Пропадает интернет - Страница 2

Denesis · 17.12.2008, 14:26

Цитата:

2) Проверил по-максимуму AVZ-кой:

Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: включено
Проверка завершена
Просканировано файлов: 218378, извлечено из архивов: 128506, найдено вредоносных программ 0

Выложите полный отчет. Он раз в 10 будет больше по объему. Все самое главное находится в нем.

Zorek · 19.12.2008, 04:54

1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=08B520)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80562520
KiST = 804E48B0 (284)
Функция NtCreateKey (29) перехвачена (80577925->F74D70E0), перехватчик spwe.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateKey (47) перехвачена (80578E1C->F74F5CA2), перехватчик spwe.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateValueKey (49) перехвачена (80587691->F74F6030), перехватчик spwe.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenKey (77) перехвачена (80572BFC->F74D70C0), перехватчик spwe.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryKey (A0) перехвачена (80578A1C->F74F6108), перехватчик spwe.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryValueKey (B1) перехвачена (8057303F->F74F5F88), перехватчик spwe.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetValueKey (F7) перехвачена (80582294->F74F619A), перехватчик spwe.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Проверено функций: 284, перехвачено: 7, восстановлено: 7
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 89B9E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 89B9E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 89B9E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 89B9E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 89B9E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 89B9E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 89B9E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 89B9E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 89B9E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 89B9E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 89B9E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 89B9E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 89B9E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 89B9E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 89B9E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 89B9E1F8 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 46
Анализатор - изучается процесс 1932 C:\Genius\ioCentre\gTaskBar.exe
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 220 C:\WINDOWS\system32\CTHELPER.EXE
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 236 C:\WINDOWS\system32\ctfmon.exe
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 300 C:\Program Files\VistaDriveIcon\VistaDrv.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 288 C:\Program Files\Common Files\Yandex\Yupdate\yupdate.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты, применяемые протоколом HTTP !
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 576 C:\Genius\ioCentre\gMouseTask.exe
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 588 C:\Genius\ioCentre\gKbdTask.exe
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 584 C:\Genius\ioCentre\gAutoPan.exe
Анализатор - изучается процесс 628 C:\Genius\ioCentre\gAutoScroll.exe
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 640 C:\Genius\ioCentre\gZoom.exe
Анализатор - изучается процесс 660 C:\Genius\ioCentre\gMGlass.exe
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 672 C:\Genius\ioCentre\gIMMgm.exe
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 732 C:\Genius\ioCentre\gKbStatus.exe
Анализатор - изучается процесс 448 C:\Genius\ioCentre\gDeskMgm.exe
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 836 C:\Genius\ioCentre\gTaskSwitch.exe
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 1676 C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 1548 C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\birthmil.exe
[ES]:EXE упаковщик ?
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 3140 C:\Program Files\Common Files\Teleca Shared\Generic.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 3424 C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
Количество загруженных модулей: 461
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Documents and Settings\Admin\Application Data\Sony Ericsson\Teleca\Telecalib\Logging\Application logs\DM_log.txt
Прямое чтение C:\Documents and Settings\Admin\Application Data\Sony Ericsson\Teleca\Telecalib\Logging\Application logs\HookStarter_log.txt
Прямое чтение C:\Documents and Settings\Admin\Cookies\index.dat
Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Feeds\Рекомендуемые узлы~.feed-ms
Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Internet Explorer\Recovery\Active\RecoveryStore.{D0CEBA72-CBCC-11DD-9E23-0013D45ABE51}.dat
Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Internet Explorer\Recovery\Active\{D0CEBA73-CBCC-11DD-9E23-0013D45ABE51}.dat
Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
Прямое чтение C:\Documents and Settings\Admin\Local Settings\History\History.IE5\index.dat
Прямое чтение C:\Documents and Settings\Admin\Local Settings\History\History.IE5\MSHist012008121720081 218\index.dat
C:\Documents and Settings\Admin\Local Settings\Temp\Rar$EX00.125\avz4\Infected\2008-12-12\avz00001.dta/{MS-OLE}/\84 >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\Documents and Settings\Admin\Local Settings\Temp\Rar$EX00.125\avz4\Infected\2008-12-12\avz00001.dta/{MS-OLE}/\91 >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\Documents and Settings\Admin\Local Settings\Temp\Rar$EX00.125\avz4\Infected\2008-12-12\avz00001.dta/{MS-OLE}/\93 >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\Documents and Settings\Admin\Local Settings\Temp\Rar$EX00.125\avz4\Infected\2008-12-12\avz00002.dta >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\Documents and Settings\Admin\Local Settings\Temp\Rar$EX00.125\avz4\Infected\2008-12-12\avz00003.dta >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\Documents and Settings\Admin\Local Settings\Temp\Rar$EX00.125\avz4\Infected\2008-12-12\avz00004.dta >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\Documents and Settings\Admin\Local Settings\Temp\Rar$EX00.125\avz4\Quarantine\2008-12-12\avz00002.dta/{MS-OLE}/\84 >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\Documents and Settings\Admin\Local Settings\Temp\Rar$EX00.125\avz4\Quarantine\2008-12-12\avz00002.dta/{MS-OLE}/\91 >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\Documents and Settings\Admin\Local Settings\Temp\Rar$EX00.125\avz4\Quarantine\2008-12-12\avz00002.dta/{MS-OLE}/\93 >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\Documents and Settings\Admin\Local Settings\Temp\Rar$EX00.125\avz4\Quarantine\2008-12-12\avz00003.dta >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\Documents and Settings\Admin\Local Settings\Temp\Rar$EX00.125\avz4\Quarantine\2008-12-12\avz00004.dta >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\Documents and Settings\Admin\Local Settings\Temp\Rar$EX00.125\avz4\Quarantine\2008-12-12\avz00005.dta >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
Прямое чтение C:\Documents and Settings\Admin\Local Settings\Temp\~DF199C.tmp
Прямое чтение C:\Documents and Settings\Admin\Local Settings\Temp\~DF1A52.tmp
Прямое чтение C:\Documents and Settings\Admin\Local Settings\Temp\~DFB3A6.tmp
Прямое чтение C:\Documents and Settings\Admin\Local Settings\Temp\~DFBD97.tmp
Прямое чтение C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\index.dat
Прямое чтение C:\Documents and Settings\Admin\NTUSER.DAT
Прямое чтение C:\Documents and Settings\LocalService\Cookies\index.dat
Прямое чтение C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
Прямое чтение C:\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat
Прямое чтение C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat
Прямое чтение C:\Documents and Settings\LocalService\NTUSER.DAT
Прямое чтение C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
Прямое чтение C:\Documents and Settings\NetworkService\NTUSER.DAT
C:\Program Files\Alcohol Soft\Alcohol 120\AxCmd.exe.BAK - PE файл с нестандартным расширением(степень опасности 5%)
C:\Program Files\PowerArchiver\POWERARC.EXE.BAK - PE файл с нестандартным расширением(степень опасности 5%)
Прямое чтение C:\WINDOWS\SchedLgU.Txt
Прямое чтение C:\WINDOWS\system32\CatRoot2\edb.log
Прямое чтение C:\WINDOWS\system32\CatRoot2\tmp.edb
Прямое чтение C:\WINDOWS\system32\config\ACEEvent.evt
Прямое чтение C:\WINDOWS\system32\config\AppEvent.Evt
Прямое чтение C:\WINDOWS\system32\config\default
Прямое чтение C:\WINDOWS\system32\config\Internet.evt
Прямое чтение C:\WINDOWS\system32\config\ODiag.evt
Прямое чтение C:\WINDOWS\system32\config\OSession.evt
Прямое чтение C:\WINDOWS\system32\config\SAM
Прямое чтение C:\WINDOWS\system32\config\SecEvent.Evt
Прямое чтение C:\WINDOWS\system32\config\SECURITY
Прямое чтение C:\WINDOWS\system32\config\SysEvent.Evt
Прямое чтение C:\WINDOWS\system32\config\system
Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys
Прямое чтение C:\WINDOWS\system32\drivers\vaxscsi.sys
Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR
Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P
Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P
Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A
Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 24 TCP портов и 15 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 218378, извлечено из архивов: 128506, найдено вредоносных программ 0

plotitsyn · 19.12.2008, 09:27

Была аналогичная проблема с вылетом Вчера по итогам поисков нашел заплатку NETAPI от Microsoft точно как в http://notes.rudomilov.ru/2007/12/07/pr … t-process/ под названием WindowsXP-KB921883-x86-RUS (692 Кб). Установил, уже вторые сутки работаю - вроде бы проблемы снята.

Zorek · 19.12.2008, 10:44

...почему такая уверенность что всегда всё дело в вирусах??)) В данном случае считаю что проблемы в конфликте по.
Ну попробовал установить этот пакет - получил сообщение, что у меня уже установлено более совершенное обновление .))

Zorek · 24.12.2008, 21:34

ну вот, никто не может мне помочь... (( Придётся винды перезаливать... ((

imported_Treril · 24.12.2008, 22:25

Попробуйте на прощание с виндой проверить том на наличие ошибок, сделать дефрагметацию, очистить реестр(хотя это впр. лишнее). Не уверен что это поможет, но А ВДРУГ ! :)

Zorek · 25.12.2008, 11:37

Проверял, дефрагментировал... не в этом дело - конфликт оборудования, видимо((

Zorek · 30.12.2008, 03:56

up

17.01.2009, 14:26

У меня аналогичная проблема, причем она сохранилась даже после переустановки Винды(оба раза устанавливал сборку Zver, но разных версий).
Вы как-нибудь решили эту проблему?

Fonari · 17.01.2009, 20:23

Может подскажете, недавно тоже возникла такая же проблема- вылетает инет. в отчетах пишется- "Ошибка DCOM указанная служба не может быть запущена, поскольку она отключена или все связанные с ней устройства отключены"

17.12.2008, 14:26
Helpmaster Member Регистрация: 08.03.2016 Сообщений: 0	Пропадает интернет Пропадает интернет Пропадает интернет Пропадает интернет

19.12.2008, 04:54	#12 (permalink)
Zorek Новичок Регистрация: 11.12.2008 Сообщений: 11 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 0	1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=08B520) Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000 SDT = 80562520 KiST = 804E48B0 (284) Функция NtCreateKey (29) перехвачена (80577925->F74D70E0), перехватчик spwe.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtEnumerateKey (47) перехвачена (80578E1C->F74F5CA2), перехватчик spwe.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtEnumerateValueKey (49) перехвачена (80587691->F74F6030), перехватчик spwe.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtOpenKey (77) перехвачена (80572BFC->F74D70C0), перехватчик spwe.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtQueryKey (A0) перехвачена (80578A1C->F74F6108), перехватчик spwe.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtQueryValueKey (B1) перехвачена (8057303F->F74F5F88), перехватчик spwe.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSetValueKey (F7) перехвачена (80582294->F74F619A), перехватчик spwe.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Проверено функций: 284, перехвачено: 7, восстановлено: 7 1.3 Проверка IDT и SYSENTER Анализ для процессора 1 Анализ для процессора 2 Проверка IDT и SYSENTER завершена 1.4 Поиск маскировки процессов и драйверов Поиск маскировки процессов и драйверов завершен Драйвер успешно загружен 1.5 Проверка обработчиков IRP \FileSystem\ntfs[IRP_MJ_CREATE] = 89B9E1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_CLOSE] = 89B9E1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_WRITE] = 89B9E1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 89B9E1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 89B9E1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 89B9E1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_EA] = 89B9E1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 89B9E1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 89B9E1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 89B9E1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 89B9E1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 89B9E1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 89B9E1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 89B9E1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 89B9E1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_PNP] = 89B9E1F8 -> перехватчик не определен Проверка завершена 2. Проверка памяти Количество найденных процессов: 46 Анализатор - изучается процесс 1932 C:\Genius\ioCentre\gTaskBar.exe [ES]:Приложение не имеет видимых окон [ES]:Записан в автозапуск !! Анализатор - изучается процесс 220 C:\WINDOWS\system32\CTHELPER.EXE [ES]:Приложение не имеет видимых окон [ES]:Размещается в системной папке [ES]:Записан в автозапуск !! Анализатор - изучается процесс 236 C:\WINDOWS\system32\ctfmon.exe [ES]:Приложение не имеет видимых окон [ES]:Размещается в системной папке [ES]:Записан в автозапуск !! Анализатор - изучается процесс 300 C:\Program Files\VistaDriveIcon\VistaDrv.exe [ES]:Может работать с сетью [ES]:Приложение не имеет видимых окон [ES]:Записан в автозапуск !! Анализатор - изучается процесс 288 C:\Program Files\Common Files\Yandex\Yupdate\yupdate.exe [ES]:Может работать с сетью [ES]:Прослушивает порты, применяемые протоколом HTTP ! [ES]:Приложение не имеет видимых окон [ES]:Записан в автозапуск !! [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ? Анализатор - изучается процесс 576 C:\Genius\ioCentre\gMouseTask.exe [ES]:Приложение не имеет видимых окон Анализатор - изучается процесс 588 C:\Genius\ioCentre\gKbdTask.exe [ES]:Приложение не имеет видимых окон Анализатор - изучается процесс 584 C:\Genius\ioCentre\gAutoPan.exe Анализатор - изучается процесс 628 C:\Genius\ioCentre\gAutoScroll.exe [ES]:Приложение не имеет видимых окон Анализатор - изучается процесс 640 C:\Genius\ioCentre\gZoom.exe Анализатор - изучается процесс 660 C:\Genius\ioCentre\gMGlass.exe [ES]:Приложение не имеет видимых окон Анализатор - изучается процесс 672 C:\Genius\ioCentre\gIMMgm.exe [ES]:Приложение не имеет видимых окон Анализатор - изучается процесс 732 C:\Genius\ioCentre\gKbStatus.exe Анализатор - изучается процесс 448 C:\Genius\ioCentre\gDeskMgm.exe [ES]:Приложение не имеет видимых окон Анализатор - изучается процесс 836 C:\Genius\ioCentre\gTaskSwitch.exe [ES]:Приложение не имеет видимых окон Анализатор - изучается процесс 1676 C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe [ES]:Может работать с сетью [ES]:Приложение не имеет видимых окон [ES]:Записан в автозапуск !! [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ? Анализатор - изучается процесс 1548 C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\birthmil.exe [ES]:EXE упаковщик ? [ES]:Записан в автозапуск !! Анализатор - изучается процесс 3140 C:\Program Files\Common Files\Teleca Shared\Generic.exe [ES]:Может работать с сетью [ES]:Приложение не имеет видимых окон Анализатор - изучается процесс 3424 C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe [ES]:Может работать с сетью [ES]:Приложение не имеет видимых окон Количество загруженных модулей: 461 Проверка памяти завершена 3. Сканирование дисков Прямое чтение C:\Documents and Settings\Admin\Application Data\Sony Ericsson\Teleca\Telecalib\Logging\Application logs\DM_log.txt Прямое чтение C:\Documents and Settings\Admin\Application Data\Sony Ericsson\Teleca\Telecalib\Logging\Application logs\HookStarter_log.txt Прямое чтение C:\Documents and Settings\Admin\Cookies\index.dat Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Feeds\Рекомендуемые узлы~.feed-ms Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Internet Explorer\Recovery\Active\RecoveryStore.{D0CEBA72-CBCC-11DD-9E23-0013D45ABE51}.dat Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Internet Explorer\Recovery\Active\{D0CEBA73-CBCC-11DD-9E23-0013D45ABE51}.dat Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Прямое чтение C:\Documents and Settings\Admin\Local Settings\History\History.IE5\index.dat Прямое чтение C:\Documents and Settings\Admin\Local Settings\History\History.IE5\MSHist012008121720081 218\index.dat C:\Documents and Settings\Admin\Local Settings\Temp\Rar$EX00.125\avz4\Infected\2008-12-12\avz00001.dta/{MS-OLE}/\84 >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920) C:\Documents and Settings\Admin\Local Settings\Temp\Rar$EX00.125\avz4\Infected\2008-12-12\avz00001.dta/{MS-OLE}/\91 >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920) C:\Documents and Settings\Admin\Local Settings\Temp\Rar$EX00.125\avz4\Infected\2008-12-12\avz00001.dta/{MS-OLE}/\93 >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920) C:\Documents and Settings\Admin\Local Settings\Temp\Rar$EX00.125\avz4\Infected\2008-12-12\avz00002.dta >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920) C:\Documents and Settings\Admin\Local Settings\Temp\Rar$EX00.125\avz4\Infected\2008-12-12\avz00003.dta >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920) C:\Documents and Settings\Admin\Local Settings\Temp\Rar$EX00.125\avz4\Infected\2008-12-12\avz00004.dta >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920) C:\Documents and Settings\Admin\Local Settings\Temp\Rar$EX00.125\avz4\Quarantine\2008-12-12\avz00002.dta/{MS-OLE}/\84 >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920) C:\Documents and Settings\Admin\Local Settings\Temp\Rar$EX00.125\avz4\Quarantine\2008-12-12\avz00002.dta/{MS-OLE}/\91 >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920) C:\Documents and Settings\Admin\Local Settings\Temp\Rar$EX00.125\avz4\Quarantine\2008-12-12\avz00002.dta/{MS-OLE}/\93 >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920) C:\Documents and Settings\Admin\Local Settings\Temp\Rar$EX00.125\avz4\Quarantine\2008-12-12\avz00003.dta >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920) C:\Documents and Settings\Admin\Local Settings\Temp\Rar$EX00.125\avz4\Quarantine\2008-12-12\avz00004.dta >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920) C:\Documents and Settings\Admin\Local Settings\Temp\Rar$EX00.125\avz4\Quarantine\2008-12-12\avz00005.dta >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920) Прямое чтение C:\Documents and Settings\Admin\Local Settings\Temp\~DF199C.tmp Прямое чтение C:\Documents and Settings\Admin\Local Settings\Temp\~DF1A52.tmp Прямое чтение C:\Documents and Settings\Admin\Local Settings\Temp\~DFB3A6.tmp Прямое чтение C:\Documents and Settings\Admin\Local Settings\Temp\~DFBD97.tmp Прямое чтение C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\index.dat Прямое чтение C:\Documents and Settings\Admin\NTUSER.DAT Прямое чтение C:\Documents and Settings\LocalService\Cookies\index.dat Прямое чтение C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Прямое чтение C:\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat Прямое чтение C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Прямое чтение C:\Documents and Settings\LocalService\NTUSER.DAT Прямое чтение C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Прямое чтение C:\Documents and Settings\NetworkService\NTUSER.DAT C:\Program Files\Alcohol Soft\Alcohol 120\AxCmd.exe.BAK - PE файл с нестандартным расширением(степень опасности 5%) C:\Program Files\PowerArchiver\POWERARC.EXE.BAK - PE файл с нестандартным расширением(степень опасности 5%) Прямое чтение C:\WINDOWS\SchedLgU.Txt Прямое чтение C:\WINDOWS\system32\CatRoot2\edb.log Прямое чтение C:\WINDOWS\system32\CatRoot2\tmp.edb Прямое чтение C:\WINDOWS\system32\config\ACEEvent.evt Прямое чтение C:\WINDOWS\system32\config\AppEvent.Evt Прямое чтение C:\WINDOWS\system32\config\default Прямое чтение C:\WINDOWS\system32\config\Internet.evt Прямое чтение C:\WINDOWS\system32\config\ODiag.evt Прямое чтение C:\WINDOWS\system32\config\OSession.evt Прямое чтение C:\WINDOWS\system32\config\SAM Прямое чтение C:\WINDOWS\system32\config\SecEvent.Evt Прямое чтение C:\WINDOWS\system32\config\SECURITY Прямое чтение C:\WINDOWS\system32\config\SysEvent.Evt Прямое чтение C:\WINDOWS\system32\config\system Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys Прямое чтение C:\WINDOWS\system32\drivers\vaxscsi.sys Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами В базе 317 описаний портов На данном ПК открыто 24 TCP портов и 15 UDP портов Проверка завершена, подозрительные порты не обнаружены 7. Эвристичеcкая проверка системы Проверка завершена 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику Проверка завершена 9. Мастер поиска и устранения проблем Проверка завершена Просканировано файлов: 218378, извлечено из архивов: 128506, найдено вредоносных программ 0

19.12.2008, 09:27	#13 (permalink)
plotitsyn Новичок Регистрация: 17.12.2008 Сообщений: 6 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 0	Была аналогичная проблема с вылетом Вчера по итогам поисков нашел заплатку NETAPI от Microsoft точно как в http://notes.rudomilov.ru/2007/12/07/pr … t-process/ под названием WindowsXP-KB921883-x86-RUS (692 Кб). Установил, уже вторые сутки работаю - вроде бы проблемы снята.

19.12.2008, 10:44	#14 (permalink)
Zorek Новичок Регистрация: 11.12.2008 Сообщений: 11 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 0	...почему такая уверенность что всегда всё дело в вирусах??)) В данном случае считаю что проблемы в конфликте по. Ну попробовал установить этот пакет - получил сообщение, что у меня уже установлено более совершенное обновление .))

24.12.2008, 21:34	#15 (permalink)
Zorek Новичок Регистрация: 11.12.2008 Сообщений: 11 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 0	ну вот, никто не может мне помочь... (( Придётся винды перезаливать... ((

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

24.12.2008, 22:25	#16 (permalink)
imported_Treril Member Регистрация: 16.12.2008 Сообщений: 228 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 2	Попробуйте на прощание с виндой проверить том на наличие ошибок, сделать дефрагметацию, очистить реестр(хотя это впр. лишнее). Не уверен что это поможет, но А ВДРУГ ! :)

25.12.2008, 11:37	#17 (permalink)
Zorek Новичок Регистрация: 11.12.2008 Сообщений: 11 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 0	Проверял, дефрагментировал... не в этом дело - конфликт оборудования, видимо((

30.12.2008, 03:56	#18 (permalink)
Zorek Новичок Регистрация: 11.12.2008 Сообщений: 11 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 0	up

17.01.2009, 14:26	#19 (permalink)
ToXXiK Guest Сообщений: n/a	У меня аналогичная проблема, причем она сохранилась даже после переустановки Винды(оба раза устанавливал сборку Zver, но разных версий). Вы как-нибудь решили эту проблему?

17.01.2009, 20:23	#20 (permalink)
Fonari Member Регистрация: 02.05.2007 Сообщений: 17 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	Может подскажете, недавно тоже возникла такая же проблема- вылетает инет. в отчетах пишется- "Ошибка DCOM указанная служба не может быть запущена, поскольку она отключена или все связанные с ней устройства отключены"