Перейти к содержанию

Recommended Posts

D-A-N

Господа! Помогите "чайнику"!

Ползал в интерне. Вдруг iexplore

не говоря До свидания прекращает работу,

а с ним куда-то молча уходит и KIS7.0.0.125

Пожожая ситуация была полгода назад, только был KAV6,

тогда он все-таки ругнулся и был еще

Agnitum Outpost Firewall Pro Setup 3.51.75 - туда же ушел.

Откопировал измененные в примерно этот момент файлы,

пару ошибок из просмотра событий системы, да отчет

упавшего Касперского (может оно кому-то интересно).

ЧЕГО теперь делать-то посоветуете? Вроде пока все работет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

D-A-N, выложите подробную информацию об изменениях системы, тогда можно будет что-то сказать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DWState

D-A-N если вы прошли по ссылке на virusinfo.ru и там вам помогли, расскажите тут что там все-таки да как было....тож интересно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
D-A-N
D-A-N если вы прошли по ссылке нрасскажите тут что там все-таки да как было....

Извиняюсь' date=' только до компа добрался...

Сделаю - обязательно расскажу.

Добавлено спустя 24 минуты 55 секунд:

[Сергей Ильин'] выложите подробную информацию об изменениях системы...

Попробую.

из просмотра событий системы на то время:

Тип события: Ошибка

Источник события: NetBT

Категория события: Отсутствует

Код события: 4311

Дата: 18.11.2007

Время: 23:04:43

Пользователь: Н/Д

Компьютер: DAN

Описание:

Сбой при инициализации из-за невозможности создать устройство драйвера.

Данные:

0000: 00 00 00 00 01 00 58 00 ......X.

0008: 00 00 00 00 d7 10 00 c0 ....×..À

0010: 13 01 00 00 3b 00 00 c0 ....;..À

0018: 03 00 00 00 00 00 00 00 ........

0020: 00 00 00 00 00 00 00 00 ........

Тип события: Ошибка

Источник события: NetBT

Категория события: Отсутствует

Код события: 4311

Дата: 18.11.2007

Время: 23:04:43

Пользователь: Н/Д

Компьютер: DAN

Описание:

Сбой при инициализации из-за невозможности создать устройство драйвера.

Данные:

0000: 00 00 00 00 01 00 58 00 ......X.

0008: 00 00 00 00 d7 10 00 c0 ....×..À

0010: 11 01 00 00 3b 00 00 c0 ....;..À

0018: 04 00 00 00 00 00 00 00 ........

0020: 00 00 00 00 00 00 00 00 ........

поиск измененных найден C:WINDOWSsystem32CatRoot2tmp.edb хотел посмотреть свойства - сказал, что его нет

Проверил через проводник - действительно нет

За то другой с таким же размером [1032кб] --

C:WINDOWSsystem32CatRoot2{127D0A1D-4EF2-11D1-8608-00C04FC295EE}catdb

Еще 3 измененных примерно в то же время

012d_pdm_eventlog_reg.rpt

Acr1A73.tmp

wpa.dbl

Во вложении листок Excel - там то, что было в отчете KIS с ключами реестра.

Ну ладно, пошел по ссылке и все проверять....

____18_11_07_23_09.xls

____18_11_07_23_09.xls

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

А причем тут Касперский? Судя по трейсу это мог заглючить любой сервис. Железки новые втыкали? А на ходу?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
D-A-N

"Dr.Golova Железки новые втыкали? А на ходу?" - нет, не втыкал. Просто искал чего-то в И-нете.

Воспользовался ссылкой http://virusinfo.info/showthread.php?t=1235

cureit.exe (dr.web),klwk, KIS ничего не нашли. AVZ - вроде тоже, но есть что-то про перехватчики (??? отчет во вложении).

Так что, наверно, действительно что-то внутри и каспкерский не при чем.

(Извиняюсь, но когда он вдруг отключился я посчитал, что " словил" какую-то гадость)

Еще: почему-то постоянно срабатывает самозащита:

Попытка процесса с PID 1908 получения доступа к процессу Kaspersky Internet Security с PID 1004 заблокирована. Это результат срабатывания механизма самозащиты.

Попытка процесса с PID 1012 получения доступа к процессу Kaspersky Internet Security с PID 1004 заблокирована. Это результат срабатывания механизма самозащиты.

AVP.EXE 1004 Kaspersky Anti-Virus C:ProgramFilesKasperskyLabKaspersky Internet Security 7.0avp.exe

EXPLORER.EXE 1908 Проводник C:WINDOWSExplorer.EXE

CTFMON.EXE 1012 CTF Loader

C:WINDOWSSystem32ctfmon.exe

avz_log25_11_07.txt

avz_log25_11_07.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat

Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

O4 - HKLM..RunServices: [FC Tilecom] Tilecomfc.comO4 - HKLM..RunServices: [PC Tilecomnu] Tilecomnu.com

Но самое главное надо пофиксить:

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

P.S. Дайте ссылку на вашу тему в разделе "Помогите" virusinfo.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Сообщения

    • PR55.RP55
      https://github.com/dragokas/hijackthis/blob/devel/src/_ChangeLog_ru.txt Стоит прочесть и найти полезное. Типа: Добавлена зачистка зависимостей легитимных служб от удаляемой службы.
      Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
      Добавлена проверка типа виртуализации ключей реестра.
    • Hoppi
      Мне нравится квартиры посуточно снимать, это дешевле выходит чем отели. 
    • SemenovaI
      Хм, отличная идея. Я тоже люблю путешествовать самостоятельно. На Букинге можно заказать отели и билеты на транспорт, а что бы экономнее было так можно воспользоваться при заказе кэшбэком. А еще советую дождаться Черной пятницы https://letyshops.com/chernaya-pyatnitsa и сделать покупки на Букинге и других интернет магазинах с солидной экономией. 
    • PR55.RP55
      Demkd Мне кажется ЭТО тоже стоит посмотреть. C:\USERS\ADMIN\APPDATA\LOCAL\PACKAGE CACHE\{C187DB08-7705-4616-834B-87B3087AE698}V3.0.7.830\INSTALLER V.T.:  MicrosoftTrojan:Win32/Zpevdo.A    
    • demkd
×