ХР виснет, что-то вирусоподобное.
 

Добрый вечер)
помогите плз, странный случай.
Стояла ХР, Пентиум 1,6ГГц, 256Мб, без второго СервисПака. Стояла стабильно, без антивирусника, все было ок.
Потом на ней появился докторВеб, постояла она еще сколько-то и начала виснуть. Умирала через несколько минут после старта, просто зависая. Обнаружил, что таскмэнэджер и регедит при их открытии сворачиваются сразу же, а потом закрываются. Но комп ТАК тормозил, что свернутый таскмэнэджер успевал все-таки показать иконку загрузки проца в трэе, и практически все время было загружено на 100%. Потом обнаружил, что докторВеб за 5 минут после старта винды успевает проверить больше 100 000 файлов. Подумал, снес его нафик. Стало чутка быстрее (за счет отсутствия СпайдерГард). Но тем не менее ситуация не исправилась. Другой прогой просмотрел списки процессов, вроде все чисто.
Как правило, прекращала отзываться область таскбара и трэя, просто не реагируя на мышку, Главное меню начинало открываться, но прорисовка останавливалась на первой колонке. Иконки на декстопе выделялись, даже открылось (очень долго открывалось) окошко Май Компьютер. Но потом приходилось жать Резет. Окей, пошел я значит за любимым (настоящим лицензионным:) Касперским, за это время успели на этот комп поставить снова докторВеба, и "стерли целых 6 вирусов и троянов". Пришел я, поставил Каспера на второй хард, на 98ую Винду, с нее (ХР установили с ФАТ32 системой) просканил весь диск где была ХР, нашел там пару версий какого-то вируса, к сожалению, не могу сказать название (да, я дурак, не записал, а счас не посмотреть, я от того компа далеко), начиналось на P и версии были .a и .af, кажется, но не Padobot. На вируслисте посмотрел - он какой-то неактивный, даже не был описан толком. Так вот, все тела этого вируса были удалены, полез в ХР. Там висел себе тихонько докторВеб, про те тела не заикавшийся до того, я поставил Касперского еще и под ХР, обновил, снес докторВеб. Но тем не менее все продолжалось. Поставил по одному совету AdAware, он снес там остатки от некоторых рекламных штучек. Потом исходя из некоторого опыта вытащил кабель локалки из компа. Все было ок (у меня был подобный случай, когда в локалке висело что-то типа експлоита на RPC - вылечилось обновлением винды). Комп не вис. Кабель воткнул, комп не вис (прямо как в том случае)), а потом вдруг начался запускаться нормально регедит. А потом неожиданно и таскманагер. Загрузка процессора была в норме. Все работало, но после нескольких пробных рестартов заметил, что (такое было и до Касперского) упорно выскакивал msconfig с сообщением что программой настройки системы была изменена конфигурация запуска системы. Не знаю, к чему это. Ставил галочку "Больше не сообщать" - ноль эффекта. ТАК ЖЕ какая-то гадость завершала тихонько работу AVP control center и заставляла зависать намертво при загрузке Монитор Касперского. Приходилось через работавший все-таки таскманагер убивать процессы Монитора (их две штуки обычно идет), и запускать Монитор вручную - запускался. Какой процесс его "убивал" - без понятия. А потом таскмэнэджер и регедит снова перестали запускаться((( Как и в самом начале. Но комп работал без зависаний. Оставил его, он крутился нормально около суток, потом снова начались зависания. Воть.
Не совсем разбираюсь в системных процессах ХР, но чем-то не понравился один из svchost.exe, запускавшийся как network service и использовавший очень много памяти по сравнению с другими. Когда один раз его вроде как убил - ничего не произошло, но естессно, стало чуток быстрее работать)
Вот такая вот история( Буду очень рад, если что-нибудь ценное присоветуете. Просто не знаю, в какую сторону работать.

Диск разбит? Возможно, но мало вероятно вирус оставил свою копию на диске "D:". На железо не жалуешься?
Ещё посмотри не оставил ли Док. Веб свою службу? Просто помню был у меня прецедент с четвёртым Каспером.
Тут без криминала. Всё ОК. ;)
Вообще посмотри, что у тебя в автозагрузке - это первым делом.

Разбит. ХР на D:. На С - 98ая, на ней Каспер и поставил сначала, все сканил, и АВПМонитор постоянно пашет - все окей. ДрВеб - начисто.
Смотрел, везде - реестр, автозагрузка, даже ini некоторые проверил по привычке, оставшейся с 98ого) сервисные ключи запуска тоже чистые.

по локалке балуются? брандмауэр включен?
ТСР ? свойства соединения- уровень безопасности?
net use проверен?

Otido
Поставь пятого каспера, обнови базы и перезапустись, если вирусняк стартует при загрузке, то он должен пойматься.
У меня была подобная байда, посмотри на какой порт лезет svhost.exe, если на 5000, то это зло.

Не то, чтобы балуются, но возможно, у кого-то зараженная машина. Включен и встроенный ХР, хотя толку с него маловато, там был и Аутпост, и Нортона ставил - ничего подозрительного.
Попробую. До того 3его ставил. Но тут есть одна ерунда(
Я форматнул к черту диск, переустановил ХР. Поставил Каспера.
Фикня в том, что монитор не стартует. Один процесс только запускается из двух. Открываю Контрольный центр, там смотрю на список задач. Про Монитор показывает, что Выполняется, делаю Остановить, снова Запустить - пишет, что не может. Короче что-то его останавливает) А если 5ый с такой же проблемой столкнется?)
Можно поточнее, что за зло?

Так может троян шифроваться. У родного мастдаевского процесса более приоритетные порты.
Пятый работает нормально, прооблем быть не должно.