Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 30.

Backdoor.Win32.Canvas.10 (заявка № 111904)

  1. #1
    Junior Member Репутация
    Регистрация
    04.11.2011
    Сообщений
    21
    Вес репутации
    19

    Backdoor.Win32.Canvas.10

    Кажется, у меня та же проблема, что и здесь:
    http://virusinfo.info/showthread.php?t=92838


    Но я не понимаю, как сделать логи, то есть это:

    Запустите AVZ
    *. Откройте в меню "Файл"=>"Стандартные скрипты" и отметьте пункт "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог будет сохранен в директории AVZ в папке LOG в архиве virusinfo_syscure.zip.
    Я скачал последнюю версию AVZ, и она оказалась англоязычной, и там нету пункта "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info".

    И почему-то нет доступа к папке "C:\Documents and Settings"...

    [Window Title]
    Расположение недоступно
    [Content]
    Нет доступа к C:\Documents and Settings.
    Отказано в доступе.

    [ОК]
    Изображения Изображения
    • Тип файла: png 1.png (32.4 Кб, 14 просмотров)
    • Тип файла: png 2.png (71.4 Кб, 10 просмотров)
    • Тип файла: png 3.png (18.8 Кб, 8 просмотров)

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    325
    Уважаемый(ая) Patlatus, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    04.11.2011
    Сообщений
    21
    Вес репутации
    19
    Вам может показаться странным, почему я решил, что у меня Backdoor.Win32.Canvas.10, не приведя ни логов, ни результатов сканирования. У меня AVG и он ничего не находит.
    Но я просмотрел последние измененные файлы, и нашел замусоренную директорию C:\Windows\System32\WDI
    Я начал гуглить по ключевым словам System32 и WDI и в итоге нашел статью
    http://forum.kaspersky.com/lofiversi...p/t121961.html, где использовалось это название.
    Потом за ключевым словам Backdoor.Win32.Canvas.10 я нашел эту статью: http://virusinfo.info/showthread.php?t=92838. Вот как я оказался на этом форуме.

    Кстати, у меня тоже есть файлы
    'C:\Windows\assembly\GAC_MSIL\CLI.Aspect.OverDrive 2.Graphics.Runtime\2.0.2728.28991__90ba9c70f846762 e\CLI.Aspect.OverDrive2.Graphics.Runtime.dll'
    'C:\Windows\assembly\GAC_MSIL\CLI.Aspect.OverDrive 2.Graphics.Dashboard\2.0.2728.28991__90ba9c70f8467 62e\CLI.Aspect.OverDrive2.Graphics.Dashboard.dll'
    Надо ли мне выполнить скрипт
    QuarantineFile('C:\Windows\assembly\GAC_MSIL\CLI.A spect.OverDrive2.Graphics.Runtime\2.0.2728.28991__ 90ba9c70f846762e\CLI.Aspect.OverDrive2.Graphics.Ru ntime.dll','');
    QuarantineFile('C:\Windows\assembly\GAC_MSIL\CLI.A spect.OverDrive2.Graphics.Dashboard\2.0.2728.28991 __90ba9c70f846762e\CLI.Aspect.OverDrive2.Graphics. Dashboard.dll','');
    потому что я очень хочу спать и не могу дождаться результатов сканирования AVZ

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    AVZ распакуйте в отдельную папку.
    На первом Вашем скрине выберите 3 пункт и нажмите execute. Далее все по правилам, появится лог, его прикрепите.
    Paula rhei.
    Поддержать проект можно тут

  6. #5
    Junior Member Репутация
    Регистрация
    04.11.2011
    Сообщений
    21
    Вес репутации
    19
    Вчера ночью сделал сначала полную проверку с помощью AVZ.
    Результат в файле "avz_log.txt"
    Потом узнал случайно, что русскоязычную версию можно запустить из командной строки: "avz.exe lang=ru".
    Сделал второй или третий скрипт, не помню какой именно.
    Второй пожалуй.
    Получил файл "avz_log2.txt" и "virusinfo_syscheck.zip", оказывается.
    Выполнил скрипт "ScanVuln.txt" на всякой случай.
    Получил файл "avz_log3.txt".
    Сейчас, только что установил утилиту hijackthis, получил "hijackthis.log".
    Только что понял, что нужно было третий скрипт запускать, а не второй.
    Запустил. Этот скрипт начал проверять диски. Это затянется на два-три часа.
    Результаты прикреплю когда скрипт окончить работу.
    Вложения Вложения

  7. #6
    Junior Member Репутация
    Регистрация
    04.11.2011
    Сообщений
    21
    Вес репутации
    19
    Дополнительные проблемы. Не открываются папки

    C:\ProgramData\Application Data

    C:\Users\All Users\Application Data

    [Window Title]
    Расположение недоступно
    [Content]
    Нет доступа к C:\ProgramData\Application Data.
    Отказано в доступе.

    [ОК]
    C:\Users\All Users\Application Data
    [Window Title]
    Расположение недоступно
    [Content]
    Нет доступа к C:\Users\All Users\Application Data.
    Отказано в доступе.

    [ОК]


    Насколько я понял, этого вируса у меня или нету, или AVZ его не видит. Но в любом случаи остались какие-то последствия этого вируса.

    Кстати, проблемы начались из неработающего гуглхрома и других браузеров. Пытался отключить дополнения, другие браузеры начали работать, но гуглхром не работал. При запуске хрома вместе с двумя нормальными DNS-запросами отправлялись еще три со случайним контентом. В итоге ни один запрос не получал ответа. Снес гуглхром полностью, установил по новой. Кажись проблемы исчезли. Но потом опять. Вчера ночью снес гуглхром еще раз. Жалко, надо было скриншоты сделать, чтобы обьяснить, в чем проблема. Установлю-ка его еще раз.
    Изображения Изображения
    • Тип файла: png 4.png (19.1 Кб, 5 просмотров)
    • Тип файла: png 5.png (19.1 Кб, 3 просмотров)

  8. #7
    Junior Member Репутация
    Регистрация
    04.11.2011
    Сообщений
    21
    Вес репутации
    19
    Точнее, может быть, проблемы начались не из этого, но после этого я впервые начал замечать что на моей машине есть какие-нибудь проблемы.

    Добавлено через 5 минут

    Забыл добавить, что вчера АВЗ решил что наиболее подозрительные файлы это фаервол и антивирус. Я забыл их отключить. Сейчас отключил фаервол Comodo (guard32.dll) но антивирус AVG не выключается.

    Добавлено через 8 минут

    Еще одна проблема: невозможно наладить нормальную работу Защитника Виндовс. Его можно запустить, но при перезагрузке системы он не запускается сам.

    Добавлено через 3 минуты

    Также из антивирусом AVG проблемы, у него, кажись, исчезли половина опций в главном окне. Это случилось еще до поломки браузера.
    Последний раз редактировалось Patlatus; 04.11.2011 в 13:40. Причина: Добавлено

  9. #8
    Junior Member Репутация
    Регистрация
    04.11.2011
    Сообщений
    21
    Вес репутации
    19
    Наконец-то этот скрипт "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" завершил работу, два часа исполнялся...
    Прикрепил файл virusinfo_syscure.zip
    Также меня беспокоит почему всегда при открытии Обзора выскакивает акробатридер какой-то...
    Прикрепил скриншот.
    Изображения Изображения
    • Тип файла: png 6.png (39.6 Кб, 10 просмотров)
    Вложения Вложения

  10. #9
    Junior Member Репутация
    Регистрация
    04.11.2011
    Сообщений
    21
    Вес репутации
    19
    Наиболее подозрительними файлами на моей машине для меня есть
    C:\Windows\System32\Macromed\Flash\FlashUtil10c.ex e
    и
    C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe

    На сайте virustotal.com я проверил их 43 антивирусами, но они ничего в них не увидели:
    http://www.virustotal.com/file-scan/...3b1-1320411284

    http://www.virustotal.com/file-scan/...88c-1320411359

    Также меня беспокоят некоторые подпапки в папки C:\Program Files\, которые я не помню чтобы установливал
    C:\Program Files\Activation Assistant for the 2007 Microsoft Office suites
    C:\Program Files\CE Remote Tools\5.01
    C:\Program Files\Vstplugins
    и другие

    Кроме того, изчезла опция Гибернация в меню завершения работы.

    На скриншоте лог фаервола, где я отметил странное явление повторения запуска процесом svchost.exe процеса C:\Windows\System32\Macromed\Flash\FlashUtil10c.ex e
    Изображения Изображения
    • Тип файла: png 8.png (109.6 Кб, 9 просмотров)

  11. #10
    Junior Member Репутация
    Регистрация
    04.11.2011
    Сообщений
    21
    Вес репутации
    19
    Переустановил свой антивирус AVG.
    Количество опций сильно не повисилось: просто сначала я пользовался PC Analyzer компонентой антивируса AVG, а потом установил отдельно AVG PC TuneUp. Поэтому количество компонент снизилось на одну. Теперь, когда я удалил AVG PC TuneUp, опять появилась фришная компонента PC Analyzer антивируса AVG, и количество компонент опять становилось равно шести.
    Такое впечатление, что это именно компонента PC Analyzer и программа AVG PC TuneUp мусорят папку C:\Windows\System32\WDI.
    В любом случае эта компонента нашла такое в реестре (смотри скриншоты)
    ммм... по-моему, я не могу все скриншоты зааплоадить, исчерпал максимальную емкость вложений на этом сайте:
    869.7 Кб of 976.6 Кб Used

    _____________
    добавил позже:
    _____________
    ok в jpg эти скриншоты очень много места занимают...
    и в png тоже...
    тогда так, сделаю bmp -> rar: сделаю из них бмпшки и заархивирую в раре. Ура! Втиснулся в максимальную емкость вложений!
    Вложения Вложения
    Последний раз редактировалось Patlatus; 04.11.2011 в 18:40.

  12. #11
    Junior Member Репутация
    Регистрация
    04.11.2011
    Сообщений
    21
    Вес репутации
    19
    Интересно. Интересный список. Формируется впечатление, что эта компонента сама создает проблемы, от которых потом лечит. Или не лечит. Эта программа какбы должна работать один день, но у меня она почему-то работала дольше. Потом вдруг вчера перестала работать. И начались другие проблемы.
    Также я пробовал пользоватся другой программой, которую потом удалил: Security Task Manager.
    Может быть, она тоже самое сделала.

    Извините, что много замусорил эту тему.
    Еще раз прикрепляю основные файлы (из предыдущих вложений), чтобы они были в одном месте.

    Жду ответа.
    Вложения Вложения

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    Отключите Windows Defender. http://virusinfo.info/showthread.php?t=68899
    Ничего плохого в логах не нашел. Но они сделаны со старыми базами. Обновляем, переделываем.
    Paula rhei.
    Поддержать проект можно тут

  14. #13
    Junior Member Репутация
    Регистрация
    04.11.2011
    Сообщений
    21
    Вес репутации
    19
    Новый сисчек.
    Вложения Вложения

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    Чисто в логе.
    Paula rhei.
    Поддержать проект можно тут

  16. #15
    Junior Member Репутация
    Регистрация
    04.11.2011
    Сообщений
    21
    Вес репутации
    19
    Возможно, нужно было сискюре.цип прислать.

    Что это такое:

    Видимый процесс с PID=1508, имя = "\Device\HarddiskVolume2\Windows\System32\audiodg. exe"
    >> обнаружена подмена имени, новое имя = "C:\Windows\System32\svchost.exe"
    Возможно, я уже удалил или отключил вирус.

    Я сначала не запускал ни каких лечащих утилит, мой антивирус AVG ничего не видел.

    Сейчас запустил Касперский антивирал римувал тул, он нашел несколько троянчиков и какой-то бэкдор, но другой.

    Папки C:\Documents and Settings\All Users\Application Data\Application Data\Application Data\Application Data\... осталить. Удалить их вручную?

    Странная папка C:\Boot из кучей подпапок cs-CZ da-DK и других
    Такие же в C:\Windows\Boot\PCAT и C:\Windows\Boot\PXE, кажется, их не было раньше.
    Вложения Вложения

  17. #16
    Junior Member Репутация
    Регистрация
    04.11.2011
    Сообщений
    21
    Вес репутации
    19
    что такое:
    "Модули расширения проводника
    <назначение на задано>"

  18. #17
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    Чисто в логах. Давайте для верности пройдемся http://virusinfo.info/showthread.php?t=53070
    Paula rhei.
    Поддержать проект можно тут

  19. #18
    Junior Member Репутация
    Регистрация
    04.11.2011
    Сообщений
    21
    Вес репутации
    19
    Счас скачаю Malwarebytes Antimalware.

    Но сначала хотел рассказать о том, что нашел методом научного тыка пока не заходил на форум.
    Нашел в папке C:\Users\р\Application Data файл ctfmon.exe без подписи майкрософт, то есть в свойствах этого файла нету описания файла, нету версии файла, нету названия, версии продукта, авторских прав, языка.
    Проверил на http://www.virustotal.com/file-scan/...999-1322051802
    File name: ctfmon.exe

    Antivirus Version Last Update Result
    AhnLab-V3 2011.11.22.00 2011.11.22 Malware/Win32.Generic
    AntiVir 7.11.18.17 2011.11.23 TR/Gendal.6539652.1
    Antiy-AVL 2.0.3.7 2011.11.23 -
    Avast 6.0.1289.0 2011.11.23 -
    AVG 10.0.0.1190 2011.11.23 -
    BitDefender 7.2 2011.11.23 Trojan.Generic.6539652
    ByteHero 1.0.0.1 2011.11.14 -
    CAT-QuickHeal 12.00 2011.11.22 Trojan.Agent.ni
    ClamAV 0.97.3.0 2011.11.23 -
    Commtouch 5.3.2.6 2011.11.23 W32/SuspPack.T.gen!Eldorado
    Comodo 10783 2011.11.23 UnclassifiedMalware
    DrWeb 5.0.2.03300 2011.11.23 -
    Emsisoft 5.1.0.11 2011.11.23 Trojan.SuspectCRC!IK
    eSafe 7.0.17.0 2011.11.22 Win32.TRGendal
    eTrust-Vet 37.0.9583 2011.11.23 -
    F-Prot 4.6.5.141 2011.11.23 W32/SuspPack.T.gen!Eldorado
    F-Secure 9.0.16440.0 2011.11.23 Trojan.Generic.6539652
    Fortinet 4.3.370.0 2011.11.23 W32/Tfr.J!tr
    GData 22 2011.11.23 Trojan.Generic.6539652
    Ikarus T3.1.1.109.0 2011.11.23 Trojan.SuspectCRC
    Jiangmin 13.0.900 2011.11.22 -
    K7AntiVirus 9.119.5516 2011.11.22 Riskware
    Kaspersky 9.0.0.837 2011.11.23 -
    McAfee 5.400.0.1158 2011.11.23 Generic.tfr!j
    McAfee-GW-Edition 2010.1D 2011.11.23 Generic.tfr!j
    Microsoft 1.7801 2011.11.23 -
    NOD32 6653 2011.11.23 -
    Norman 6.07.13 2011.11.22 W32/Suspicious_Gen2.NUGYI
    nProtect 2011-11-23.01 2011.11.23 -
    Panda 10.0.3.5 2011.11.22 -
    PCTools 8.0.0.5 2011.11.23 Trojan.Gen
    Prevx 3.0 2011.11.23 -
    Rising 23.85.02.01 2011.11.23 -
    Sophos 4.71.0 2011.11.23 Mal/Generic-L
    SUPERAntiSpyware 4.40.0.1006 2011.11.23 -
    Symantec 20111.2.0.82 2011.11.23 Trojan.Gen
    TheHacker 6.7.0.1.347 2011.11.23 -
    TrendMicro 9.500.0.1008 2011.11.23 TROJ_SPNR.07IS11
    TrendMicro-HouseCall 9.500.0.1008 2011.11.23 TROJ_SPNR.07IS11
    VBA32 3.12.16.4 2011.11.22 -
    VIPRE 11124 2011.11.23 Trojan.Win32.Generic!BT
    ViRobot 2011.11.23.4789 2011.11.23 -
    VirusBuster 14.1.80.0 2011.11.23 -


    Почему тренд микро что-то увидел, я установил тренд микро хайджекзис но она ничего не увидела.

    ДрВеб и Касперски не видят ничего плохого, другие антивиры видять разное. Следует ли его прислать вам в карантине?

  20. #19
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    Присылайте. Этого файла там быть не должно. Карантин по красной ссылке вверху темы загрузите. Ждем лог mbam.
    Paula rhei.
    Поддержать проект можно тут

  21. #20
    Junior Member Репутация
    Регистрация
    04.11.2011
    Сообщений
    21
    Вес репутации
    19
    Под час быстрого сканирования МБАМ увидел файл, о котором я говорил раньше, который я сам нашел.
    Запустил полное сканирование, пошел спать. Рано встал, увидел окно приветствия, как будто компьютер сам перезагружался.
    Нового лога не нашел, запустил полное сканирование еще раз. Пока сканировался большой сьемный диск, озвался антивирус АВГ и уведомил о Trojan horse FakeAV.TJI и еще Trojan horse Agent3.AVUK
    Наконец-то закончилось полное сканирование, найдено 10 подозрительных обьектов.

    Прилагаю логи быстрого и полного сканирования.

    Скрытый текст


    У меня постоянно какие-то проблемы.
    Компьютер медленно загружается и работает; я отключил установщик модулей виндовс и планировщик заданий, и некоторые другие службы, система начала просто "летать", очень быстро загружалась и реагировала.
    Но потом неожиданно компьютер не хотел загружаться, стали выскакивать уведомление, что, мол, ваша копия виндовс не является подлинной, ваш ключ продукта больше не действительный.
    Я пытался вводить еще раз код, но не получалось, потому что у меня почему-то по умолчанию русский язык, а код использует английские буквы, которые я не мог напечатать изза отсутствия возможности переключить расскладку клавиатуры.
    Потом я както ухитрился ввести их, сначала на экране приветствия и запроса логина и пароля я включил виртуальную клавиатуру, но оказалось, что на ней тоже только русские буквы, потом я запустил справку, пытался найти код английских букв, чтобы ввести их через алт+код, сначала не нашел, но потом нашел и запустил таблицу символов, сначала не получалось скопировать буквы, но потом получилось.
    Когда виндовс начала запускаться без окна "ваша копия виндовс не является подлинной", я заметил, что языковой панели так и нет, и что переключать языки не возможно.
    Пришлось включить снова Планировщик заданий и Установщик модулей виндовс. Языковая панель появилась.
    Потом я начал гуглить, и узнал, что языковую панель можна запустить напрямую из C:\Windows\System32\ctfmon.exe.
    У меня этот вирус подменивал собой файл ctfmon.exe, и поэтому я еще раньше отключил автозагрузку файла ctfmon.exe.
    Интересно, что такое Ink correction для каждого языка на языковой панеле?
    Вы порекомендовали установить все обновления, я пробовал, но на каком-то обновлении процес застрял, и постоянно установливал одно и тоже обновление.
    Потом я просто включил автоматическое обновление, но это чревато последствиями.
    У меня теперь опять компьютер медленно загружается и работает, даже хотя Планировщик заданий отключен, а Установщик модулей виндовс сам перестал работать изза отсутствия места на диске. И постоянно свободного пространства на диске С нет, хотя я уже и так удалил все, что можна удалить.
    C:\Windows\Installer (484 МБ)
    C:\Windows\assembly (странная папка-файл, 636 МБ)
    C:\Windows\Boot\PXE (странная папка из кучей неиспользуемых языков) 1,37 МБ
    C:\Boot (еще одна странная папка из кучей неиспользуемых языков + memtest.exe + BCD) 13,5 МБ
    C:\ProgramData 1,24 ГБ (странная папка, дублирует папки "AppData" и "Application Data" в каждом юзере. C:\Users\All Users; C:\Users\Default; C:\Users\Default User
    C:\Windows\SoftwareDistribution\Download 2,22 ГБ (дофига папок, которые очень много места занимают)
    C:\Windows\winsxs 4,33 ГБ (тоже дофига папок, которые очень много места занимают)



    Кстати, есть ли резон посмотреть события?

    У меня постоянно повторяются события (ошибки)

    Сбой при запуске службы "Parallel port driver" из-за ошибки
    Указанная служба не может быть запущена, поскольку она отключена или все связанные с ней устройства отключены.

    Последнее: 24.11.2011 4:47:22

    IRQARB: ACPI BIOS не может выделить IRQ для устройства в PCI слоте 7, функция 0. Обратитесь к поставщику компьютера за технической поддержкой.

    Последнее: 24.11.2011 4:45:21

    IRQARB: ACPI BIOS не может выделить IRQ для устройства в PCI слоте 6, функция 0. Обратитесь к поставщику компьютера за технической поддержкой.

    Последнее: 24.11.2011 4:45:20

    IRQARB: ACPI BIOS не может выделить IRQ для устройства в PCI слоте 5, функция 0. Обратитесь к поставщику компьютера за технической поддержкой.

    Последнее: 24.11.2011 4:45:20

    Регистрация сервера {752073A1-23F2-4396-85F0-8FDB879ED0ED} DCOM не прошла за отведенное время ожидания.

    Подача: DistributedCOM; Последнее: 24.11.2011 4:42:38

    wuaueng.dll (1832) SUS20ClientDataStore: An attempt to open the file "C:\Windows\SoftwareDistribution\DataStore\DataStore.edb" for read / write access failed with system error 32 (0x00000020): "Процесс не может получить доступ к файлу, так как этот файл занят другим процессом. ". The open file operation will fail with error -1032 (0xfffffbf.

    Подача: ESENT; Последнее: 24.11.2011 4:42:38


    Интересные события-предупреждение, тоже повторяющиеся

    Служба автонастройки беспроводной сети остановлена успешно.

    Подача: WLAN-AutoConfig; Дата: 24.11.2011 4:44:22

    Ошибка обработки критического события уведомления подписчика уведомлений winlogon <TrustedInstaller>.

    Подача: Winlogon; Дата: 24.11.2011 4:43:27

    Подписчик уведомлений winlogon <TrustedInstaller> потратил 420 сек. на обработку события уведомления (CreateSession).

    Подача: Winlogon; Дата: 24.11.2011 4:43:27

    Подписчик уведомлений winlogon <TrustedInstaller> тратит слишком много времени на обработку события уведомления (CreateSession).

    Подача: Winlogon; Дата: 24.11.2011 4:37:26

    Подписчик уведомлений winlogon <TrustedInstaller> потратил 103 сек. на обработку события уведомления (CreateSession).

    24.11.2011 4:32:10

    Другие ошибки

    Служба "Установщик модулей Windows" завершена из-за ошибки
    Недостаточно места на диске.

    Подача: Поставщик журнала событий диспетчера управления службами; Дата: 24.11.2011 4:26:58


    wuaueng.dll (1560) SUS20ClientDataStore: An attempt to write to the file "C:\Windows\SoftwareDistribution\DataStore\Logs\tmp.edb" at offset 0 (0x0000000000000000) for 12288 (0x00003000) bytes failed after 0 seconds with system error 112 (0x00000070): "Недостаточно места на диске. ". The write operation will fail with error -1808 (0xfffff8f0). If this error persists then the file may be damaged and may need to be restored from a previous backup.

    Ошибка установки: не удается установить следующее обновление из-за ошибки 0x80070070: Обновление для системы безопасности Windows Vista (KB972270).

    Службе Windows Servicing не удалось завершить процесс перевода пакета KB972270 (Security Update) в состояние По умолчанию (Default)

    Службе Windows Servicing не удалось завершить процесс перевода пакета KB972270 (Security Update) в состояние Сопоставление (Resolving)

    (и так еще 4 раза)

    Службе Windows Servicing требуется перезагрузка, чтобы завершить процесс перевода обновления 972270-36_neutral_PACKAGE из пакета KB972270(Security Update) в состояние Сопоставление(Resolving)

    Ошибка установки: не удается установить следующее обновление из-за ошибки 0x80070070: Накопительное обновление для системы безопасности Internet Explorer 7 в составе Windows Vista (KB978207).

    Служба Windows Servicing определила, что пакет KB972270(Security Update) не подходит для данной системы

    Служба Windows Servicing определила, что пакет KB978207(Update) не подходит для данной системы

    Ошибка установки: не удается установить следующее обновление из-за ошибки 0x80070070: Обновление системы безопасности для ОС Windows Vista (KB953733).

    Служба Windows Servicing определила, что пакет KB971468(Security Update) не подходит для данной системы

    Ошибка установки: не удается установить следующее обновление из-за ошибки 0x80070070: Накопительное обновление системы безопасности для Windows Mail для ОС Windows Vista (KB929123).

    Ошибка установки: не удается установить следующее обновление из-за ошибки 0x80070070: Обновление для системы безопасности Windows Vista (KB971657).

    Ошибка установки: не удается установить следующее обновление из-за ошибки 0x80070070: Обновление для системы безопасности Windows Vista (KB956744).

    Ошибка установки: не удается установить следующее обновление из-за ошибки 0x80070070: Обновление для системы Microsoft Office 2007 (KB250895.

    Ошибка установки: не удается установить следующее обновление из-за ошибки 0x80070070: Обновление системы безопасности для ОС Windows Vista (KB955069).

    и так далее

    Служба Windows Servicing определила, что пакет KB975929(Hotfix) не подходит для данной системы

    Не удалось прочесть раздел реестра для строк счетчиков производительности, определенных для языка с ИД 019. Первое двойное слово DWORD в секции данных содержит код ошибки Win32.

    Не удалось прочесть раздел реестра для строк счетчиков производительности, определенных для языка с ИД 009. Первое двойное слово DWORD в секции данных содержит код ошибки Win32.

    Системе не удалось очистить данные журнала транзакций. Возможны повреждения данных.

    Произошла ошибка определения свойства "SqlRun" продукта "{E09B48B5-E141-427A-AB0C-D3605127224A}" при запросе компонента "{436D7A23-36BE-11D2-ACBB-0080C7FCBB84}"

    Произошла ошибка определения компонента "{E7C6EB85-E576-47AA-A5A3-5458A109F4EF}", свойства "SqlRun", продукта "{E09B48B5-E141-427A-AB0C-D3605127224A}". Ресурс "C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe" не существует.

    Сбойное приложение Explorer.EXE, версия 6.0.6000.16386, штамп времени 0x4549b091, сбойный модуль ntdll.dll, версия 6.0.6000.16386, штамп времени 0x4549bdc9, код исключения 0xc0000005, смещение ошибки 0x000620e3, ИД процесса 0xe7c, время запуска приложения 0x01cca9fc9eb79cb3.








    Интересные другие события
    Сбойное приложение Explorer.EXE, версия 6.0.6000.16386, штамп времени 0x4549b091, сбойный модуль ntdll.dll, версия 6.0.6000.16386, штамп времени 0x4549bdc9, код исключения 0xc0000005, смещение ошибки 0x000620e3, ИД процесса 0xe7c, время запуска приложения 0x01cca9fc9eb79cb3.
    Закончилось время в процессе раскрытия спецификации файла \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\softwaredistribution\Download\*.*. Это было сделано для подписчика WUA.
    Закончилось время в процессе раскрытия спецификации файла \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\softwaredistribution\Download\34659b581c42c4ee6099085481cc8599\*.*. Это было сделано для подписчика WUA.


    Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства.

    Имя файла: \Device\HarddiskVolume2\Windows\System32\drivers\AVGIDSEH.sys

    Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства.

    Имя файла: \Device\HarddiskVolume2\Windows\System32\drivers\AVGIDSDriver.sys

    Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства.

    Имя файла: \Device\HarddiskVolume2\Program Files\AVG\AVG2012\Drivers\ErHrVx86\AVGIDSEH.sys

    Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства.

    Имя файла: \Device\HarddiskVolume2\Program Files\AVG\AVG2012\Drivers\Vista\AVGIDSDriver.sys

    Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства.

    Имя файла: \Device\HarddiskVolume2\Windows\winsxs\x86_microsoft-windows-tcpip-binaries_31bf3856ad364e35_6.0.6001.18311_none_b3144862666d6db3\tcpip.sys

    Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства.

    Имя файла: \Device\HarddiskVolume2\Windows\System32\drivers\uji5ndc3.sys



    Повторяющиеся событие
    Брандмауэру Windows не удалось уведомить пользователя о том, что прием входящих сетевых подключений для приложения заблокирован. 24.11.2011 4:47:11
    Но в 4:47:11 я спал, меня не зачем было уведомлять о том, что прием входящих сетевых подключений для приложения заблокирован.

    Что за

    Вход с учетной записью выполнен успешно.

    Субъект:
    ИД безопасности: NULL SID
    Имя учетной записи: -
    Домен учетной записи: -
    Код входа: 0x0

    Тип входа: 3

    Новый вход:
    ИД безопасности: АНОНИМНЫЙ ВХОД
    Имя учетной записи: АНОНИМНЫЙ ВХОД
    Домен учетной записи: NT AUTHORITY
    Код входа: 0x2f9ac
    GUID входа: {00000000-0000-0000-0000-000000000000}

    Сведения о процессе:
    Идентификатор процесса: 0x0
    Имя процесса: -

    Сведения о сети:
    Имя рабочей станции:
    Сетевой адрес источника: -
    Порт источника: -

    Сведения о проверке подлинности:
    Процесс входа: NtLmSsp
    Пакет проверки подлинности: NTLM
    Промежуточные службы: -
    Имя пакета (только NTLM): NTLM V1
    Длина ключа: 0

    Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен.

    Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

    В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).

    Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход.

    В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

    Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
    - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC.
    - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
    - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
    - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.

    Дата: 24.11.2011 4:47:05
    Я ведь в 4:47:05 не входил в систему и вообще, по-моему, отключил анонимный вход, как это событие могло произойти?




    Вход с учетной записью выполнен успешно.

    Субъект:
    ИД безопасности: SYSTEM
    Имя учетной записи: MAMA2NOTEBOOK$
    Домен учетной записи: MSHOME
    Код входа: 0x3e7

    Тип входа: 5

    Новый вход:
    ИД безопасности: SYSTEM
    Имя учетной записи: SYSTEM
    Домен учетной записи: NT AUTHORITY
    Код входа: 0x3e7
    GUID входа: {00000000-0000-0000-0000-000000000000}

    Сведения о процессе:
    Идентификатор процесса: 0x384
    Имя процесса: C:\Windows\System32\services.exe

    Сведения о сети:
    Имя рабочей станции:
    Сетевой адрес источника: -
    Порт источника: -

    Сведения о проверке подлинности:
    Процесс входа: Advapi
    Пакет проверки подлинности: Negotiate
    Промежуточные службы: -
    Имя пакета (только NTLM): -
    Длина ключа: 0

    Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен.

    Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

    В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).

    Выполнена попытка входа в систему с явным указанием учетных данных.

    Субъект:
    ИД безопасности: SYSTEM
    Имя учетной записи: MAMA2NOTEBOOK$
    Домен учетной записи: MSHOME
    Код входа: 0x3e7
    GUID входа: {00000000-0000-0000-0000-000000000000}

    Были использованы учетные данные следующей учетной записи:
    Имя учетной записи: SYSTEM
    Домен учетной записи: NT AUTHORITY
    GUID входа: {00000000-0000-0000-0000-000000000000}

    Целевой сервер:
    Имя целевого сервера: localhost
    Дополнительные сведения: localhost

    Сведения о процессе:
    Идентификатор процесса: 0x384
    Имя процесса: C:\Windows\System32\services.exe

    Сведения о сети:
    Сетевой адрес: -
    Порт: -

    Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например назначенных задач, или выполнении команды RUNAS.



    Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход.

    В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

    Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
    - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC.
    - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
    - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
    - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.

    А что значит значение 5 в поле "Тип входа"???


    Интересно: в 23.11.2011 18:17:14 такое событие:

    Выход, запрошенный пользователем:

    Субъект:
    ИД безопасности: MAMA2NOTEBOOK\Богдан
    Имя учетной записи: Богдан
    Домен учетной записи: MAMA2NOTEBOOK
    Код входа: 0x2c62a

    Данное событие возникает, когда выход начат, но значение счетчика ссылок на маркер не равно нулю и сеанс входа уничтожить нельзя. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.

    А после этого: в 23.11.2011 18:18:05 такое событие: (но я ведь отключил анонимный вход???? У меня стоит значение 2 в ключе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA в параметре RestrictAnonymous)

    Выполнен выход учетной записи из системы.

    Субъект:
    ИД безопасности: АНОНИМНЫЙ ВХОД
    Имя учетной записи: АНОНИМНЫЙ ВХОД
    Домен учетной записи: NT AUTHORITY
    Код входа: 0x27f80

    Тип входа: 3

    Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.


    Системное время изменено.

    Субъект:
    ИД безопасности: LOCAL SERVICE
    Имя учетной записи: LOCAL SERVICE
    Домен учетной записи: NT AUTHORITY
    Код входа: 0x3e5

    Сведения о процессе:
    Идентификатор процесса: 0x63c
    Имя: C:\Windows\System32\svchost.exe

    Предыдущее время: 18:18:03 23.11.2011
    Новое время: 18:18:03 23.11.2011

    Данное событие возникает при изменении системного времени. Обычно служба времени Windows, которая имеет системную привилегию, регулярно изменяет системное время. Другие изменения системного времени могут свидетельствовать о попытках несанкционированного использования компьютера.


    Вход с учетной записью выполнен успешно.

    Субъект:
    ИД безопасности: NULL SID
    Имя учетной записи: -
    Домен учетной записи: -
    Код входа: 0x0

    Тип входа: 0

    Новый вход:
    ИД безопасности: SYSTEM
    Имя учетной записи: SYSTEM
    Домен учетной записи: NT AUTHORITY
    Код входа: 0x3e7
    GUID входа: {00000000-0000-0000-0000-000000000000}

    Сведения о процессе:
    Идентификатор процесса: 0x4
    Имя процесса:

    Сведения о сети:
    Имя рабочей станции: -
    Сетевой адрес источника: -
    Порт источника: -

    Сведения о проверке подлинности:
    Процесс входа: -
    Пакет проверки подлинности: -
    Промежуточные службы: -
    Имя пакета (только NTLM): -
    Длина ключа: 0

    Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен.

    Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

    В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).

    Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход.

    В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

    Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
    - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC.
    - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
    - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
    - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.

    DCOM запустил службу netman с аргументами "", чтобы запустить сервер:
    {BA126AD1-2166-11D1-B1D0-00805FC1270E}
    Скрыть
    Вложения Вложения
    Последний раз редактировалось миднайт; 24.11.2011 в 18:04.

  • Уважаемый(ая) Patlatus, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Подозрение на Trojan-Downloader.Win32.AutoIt и Backdoor.Win32.Canvas.10
      От Артём_57 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 29.02.2012, 20:35
    2. поймал Backdoor.Win32.Canvas.10
      От Slava rrr в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 03.12.2010, 03:42
    3. Acaddoc.lsp и Backdoor.Win32.Canvas.10
      От Baurzhan в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 29.10.2010, 11:32
    4. Backdoor.Win32.Padodor.ax - backdoor с бортовым RootKit
      От Зайцев Олег в разделе Описания вредоносных программ
      Ответов: 4
      Последнее сообщение: 26.07.2005, 02:00
    5. BackDoor.Scard (Backdoor.Win32.Small.bq)
      От Geser в разделе Описания вредоносных программ
      Ответов: 4
      Последнее сообщение: 11.11.2004, 22:05

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01415 seconds with 21 queries