Backdoor.Win32.Canvas.10

[Window Title]
Недостаточно места на диске

[Main Instruction]
На томе C:\ осталось только 213 МБ свободного места.

[Content]
Рекомендуется иметь не менее 300 МБ свободного места на томе Windows для надежной работы системы.

Чтобы освободить место на диске за счет удаления неиспользуемых программ, откройте "Программы и компоненты".

Открыть страницу "Замена или удаление программ"

[ОК]

Снова места не хватает. Там был той файл в карантине еще в быстром сканировании.
У меня два мбамкарантина. Первый я создал после быстрого, а второй - после быстрого и полного сканирований. По ходу, во втором должны быть файлы и из первого, и с второго сканирований.
Поэтому, пришлю, думаю, второй мбамкарантин сейчас. Если что могу еще и первый прислать для контрольной проверки.

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

Прислал второй мбамкарантин. В нем почему-то 11, а не 12 файлов (2 должны были быть из быстрого и 10 из полного сканирования). Наверное, 1 которого нет это один из двух файлов, за который зацепился антивирус и удалил его сразу. Или же, может быть, там были два тождественные файлы.

[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]

[Window Title]
Уведомление об отсутствии места на диске

[Main Instruction]
Состояние нехватки свободного места на диске успешно устранено. Том C:\ теперь имеет 58 МБ свободного места.

[Content]
Чтобы освободить дополнительное место на диске за счет удаления неиспользуемых программ, откройте "Программы и компоненты".

Открыть страницу "Замена или удаление программ"

[ОК]

еще несколько секунд назад было 213 МБ свободного места, теперь 58 МБ. Где остальные мегабайты потерялись за несколько секунд или минут??? Не понимаю(((:(>:(:O

В карантине mbam ничего интеерсного. Я ожидал другой файл в карантин от Вас.

== Вчера ==

Драйвер обозревателя сети инициировал выборы в сети \Device\NetBT_Tcpip_{950EA9D4-1A93-4E9D-AC5F-1C9553952C95}, так как был остановлен основной обозреватель сети.

Какие такие еще выбори???

Фильтр файловой системы "luafv" (версия 6.0, 02.11.2006 10:33:07) успешно загружен и зарегистрирован у диспетчера фильтров.

Какой еще фильтр файловой системы???

Фильтр файловой системы "FileInfo" (версия 6.0, 02.11.2006 10:36:47) успешно загружен и зарегистрирован у диспетчера фильтров.

Служба Windows Servicing определила, что пакет KB971737(Update) не подходит для данной системы

если служба виндовс определила, что какой-то пакет обновлений не подходит для данной системы, какой смысл, зачем было его загружать, засорять мне ним место на диске и трафик, не понимаю... Поудалял би все эти обновление, и одразу место бы нашлось...

Virtualizes file write failures to per-user locations.

[spoiler]

1.4 Поиск маскировки процессов и драйверов
Видимый процесс с PID=1456, имя = "\Device\HarddiskVolume2\Windows\System32\audiodg.exe"
>> обнаружена подмена имени, новое имя = "C:\Windows\System32\svchost.exe"
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!

Прикол. В текстовом редакторе неоткуда появились буквы, хотя я ничего не нажимал на клавиатуре
testtesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttest

== Сегодня утром. ==

Запустил в безопасном режиме (без интернета и проч.)

Просмотр событий. Журналы Виндовс \ Система

Ошибка обработки события уведомления из-за недоступности подписчика уведомлений winlogon <GPClient>. 25.11.2011 9:11:18

Ошибка DCOM "1084" при попытке запуска службы ShellHWDetection с аргументами "" для запуска сервера:
{DD522ACC-F821-461A-A407-50B198B896DC} 25.11.2011 9:11:22

Система событий COM+ обнаружила неверный код возврата в ходе внутренней обработки. Значение HRESULT: 8007043c (строка 45 из d:\vistartm\com\complus\src\events\tier1\eventsystemobj.cpp). Обратитесь в службу поддержки Майкрософт. 25.11.2011 9:11:28

Ошибка DCOM "1084" при попытке запуска службы EventSystem с аргументами "" для запуска сервера:
{1BE1F766-5536-11D1-B726-00C04FB926AF} 25.11.2011 9:11:28

Ошибка DCOM "1068" при попытке запуска службы netman с аргументами "" для запуска сервера:
{BA126AD1-2166-11D1-B1D0-00805FC1270E} 25.11.2011 9:11:30

Ошибка DCOM "1068" при попытке запуска службы netprofm с аргументами "" для запуска сервера:
{A47979D2-C419-11D9-A5B4-001185AD2B89} 25.11.2011 9:11:30

Просмотр событий. Журналы Виндовс \ Приложение

Ошибка обработки события уведомления из-за недоступности подписчика уведомлений winlogon <Sens>. 25.11.2011 9:11:18

Ошибка обработки события уведомления из-за недоступности подписчика уведомлений winlogon <SessionEnv>. 25.11.2011 9:11:18

Ошибка теневого копирования тома: Устройство записи с именем WMI Writer и идентификатором {a6ad56c2-b509-4e6c-bb19-49d8f43532f0} попыталось подписаться в безопасном режиме. 25.11.2011 9:11:07

Ошибка обработки критического события уведомления из-за недоступности подписчика уведомлений winlogon <TrustedInstaller>. 25.11.2011 9:10:10

Windows Management Instrumentation Service started sucessfully 25.11.2011 9:10:07

Служба профилей пользователей успешно запущена. 25.11.2011 9:10:07

Со вчерашнего:

Точка восстановления создана успешно (Процесс = C:\Windows\system32\svchost.exe -k netsvcs; Описание = Центр обновления Windows). 24.11.2011 17:52:13

Точка восстановления создана успешно (Процесс = C:\Windows\servicing\TrustedInstaller.exe; Описание = ). 24.11.2011 17:52:13

Точка восстановления создана успешно (Процесс = C:\Windows\servicing\TrustedInstaller.exe; Описание = Установщик модулей Windows). 24.11.2011 17:51:27

(Две последние события повторяются 20 раз.)

(У меня что, два трастединсталера???? Один з описанием и один без??? Как это???)

Закончилось время в процессе раскрытия спецификации файла \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\softwaredistribution\*.*. Это было сделано для подписчика WUA.

Закончилось время в процессе раскрытия спецификации файла \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\softwaredistribution\Download\*.*. Это было сделано для подписчика WUA.

Закончилось время в процессе раскрытия спецификации файла \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\softwaredistribution\Download\34659b581c42c4ee6099085481cc8599\*.*. Это было сделано для подписчика WUA.

Операция:
Событие OnPostSnapshot
Событие PostSnapshot

Контекст:
Контекст выполнения: Shadow Copy Optimization Writer
Контекст выполнения: Writer
Код класса модуля записи: {4dc3bdd4-ab48-4d07-adb0-3bee2926fd7f}
Имя модуля записи: Shadow Copy Optimization Writer
Код экземпляра модуля записи: {8528c522-a4dd-4895-bb7e-25cc62813783}

Просмотр событий. Журналы Виндовс \ Безопасность.

Вход с учетной записью выполнен успешно.

Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0

Тип входа: 0

Новый вход:
ИД безопасности: SYSTEM
Имя учетной записи: SYSTEM
Домен учетной записи: NT AUTHORITY
Код входа: 0x3e7
GUID входа: {00000000-0000-0000-0000-000000000000}

Сведения о процессе:
Идентификатор процесса: 0x4
Имя процесса:

Сведения о сети:
Имя рабочей станции: -
Сетевой адрес источника: -
Порт источника: -

Сведения о проверке подлинности:
Процесс входа: -
Пакет проверки подлинности: -
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0

Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен.

Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).

Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход.

В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
- GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC.
- В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
- Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
- Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
===

Погуглил, отключил службу Паралельный порт (парпорт.сис), в событиях исчезла ошибка
"Сбой при запуске службы "Parallel port driver" из-за ошибки".

===

Решил пока не удалять системные папки, решил удалить профиль пользователя р. Освободил 14 Гб. Но не удалось удалить до конца. Не удается удалить два файла в каталоге
C:\Documents and Settings\р\AppData\Roaming\SecuROM\UserData

ЃϵϳЅЂϿϽϯІχϯπρϴϱЄϱЃϵϳЅ
ЃϵϳЅЂϿϽϯІχϯπρЂϻϵЉЃϵϳЅ

Файлы скрытие, не возможно просмотреть дату создания, изменения, открытия,
не возможно просмотреть безопасность
ПишеТ: Запрошенная информация о безопасности недоступна или не может быть отображена.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11:55:11, on 05.11.2011
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16386)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
EBM\EasyBatteryMgr3.exe
C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe
C:\Program Files\COMODO\Firewall\cfp.exe
C:\Program Files\TortoiseSVN\bin\TSVNCache.exe
C:\Program Files\AVG\AVG2012\avgtray.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
C:\Windows\system32\Taskmgr.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe
C:\Program Files\K-Lite Codec Pack\Media Player Classic\mplayerc.exe
C:\Program Files\K-Lite Codec Pack\filters\divxsm.exe
D:\avz4\avz.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\explorer.exe
C:\Windows\system32\DllHost.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [AVG_TRAY] "C:\Program Files\AVG\AVG2012\avgtray.exe"
O4 - HKLM\..\Run: [AVZ] "D:\avz4\avz.exe" lang=ru
O4 - HKLM\..\Run: [HiJackThis] "C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe"
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG2012\avgwdsvc.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\Firewall\cmdagent.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: @%systemroot%\system32\SearchIndexer.exe,-103 (WSearch) - Корпорация Майкрософт - C:\Windows\system32\SearchIndexer.exe

--
End of file - 2673 bytes

[size="1"][color="#666686"][B][I]Добавлено через 59 минут[/I][/B][/color][/size]

[/spoiler]

Ура! Погуглил, удалил SecuROM файлы командной строкой.

del "C:\Users\р\AppData\Roaming\SecuROM\UserData\*" /A:SH /F
rd "C:\Users\р\AppData\Roaming\SecuROM\UserData" /s
rd "C:\Users\р\AppData\Roaming\SecuROM" /s

Но система дальше медленно работает. Странно, что на некоторых папках если кликнуть правой клавишей мыши дефолтное действие Проводник, для других же Открыть. Что б это могло значить?

Что Вы там удаляете из коммандной строки? Прекратите ломать свою систему! :)
Копировать строки из системного журнала также не нужно сюда.
Сделайте лог [b][url=http://virusinfo.info/showthread.php?t=59446]GSI[/url][/b],[b] ссылку на результат проверки напишите.[/b]

[URL]http://www.getsysteminfo.com/read.php?file=317783138a24fe3425447b41e28ac6a7[/URL]

Обратите внимание на ошибку [URL="http://www.google.ru/search?hl=ru&newwindow=1&safe=off&biw=1920&bih=927&q=IRQARB%3A+ACPI+BIOS+%D0%BD%D0%B5+%D0%BC%D0%BE%D0%B6%D0%B5%D1%82+%D0%B2%D1%8B%D0%B4%D0%B5%D0%BB%D0%B8%D1%82%D1%8C+IRQ+%D0%B4%D0%BB%D1%8F+%D1%83%D1%81%D1%82%D1%80%D0%BE%D0%B9%D1%81%D1%82%D0%B2%D0%B0+%D0%B2+PCI+%D1%81%D0%BB%D0%BE%D1%82%D0%B5+7%2C+%D1%84%D1%83%D0%BD%D0%BA%D1%86%D0%B8%D1%8F+0.&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA&oq=IRQARB%3A+ACPI+BIOS+%D0%BD%D0%B5+%D0%BC%D0%BE%D0%B6%D0%B5%D1%82+%D0%B2%D1%8B%D0%B4%D0%B5%D0%BB%D0%B8%D1%82%D1%8C+IRQ+%D0%B4%D0%BB%D1%8F+%D1%83%D1%81%D1%82%D1%80%D0%BE%D0%B9%D1%81%D1%82%D0%B2%D0%B0+%D0%B2+PCI+%D1%81%D0%BB%D0%BE%D1%82%D0%B5+7%2C+%D1%84%D1%83%D0%BD%D0%BA%D1%86%D0%B8%D1%8F+0.&aq=f&aqi=&aql=&gs_sm=s&gs_upl=714131l714131l0l714986l1l1l0l0l0l0l573l573l5-1l1l0"][B]IRQARB: ACPI BIOS не может выделить IRQ для устройства в PCI слоте 7, функция 0.[/B][/URL]
Также вероятно AVG 2012 и COMODO несовместимы.

Да, я видел ошибку [B][URL="http://www.google.ru/search?hl=ru&newwindow=1&safe=off&biw=1920&bih=927&q=IRQARB%3A+ACPI+BIOS+%D0%BD%D0%B5+%D0%BC%D0%BE%D0%B6%D0%B5%D1%82+%D0%B2%D1%8B%D0%B4%D0%B5%D0%BB%D0%B8%D1%82%D1%8C+IRQ+%D0%B4%D0%BB%D1%8F+%D1%83%D1%81%D1%82%D1%80%D0%BE%D0%B9%D1%81%D1%82%D0%B2%D0%B0+%D0%B2+PCI+%D1%81%D0%BB%D0%BE%D1%82%D0%B5+7%2C+%D1%84%D1%83%D0%BD%D0%BA%D1%86%D0%B8%D1%8F+0.&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA&oq=IRQARB%3A+ACPI+BIOS+%D0%BD%D0%B5+%D0%BC%D0%BE%D0%B6%D0%B5%D1%82+%D0%B2%D1%8B%D0%B4%D0%B5%D0%BB%D0%B8%D1%82%D1%8C+IRQ+%D0%B4%D0%BB%D1%8F+%D1%83%D1%81%D1%82%D1%80%D0%BE%D0%B9%D1%81%D1%82%D0%B2%D0%B0+%D0%B2+PCI+%D1%81%D0%BB%D0%BE%D1%82%D0%B5+7%2C+%D1%84%D1%83%D0%BD%D0%BA%D1%86%D0%B8%D1%8F+0.&aq=f&aqi=&aql=&gs_sm=s&gs_upl=714131l714131l0l714986l1l1l0l0l0l0l573l573l5-1l1l0"]IRQARB: ACPI BIOS не может выделить IRQ для устройства в PCI слоте 7, функция 0.[/URL] и спрашивал гугла на этот счет, но ничего не нашел, не понял, откуда эта ошибка возникает, и как ее решить.[/B]

Что делать, если [QUOTE]AVG 2012 и COMODO несовместимы.[/QUOTE]???
Мне вообще сказали, что на старых машинах нужно снести антивирус и фаервол, потому что они используют всю память и кпу.
Предложите хорошую пару антивирус+фаервол, желательно безплатное ПО.
Чтобы была хорошая защита + чтобы работало на старых машинах, чтобы не использовало много CPU + RAM.

[B]Возможно[/B] несовместимы! Это не факт.
В гугл по поводу этой ошибки [I]IRQARB: [/I] масса тем.

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]