1.4 Поиск маскировки процессов и драйверов
Видимый процесс с PID=1456, имя = "\Device\HarddiskVolume2\Windows\System32\audiodg.exe"
>> обнаружена подмена имени, новое имя = "C:\Windows\System32\svchost.exe"
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
Прикол. В текстовом редакторе неоткуда появились буквы, хотя я ничего не нажимал на клавиатуре
testtesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttest
== Сегодня утром. ==
Запустил в безопасном режиме (без интернета и проч.)
Просмотр событий. Журналы Виндовс \ Система
Ошибка обработки события уведомления из-за недоступности подписчика уведомлений winlogon <GPClient>. 25.11.2011 9:11:18
Ошибка DCOM "1084" при попытке запуска службы ShellHWDetection с аргументами "" для запуска сервера:
{DD522ACC-F821-461A-A407-50B198B896DC} 25.11.2011 9:11:22
Система событий COM+ обнаружила неверный код возврата в ходе внутренней обработки. Значение HRESULT: 8007043c (строка 45 из d:\vistartm\com\complus\src\events\tier1\eventsystemobj.cpp). Обратитесь в службу поддержки Майкрософт. 25.11.2011 9:11:28
Ошибка DCOM "1084" при попытке запуска службы EventSystem с аргументами "" для запуска сервера:
{1BE1F766-5536-11D1-B726-00C04FB926AF} 25.11.2011 9:11:28
Ошибка DCOM "1068" при попытке запуска службы netman с аргументами "" для запуска сервера:
{BA126AD1-2166-11D1-B1D0-00805FC1270E} 25.11.2011 9:11:30
Ошибка DCOM "1068" при попытке запуска службы netprofm с аргументами "" для запуска сервера:
{A47979D2-C419-11D9-A5B4-001185AD2B89} 25.11.2011 9:11:30
Просмотр событий. Журналы Виндовс \ Приложение
Ошибка обработки события уведомления из-за недоступности подписчика уведомлений winlogon <Sens>. 25.11.2011 9:11:18
Ошибка обработки события уведомления из-за недоступности подписчика уведомлений winlogon <SessionEnv>. 25.11.2011 9:11:18
Ошибка теневого копирования тома: Устройство записи с именем WMI Writer и идентификатором {a6ad56c2-b509-4e6c-bb19-49d8f43532f0} попыталось подписаться в безопасном режиме. 25.11.2011 9:11:07
Ошибка обработки критического события уведомления из-за недоступности подписчика уведомлений winlogon <TrustedInstaller>. 25.11.2011 9:10:10
Windows Management Instrumentation Service started sucessfully 25.11.2011 9:10:07
Служба профилей пользователей успешно запущена. 25.11.2011 9:10:07
Со вчерашнего:
Точка восстановления создана успешно (Процесс = C:\Windows\system32\svchost.exe -k netsvcs; Описание = Центр обновления Windows). 24.11.2011 17:52:13
Точка восстановления создана успешно (Процесс = C:\Windows\servicing\TrustedInstaller.exe; Описание = ). 24.11.2011 17:52:13
Точка восстановления создана успешно (Процесс = C:\Windows\servicing\TrustedInstaller.exe; Описание = Установщик модулей Windows). 24.11.2011 17:51:27
(Две последние события повторяются 20 раз.)
(У меня что, два трастединсталера???? Один з описанием и один без??? Как это???)
Закончилось время в процессе раскрытия спецификации файла \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\softwaredistribution\*.*. Это было сделано для подписчика WUA.
Закончилось время в процессе раскрытия спецификации файла \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\softwaredistribution\Download\*.*. Это было сделано для подписчика WUA.
Закончилось время в процессе раскрытия спецификации файла \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\softwaredistribution\Download\34659b581c42c4ee6099085481cc8599\*.*. Это было сделано для подписчика WUA.
Операция:
Событие OnPostSnapshot
Событие PostSnapshot
Контекст:
Контекст выполнения: Shadow Copy Optimization Writer
Контекст выполнения: Writer
Код класса модуля записи: {4dc3bdd4-ab48-4d07-adb0-3bee2926fd7f}
Имя модуля записи: Shadow Copy Optimization Writer
Код экземпляра модуля записи: {8528c522-a4dd-4895-bb7e-25cc62813783}
Просмотр событий. Журналы Виндовс \ Безопасность.
Вход с учетной записью выполнен успешно.
Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0
Тип входа: 0
Новый вход:
ИД безопасности: SYSTEM
Имя учетной записи: SYSTEM
Домен учетной записи: NT AUTHORITY
Код входа: 0x3e7
GUID входа: {00000000-0000-0000-0000-000000000000}
Сведения о процессе:
Идентификатор процесса: 0x4
Имя процесса:
Сведения о сети:
Имя рабочей станции: -
Сетевой адрес источника: -
Порт источника: -
Сведения о проверке подлинности:
Процесс входа: -
Пакет проверки подлинности: -
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0
Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен.
Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.
В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).
Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход.
В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.
Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
- GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC.
- В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
- Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
- Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
===
Погуглил, отключил службу Паралельный порт (парпорт.сис), в событиях исчезла ошибка
"Сбой при запуске службы "Parallel port driver" из-за ошибки".
===
Решил пока не удалять системные папки, решил удалить профиль пользователя р. Освободил 14 Гб. Но не удалось удалить до конца. Не удается удалить два файла в каталоге
C:\Documents and Settings\р\AppData\Roaming\SecuROM\UserData
ЃϵϳЅЂϿϽϯІχϯπρϴϱЄϱЃϵϳЅ
ЃϵϳЅЂϿϽϯІχϯπρЂϻϵЉЃϵϳЅ
Файлы скрытие, не возможно просмотреть дату создания, изменения, открытия,
не возможно просмотреть безопасность
ПишеТ: Запрошенная информация о безопасности недоступна или не может быть отображена.
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11:55:11, on 05.11.2011
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16386)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
EBM\EasyBatteryMgr3.exe
C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe
C:\Program Files\COMODO\Firewall\cfp.exe
C:\Program Files\TortoiseSVN\bin\TSVNCache.exe
C:\Program Files\AVG\AVG2012\avgtray.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
C:\Windows\system32\Taskmgr.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe
C:\Program Files\K-Lite Codec Pack\Media Player Classic\mplayerc.exe
C:\Program Files\K-Lite Codec Pack\filters\divxsm.exe
D:\avz4\avz.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\explorer.exe
C:\Windows\system32\DllHost.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [AVG_TRAY] "C:\Program Files\AVG\AVG2012\avgtray.exe"
O4 - HKLM\..\Run: [AVZ] "D:\avz4\avz.exe" lang=ru
O4 - HKLM\..\Run: [HiJackThis] "C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe"
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG2012\avgwdsvc.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\Firewall\cmdagent.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: @%systemroot%\system32\SearchIndexer.exe,-103 (WSearch) - Корпорация Майкрософт - C:\Windows\system32\SearchIndexer.exe
--
End of file - 2673 bytes
Добавлено через 59 минут
Скрыть