Win7, не удаляются процессы закрытых программ

Fishkin · 04.01.2024, 17:35

Доброе время суток.
Это Win7 Pro SP1 без доп.обновлений (ну,кроме С++, добавленных давно с программами)
С неделю как перестали выгружаться процессы закрытых программ.
За это время ничего нового не инсталлировалось. Обновлялись только танки и (тихо и незаметно) антивирус AVG (базы).
Вот так работаешь некое время, а вдруг начинает нехватать памяти.
Смотрим, а в процессах так и висят закрытые давно Illustrator, Photoshop, Total Commander, InDesign, FsViewer и т.д. и даже по нескольку копий!
Причем, не абсолютно все приложения остаются в памяти. Например, закрываются корректно LibreOffice, Acrobat, танки (WoT), Colin McRae rally, WinAmp, Notepad, Calc...
От закрытого Хрома остаются пара каких-то общих процессов, те, что от вкладок - исчезают.
Вот и непонятно, что-то удерживает эти процессы? А чего вдруг могло начаться (ничего же не менялось)?
Гуглил, натыкался на похожие случаи из 2000х.... Там PowerDVD хулиганил у людей, держал процессы... Так нету у меня такого софта..
Антивирус проверяет, дополнительно еще запускал AVZ и Аdwcleaner, проверка всех дисков и разделов на ошибки - ничего...
Подскажете?

**garniv** · 04.01.2024, 21:58

Цитата (Fishkin) »

антивирус AVG (базы)

Первый подозреваемый. Временно погасить его полностью (чтобы вообще никакие его модули не загружались), возможно для этого его придется временно удалить.

Fishkin · 05.01.2024, 00:42

Цитата (garniv) »

возможно для этого его придется временно удалить

Приходится принимать такой путь, потому, как полностью его погасить или не знаю как, или невозможно. Чтож, удалю - посмотрю!

Lesnik75 · 05.01.2024, 14:09

Цитата (Fishkin) »

Это Win7 Pro SP1 без доп.обновлений

Цитата (Fishkin) »

От закрытого Хрома остаются пара каких-то общих процессов

Хром тоже с тех самых пор и без обновлений? И другое ПО?

Обнови ОС, со времен SP1 много патчей вышло.

Fishkin · 05.01.2024, 15:44

Цитата (Lesnik75) »

Хром тоже с тех самых пор и без обновлений? И другое ПО?

Хром без обновлений с тех пор, когда под Вин7 его перестали обновлять, постоянно всплывающее об этом
предупреждение еще тогда закрыл в реестре по совету доброго человека. Но ведь он работал исправно до срока "неделю назад"..
Софт от Адобы стоит последняя версия, работающая под Вин7, т.е. Сюита 2020.

Цитата (Lesnik75) »

Обнови ОС, со времен SP1 много патчей вышло

Вин7? Обновить? А что там, эфемерные "затычки" от возможных злоумышленников?
Я под предыдущей семеркой просидел без единого обновления лет 6-8 и переустановил по новой онли из-за заср..сти системы...
На работе, вон, 10ка обновляется чуть не каждый день, просматриваю, что обновилось - "затычки" одни....

Цитата (Fishkin) »

Чтож, удалю - посмотрю!

Про AVG, еще не удалял, пока пробую всякие "добавить в доверенные приложения" и создание исключений для невинных программ,
типа Фотошопа... Пока результат отрицательный. Но вот есть у этого антивируса какая-то фигня,типа: играешь в Скайрим,
через часок антивирус выдает "Теперь наслаждайтесь игрой (работой) с приложением Скайрим без помех, мол мы ему верим".
То же было и с танками и с Либре Офисом, еще с чем-то..

Lesnik75 · 05.01.2024, 15:52

Цитата (Fishkin) »

Хром без обновлений с тех пор, когда под Вин7 его перестали обновлять

Ну кто ж тебя знает что ты Хромом обзываешь. Вдруг у тебя за него Supermium )))

Цитата (Fishkin) »

Но ведь он работал исправно до срока "неделю назад"..

Вот это самое интересное.

Цитата (Fishkin) »

Вин7? Обновить? А что там, эфемерные "затычки" от возможных злоумышленников?

Моё дело предложить )))

Цитата (Fishkin) »

На работе, вон, 10ка обновляется чуть не каждый день, просматриваю, что обновилось - "затычки" одни....

Странно. У меня так раз в месяц, и то спрашивает разрешения.

Цитата (Fishkin) »

Про AVG, еще не удалял

Тем не менее это пока самый вероятный виновник и самый простой метод проверки.

**garniv** · 05.01.2024, 15:54

Fishkin
Можно еще открыть Process Explorer, в списке ПКМ на зависшем приложении - Properties - вкладка Threads, и сравнить нет ли чего-то общего там у разных зависших процессов.

Fishkin · 07.01.2024, 16:06

Цитата (garniv) »

Можно еще открыть Process Explorer, в списке ПКМ на зависшем приложении - Properties - вкладка Threads

По предложенной тобой ссылке, статья и описание есть, но загрузка недоступна.
Нашел это приложение Марка Русиновича более новой версии на другом их ресурсе.
Но дело не в этом... Когда по ПКМ, вкладка Threads пытаюсь сравнивать, то такие, как FsViewer, Total Commander
ничего такого, кроме "находится в режиме ожидания" не имеют. А когда начинаю трогать адобовские Illustrator, InDesign,
то они погодя секунды две - выгружаются! Впечатление, будто тронул - оно ой!, спряталось...

Конечно, всё это наводит на мысль о зловредах. По крайней мере, недобитых... ну,или следах в ОС после их деятельности...
Дело в том, что в октябре 2023 я, как и 260 тысяч других, попался...
П..дор с ником cdjsend (он и тут есть, с 1 сообщением) из Е-бурга долго готовился, консультировался и таки выдал комплекс трояно-майнеров,
прицепив его к торрентам. Я попался, качнув что-то с Рутора..
Windows Defender просто исчез, комп стоял колом (майнил), временно прекращая это, когда я запускал Task Manager посмотреть,
майнер прятался и через секунд 10 он прерывал окно Task Manager и начинал снова.. В браузере все попытки обратиться к сайтам
извесных лабораторий прерывались мигом. На C:\ были созданы десятки директорий с именами всех возможных антиврей и с аттрибутами HS, ни открыть, ни удалить.. И т.д.
С другого компа я подносил загрузочные диски с лечилками от Dr.Weba, Norton, Clamav, ESET и т.д. Все что-то находили (десятки тел), удаляли, но толку не было.
Пока из под safe mode не удалось зацепиться AVG (тот же CureIt не ставился).. Так AVG вцепился в зверьё мертвой хваткой и вся эта вакханалия с майнером и подгрузкой
его друзей прекратилась... Потом еще несколько проходов этим и другими AV, уже AVZ позатыкал несколько портов, исправил ключи в реестре. Все стало тихо и работоспособно.
Пока не начали оставаться незавершенными процессы "неделю назад"...

Fishkin · 08.01.2024, 04:18

Да, господа, вы были правы.
После удаления AVG процессы закрытых программ стали исчезать также. Не, ну а чего он чудит?

**garniv** · 08.01.2024, 05:03

Цитата (Fishkin) »

Не, ну а чего он чудит?

Антивирусы удаляют вирусы. Восстановлением адекватного функционирования ОС они не занимаются.

Вам в помощь https://z-oleg.com/secur/avz_doc/oglavlenie.htm, разделы 6 и 7.
Можете начать с 7.3

Fishkin · 08.01.2024, 23:39

garniv я еще позавчера, до удаления AVG, при помощи пункта в AVZ "Исследование системы", в сгенеренном им avz_sysinfo.htm,
выбирал всякие "левые" следы, тут-же подбрасывал в окошко тексты скриптов (удобно сделано) и выполнял их.
Что-то да почистил, страясь не зацепить ничего важного..
А сегодня уже при рекомендованных вами действиях, во вновь сгенеренном virusinfo_syscure.html в разделе "Модули пространства ядра"
нашел такое C:\Windows\System32\Drivers\aekqsdxq.SYS, о котором Гугл совсем ничего не знал вчера (сидел этот синий монстр с удочкой),
а сегодня в зависимости от страны исходящего запроса (VPN или без) выдал по одной разной ссылке на МС-комьюнити... Вот и хз, трогать-не трогать..
пока все тихо-нормально.. Virustotal ничего не узрел в файле.

**garniv** · 09.01.2024, 02:08

Цитата (Fishkin) »

Вот и хз, трогать-не трогать..

https://habr.com/ru/companies/varonis/articles/569180/
https://remontcompa.ru/programmnyy-f...lzovatsja.html
В меню Options проверить что стоят галки на пунктах Hide Windows Entries и Hide Microsoft Entries. Смотреть все оставшееся. Особенно обращая внимание на те у которых рядом с названием поставщика будет отсутствовать (Verified)

Fishkin · 12.01.2024, 15:13

garniv, спасибо за помощь и советы. Прошелся и ProcessExplorer’ом и Autoruns’ом.
Ну, еще пару служб удалил от некогда опробованной, но непонравившейся полиграфической сюиты (не Адоб).
Забыла она их, службы эти, а Autoruns их прям желтым покрасил и дал удалить.
Вот и всё, пока всё тихо и стабильно.
Еще раз спасибо.

**garniv** · 12.01.2024, 15:39

Fishkin
Пожалуйста, рад что помогло

04.01.2024, 17:35	Вверх #1
Fishkin Недосягаемый Автор темы Регистрация: 25.08.2004 Адрес: Мандрыковка	Win7, не удаляются процессы закрытых программ Доброе время суток. Это Win7 Pro SP1 без доп.обновлений (ну,кроме С++, добавленных давно с программами) С неделю как перестали выгружаться процессы закрытых программ. За это время ничего нового не инсталлировалось. Обновлялись только танки и (тихо и незаметно) антивирус AVG (базы). Вот так работаешь некое время, а вдруг начинает нехватать памяти. Смотрим, а в процессах так и висят закрытые давно Illustrator, Photoshop, Total Commander, InDesign, FsViewer и т.д. и даже по нескольку копий! Причем, не абсолютно все приложения остаются в памяти. Например, закрываются корректно LibreOffice, Acrobat, танки (WoT), Colin McRae rally, WinAmp, Notepad, Calc... От закрытого Хрома остаются пара каких-то общих процессов, те, что от вкладок - исчезают. Вот и непонятно, что-то удерживает эти процессы? А чего вдруг могло начаться (ничего же не менялось)? Гуглил, натыкался на похожие случаи из 2000х.... Там PowerDVD хулиганил у людей, держал процессы... Так нету у меня такого софта.. Антивирус проверяет, дополнительно еще запускал AVZ и Аdwcleaner, проверка всех дисков и разделов на ошибки - ничего... Подскажете? __________________ Hab ich die reine Seele Töte sie in Flammen

04.01.2024, 21:58	Вверх #2
garniv Модератор Регистрация: 29.06.2004	Цитата (Fishkin) » антивирус AVG (базы) Первый подозреваемый. Временно погасить его полностью (чтобы вообще никакие его модули не загружались), возможно для этого его придется временно удалить. __________________ Хочешь помочь новичку — делай вместе с ним. Хочешь помочь старику — делай вместо него. Хочешь помочь мастеру — отойди и не мешай. А хочешь помочь Таргитаю — сам Таргитай.

05.01.2024, 00:42	Вверх #3
Fishkin Недосягаемый Автор темы Регистрация: 25.08.2004 Адрес: Мандрыковка	Цитата (garniv) » возможно для этого его придется временно удалить Приходится принимать такой путь, потому, как полностью его погасить или не знаю как, или невозможно. Чтож, удалю - посмотрю! __________________ Hab ich die reine Seele Töte sie in Flammen

05.01.2024, 14:09	Вверх #4
Lesnik75 Сам ты IMHO! Регистрация: 08.02.2003 Адрес: Nsk	Цитата (Fishkin) » Это Win7 Pro SP1 без доп.обновлений Цитата (Fishkin) » От закрытого Хрома остаются пара каких-то общих процессов Хром тоже с тех самых пор и без обновлений? И другое ПО? Обнови ОС, со времен SP1 много патчей вышло. __________________ и тут пришел лесник ;)

05.01.2024, 15:44	Вверх #5
Fishkin Недосягаемый Автор темы Регистрация: 25.08.2004 Адрес: Мандрыковка	Цитата (Lesnik75) » Хром тоже с тех самых пор и без обновлений? И другое ПО? Хром без обновлений с тех пор, когда под Вин7 его перестали обновлять, постоянно всплывающее об этом предупреждение еще тогда закрыл в реестре по совету доброго человека. Но ведь он работал исправно до срока "неделю назад".. Софт от Адобы стоит последняя версия, работающая под Вин7, т.е. Сюита 2020. Цитата (Lesnik75) » Обнови ОС, со времен SP1 много патчей вышло Вин7? Обновить? А что там, эфемерные "затычки" от возможных злоумышленников? Я под предыдущей семеркой просидел без единого обновления лет 6-8 и переустановил по новой онли из-за заср..сти системы... На работе, вон, 10ка обновляется чуть не каждый день, просматриваю, что обновилось - "затычки" одни.... Цитата (Fishkin) » Чтож, удалю - посмотрю! Про AVG, еще не удалял, пока пробую всякие "добавить в доверенные приложения" и создание исключений для невинных программ, типа Фотошопа... Пока результат отрицательный. Но вот есть у этого антивируса какая-то фигня,типа: играешь в Скайрим, через часок антивирус выдает "Теперь наслаждайтесь игрой (работой) с приложением Скайрим без помех, мол мы ему верим". То же было и с танками и с Либре Офисом, еще с чем-то.. __________________ Hab ich die reine Seele Töte sie in Flammen

05.01.2024, 15:52	Вверх #6
Lesnik75 Сам ты IMHO! Регистрация: 08.02.2003 Адрес: Nsk	Цитата (Fishkin) » Хром без обновлений с тех пор, когда под Вин7 его перестали обновлять Ну кто ж тебя знает что ты Хромом обзываешь. Вдруг у тебя за него Supermium ))) Цитата (Fishkin) » Но ведь он работал исправно до срока "неделю назад".. Вот это самое интересное. Цитата (Fishkin) » Вин7? Обновить? А что там, эфемерные "затычки" от возможных злоумышленников? Моё дело предложить ))) Цитата (Fishkin) » На работе, вон, 10ка обновляется чуть не каждый день, просматриваю, что обновилось - "затычки" одни.... Странно. У меня так раз в месяц, и то спрашивает разрешения. Цитата (Fishkin) » Про AVG, еще не удалял Тем не менее это пока самый вероятный виновник и самый простой метод проверки. __________________ и тут пришел лесник ;)

05.01.2024, 15:54	Вверх #7
garniv Модератор Регистрация: 29.06.2004	Fishkin Можно еще открыть Process Explorer, в списке ПКМ на зависшем приложении - Properties - вкладка Threads, и сравнить нет ли чего-то общего там у разных зависших процессов. __________________ Хочешь помочь новичку — делай вместе с ним. Хочешь помочь старику — делай вместо него. Хочешь помочь мастеру — отойди и не мешай. А хочешь помочь Таргитаю — сам Таргитай.

07.01.2024, 16:06	Вверх #8
Fishkin Недосягаемый Автор темы Регистрация: 25.08.2004 Адрес: Мандрыковка	Цитата (garniv) » Можно еще открыть Process Explorer, в списке ПКМ на зависшем приложении - Properties - вкладка Threads По предложенной тобой ссылке, статья и описание есть, но загрузка недоступна. Нашел это приложение Марка Русиновича более новой версии на другом их ресурсе. Но дело не в этом... Когда по ПКМ, вкладка Threads пытаюсь сравнивать, то такие, как FsViewer, Total Commander ничего такого, кроме "находится в режиме ожидания" не имеют. А когда начинаю трогать адобовские Illustrator, InDesign, то они погодя секунды две - выгружаются! Впечатление, будто тронул - оно ой!, спряталось... Конечно, всё это наводит на мысль о зловредах. По крайней мере, недобитых... ну,или следах в ОС после их деятельности... Дело в том, что в октябре 2023 я, как и 260 тысяч других, попался... П..дор с ником cdjsend (он и тут есть, с 1 сообщением) из Е-бурга долго готовился, консультировался и таки выдал комплекс трояно-майнеров, прицепив его к торрентам. Я попался, качнув что-то с Рутора.. Windows Defender просто исчез, комп стоял колом (майнил), временно прекращая это, когда я запускал Task Manager посмотреть, майнер прятался и через секунд 10 он прерывал окно Task Manager и начинал снова.. В браузере все попытки обратиться к сайтам извесных лабораторий прерывались мигом. На C:\ были созданы десятки директорий с именами всех возможных антиврей и с аттрибутами HS, ни открыть, ни удалить.. И т.д. С другого компа я подносил загрузочные диски с лечилками от Dr.Weba, Norton, Clamav, ESET и т.д. Все что-то находили (десятки тел), удаляли, но толку не было. Пока из под safe mode не удалось зацепиться AVG (тот же CureIt не ставился).. Так AVG вцепился в зверьё мертвой хваткой и вся эта вакханалия с майнером и подгрузкой его друзей прекратилась... Потом еще несколько проходов этим и другими AV, уже AVZ позатыкал несколько портов, исправил ключи в реестре. Все стало тихо и работоспособно. Пока не начали оставаться незавершенными процессы "неделю назад"... __________________ Hab ich die reine Seele Töte sie in Flammen

08.01.2024, 04:18	Вверх #9
Fishkin Недосягаемый Автор темы Регистрация: 25.08.2004 Адрес: Мандрыковка	Да, господа, вы были правы. После удаления AVG процессы закрытых программ стали исчезать также. Не, ну а чего он чудит? __________________ Hab ich die reine Seele Töte sie in Flammen

08.01.2024, 05:03	Вверх #10
garniv Модератор Регистрация: 29.06.2004	Цитата (Fishkin) » Не, ну а чего он чудит? Антивирусы удаляют вирусы. Восстановлением адекватного функционирования ОС они не занимаются. Вам в помощь https://z-oleg.com/secur/avz_doc/oglavlenie.htm, разделы 6 и 7. Можете начать с 7.3 __________________ Хочешь помочь новичку — делай вместе с ним. Хочешь помочь старику — делай вместо него. Хочешь помочь мастеру — отойди и не мешай. А хочешь помочь Таргитаю — сам Таргитай.

08.01.2024, 23:39	Вверх #11
Fishkin Недосягаемый Автор темы Регистрация: 25.08.2004 Адрес: Мандрыковка	garniv я еще позавчера, до удаления AVG, при помощи пункта в AVZ "Исследование системы", в сгенеренном им avz_sysinfo.htm, выбирал всякие "левые" следы, тут-же подбрасывал в окошко тексты скриптов (удобно сделано) и выполнял их. Что-то да почистил, страясь не зацепить ничего важного.. А сегодня уже при рекомендованных вами действиях, во вновь сгенеренном virusinfo_syscure.html в разделе "Модули пространства ядра" нашел такое C:\Windows\System32\Drivers\aekqsdxq.SYS, о котором Гугл совсем ничего не знал вчера (сидел этот синий монстр с удочкой), а сегодня в зависимости от страны исходящего запроса (VPN или без) выдал по одной разной ссылке на МС-комьюнити... Вот и хз, трогать-не трогать.. пока все тихо-нормально.. Virustotal ничего не узрел в файле. __________________ Hab ich die reine Seele Töte sie in Flammen

09.01.2024, 02:08	Вверх #12
garniv Модератор Регистрация: 29.06.2004	Цитата (Fishkin) » Вот и хз, трогать-не трогать.. https://habr.com/ru/companies/varonis/articles/569180/ https://remontcompa.ru/programmnyy-f...lzovatsja.html В меню Options проверить что стоят галки на пунктах Hide Windows Entries и Hide Microsoft Entries. Смотреть все оставшееся. Особенно обращая внимание на те у которых рядом с названием поставщика будет отсутствовать (Verified) __________________ Хочешь помочь новичку — делай вместе с ним. Хочешь помочь старику — делай вместо него. Хочешь помочь мастеру — отойди и не мешай. А хочешь помочь Таргитаю — сам Таргитай.

12.01.2024, 15:13	Вверх #13
Fishkin Недосягаемый Автор темы Регистрация: 25.08.2004 Адрес: Мандрыковка	garniv, спасибо за помощь и советы. Прошелся и ProcessExplorer’ом и Autoruns’ом. Ну, еще пару служб удалил от некогда опробованной, но непонравившейся полиграфической сюиты (не Адоб). Забыла она их, службы эти, а Autoruns их прям желтым покрасил и дал удалить. Вот и всё, пока всё тихо и стабильно. Еще раз спасибо. __________________ Hab ich die reine Seele Töte sie in Flammen

12.01.2024, 15:39	Вверх #14
garniv Модератор Регистрация: 29.06.2004	Fishkin Пожалуйста, рад что помогло __________________ Хочешь помочь новичку — делай вместе с ним. Хочешь помочь старику — делай вместо него. Хочешь помочь мастеру — отойди и не мешай. А хочешь помочь Таргитаю — сам Таргитай.