17.12.2008, 14:26 | #11 (permalink) | |
Member
Регистрация: 06.12.2008
Сообщений: 6,964
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 139
|
Цитата:
|
|
17.12.2008, 14:26 | |
Helpmaster
Member
Регистрация: 08.03.2016
Сообщений: 0
|
Пропадает интернет Пропадает интернет Пропадает интернет Пропадает интернет |
19.12.2008, 04:54 | #12 (permalink) |
Новичок
Регистрация: 11.12.2008
Сообщений: 11
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 0
|
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=08B520) Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000 SDT = 80562520 KiST = 804E48B0 (284) Функция NtCreateKey (29) перехвачена (80577925->F74D70E0), перехватчик spwe.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtEnumerateKey (47) перехвачена (80578E1C->F74F5CA2), перехватчик spwe.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtEnumerateValueKey (49) перехвачена (80587691->F74F6030), перехватчик spwe.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtOpenKey (77) перехвачена (80572BFC->F74D70C0), перехватчик spwe.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtQueryKey (A0) перехвачена (80578A1C->F74F6108), перехватчик spwe.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtQueryValueKey (B1) перехвачена (8057303F->F74F5F88), перехватчик spwe.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSetValueKey (F7) перехвачена (80582294->F74F619A), перехватчик spwe.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Проверено функций: 284, перехвачено: 7, восстановлено: 7 1.3 Проверка IDT и SYSENTER Анализ для процессора 1 Анализ для процессора 2 Проверка IDT и SYSENTER завершена 1.4 Поиск маскировки процессов и драйверов Поиск маскировки процессов и драйверов завершен Драйвер успешно загружен 1.5 Проверка обработчиков IRP \FileSystem\ntfs[IRP_MJ_CREATE] = 89B9E1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_CLOSE] = 89B9E1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_WRITE] = 89B9E1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 89B9E1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 89B9E1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 89B9E1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_EA] = 89B9E1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 89B9E1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 89B9E1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 89B9E1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 89B9E1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 89B9E1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 89B9E1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 89B9E1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 89B9E1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_PNP] = 89B9E1F8 -> перехватчик не определен Проверка завершена 2. Проверка памяти Количество найденных процессов: 46 Анализатор - изучается процесс 1932 C:\Genius\ioCentre\gTaskBar.exe [ES]:Приложение не имеет видимых окон [ES]:Записан в автозапуск !! Анализатор - изучается процесс 220 C:\WINDOWS\system32\CTHELPER.EXE [ES]:Приложение не имеет видимых окон [ES]:Размещается в системной папке [ES]:Записан в автозапуск !! Анализатор - изучается процесс 236 C:\WINDOWS\system32\ctfmon.exe [ES]:Приложение не имеет видимых окон [ES]:Размещается в системной папке [ES]:Записан в автозапуск !! Анализатор - изучается процесс 300 C:\Program Files\VistaDriveIcon\VistaDrv.exe [ES]:Может работать с сетью [ES]:Приложение не имеет видимых окон [ES]:Записан в автозапуск !! Анализатор - изучается процесс 288 C:\Program Files\Common Files\Yandex\Yupdate\yupdate.exe [ES]:Может работать с сетью [ES]:Прослушивает порты, применяемые протоколом HTTP ! [ES]:Приложение не имеет видимых окон [ES]:Записан в автозапуск !! [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ? Анализатор - изучается процесс 576 C:\Genius\ioCentre\gMouseTask.exe [ES]:Приложение не имеет видимых окон Анализатор - изучается процесс 588 C:\Genius\ioCentre\gKbdTask.exe [ES]:Приложение не имеет видимых окон Анализатор - изучается процесс 584 C:\Genius\ioCentre\gAutoPan.exe Анализатор - изучается процесс 628 C:\Genius\ioCentre\gAutoScroll.exe [ES]:Приложение не имеет видимых окон Анализатор - изучается процесс 640 C:\Genius\ioCentre\gZoom.exe Анализатор - изучается процесс 660 C:\Genius\ioCentre\gMGlass.exe [ES]:Приложение не имеет видимых окон Анализатор - изучается процесс 672 C:\Genius\ioCentre\gIMMgm.exe [ES]:Приложение не имеет видимых окон Анализатор - изучается процесс 732 C:\Genius\ioCentre\gKbStatus.exe Анализатор - изучается процесс 448 C:\Genius\ioCentre\gDeskMgm.exe [ES]:Приложение не имеет видимых окон Анализатор - изучается процесс 836 C:\Genius\ioCentre\gTaskSwitch.exe [ES]:Приложение не имеет видимых окон Анализатор - изучается процесс 1676 C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe [ES]:Может работать с сетью [ES]:Приложение не имеет видимых окон [ES]:Записан в автозапуск !! [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ? Анализатор - изучается процесс 1548 C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\birthmil.exe [ES]:EXE упаковщик ? [ES]:Записан в автозапуск !! Анализатор - изучается процесс 3140 C:\Program Files\Common Files\Teleca Shared\Generic.exe [ES]:Может работать с сетью [ES]:Приложение не имеет видимых окон Анализатор - изучается процесс 3424 C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe [ES]:Может работать с сетью [ES]:Приложение не имеет видимых окон Количество загруженных модулей: 461 Проверка памяти завершена 3. Сканирование дисков Прямое чтение C:\Documents and Settings\Admin\Application Data\Sony Ericsson\Teleca\Telecalib\Logging\Application logs\DM_log.txt Прямое чтение C:\Documents and Settings\Admin\Application Data\Sony Ericsson\Teleca\Telecalib\Logging\Application logs\HookStarter_log.txt Прямое чтение C:\Documents and Settings\Admin\Cookies\index.dat Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Feeds\Рекомендуемые узлы~.feed-ms Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Internet Explorer\Recovery\Active\RecoveryStore.{D0CEBA72-CBCC-11DD-9E23-0013D45ABE51}.dat Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Internet Explorer\Recovery\Active\{D0CEBA73-CBCC-11DD-9E23-0013D45ABE51}.dat Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Прямое чтение C:\Documents and Settings\Admin\Local Settings\History\History.IE5\index.dat Прямое чтение C:\Documents and Settings\Admin\Local Settings\History\History.IE5\MSHist012008121720081 218\index.dat C:\Documents and Settings\Admin\Local Settings\Temp\Rar$EX00.125\avz4\Infected\2008-12-12\avz00001.dta/{MS-OLE}/\84 >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920) C:\Documents and Settings\Admin\Local Settings\Temp\Rar$EX00.125\avz4\Infected\2008-12-12\avz00001.dta/{MS-OLE}/\91 >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920) C:\Documents and Settings\Admin\Local Settings\Temp\Rar$EX00.125\avz4\Infected\2008-12-12\avz00001.dta/{MS-OLE}/\93 >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920) C:\Documents and Settings\Admin\Local Settings\Temp\Rar$EX00.125\avz4\Infected\2008-12-12\avz00002.dta >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920) C:\Documents and Settings\Admin\Local Settings\Temp\Rar$EX00.125\avz4\Infected\2008-12-12\avz00003.dta >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920) C:\Documents and Settings\Admin\Local Settings\Temp\Rar$EX00.125\avz4\Infected\2008-12-12\avz00004.dta >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920) C:\Documents and Settings\Admin\Local Settings\Temp\Rar$EX00.125\avz4\Quarantine\2008-12-12\avz00002.dta/{MS-OLE}/\84 >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920) C:\Documents and Settings\Admin\Local Settings\Temp\Rar$EX00.125\avz4\Quarantine\2008-12-12\avz00002.dta/{MS-OLE}/\91 >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920) C:\Documents and Settings\Admin\Local Settings\Temp\Rar$EX00.125\avz4\Quarantine\2008-12-12\avz00002.dta/{MS-OLE}/\93 >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920) C:\Documents and Settings\Admin\Local Settings\Temp\Rar$EX00.125\avz4\Quarantine\2008-12-12\avz00003.dta >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920) C:\Documents and Settings\Admin\Local Settings\Temp\Rar$EX00.125\avz4\Quarantine\2008-12-12\avz00004.dta >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920) C:\Documents and Settings\Admin\Local Settings\Temp\Rar$EX00.125\avz4\Quarantine\2008-12-12\avz00005.dta >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920) Прямое чтение C:\Documents and Settings\Admin\Local Settings\Temp\~DF199C.tmp Прямое чтение C:\Documents and Settings\Admin\Local Settings\Temp\~DF1A52.tmp Прямое чтение C:\Documents and Settings\Admin\Local Settings\Temp\~DFB3A6.tmp Прямое чтение C:\Documents and Settings\Admin\Local Settings\Temp\~DFBD97.tmp Прямое чтение C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\index.dat Прямое чтение C:\Documents and Settings\Admin\NTUSER.DAT Прямое чтение C:\Documents and Settings\LocalService\Cookies\index.dat Прямое чтение C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Прямое чтение C:\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat Прямое чтение C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Прямое чтение C:\Documents and Settings\LocalService\NTUSER.DAT Прямое чтение C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Прямое чтение C:\Documents and Settings\NetworkService\NTUSER.DAT C:\Program Files\Alcohol Soft\Alcohol 120\AxCmd.exe.BAK - PE файл с нестандартным расширением(степень опасности 5%) C:\Program Files\PowerArchiver\POWERARC.EXE.BAK - PE файл с нестандартным расширением(степень опасности 5%) Прямое чтение C:\WINDOWS\SchedLgU.Txt Прямое чтение C:\WINDOWS\system32\CatRoot2\edb.log Прямое чтение C:\WINDOWS\system32\CatRoot2\tmp.edb Прямое чтение C:\WINDOWS\system32\config\ACEEvent.evt Прямое чтение C:\WINDOWS\system32\config\AppEvent.Evt Прямое чтение C:\WINDOWS\system32\config\default Прямое чтение C:\WINDOWS\system32\config\Internet.evt Прямое чтение C:\WINDOWS\system32\config\ODiag.evt Прямое чтение C:\WINDOWS\system32\config\OSession.evt Прямое чтение C:\WINDOWS\system32\config\SAM Прямое чтение C:\WINDOWS\system32\config\SecEvent.Evt Прямое чтение C:\WINDOWS\system32\config\SECURITY Прямое чтение C:\WINDOWS\system32\config\SysEvent.Evt Прямое чтение C:\WINDOWS\system32\config\system Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys Прямое чтение C:\WINDOWS\system32\drivers\vaxscsi.sys Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами В базе 317 описаний портов На данном ПК открыто 24 TCP портов и 15 UDP портов Проверка завершена, подозрительные порты не обнаружены 7. Эвристичеcкая проверка системы Проверка завершена 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику Проверка завершена 9. Мастер поиска и устранения проблем Проверка завершена Просканировано файлов: 218378, извлечено из архивов: 128506, найдено вредоносных программ 0 |
19.12.2008, 09:27 | #13 (permalink) |
Новичок
Регистрация: 17.12.2008
Сообщений: 6
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 0
|
Была аналогичная проблема с вылетом Вчера по итогам поисков нашел заплатку NETAPI от Microsoft точно как в http://notes.rudomilov.ru/2007/12/07/pr … t-process/ под названием WindowsXP-KB921883-x86-RUS (692 Кб). Установил, уже вторые сутки работаю - вроде бы проблемы снята.
|
19.12.2008, 10:44 | #14 (permalink) |
Новичок
Регистрация: 11.12.2008
Сообщений: 11
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 0
|
...почему такая уверенность что всегда всё дело в вирусах??)) В данном случае считаю что проблемы в конфликте по.
Ну попробовал установить этот пакет - получил сообщение, что у меня уже установлено более совершенное обновление .)) |
24.12.2008, 21:34 | #15 (permalink) |
Новичок
Регистрация: 11.12.2008
Сообщений: 11
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 0
|
ну вот, никто не может мне помочь... (( Придётся винды перезаливать... ((
|
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
24.12.2008, 22:25 | #16 (permalink) |
Member
Регистрация: 16.12.2008
Сообщений: 228
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 2
|
Попробуйте на прощание с виндой проверить том на наличие ошибок, сделать дефрагметацию, очистить реестр(хотя это впр. лишнее). Не уверен что это поможет, но А ВДРУГ ! :)
|
17.01.2009, 20:23 | #20 (permalink) |
Member
Регистрация: 02.05.2007
Сообщений: 17
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
|
Может подскажете, недавно тоже возникла такая же проблема- вылетает инет. в отчетах пишется- "Ошибка DCOM указанная служба не может быть запущена, поскольку она отключена или все связанные с ней устройства отключены"
|
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
|
|