Перейти к содержанию

Recommended Posts

D-A-N

Господа! Помогите "чайнику"!

Ползал в интерне. Вдруг iexplore

не говоря До свидания прекращает работу,

а с ним куда-то молча уходит и KIS7.0.0.125

Пожожая ситуация была полгода назад, только был KAV6,

тогда он все-таки ругнулся и был еще

Agnitum Outpost Firewall Pro Setup 3.51.75 - туда же ушел.

Откопировал измененные в примерно этот момент файлы,

пару ошибок из просмотра событий системы, да отчет

упавшего Касперского (может оно кому-то интересно).

ЧЕГО теперь делать-то посоветуете? Вроде пока все работет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

D-A-N, выложите подробную информацию об изменениях системы, тогда можно будет что-то сказать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DWState

D-A-N если вы прошли по ссылке на virusinfo.ru и там вам помогли, расскажите тут что там все-таки да как было....тож интересно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
D-A-N
D-A-N если вы прошли по ссылке нрасскажите тут что там все-таки да как было....

Извиняюсь' date=' только до компа добрался...

Сделаю - обязательно расскажу.

Добавлено спустя 24 минуты 55 секунд:

[Сергей Ильин'] выложите подробную информацию об изменениях системы...

Попробую.

из просмотра событий системы на то время:

Тип события: Ошибка

Источник события: NetBT

Категория события: Отсутствует

Код события: 4311

Дата: 18.11.2007

Время: 23:04:43

Пользователь: Н/Д

Компьютер: DAN

Описание:

Сбой при инициализации из-за невозможности создать устройство драйвера.

Данные:

0000: 00 00 00 00 01 00 58 00 ......X.

0008: 00 00 00 00 d7 10 00 c0 ....×..À

0010: 13 01 00 00 3b 00 00 c0 ....;..À

0018: 03 00 00 00 00 00 00 00 ........

0020: 00 00 00 00 00 00 00 00 ........

Тип события: Ошибка

Источник события: NetBT

Категория события: Отсутствует

Код события: 4311

Дата: 18.11.2007

Время: 23:04:43

Пользователь: Н/Д

Компьютер: DAN

Описание:

Сбой при инициализации из-за невозможности создать устройство драйвера.

Данные:

0000: 00 00 00 00 01 00 58 00 ......X.

0008: 00 00 00 00 d7 10 00 c0 ....×..À

0010: 11 01 00 00 3b 00 00 c0 ....;..À

0018: 04 00 00 00 00 00 00 00 ........

0020: 00 00 00 00 00 00 00 00 ........

поиск измененных найден C:WINDOWSsystem32CatRoot2tmp.edb хотел посмотреть свойства - сказал, что его нет

Проверил через проводник - действительно нет

За то другой с таким же размером [1032кб] --

C:WINDOWSsystem32CatRoot2{127D0A1D-4EF2-11D1-8608-00C04FC295EE}catdb

Еще 3 измененных примерно в то же время

012d_pdm_eventlog_reg.rpt

Acr1A73.tmp

wpa.dbl

Во вложении листок Excel - там то, что было в отчете KIS с ключами реестра.

Ну ладно, пошел по ссылке и все проверять....

____18_11_07_23_09.xls

____18_11_07_23_09.xls

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

А причем тут Касперский? Судя по трейсу это мог заглючить любой сервис. Железки новые втыкали? А на ходу?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
D-A-N

"Dr.Golova Железки новые втыкали? А на ходу?" - нет, не втыкал. Просто искал чего-то в И-нете.

Воспользовался ссылкой http://virusinfo.info/showthread.php?t=1235

cureit.exe (dr.web),klwk, KIS ничего не нашли. AVZ - вроде тоже, но есть что-то про перехватчики (??? отчет во вложении).

Так что, наверно, действительно что-то внутри и каспкерский не при чем.

(Извиняюсь, но когда он вдруг отключился я посчитал, что " словил" какую-то гадость)

Еще: почему-то постоянно срабатывает самозащита:

Попытка процесса с PID 1908 получения доступа к процессу Kaspersky Internet Security с PID 1004 заблокирована. Это результат срабатывания механизма самозащиты.

Попытка процесса с PID 1012 получения доступа к процессу Kaspersky Internet Security с PID 1004 заблокирована. Это результат срабатывания механизма самозащиты.

AVP.EXE 1004 Kaspersky Anti-Virus C:ProgramFilesKasperskyLabKaspersky Internet Security 7.0avp.exe

EXPLORER.EXE 1908 Проводник C:WINDOWSExplorer.EXE

CTFMON.EXE 1012 CTF Loader

C:WINDOWSSystem32ctfmon.exe

avz_log25_11_07.txt

avz_log25_11_07.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat

Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

O4 - HKLM..RunServices: [FC Tilecom] Tilecomfc.comO4 - HKLM..RunServices: [PC Tilecomnu] Tilecomnu.com

Но самое главное надо пофиксить:

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

P.S. Дайте ссылку на вашу тему в разделе "Помогите" virusinfo.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Сообщения

    • PR55.RP55
      Зачем ? Только для файлов которые попали в подозрительные. Логика такая:  Файл в подозрительных > uVS берёт его SHA1 ( если таковая есть ) и прогоняет весь список на совпадение > если совпадение найдено - файл попадает в подозрительные > в Инфо. файла пишется информация по какой причине файл попал в подозрительные. Да и проверку можно проводить на  готовом образе\списке.
    • demkd
      И чего в ней странного? Обычный каталог с непонятным LSM.
        Кто-давно не говорил что uVS медленно создает образ...
    • PR55.RP55
      + + Крайняя форма извращения: ( там же ) uVS  поместил а Подозрительные только два файла из шести. Предлагаю: Автоматически помещать в Подозрительные все файлы при совпадении SHA1 ( и\или имени ) т.е. если файл  попал в подозрительные - то идёт проверка списка на совпадения. Есть совпадение > файл в подозрительные. ( с соответствующий записью в Инфо - о причине )
    • PR55.RP55
      + http://www.tehnari.ru/f183/t262601/ Тоже странная запись. Полное имя                  C:\PROGRAMDATA\{01456982-0145-0145-014569822880}\LSM.EXE
      Имя файла                   LSM.EXE
      Тек. статус                   ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                                 
      Сохраненная информация      на момент создания образа
      Статус                      в автозапуске
      Инф. о файле                Не удается найти указанный файл.
      Цифр. подпись               проверка не производилась
                                  
      Ссылки на объект            
      Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\MICROSOFT LOCALMANAGER[WINDOWS 8.1 SINGLE LANGUAGE]
                                  
    • demkd
      Кто-то криворукий прописал путь, так что ничего удивительного нет.
×