gjf Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору КВАЛИФИЦИРОВАННАЯ ПОМОЩЬ БОЛЕЕ НЕ ОКАЗЫВАЕТСЯ!!! ПРОСЬБА ЗАКРЫТЬ ТЕМУ   Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 17:34 18-03-2010 | Исправлено: gjf, 02:10 04-06-2013

setwolk Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору ErikMAL через far запускайте все утилиты и должно быть счастье Всего записей: 1418 | Зарегистр. 16-02-2010 | Отправлено: 13:45 22-10-2010

ErikMAL Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Запустил через диспетчер задач AVZ, сделал восстановление системы - результат = 0 Вирусов и троянов в сиситеме нет, проверено С Загрузочных дисков KIS и Dr.Web. Combofix повторно запустил, результат =0   При наведении на KIS в трее, или на папку AVZ на раб столе - проводник (т.е. explorer.exe) сразу перезагружается, однако через диспетчер задач их можно открыть, запустить. Как избавиться от напасти?, дайте плиз ключ в реестре и как изменить его. Или программу какую.   Всего записей: 904 | Зарегистр. 07-11-2006 | Отправлено: 15:16 22-10-2010

gjf Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ErikMAL Цитата: однако через диспетчер задач их можно открыть, запустить.   Ну так запускайте и делайте логи. Логи - сюда. Тогда и будет ответ. ---------- Тут могла бы быть Ваша реклама... или эпитафия Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 22:21 23-10-2010

Stalker61 Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору gjf Ситуация следующая: имеем ПК с WInXP SP3 (лицензия) + все обновления, АВ - KAV WKS 6.0.4.1435 MP4 с последними базами. Проактивная защита АВ вцепилась в "Процесс C:\WINDOWS\SYSTEM32\DRIVERS\PS2.SYS (PID: 0): Обнаружен клавиатурный перехватчик. Процесс пытается перехватить данные, вводимые с клавиатуры. (Keylogger)". Отчет (с интервалом в 1 минуту) о критических событиях а AdminKit 8.0.2090 немерянного размера: - Процесс \DRIVER\PS2 (PID: 0): Обнаружен клавиатурный перехватчик. Процесс пытается перехватить данные, вводимые с клавиатуры. (Keylogger). - Процесс \DRIVER\PS2 (PID: 0): Ошибка помещения на карантин. Начало события: 22.10.2010 16:00:16 Окончание события: 25.10.2010 08:52:52 Запись событий прекратилась с момента запуска сканирования системы со средними значениями вышеуказанного АВ ч/з Radmin Server v3.4. После ребута имеем отключенную клавиатуру и мышь. Запуск системы в безопасном режиме также невозможен. На данный момент машина рулится только ч/з Radmin. Сканирование системы Dr. Web CureIt! в защищенном режиме, а также из под Линукса Dr. Web Lite и WKS MP4 с максимальными настройками результата никакого не дают. Сегодня ч/з Radmin выполнил проверку системы последней версией AVZ с актуальными базами (лог, если потребуется)   Архив с логами согласно требований раздела Цитата: Диагностика Всего записей: 3641 | Зарегистр. 22-02-2003 | Отправлено: 13:47 27-10-2010 | Исправлено: Stalker61, 13:47 27-10-2010

gjf Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Stalker61 У Вас компьютер Hewlett Packard - верно? ---------- Тут могла бы быть Ваша реклама... или эпитафия Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 14:16 27-10-2010

Stalker61 Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору gjf Цитата: У Вас компьютер Hewlett Packard - верно? Так точно. HP Compaq dx2300 Всего записей: 3641 | Зарегистр. 22-02-2003 | Отправлено: 14:18 27-10-2010

gjf Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Stalker61 Добро пожаловать в мир фалсов   PS2.sys - это легитимный драйвер поддержки дополнительных клавиш HP. Он должен быть перехватчиком клавиатуры, потому как в этом и заключается его функционал.   Правда, драйвер должен быть автоматически доверенным, почему у Вас он детектится - не знаю. Обновите базы, может поможет, нет - вопрос в техподдержку антивируса.   Сходные кейсы тут и тут.   Что касается вирусов - судя по логам, у Вас в системе ничего активного и вредоносного не обнаружено. ---------- Тут могла бы быть Ваша реклама... или эпитафия Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 14:34 27-10-2010

Stalker61 Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору gjf Цитата: Что касается вирусов - судя по логам, у Вас в системе ничего активного и вредоносного не обнаружено. Так следим за зверушками в меру сил. Дрова на машинке, включая однотипные, я устанавливал и обновлял, да вот такой какашки на других системах нетути. Откуда на ентой взялись? Мне думается, что ребятки банально воспользовались админскими правами, которые им дали коллеги на короткое время и попытались впихнуть игрушки (каталоги болтаются). В диспетчере устройств сейчас болтается левый мультимедийный драйвер - Enhanced Multimedia PS/2 Keyboard, который никто из админов туда не устанавливал. Попробовали обновить родной драйвер с офф-ресурса, но машина тупо бегает по ребуту. Кое-как загрузилась с последней удачной конфигой. Ладно, заморачиваться не будем, снесу ка я усё и подниму системку с нуля. Так надежнее будет.   Добавлено: А про саму дровину PS2.sys читал уже. Неинтересно идиотом себя очучать. Всего записей: 3641 | Зарегистр. 22-02-2003 | Отправлено: 15:32 27-10-2010

gjf Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Stalker61 Цитата: мультимедийный драйвер - Enhanced Multimedia PS/2 Keyboard Скорее всего он и есть. Речь о драйвере, который точно будет установлен с официальными дровами от НР. ---------- Тут могла бы быть Ваша реклама... или эпитафия Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 15:50 27-10-2010

gjf Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору MeTaLHAK Вы здесь пишете совершенно не в тему. Жалобы на вирус есть? Если нет - Вам не сюда. ---------- Тут могла бы быть Ваша реклама... или эпитафия Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 17:36 27-10-2010

FedorSumkins2009 BANNED Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору gjf отписывался в теме comodo насчет killav и подозрительного входящего соединения(с грузинского ip) \     Цитата:   2010-10-19 21:00:02      C:\Windows\System32\svchost.exe      Задан вопрос      Входящий      UDP      95.104.110.135      37097      10.1.57.239      58305     третий день кто-то ломится, доступ закрываю. что это м.б вирусня стучится? ранее обнаружил само тело вируса(прилагается)- comodo его нашел и вроде удалил все следы по крайней мере само тело и его производные     зараза любопытная-прописывает себя вместо половины системных процессов(диспетчер задач, редактор реестра и т.д), nod32 с ней помирает, dr.web молчит как коммунист(не видит в упор). рассовывает свои файлики в common files и в корень дисков/ отправил на e-mail тело живности пароль virus насчет всех, сейчас организую. Всего записей: 564 | Зарегистр. 26-12-2009 | Отправлено: 14:35 30-10-2010 | Исправлено: FedorSumkins2009, 14:39 30-10-2010

ErikMAL Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору По проблеме, описанной мною выше: Обновил базы KIS, проверил критические области, нашел он теперь  удалено: троянская программа Trojan.Win32.Jorik.Shiz.fp    Файл: c:\windows\system32\ytuyean.exe Проводник перестал перезагружаться при наведении на значок Касперского в трее либо на папки, содержащие антивирус. Всего записей: 904 | Зарегистр. 07-11-2006 | Отправлено: 09:21 31-10-2010

gjf Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Alvarius80 Сделайте лог с помощью MBAM. ---------- Тут могла бы быть Ваша реклама... или эпитафия Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 02:53 01-11-2010

gjf Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Alvarius80 Удалите в MBAM. Код: C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\6M2PLC7X\bhya[1]._ (Trojan.Downloader) -> No action taken. C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\4JT459SW\mis[1]._ (Trojan.Dropper) -> No action taken. C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\4JT459SW\bhya[1]._ (Trojan.Downloader) -> No action taken. C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\S3SO1QRB\bhya[1]._ (Trojan.Downloader) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\34.exe (Trojan.Dropper) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\66.exe (Trojan.Dropper) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\65.exe (Trojan.Dropper) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\56.exe (Trojan.Dropper) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\64.exe (Trojan.Dropper) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\58.exe (Trojan.Dropper) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\85.exe (Trojan.Dropper) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\y[1].exe (Trojan.Dropper) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\y[2].exe (Trojan.Dropper) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\y[1]___0.exe (Trojan.Dropper) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\y[2]___0.exe (Trojan.Dropper) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\y[3].exe (Trojan.Dropper) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\y[1]___1.exe (Trojan.Dropper) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\exe[2].0 (Trojan.Downloader) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\exe[1].0 (Trojan.Downloader) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\prin[1]._ (Trojan.Dropper) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\prin[1]0._ (Trojan.Dropper) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\isis[1]._ (Trojan.Dropper) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\A0020713.exe (Trojan.Dropper) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\A0020714.exe (Trojan.Dropper) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\A0020715.exe (Trojan.Dropper) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\A0020716.exe (Trojan.Dropper) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\A0020717.exe (Trojan.Dropper) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\A0020718.exe (Trojan.Dropper) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\A0020719.exe (Trojan.Dropper) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\syscr.exe (Trojan.Dropper) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00001.dta (Worm.Agent) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00002.dta (VirTool.EeInject) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00003.dta (Trojan.Agent) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00004.dta (VirTool.EeInject) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00005.dta (Trojan.Agent) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00006.dta (Trojan.Agent) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00007.dta (Trojan.Agent) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00008.dta (Trojan.Agent) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00009.dta (Trojan.Agent) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00010.dta (VirTool.EeInject) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00011.dta (VirTool.EeInject) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00012.dta (VirTool.EeInject) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00013.dta (VirTool.EeInject) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00014.dta (VirTool.EeInject) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00015.dta (VirTool.EeInject) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00016.dta (VirTool.EeInject) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00017.dta (VirTool.EeInject) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00018.dta (VirTool.EeInject) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00019.dta (VirTool.EeInject) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00020.dta (VirTool.EeInject) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00021.dta (VirTool.EeInject) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00000.dta (Worm.Autorun) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00029.dta (Worm.Autorun) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00039.dta (Worm.Palevo) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00049.dta (Worm.Palevo) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00059.dta (Worm.Palevo) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00069.dta (Worm.Palevo) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00079.dta (Worm.Palevo) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00089.dta (Worm.Palevo) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00099.dta (Worm.Palevo) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00199.dta (Worm.Palevo) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00299.dta (Worm.Palevo) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00399.dta (Worm.Palevo) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00499.dta (Worm.Palevo) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00599.dta (Worm.Palevo) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00699.dta (Worm.Palevo) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00799.dta (Worm.Palevo) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00899.dta (Worm.Palevo) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00999.dta (Worm.Palevo) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz01999.dta (Worm.Palevo) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00022.dta (Worm.Palevo) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00023.dta (Worm.Palevo) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00024.dta (Trojan.Dropper) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz02999.dta (Worm.Autorun) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz03999.dta (Worm.Autorun) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz04999.dta (Worm.Palevo) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz05999.dta (Worm.Palevo) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz06999.dta (Worm.Palevo) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz07999.dta (Worm.Palevo) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz08999.dta (Worm.Palevo) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz09999.dta (Worm.Palevo) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz19999.dta (Worm.Palevo) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz29999.dta (Worm.Palevo) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz39999.dta (Worm.Palevo) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz49999.dta (Worm.Palevo) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz59999.dta (Worm.Palevo) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz69999.dta (Worm.Palevo) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz79999.dta (Worm.Palevo) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz89999.dta (Worm.Palevo) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz99999.dta (Worm.Palevo) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\av099999.dta (Worm.Palevo) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\av199999.dta (Worm.Palevo) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00025.dta (Worm.Palevo) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\avz00026.dta (Worm.Palevo) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\av299999.dta (Trojan.Downloader) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\av399999.dta (Trojan.Downloader) -> No action taken. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\av499999.dta (Trojan.Downloader) -> No action taken.   После этого - повторите логи RSIT и MBAM. ---------- Тут могла бы быть Ваша реклама... или эпитафия Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 01:08 02-11-2010

Alvarius80 Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Вот новые логи - MBAM_RSIT LOGS Насколько я вижу подмена диспетчера опять появилась... Всего записей: 6 | Зарегистр. 01-11-2010 | Отправлено: 02:55 02-11-2010

gerastom1 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Здравствуйте ! ВСем! Извините за ОФФТОП(если что) На нетбуке LENOVO S10  c Windows XP после лечения MBAM снеслись драйвера, связанны с сетевым доступом и новые с сайта производителя не устанавливаются, так как не удаётся удалить в папке <Сетевые платы>    (путь=Панель управления-Система-Оборудование-Диспетчер устройств)   несколько сетевых устройств. Они там болтаются и при попытке удаления появляется надпись о том, что их удалить нельзя, так как они используютя для загрузки Windows!  Подскажите где поискать пути решения - реестр почистить(ветку какую?) + почитать по этой проблеме.....? Заранее спасибо за отклик!           Всего записей: 133 | Зарегистр. 22-02-2005 | Отправлено: 09:58 02-11-2010 | Исправлено: gerastom1, 10:00 02-11-2010

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Помощь при лечении компьютера от вирусов

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование