![]() |
Внимание, важное сообщение: Дорогие Друзья!
В ноябре далекого 2001 года мы решили создать сайт и форум, которые смогут помочь как начинающим, так и продвинутым пользователям разобраться в операционных системах. В 2004-2006г наш проект был одним из самых крупных ИТ ресурсов в рунете, на пике нас посещало более 300 000 человек в день! Наша документация по службам Windows и автоматической установке помогла огромному количеству пользователей и сисадминов. Мы с уверенностью можем сказать, что внесли большой вклад в развитие ИТ сообщества рунета. Но... время меняются, приоритеты тоже. И, к сожалению, пришло время сказать До встречи! После долгих дискуссий было принято решение закрыть наш проект. 1 августа форум переводится в режим Только чтение, а в начале сентября мы переведем рубильник в положение Выключен Огромное спасибо за эти 24 года, это было незабываемое приключение. Сказать спасибо и поделиться своей историей можно в данной теме. С уважением, ваш призрачный админ, BigMac... |
|
Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Защитник Windows (а также другие антишпионские программы) |
|
[решено] Защитник Windows (а также другие антишпионские программы)
|
Старожил Сообщения: 150 |
Недавно появилась проблема (приблизительно скопировал аналогичный случай с другого форума):
Цитата:
Комп перезагружал - защитник не запускается! Пыталя включить вручную - не включается - но мельает надпись - "Устарело". И ещё - почему-то и антивирь и виндовс дефендер отключились в один момент обе эти службы - в 9 утра. Смог обнаружить только в около 12 дня! Антивирь включил, а дефендер не могу. Что же это всё-таки было и как это решать? Мне намекали на AVZ, но, что именно нужно сделать - не сказали. Может, Вы посоветуете что-нибудь? |
||
------- Отправлено: 17:29, 15-11-2010 |
![]() Ветеран Сообщения: 876
|
Профиль | Отправить PM | Цитировать Здравствуйте!Подготовьте логи AVZ & RSIT в соответствии с инструкциями
|
------- Отправлено: 19:31, 15-11-2010 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Старожил Сообщения: 150
|
Профиль | Отправить PM | Цитировать А как-то более человеческим языком? Просто не понял я того, что написано в инструкции =(
Начал проверять при помощи AVZ. Нарисовались непонятки: Что это за записи красным цветом (там, где ещё что-то про перехватчиков) - очень много текста!!!: Функция advapi32.dll:AddMandatoryAce (1029) перехвачена, метод ProcAddressHijack.GetProcAddress ->775224B5->7589193A Функция advapi32.dll:I_QueryTagInformation (1361) перехвачена, метод ProcAddressHijack.GetProcAddress ->77522655->76C972D8 Функция advapi32.dll:I_ScIsSecurityProcess (1362) перехвачена, метод ProcAddressHijack.GetProcAddress ->7752268C->76C9733F Функция advapi32.dll:I_ScPnPGetServiceName (1363) перехвачена, метод ProcAddressHijack.GetProcAddress ->775226C3->76C97C40 Функция advapi32.dll:I_ScQueryServiceConfig (1364) перехвачена, метод ProcAddressHijack.GetProcAddress ->775226FA->76C95F8A Функция advapi32.dll:I_ScSendPnPMessage (1365) перехвачена, метод ProcAddressHijack.GetProcAddress ->77522732->76C95E7D Функция advapi32.dll:I_ScSendTSMessage (1366) перехвачена, метод ProcAddressHijack.GetProcAddress ->77522766->76C971C5 Функция advapi32.dll:I_ScValidatePnPService (1369) перехвачена, метод ProcAddressHijack.GetProcAddress ->77522799->76C96B9D Функция advapi32.dll:IsValidRelativeSecurityDescriptor (1389) перехвачена, метод ProcAddressHijack.GetProcAddress ->775227D1->7588977E Функция advapi32.dll:PerfCreateInstance (1515) перехвачена, метод ProcAddressHijack.GetProcAddress ->77522858->74DD2187 Функция advapi32.dll:PerfDecrementULongCounterValue (1516) перехвачена, метод ProcAddressHijack.GetProcAddress ->77522871->74DD2A1D Функция advapi32.dll:PerfDecrementULongLongCounterValue (1517) перехвачена, метод ProcAddressHijack.GetProcAddress ->77522896->74DD2B3C Функция advapi32.dll:PerfDeleteInstance (1519) перехвачена, метод ProcAddressHijack.GetProcAddress ->775228BF->74DD2259 Функция advapi32.dll:PerfIncrementULongCounterValue (1522) перехвачена, метод ProcAddressHijack.GetProcAddress ->775228D8->74DD27B9 Функция advapi32.dll:PerfIncrementULongLongCounterValue (1523) перехвачена, метод ProcAddressHijack.GetProcAddress ->775228FD->74DD28D6 Функция advapi32.dll:PerfQueryInstance (1528) перехвачена, метод ProcAddressHijack.GetProcAddress ->77522926->74DD2373 Функция advapi32.dll:PerfSetCounterRefValue (1529) перехвачена, метод ProcAddressHijack.GetProcAddress ->7752293E->74DD2447 Функция advapi32.dll:PerfSetCounterSetInfo (1530) перехвачена, метод ProcAddressHijack.GetProcAddress ->7752295B->74DD20B0 Функция advapi32.dll:PerfSetULongCounterValue (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->77522977->74DD2565 Функция advapi32.dll:PerfSetULongLongCounterValue (1532) перехвачена, метод ProcAddressHijack.GetProcAddress ->77522996->74DD2680 Функция advapi32.dll:PerfStartProvider (1533) перехвачена, метод ProcAddressHijack.GetProcAddress ->775229B9->74DD1FED Функция advapi32.dll:PerfStartProviderEx (1534) перехвачена, метод ProcAddressHijack.GetProcAddress ->775229D1->74DD1F34 Функция advapi32.dll:PerfStopProvider (1535) перехвачена, метод ProcAddressHijack.GetProcAddress ->775229EB->74DD2026 Функция advapi32.dll:SystemFunction035 (1753) перехвачена, метод ProcAddressHijack.GetProcAddress ->77522A3C->75243EA8 Хочется отметить, что это далек0_о не все красные надписи про перехват. Что это? |
------- Отправлено: 20:02, 15-11-2010 | #3 |
![]() Ветеран Сообщения: 876
|
Профиль | Отправить PM | Цитировать Запустите AVZ.Меню "Файл" => "Обновление баз".Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив скрипта №3. Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip.
После выполнения скрипта обязательно перезагрузите компьютер! Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив скрипта №2. Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscheck.zip. Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. |
------- Отправлено: 20:08, 15-11-2010 | #4 |
Старожил Сообщения: 150
|
Профиль | Отправить PM | Цитировать Так и сделаю, но прежде хочу сказать, что не обновляется - ошибку какую-то выдаёт.
|
|
------- Отправлено: 20:16, 15-11-2010 | #5 |
Старожил Сообщения: 150
|
Профиль | Отправить PM | Цитировать Прикрепелны следующие файлы (логи):
От 3 скрипта От 2 скрипта |
------- Отправлено: 21:52, 15-11-2010 | #6 |
Старожил Сообщения: 150
|
Профиль | Отправить PM | Цитировать |
------- Последний раз редактировалось xXx34rus, 03-06-2012 в 16:55. Отправлено: 21:53, 15-11-2010 | #7 |
Старожил Сообщения: 150
|
Профиль | Отправить PM | Цитировать И ещё от RSIT
|
------- Последний раз редактировалось xXx34rus, 03-06-2012 в 16:55. Отправлено: 22:01, 15-11-2010 | #8 |
![]() Ветеран Сообщения: 876
|
Профиль | Отправить PM | Цитировать Проверьте на www.virustotal.com
C:\Windows\System32\Drivers\ahougwcv.SYS Дайте ссылку с результатом проверки! • Выполните скрипт AVZ Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл) AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". begin SearchRootkkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\Windows\System32\Drivers\ahougwcv.SYS',''); QuarantineFile('C:\Users\1\AppData\Local\Temp\jatmlano.sys',''); QuarantineFile('C:\Users\1\AppData\Local\Temp\6B0w9x0B.sys',''); DeleteFile('C:\Users\1\AppData\Local\Temp\6B0w9x0B.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После перезагрузки выполните такой скрипт AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, в названии темы укажите – Ссылку на вашу тему.Результаты ответа сообщите здесь, в теме. Повторите логи AVZ Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. |
------- Отправлено: 22:35, 15-11-2010 | #9 |
Старожил Сообщения: 150
|
Профиль | Отправить PM | Цитировать Э-эм - а я не нахожу такого файла в этой директории 0_о
И не только я - даже поиск не находит файл по названию частями или целиком. Где же тогда ahougwcv.SYS? |
------- Отправлено: 07:32, 16-11-2010 | #10 |
![]() |
Участник сейчас на форуме |
![]() |
Участник вне форума |
![]() |
Автор темы |
![]() |
Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Службы - [решено] Защитник Windows | Natsuki | Microsoft Windows Vista | 5 | 17-01-2019 17:55 | |
Разное - [решено] Windows Defender/Защитник Windows | jentoso | Microsoft Windows 7 | 5 | 07-03-2017 12:27 | |
Службы - Защитник Windows | Orbit495 | Microsoft Windows 7 | 46 | 21-12-2013 02:10 | |
Службы - Одни программы устанавливаются, другие нет! | gisault | Microsoft Windows 2000/XP | 3 | 26-02-2010 19:55 | |
Службы - Защитник Windows | Igpm11 | Microsoft Windows Vista | 2 | 30-09-2007 18:39 |
|