Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows 2000/XP (http://forum.oszone.net/forumdisplay.php?f=6)
-   -   перестали запускаться некоторые программы (http://forum.oszone.net/showthread.php?t=93748)

olga_d 08-11-2007 20:24 675077
перестали запускаться некоторые программы
 
Перестали запускаться обычным способом некоторые программы, например, Windows Media Player 11, Paint. Чтобы их запустить приходится применять "запуск от имени," там снимать галочку "защитить компьютер от несанкционированных действий этой программы". Причем при закрытии программы галочка восстанавливается, и каждый раз при запуске все приходится повторять. В чем тут дело и как с этим бороться?
Помогите, пожалуйста!

Blast 08-11-2007 20:48 675086
Это не ваш ли случай? [решено] DEP не дает запустить справку и некоторые программы

Severny 08-11-2007 21:23 675102
Скачай Cureit , и проверь системный диск в безопасном режиме.

olga_d 08-11-2007 23:36 675185
to Blast
Случай, видимо, не мой. Во-первых, справка у меня читается, во-вторых, попробовала изменить файл boot.ini - проблема не ушла.
Обнаружила, что описанная мной проблема относится только к Windows Media Player, а Paint, Photoshop тоже не запускаются обычным образом, но при запуске "от имени" галочку можно и не снимать, всё идет и так, причем под текущей учетно записью.
На вирус проверяла Касперским.
Теперь испробую совет Severny.

olga_d 09-11-2007 13:40 675512
Компьютер прошел полную проверку с помощью Cureit, вирусов не обнаружено.
Может быть, кто-нибудь сталкивался с такими ошибками?
В интернете я встретила точно мою ситуацию с медиаплейером, но она решилась установкой новой 11-й весии, а у меня и так 11-я. Что же делать?

Severny 09-11-2007 13:50 675522
Скачай HijackThis
сделай лог и выкладывай здесь.
Скачай AVZ , распакуй, обнови и перейди в меню
Файл-Исследование системы. Полученный лог запакуй и выкладывай здесь.

olga_d 09-11-2007 15:36 675606
Код:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 15:03:03, on 09.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\ups.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
C:\Program Files\Ashampoo\Ashampoo UnInstaller Platinum Suite\UIWatcher.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\ABBYY Lingvo 9.0 Popular Dictionary\Lingvo.exe
C:\Program Files\ABBYY Lingvo 9.0 Popular Dictionary\LvAgent.exe
C:\Documents and Settings\olga\Мои документы\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Program Files\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\Program Files\FlashGet\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {FFF5092F-7172-4018-827B-FA5868FB0478} - (no file)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [UIWatcher] C:\Program Files\Ashampoo\Ashampoo UnInstaller Platinum Suite\UIWatcher.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O4 - Startup: Ярлык для deltemp.bat.lnk = ?
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Add to Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\ie_banner_deny.htm
O8 - Extra context menu item: Закачать все при помощи FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Закачать при помощи FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\SCIEPlgn.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\flashget.exe
O9 - Extra button: iSiloX Clipper - {C86027A6-12A1-4298-B6EA-A42AC6EE6C7C} - C:\Program Files\iSilo\iSiloX\iSiloXIE.dll (HKCU)
O9 - Extra 'Tools' menuitem: iSiloX Clipper... - {C86027A6-12A1-4298-B6EA-A42AC6EE6C7C} - C:\Program Files\iSilo\iSiloX\iSiloXIE.dll (HKCU)
O16 - DPF: {2D4C57AA-54C0-4942-BB2A-51DF0727950B} (ImResize Class) - http://www.openkremlin.ru/cab/ImResCtl.cab
O16 - DPF: {4788DE0A-3552-49EA-AC8C-233DA52523B9} (AxLoaderPassword Class) - http://www.blackberry.com/GoogleTalk/AxLoader.cab
O16 - DPF: {BA61606B-258C-4021-AD27-E07A3F3B91DB} (SysInfo Class) - http://www.kaspersky.ru/downloads/he.../klsysinfo.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0D1DB42E-7D6D-47B6-97A5-3F1F00BCA01C}: NameServer = 212.188.4.10 195.34.32.116
O17 - HKLM\System\CS2\Services\Tcpip\..\{0D1DB42E-7D6D-47B6-97A5-3F1F00BCA01C}: NameServer = 212.188.4.10 195.34.32.116
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll
O22 - SharedTaskScheduler: Предзагрузчик Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Демон кэша категорий компонентов - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Unknown owner - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe (file missing)
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe

--
End of file - 8051 bytes

olga_d 09-11-2007 17:38 675685
Код:
Протокол антивирусной утилиты AVZ версии 4.27
Сканирование запущено в 09.11.2007 16:38:27
Загружена база: 134942 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, база от 08.11.2007 16:30
Загружены микропрограммы эвристики: 371
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 65956
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:GetProcAddress (408) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80ADA0->7C883FEC
Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->7C883F9C
Функция kernel32.dll:LoadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D4F->7C883FB0
Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF1->7C883FD8
Функция kernel32.dll:LoadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AE4B->7C883FC4
Детектирована модификация IAT: LoadLibraryA - 7C883F9C<>7C801D77
Детектирована модификация IAT: GetProcAddress - 7C883FEC<>7C80ADA0
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=08A500)
 Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
  SDT = 80561500
  KiST = 8314EB58 (297)
 >>> Внимание, таблица KiST перемещена ! (804E48B0(284)->8314EB58(297))
Функция NtClose (19) перехвачена (8056E9E9->EFF42A80), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtCreateKey (29) перехвачена (80577237->EFF35380), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtCreatePagingFile (2D) перехвачена (805C4F51->BAFB8B00), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys
Функция NtCreateProcess (2F) перехвачена (805C0BF0->EFF427B0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtCreateProcessEx (30) перехвачена (8058AB10->EFF42920), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtCreateSection (32) перехвачена (8056CE25->EFF433C0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtCreateSymbolicLinkObject (34) перехвачена (805A8658->EFF43010), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtCreateThread (35) перехвачена (805849B2->EFF43CE0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtDeleteKey (3F) перехвачена (80598177->EFF35480), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtDeleteValueKey (41) перехвачена (805969F3->EFF35500), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtDuplicateObject (44) перехвачена (80578BF8->EFF42BE0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtEnumerateKey (47) перехвачена (805783AC->EFF355B0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtEnumerateValueKey (49) перехвачена (8058F45B->EFF35660), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtFlushKey (4F) перехвачена (805B4A59->EFF35710), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtInitializeRegistry (5C) перехвачена (805BAC1A->EFF35790), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtLoadDriver (61) перехвачена (805B97A1->EFF41010), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtLoadKey (62) перехвачена (805DFEF2->EFF361B0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtLoadKey2 (63) перехвачена (805DFD40->EFF357B0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtNotifyChangeKey (6F) перехвачена (805B1B9B->EFF35890), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtOpenFile (74) перехвачена (8057D538->BAD9E000), перехватчик C:\WINDOWS\system32\Drivers\kl1.sys
Функция NtOpenKey (77) перехвачена (80571CBC->EFF35970), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtOpenProcess (7A) перехвачена (8057908C->EFF425A0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtOpenSection (7D) перехвачена (8057EB4A->EFF431F0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtQueryKey (A0) перехвачена (80577FAC->EFF35A50), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtQueryMultipleValueKey (A1) перехвачена (80653CC4->EFF35B00), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtQuerySystemInformation (AD) перехвачена (8058531F->EFF43990), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtQueryValueKey (B1) перехвачена (80572100->EFF35BB0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtReplaceKey (C1) перехвачена (806545FE->EFF35C90), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtRestoreKey (CC) перехвачена (8065311C->EFF35D20), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtResumeThread (CE) перехвачена (80585029->EFF43C90), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSaveKey (CF) перехвачена (806531C3->EFF35F20), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSetContextThread (D5) перехвачена (80633D53->EFF44010), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSetInformationFile (E0) перехвачена (80582BC5->EFF44630), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSetInformationKey (E2) перехвачена (80653827->EFF35FB0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSetInformationProcess (E4) перехвачена (80581B2D->EFF47EE0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSetSecurityObject (ED) перехвачена (805B08E7->EFF3FC30), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSetSystemPowerState (F1) перехвачена (8066D0F9->BAFC4550), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys
Функция NtSetValueKey (F7) перехвачена (8057FF13->EFF36050), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSuspendThread (FE) перехвачена (80635A0B->EFF43C40), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSystemDebugControl (FF) перехвачена (8064F169->EFF41370), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtTerminateProcess (101) перехвачена (8058C399->EFF437E0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtUnloadKey (107) перехвачена (806533F5->EFF36170), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtWriteVirtualMemory (115) перехвачена (8058698B->EFF42AA0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция FsRtlCheckLockForReadAccess (804F3BF9) - модификация машинного кода. Метод JmpTo. jmp EFF44A50 \??\C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Функция IoAllocateIrp (804EAF6D) - модификация машинного кода. Метод не определен., внедрение с байта 15
Функция IoIsOperationSynchronous (804EAF7E) - модификация машинного кода. Метод JmpTo. jmp EFF44F50 \??\C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный
Проверено функций: 284, перехвачено: 43, восстановлено: 0
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Анализ для процессора 2
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
 Количество найденных процессов: 29
 Количество загруженных модулей: 361
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\WINDOWS\$NtUninstallKB824141$\user32.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB824141$\win32k.sys
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\accwiz.exe
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\crypt32.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\cryptsvc.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\hh.exe
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\hhctrl.ocx
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\hhsetup.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\locator.exe
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\magnify.exe
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\migwiz.exe
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\mrxsmb.sys
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\msconv97.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\narrator.exe
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\newdev.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\ntdll.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\ntkrnlpa.exe
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\ntoskrnl.exe
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\osk.exe
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\pchshell.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\raspptp.sys
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\shmedia.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\srrstr.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\srv.sys
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\user32.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\win32k.sys
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\winsrv.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB826939$\zipfldr.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB826942$\dhcpcsvc.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB826942$\ndis.sys
Прямое чтение C:\WINDOWS\$NtUninstallKB826942$\ndisuio.sys
Прямое чтение C:\WINDOWS\$NtUninstallKB826942$\netshell.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB826942$\wzcdlg.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB826942$\wzcsapi.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB826942$\wzcsvc.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB828035$\msgsvc.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB828035$\wkssvc.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB828741$\catsrv.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB828741$\catsrvut.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB828741$\clbcatex.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB828741$\clbcatq.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB828741$\colbact.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB828741$\comadmin.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB828741$\comrepl.exe
Прямое чтение C:\WINDOWS\$NtUninstallKB828741$\comsvcs.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB828741$\comuid.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB828741$\es.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB828741$\migregdb.exe
Прямое чтение C:\WINDOWS\$NtUninstallKB828741$\msdtcprx.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB828741$\msdtctm.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB828741$\msdtcuiu.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB828741$\mtxclu.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB828741$\mtxoci.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB828741$\ole32.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB828741$\rpcrt4.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB828741$\rpcss.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB828741$\txflog.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB835732$\callcont.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB835732$\cmdevtgprov.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB835732$\evtgprov.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB835732$\gdi32.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB835732$\h323msp.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB835732$\ipnathlp.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB835732$\lsasrv.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB835732$\mf3216.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB835732$\msasn1.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB835732$\msgina.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB835732$\mst120.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB835732$\nmcom.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB835732$\rtcdll.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB835732$\schannel.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB839645$\fldrclnr.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB839645$\shell32.dll
Прямое чтение C:\WINDOWS\$NtUninstallKB839645$\sxs.dll
Прямое чтение C:\WINDOWS\$NtUninstallQ828026$\msdxm.ocx
Прямое чтение C:\WINDOWS\$NtUninstallQ828026$\wmpcore.dll
Прямое чтение C:\WINDOWS\system32\drivers\atapi.sys
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\adialhk.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\adialhk.dll>>> Поведенческий анализ:
 Типичное для кейлоггеров поведение не зарегистрировано
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
Просканировано файлов: 122911, извлечено из архивов: 90001, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 09.11.2007 17:25:35
Сканирование длилось 00:47:13

После загрузки драйвера мониторинга AVZPM невозможно было произвести перезагрузку системы: система не загружалась иначе как в предыдущей конфигурации. Поэтому поиск маскировки процессов и драйверов не производился.

Severny 09-11-2007 21:22 675814
olga_d,
В HijackThis выдели эти строки и нажми Fix checked.
Код:
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {FFF5092F-7172-4018-827B-FA5868FB0478} - (no file)
O16 - DPF: {2D4C57AA-54C0-4942-BB2A-51DF0727950B} (ImResize Class) - http://www.openkremlin.ru/cab/ImResCtl.cab
O16 - DPF: {4788DE0A-3552-49EA-AC8C-233DA52523B9} (AxLoaderPassword Class) - http://www.blackberry.com/GoogleTalk/AxLoader.cab
O16 - DPF: {BA61606B-258C-4021-AD27-E07A3F3B91DB} (SysInfo Class) - http://www.kaspersky.ru/downloads/he.../klsysinfo.cab
Пока ничего вредоносного не видно, но лог AVZ не тот, что нужен. Прочитай выше повнимательнее.

olga_d 09-11-2007 23:50 675911
Вложений: 1
severny, прошу прощения за невнимательность, нужный отчет прикладываю

olga_d 09-11-2007 23:52 675913
Ой, что-то не вложилось, пробую еще раз

Severny 10-11-2007 00:22 675937
olga_d, Тоже ничего вредоносного не видно. Если щелкнуть правой кнопкой мыши по программе, то какая команда самая верхняя?

olga_d 10-11-2007 00:47 675946
Severny, в предыдущем моём посте вложение проявилось.
А про кнопку я не поняла, по какой программе и где щелкнуть?
Прошлый совет выполнила, но нужного результата пока нет.

Severny 10-11-2007 08:28 676018
Цитата:
Цитата olga_d
А про кнопку я не поняла, по какой программе и где щелкнуть? »
Которые не запускаются.
Цитата:
Цитата olga_d
Прошлый совет выполнила, но нужного результата пока нет. »
А его и не должно было быть. Это подчистка ненужного.

В программе AVZ перейди меню Файл--Выполнить скрипт.
Скопируй код и нажми "запустить".
Код:
begin
ExecuteRepair(6);
ExecuteRepair(1);
ExecuteRepair(8);
end.

olga_d 10-11-2007 14:10 676168
severny, спасибо за советы,но
результата пока нет. (после выполнения скрипта тоже)

Цитата:
Цитата Severny
Если щелкнуть правой кнопкой мыши по программе, то какая команда самая верхняя? »
Если щелкнуть правой кнопкой по программе, то верхняя команда "открыть". Она не выполняется, при этом никаких сообщений нет. Следующая команда "запуск от имени", вот тут, если снять единственную в окне галочку("Защитить компьютер от несанкционированных действий..."), а больше ничего не трогать, Window Media Player и запускается.

remedius 18-03-2008 18:34 763132
аналогичная проблема. Решений не нашлось. Помогите пожалуйста, очень не хочется переустанавливать всю винду. Было замечено, что в папке system32 исчезли все exe -шники.

Pili 18-03-2008 21:45 763255
olga_d, Попробуйте для начала деинсталлировать MarkAny (C:\PROGRA~1\MarkAny\CONTEN~1\MACSMA~1.DLL), также рекомендую деинсталлировать FlashGet (о нем тут)
deltemp.bat сами в автозагрузку ставили?
Можете попробовать восстановить параметры безопасности - Восстановление значений по умолчанию параметров безопасности
HijackThis есть уже версии 2.02, если проблема не решилась, можете сделать новые логи по этим правилам
remedius, см. те же правила

mclegea 28-12-2009 15:21 1306216
Если у вас стоит видеокарта от Nvidia, как и у меня, то проблема решается путем удаления приложения nView Desktop Manager.
Была та же проблема как и у вас - как оказалось, не вирус, а именно эта гадость и еще - не вздумайте ставить драйвера 195.62_desktop_winxp_32bit_international_whql - гадость редкостная, хоть м последняя на сегодняшний момент, лучше предыдущую версию 191.07_desktop_winxp_32bit_international_whql - стабильно работает.

Удачи!


Время: 15:32.

Время: 15:32.
© OSzone.net 2001-