Data execution prevention - Microsoft Windows

[Twistah]

Здравствуйте.
Итак, проблема - спонтанно при работе винды вылазиет ошибка следующего характера: , затем после нажатия "Close message" explorer перезапускается.
Какой-либо закономерности в процессе вылетания ошибки установить не удалось, так что целиком и полностью уповаю на Вас.
Логи прилогаю.

[V_Bond]

обновите базы авз
выполните скрипт ...

Код:

begin
 DeleteService('Evmkpdde');
 QuarantineFile('Evmkpdde.sys','');
 QuarantineFile('c:\windows\bisoncam\bisonhk.exe','');
 DeleteFile('Evmkpdde.sys');
ExecuteSysClean;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...

[Twistah]

Скрипт выполнен, карантин выслан, в карантин добавился почему-то только один файл - bisonhk.exe. Думаю это не то, т.к. BisonCam - название моей вебкамеры.

[Rene-gad]

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 DeleteService('Evmkpdde');
 QuarantineFile('c:\windows\System32\drivers\Evmkpdde.sys','');
 DeleteFile('c:\windows\System32\drivers\Evmkpdde.sys');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('Evmkpdde');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[Twistah]

Выполнил, прилогаю карантин и логи.

З.Ы.: при выполнении скрипта вылезла такая-же шняга, после чего компьютер планово перезагрузился.

[Rene-gad]

Такие логи больше не приму: У Вас все приложения в автозапуске сидят?

-Пофиксите

Код:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

Больше ничего плохого не вижу.

[Twistah]

В авторане сидят пять приложений, что Вам не понравилось? Что хотите посоветовать?

Добавлено через 6 минут

Added:
Некоторое время спустя правки в HiJackThis повторно вылезла такая табличка.

[Rene-gad]

В авторане сидят пять приложений, что Вам не понравилось? Что хотите посоветовать?

1. Пуск/Выполнить... набрать msconfig, нажать клавишу ВВОД.
2. В карточке Автозапуск - Все отключить
3. В карточке Службы - Службы Windows не показывать, остальные отключить.
4. Перегрузить систему
Посмотрите, сколько должно остаться

Некоторое время спустя правки в HiJackThis повторно вылезла такая табличка.

Почитайте тут: http://support.microsoft.com/?scid=k...75352&x=14&y=9

[Twistah]

Ну это понятно.. что такое DEP я уже читал, а вот бывают ли у него "ложные тревоги" и имеют ли они место быть в моём случае - незнаю. В настройках DEP включено "Enable For essential applications only", переставил в значение "Enabled for all processes except below: "Windows explorer"", посмотрим чем обернётся. Опции "Disabled for all" нету.
Ваши мысли по поводу?

З.Ы.: в авторане ничего вредного вроде не сидит.

[Rene-gad]

З.Ы.: в авторане ничего вредного вроде не сидит.

Вредное мы попытались удалить. Сидит там однако много ненужного, а при выполнении лечения - мешающего.

[Twistah]

Удалил из автозагрузки всё кроме:
gnotify-приложение gmail, следящее за новыми входящими сообщениями
egui-гуй нода
cfp-гуй файрволла
msnmsgr-мсн
daemon-даймон тулз
g6ftptray-гуй фтп сервера
wcescomm-активсинк для тела
ctfmon-хз что, но iexplorer обратился к нему, когда я его запустил
hotkeydriver-драйвер хоткеев для лаптя
monitor apache servers - гуй апача
realtek.... - рилтековская прога
mysqlsystemtraymonitor - гуй для работы со скулем

В сервисах оставил:
apache tomcat
apache 2.2
comodo...
eset http server
eset service
gene6 ftp server
mysql
radmin server v3

Там-же мне показалось странной строчка сервиса: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# #

Перед перезагрузкой, при удалении RealVNC через add/remove ещё раз вылезла эта херь. После перезагрузки пока всё тихо..

Как действовать дальше?

[Rene-gad]

Как действовать дальше?

Понаблюдайте. Может кто-то Вам что-то через VNC всучить пытается?
Если опять полезет - сделайте логи в таком состоянии ПК.

[Twistah]

через внц- исключено, сегодня переехал в общежитие на время учёбы- там другой провайдер вообще.
Система пока работает стабильно.. наблюдаем..

Добавлено через 1 час 25 минут

Так.. опять 25.. только на этот раз без какой-либо ошибки, просто перезагружает explorer.exe. Сейчас пойду делать логи..

[Twistah]

Логи:

[Twistah]

Исправленный syscheck(с отключенными антивирусом и файрволлом):

[Rene-gad]

По моему скромному разумению у Вас работают 2 файврвола

Код:

C:\Program Files\ESET\ESET NOD32 Antivirus\eguiEpfw.dll 	Eset Personal Firewall UI	Copyright (c) Eset 1992-2008.

C:\WINDOWS\System32\DRIVERS\cmdguard.sys COMODO Firewall Pro Sandbox Driver	2005-2008 COMODO. All rights reserved.

А так не бывает.
Удалите Comodo.

[Twistah]

Странно это.. у Nod'a в настройках нет опций, связанных с файрволлом. Удалил комодо (в восторге от него), наблюдаю за поведением системы.

Добавлено через 40 минут

Не помогло, только что при попытке запуска Dreamweaver CS3 программа закрылась без сообщения об ошибке и explorer перезапустился. И почему то слетела лицензия на весь Adobe CS3

[V_Bond]

мой компьютер - свойства - быстродействие - Предотвращение выполнения данных
переключать как установлен ? попробуйте добавить explorer в список исключений ...

[Twistah]

На данный момент стояло "For all programs", настройки были перепробованы любые- везде одно и то же, для чистоты эксперемента сделал как Вы посоветовали, о результатах отпишусь.

Добавлено через 15 минут

И снова, на этот раз с ошибкой, как положено

[V_Bond]

вы отключили dep для explorer и все равно выдается ошибка ? ... интересно