что имя пользователя задать explorer и запустить

Это дерево процессов. Открывая какую-нибудь программу через Проводник, explorer.exe становится "родителем" процесса программы. Это не имя пользователя. Поэтому с какого хрена svchost порождается explorer.exe?

Не видел никогда, это вам линуксоидам приснилось, требую пруфлинк (вася-пупкин. нет - не в авторитете, пруф должен вести на нормальный сайт).

Нафиг пруфлинк? Вот самый простой пример эскалации привилегий под XP:

1. Открываешь cmd.exe (командную строку)
2. Пишешь:

Код: [Выделить]

at <текущее время + 2 минуты> /interactive "cmd.exe"
3. Закрываешь командную строку и ждёшь ~2 минуты пока не откроется системный шелл.
4. Из шелла системы можно запускать любые проги от имени SYSTEM.
В заголовке окна будет написано "?:\WINDOWS\System32\svchost.exe". Это происходит потому, что служба "Планировщик Заданий" запускает софт от своего имени, а не от пользователя.
Теперь чтобы совсем прогнать мысли о снах линуксоидов, открываем диспетчер задач, и видим что в процессах висит cmd.exe с юзером SYSTEM.
Отсюда есть приколы как рекурсивно зайти в систему как SYSTEM.

1. Выполняешь вышеописанные действия для получения системного шелла.
2. Открываешь диспетчер задач и убиваешь explorer.exe (при этом должны пропасть значки с рабочего)
3. Пишешь в системном шелле "explorer.exe"
4. Ждёшь пока загрузится юзер SYSTEM
5. Можешь проверять - теперь мы в системе как SYSTEM

Правда работает это не всегда, т.к. админ может прикрыть доступ к команде at, так что прокатит это далеко не везде. Но в винде есть и другие дыры эскалации привилегий.

gepar, ну так что, пруфов достаточно, или это "линуксоидам приснилось"?