Оригинальный вопрос - что вешает Win7? :)

[Mosfet]

Поставил "анвирь таск манагер", чтобы процессы помониторить, только всё равно не понимаю ничего. Какая-то хрень всё время запускает WmiPrvSE.exe, я ей типа запретил, но она всё равно каждую минуту пытается запуститься, блокируется и выгружается. Один фиг систему дёргает. Запускает её какая-то фигня под названием NT AUTHORITY\NETWORK SERVICE, а вот что именно лезет из-под этой учётки я найти не могу. Но периодически вся эта ерунда вешает систему наглухо. Может она не одна старается, может ещё кто помогает, например, замечал, что когда акронис начинает в подвале щупальцами шевелить, все тоже замирают, но этот хоть нечасто. Есть у нас кто понимает в этой абракадабре? Подскажите, как вычислить и прибить?

[caligula73]

снимите свой винт и проверьте его на компе где установлен kis2012 и всё сразу станет ясно.

[TRaMeLL]

Ну для начала - http://www.makak.ru/2009/06/29/chto-takoe-wmiprvse-exe/

[Mosfet]

Ну для начала

Спасибо, но для начала я прочитал в инете всё, что смог найти про WmiPrvSE и NT AUTHORITY, а уж когда не смог разобраться, написал сюда .

---------- Добавлено в 08:26 ---------- Предыдущее сообщение в 08:23 ----------

снимите свой винт и проверьте его на компе где установлен kis2012 и всё сразу станет ясно.

А если не снимать, а проверить прям на моём компе, так не получится? У меня просто установлен лицензионный касп и он ничего не находит.

[TRaMeLL]

Спасибо, но для начала я прочитал в инете всё, что смог найти про WmiPrvSE и NT AUTHORITY, а уж когда не смог разобраться, написал сюда .

Тогда скачайте, например, это - http://technet.microsoft.com/ru-ru/s.../bb896653.aspx
И это - http://fsumfe.sourceforge.net
С их помощью посмотрите откуда запускается файл и какие у него хэш-суммы. Станет понятно: вирус это или нет. Если не вирус, значит искать, что его запускает.
Можно и без Fsum, просто определить нахождение файла и кинуть его на https://www.virustotal.com, но идейно это менее грамотно.

[caligula73]

У меня просто установлен лицензионный касп и он ничего не находит.

если вы его устанавливали на уже заражённый комп то толку от него мало.

[Mosfet]

если вы его устанавливали на уже заражённый комп то толку от него мало.

Да не знаю, давно здесь стоит, лет шесть или семь. Компьютеры меняются, винда меняется, касп обновляется, всё штатно вроде.

---------- Добавлено в 12:48 ---------- Предыдущее сообщение в 12:47 ----------

Тогда скачайте, например, это

И это

Скачал, яснее не стало .

[caligula73]

Да не знаю, давно здесь стоит, лет шесть или семь.

какая версия ?

[TRaMeLL]

Скачал, яснее не стало .

Запускаете Process Explorer правой кнопкой на процесс>Properties>Первая вкладка (Image)Смотрите на строки "Path" и "Command Line". Запоминаете где находится файл (Path), находите этот файл через проводник, кидаете его на virustotal.com, смотрите результат, там же будет его хэш-сумма.

Снимок экрана с вкладкой Image этого процесса покажите.

[Konkere]

Скачал, яснее не стало

Наоборот, стало, это гнусявый процесс, смотри откуда взялся.
Родной WmiPrvSE.exe должен выглядеть так:

Обрати внимание на колонки User Name и Company Name
И жить он должен по правильному пути: C:\Windows\System32\wbem\WmiPrvSE.exe

[Mosfet]

какая версия ?

Касперского? 2012

---------- Добавлено в 18:18 ---------- Предыдущее сообщение в 18:09 ----------

И жить он должен по правильному пути: C:\Windows\System32\wbem\WmiPrvSE.exe

А он там и живёт же вроде? В логах анвира на первой картинке так написано во всяком случае. А через Процесс Эксплорер я отловить его не могу, поскольку он стартует и тут же блокируется и выгружается, а где я на него наложил чары уже и не помню. Наверно, чтоб его поймать, надо разблокировать что-то, но где оно

[caligula73]

Да не знаю, давно здесь стоит, лет шесть или семь.

Касперского? 2012

+ win 7
???
чего то у меня не стыкуется...

[Mosfet]

чего то у меня не стыкуется...

Это как-то может мне помочь?

[caligula73]

мне кажется проще поставить систему заново - чем выискивать блох.
а если и после этого будет глючить то ищите проблему в железе.

[Konkere]

а где я на него наложил чары уже и не помню.

В анвире
Посмотри тут:

[Mosfet]

мне кажется проще поставить систему заново - чем выискивать блох.

Это, конечно, хороший способ . У меня хоть и не такая сложная система, как у Konkere, но мысль снести всё и поставить заново (даже с акронисом) вымораживает меня напрочь, а потому не рассматривается

[caligula73]

ну, хотя бы один раз в 6 - 7 лет стоит это сделать

[Mosfet]

ну, хотя бы один раз в 6 - 7 лет стоит это сделать

Дык, оно как бы почаще приходится . Данной конфигурации года два. Это я Касперский лицензионный уже лет 6-7 использую, всё это время он успешно отбивался от вирусни и не доставлял хлопот.

---------- Добавлено в 20:03 ---------- Предыдущее сообщение в 20:01 ----------

В анвире
Посмотри тут:

Посмотрел, нашёл, спасибо! Теперь как бы этот процес я вижу, но он скромничает и не говорит кто он

[caligula73]

Данной конфигурации года два.

ну тогда счастливого поиска блох...

[Kompros]

Можно FARом через "Список процессов" по F3 посмотреть связанные с процессом (судя по здесь ноги ростут из svchost) модули, глядишь, чего и прояснится.
Как вариант: запрещен запуск какой-то службы, без которой запуск стартуемой цепочки невозможен, а для некой службы в этой цепочке выставлен перезапуск в случае сбоя.