TANUKI

Что-то Windows 7 прихворал...

В этой теме 30 сообщений

Ребят, что-то у меня 7-ка прихворала, работает через пень-колоду. Проверил CureIT, вроде чисто, но уверенности нет. Может кто глянет логи?

Чем сейчас их лучше снять?

Спасибо.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
а что конкретно не так?

Два БСОДа подряд после запуска CureIT (где-то на третьей минуте проверки) мне не нравится. Да и родственничек был в гостях и лазал по всякой гадости под Эксплорером (про Лису он ни сном ни духом). Жалею, что дал ему ноут "посмотреть новости" и "что в мире делается".

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

TANUKI, а BSOD'ы по какому поводу? Какой был код ошибки? Что в журналах?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI, а BSOD'ы по какому поводу? Какой был код ошибки? Что в журналах?

Если б знал бы, где глянуть - сказал бы. На каком-то файле, видимо, спотыкается. Не к добру это...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

TANUKI. У Вас как дела с резервным копированием обстоят.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI. У Вас как дела с резервным копированием обстоят.

Никак, ибо ничего критически важного на ПК не храню. Или в он-лайне или на флешке.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Спасибо. Я так понял, это усовершенствованная версия АВЗ?

Это служба "девять один один" от ЛК :)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Это служба "девять один один" от ЛК :)

Глючит служба :( Сделал по написанному, отправил первый архив с сведениями о системе в лаб (через форму "загрузить файл"). Вебморда файл скушала и написала что-то типа "ждите дальнейших указаний, предположительное время - 2 минуты". Ждал долго (часа три), пока не рефрешнул страничку. Вебморда показала, что нужно выполнить скрипт. Выполнил, создался архив типа "Карантин". Но архив пустой и веб-морда, понятное дело, его не воспринимает. Так и не понял, в порядке мой комп или нет....

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А Вы сами ничего подозрительного не находите? (AVZ, Online Solutions Autorun Manager, Universal Virus Sniffer.)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Два БСОДа подряд после запуска CureIT (где-то на третьей минуте проверки) мне не нравится. Да и родственничек был в гостях и лазал по всякой гадости под Эксплорером (про Лису он ни сном ни духом). Жалею, что дал ему ноут "посмотреть новости" и "что в мире делается".

Если стоит автообноеление windows, то беспокоится о том, что он использовал IE - т.к. критичных дыр в нем нет.

HijackThis.exe - выложите

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Там написано:

Для работы сайта требуются включенные cookies. Включите их и обновите страницу.

Umnik

Всё включено - в последние годы никогда не выключаю кукис. Отключил файервол - открылось.

Может добавить туда про файер?

А что туда вставлять - информацию, полученную на email при активации продукта? Или что-то другое?

Сам знаешь - спрашиваю не для себя.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Итак, еще раз произвел попытку с Касперски РТ с выключенной безопасностью в ИЕ (а так же отключенным НИС 2010). Т.е. ползунок на минимуме, наверняка куки включены (браузер ругается, что он беззащитен) - все равно пустой архив получается после ввода скрипта. Ну да ладно, просто просканировал утилитой. Ничего не нашла, только ругнулась на то, что в Фандерберде 3.0.1 есть уязвимость и посоветовала скачать пропатченную версию 3.0.3 (за что отдельный респект ЛК!)

Прогнал HijackThis (НИС2010 - отключен полностью) - лог прилагаю.

Прогнал Online Solutions Autorun Manager (НИС2010 - отключен полностью) - лог прилагаю.

НО кроме лога программа ругнулась на этот файлик:

APC_Capture___2010.03.09_22.29.46___001.jpg

Нашел его в Винде (7-ка, максимальная, пока триальная, х32) и скормил virustotal-у, получил удивительный результат. То ли фолс то ли непойми что (смущает детект F-Secure)

APC_Capture___2010.03.09_22.35.06___001.jpg

Прогнал AVZ (НИС2010 - отключен полностью) - лог прилагаю.

В конце программа ругнулась на ошибку:

APC_Capture___2010.03.10_00.35.48___001.jpg

Надеюсь, это не повлияло на качество логов.

Нашла вот чего:

APC_Capture___2010.03.10_01.04.55___001.jpg

В общем, что-то мне это все мало нравится...

В двух отдельных архивах находятся логи AVZ, HiJackThis и OSAM (без пароля), в другом то, на что ругались AVZ и OSAM (пароль: malware)

Даже не знаю что и думать....

Всем огромное спасибо за помощь.

logi.rar

nahodki.rar

post-3058-1268175336_thumb.jpg

post-3058-1268175355_thumb.jpg

logi.rar

nahodki.rar

post-3058-1268175677_thumb.jpg

post-3058-1268175937_thumb.jpg

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Андрей-001

Я передам это все тому, кто занимается проектом, спасибо.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ребят, ну что, никто не глянул еще логи и найденные файлы? А то сижу как на пороховой бочке - переживаю :(

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

BitDefender Online Scanner используется?

Прогнал Online Solutions Autorun Manager (НИС2010 - отключен полностью) - лог прилагаю.

НО кроме лога программа ругнулась на этот файлик:

APC_Capture___2010.03.09_22.29.46___001.jpg

Нашел его в Винде (7-ка, максимальная, пока триальная, х32) и скормил virustotal-у, получил удивительный результат. То ли фолс то ли непойми что (смущает детект F-Secure)

Ага, это страшный зверь - "AVZ Kernel Driver" (utm2mta3) :)

В логе HijackThis чисто.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ребят, ну что, никто не глянул еще логи и найденные файлы?

Я бы треть там почикал за ненадобностью. :) Оптимизировал автозагрузку, почистил темпы, очистил браузер от BHO? MS-пейджев и тулбаров, убрал ATI-модули из постоянного бесполезного мониторинга, убрал блютуз, оставив только ссылку для запуска по требованию, убрал постоянный мониторинг OneNote, убрал все O16 - DPF - Online Scannerы (нафига они там ссылят?)... Панда! ESET! Bitdefender! - и это при установленном NIS.

Что за C:\Users\USER\AppData\Local\Temp\_uninst_setup_9.0.0.722_09.03.2010_08-14.exe.bat - вытрите!

У Вас там стоит какой-то Eraser, что-то не то и маловато он чистит.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я бы треть там почикал за ненадобностью. :) Оптимизировал автозагрузку, почистил темпы, очистил браузер от BHO? MS-пейджев и тулбаров, убрал ATI-модули из постоянного бесполезного мониторинга, убрал блютуз, оставив только ссылку для запуска по требованию, убрал постоянный мониторинг OneNote, убрал все Online Scannerы (нафига они там ссылят?)...

По поводу чистки согласен.

Что за C:\Users\USER\AppData\Local\Temp\_uninst_setup_9.0.0.722_09.03.2010_08-14.exe.bat - вытрите!

Нене, это от AVPTool. Он сам должен самоудалиться при повторном запуске, нужно только дать ему разрешение.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
это от AVPTool.

Ааа, точно. Тогда "не/хай живе!"

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ага, это страшный зверь - "AVZ Kernel Driver" (utm2mta3) :)

Ну я так почему-то и подумал, если честно :)

А вот второй файлик, который сам AVZ нашел - это что такое страшное?

Панда! ESET! Bitdefender! - и это при установленном NIS.

У Вас там стоит какой-то Eraser, что-то не то и маловато он чистит.

Это я с перепугу он-лайн проверками занялся :) Это все он-лайн модули вендоров :)

А Eraser - удобная штука стирать файлы (перезаписывает много раз, для более надежного удаления). А что она "не то" удаляет? Он куда-то лезет в систему и делает что-то зловредное?

Спасибо, ребята, значит с логами все в порядке? Компьютер здоров в антивирусном плане? :) Или нужно еще чем-то проверить?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ну для полного счастья можно ещё zip-отчёт GSI здесь прикрепить.

А Eraser - удобная штука стирать файлы (перезаписывает много раз, для более надежного удаления).

CCleaner умеет делать то-же самое и кое что ещё. (При установке снять последнюю галочку, ссылку на slim-версию (без тулбара) не нашел.)

1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Это все он-лайн модули вендоров

Да, конечно. Ссылка почти на все ныне действующие >>>

CCleaner умеет делать то-же самое и кое что ещё

Думал, уже все про него знают. Столько раз о нём упоминали.

А Eraser - удобная штука стирать файлы ...Он куда-то лезет в систему и делает что-то зловредное?

Они все куда-то лезут - в автозагрузку, в процессы, мониторят, жрут память. Зачем так изголяться. Если есть что-то лично-секретное, но негосударственной важности, то достаточно это ЛС удалить не в Корзину, а стереть держа нажатым Shift. После этого очищенные сектора очень быстро перезапишутся другой инфой. Кто будет на вашем личном компьютере применять специальное восстановление удалённого?

Да и в CCleanerе есть дополнительная фича по этому поводу.

885c9f2a6656t.jpg

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • AM_Bot
      Исследователь Ханно Бек (Hanno Böck) заставил Symantec отозвать свои TLS-сертификаты, заявив, что приватные ключи якобы были скомпрометированы. То же самое заявление было сделано относительно сертификатов от Comodo, но компания сумела распознать подвох. Читать далее
    • PR55.RP55
      В программе:   BCUninstaller http://soft.oszone.net/program/17561/Bulk_Crap_Uninstaller/ Есть такие интересные параметры:   <InstallLocation>C:\Program Files\Realtek\Audio\Drivers</InstallLocation>
        <InstallSource>C:\DOCUME~1\!User!\LOCALS~1\Temp\pft5~tmp</InstallSource> т.е. путь откуда была установлена программа\компонент. Защищена программа: Да\нет. Путь до файлов. Зарегистрирован, или нет. Указан издатель\производитель\ЭЦП Сайт программы. Обновлялся компонент\программа, или нет. Возможность посмотреть доп. ( Инфо. ) по каждой программе. Кроме того можно _переименовать установленную программу. ( что будет важно для администраторов ) --------- Это всё бы очень пригодилось.    
    • AM_Bot
      Исследователи ESET обнаружили ботнет Stantinko, который специализируется на рекламном мошенничестве. В настоящее время заражено около 500 000 компьютеров, в числе жертв преобладают пользователи из России (46%) и Украины (33%). Stantinko – сложная комплексная угроза, активная как минимум с 2012 года. Читать далее
    • AM_Bot
      Отчет Cisco по информационной безопасности за первое полугодие 2017 г. указывает на быструю эволюцию угроз и рост их масштабов, а также на распространение атак типа «прерывание обслуживания» (destruction of service, DeOS), которые способны уничтожать резервные копии и страховочные системы (safety net), необходимые организациям для восстановления систем и данных после атаки. Читать далее
    • AM_Bot
      Специалист компании One Up Security Джастин Тафт (Justin Taft) обнаружил занимательную уязвимость в составе Valve Source SDK. Исследователь пишет, что уязвимость в движке Source затрагивала такие популярные игры, как Counter Strike: Global Offensive, Team Fortress 2, Left 4 dead 2, Potral 2. Читать далее