Страница 2 из 2 Первая 12
Показано с 21 по 30 из 30.

Backdoor.Win32.Canvas.10 (заявка № 111904)

  1. #21
    Junior Member Репутация
    Регистрация
    04.11.2011
    Сообщений
    21
    Вес репутации
    46
    [Window Title]
    Недостаточно места на диске

    [Main Instruction]
    На томе C:\ осталось только 213 МБ свободного места.

    [Content]
    Рекомендуется иметь не менее 300 МБ свободного места на томе Windows для надежной работы системы.

    Чтобы освободить место на диске за счет удаления неиспользуемых программ, откройте "Программы и компоненты".

    Открыть страницу "Замена или удаление программ"

    [ОК]

    Снова места не хватает. Там был той файл в карантине еще в быстром сканировании.
    У меня два мбамкарантина. Первый я создал после быстрого, а второй - после быстрого и полного сканирований. По ходу, во втором должны быть файлы и из первого, и с второго сканирований.
    Поэтому, пришлю, думаю, второй мбамкарантин сейчас. Если что могу еще и первый прислать для контрольной проверки.

    Добавлено через 4 минуты

    Прислал второй мбамкарантин. В нем почему-то 11, а не 12 файлов (2 должны были быть из быстрого и 10 из полного сканирования). Наверное, 1 которого нет это один из двух файлов, за который зацепился антивирус и удалил его сразу. Или же, может быть, там были два тождественные файлы.

    Добавлено через 10 минут

    [Window Title]
    Уведомление об отсутствии места на диске

    [Main Instruction]
    Состояние нехватки свободного места на диске успешно устранено. Том C:\ теперь имеет 58 МБ свободного места.

    [Content]
    Чтобы освободить дополнительное место на диске за счет удаления неиспользуемых программ, откройте "Программы и компоненты".

    Открыть страницу "Замена или удаление программ"

    [ОК]

    еще несколько секунд назад было 213 МБ свободного места, теперь 58 МБ. Где остальные мегабайты потерялись за несколько секунд или минут??? Не понимаю(((
    Последний раз редактировалось Patlatus; 24.11.2011 в 17:44. Причина: Добавлено

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #22
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    В карантине mbam ничего интеерсного. Я ожидал другой файл в карантин от Вас.
    Paula rhei.
    Поддержать проект можно тут

  4. #23
    Junior Member Репутация
    Регистрация
    04.11.2011
    Сообщений
    21
    Вес репутации
    46
    == Вчера ==

    Драйвер обозревателя сети инициировал выборы в сети \Device\NetBT_Tcpip_{950EA9D4-1A93-4E9D-AC5F-1C9553952C95}, так как был остановлен основной обозреватель сети.

    Какие такие еще выбори???

    Фильтр файловой системы "luafv" (версия 6.0, 02.11.2006 10:33:07) успешно загружен и зарегистрирован у диспетчера фильтров.

    Какой еще фильтр файловой системы???

    Фильтр файловой системы "FileInfo" (версия 6.0, 02.11.2006 10:36:47) успешно загружен и зарегистрирован у диспетчера фильтров.

    Служба Windows Servicing определила, что пакет KB971737(Update) не подходит для данной системы

    если служба виндовс определила, что какой-то пакет обновлений не подходит для данной системы, какой смысл, зачем было его загружать, засорять мне ним место на диске и трафик, не понимаю... Поудалял би все эти обновление, и одразу место бы нашлось...

    Virtualizes file write failures to per-user locations.

    Скрытый текст



    1.4 Поиск маскировки процессов и драйверов
    Видимый процесс с PID=1456, имя = "\Device\HarddiskVolume2\Windows\System32\audiodg.exe"
    >> обнаружена подмена имени, новое имя = "C:\Windows\System32\svchost.exe"
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!


    Прикол. В текстовом редакторе неоткуда появились буквы, хотя я ничего не нажимал на клавиатуре
    testtesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttest

    == Сегодня утром. ==

    Запустил в безопасном режиме (без интернета и проч.)

    Просмотр событий. Журналы Виндовс \ Система

    Ошибка обработки события уведомления из-за недоступности подписчика уведомлений winlogon <GPClient>. 25.11.2011 9:11:18

    Ошибка DCOM "1084" при попытке запуска службы ShellHWDetection с аргументами "" для запуска сервера:
    {DD522ACC-F821-461A-A407-50B198B896DC} 25.11.2011 9:11:22

    Система событий COM+ обнаружила неверный код возврата в ходе внутренней обработки. Значение HRESULT: 8007043c (строка 45 из d:\vistartm\com\complus\src\events\tier1\eventsystemobj.cpp). Обратитесь в службу поддержки Майкрософт. 25.11.2011 9:11:28

    Ошибка DCOM "1084" при попытке запуска службы EventSystem с аргументами "" для запуска сервера:
    {1BE1F766-5536-11D1-B726-00C04FB926AF} 25.11.2011 9:11:28

    Ошибка DCOM "1068" при попытке запуска службы netman с аргументами "" для запуска сервера:
    {BA126AD1-2166-11D1-B1D0-00805FC1270E} 25.11.2011 9:11:30

    Ошибка DCOM "1068" при попытке запуска службы netprofm с аргументами "" для запуска сервера:
    {A47979D2-C419-11D9-A5B4-001185AD2B89} 25.11.2011 9:11:30

    Просмотр событий. Журналы Виндовс \ Приложение

    Ошибка обработки события уведомления из-за недоступности подписчика уведомлений winlogon <Sens>. 25.11.2011 9:11:18

    Ошибка обработки события уведомления из-за недоступности подписчика уведомлений winlogon <SessionEnv>. 25.11.2011 9:11:18

    Ошибка теневого копирования тома: Устройство записи с именем WMI Writer и идентификатором {a6ad56c2-b509-4e6c-bb19-49d8f43532f0} попыталось подписаться в безопасном режиме. 25.11.2011 9:11:07

    Ошибка обработки критического события уведомления из-за недоступности подписчика уведомлений winlogon <TrustedInstaller>. 25.11.2011 9:10:10

    Windows Management Instrumentation Service started sucessfully 25.11.2011 9:10:07

    Служба профилей пользователей успешно запущена. 25.11.2011 9:10:07

    Со вчерашнего:

    Точка восстановления создана успешно (Процесс = C:\Windows\system32\svchost.exe -k netsvcs; Описание = Центр обновления Windows). 24.11.2011 17:52:13

    Точка восстановления создана успешно (Процесс = C:\Windows\servicing\TrustedInstaller.exe; Описание = ). 24.11.2011 17:52:13

    Точка восстановления создана успешно (Процесс = C:\Windows\servicing\TrustedInstaller.exe; Описание = Установщик модулей Windows). 24.11.2011 17:51:27

    (Две последние события повторяются 20 раз.)

    (У меня что, два трастединсталера???? Один з описанием и один без??? Как это???)


    Закончилось время в процессе раскрытия спецификации файла \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\softwaredistribution\*.*. Это было сделано для подписчика WUA.

    Закончилось время в процессе раскрытия спецификации файла \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\softwaredistribution\Download\*.*. Это было сделано для подписчика WUA.

    Закончилось время в процессе раскрытия спецификации файла \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\softwaredistribution\Download\34659b581c42c4ee6099085481cc8599\*.*. Это было сделано для подписчика WUA.

    Операция:
    Событие OnPostSnapshot
    Событие PostSnapshot

    Контекст:
    Контекст выполнения: Shadow Copy Optimization Writer
    Контекст выполнения: Writer
    Код класса модуля записи: {4dc3bdd4-ab48-4d07-adb0-3bee2926fd7f}
    Имя модуля записи: Shadow Copy Optimization Writer
    Код экземпляра модуля записи: {8528c522-a4dd-4895-bb7e-25cc62813783}

    Просмотр событий. Журналы Виндовс \ Безопасность.


    Вход с учетной записью выполнен успешно.

    Субъект:
    ИД безопасности: NULL SID
    Имя учетной записи: -
    Домен учетной записи: -
    Код входа: 0x0

    Тип входа: 0

    Новый вход:
    ИД безопасности: SYSTEM
    Имя учетной записи: SYSTEM
    Домен учетной записи: NT AUTHORITY
    Код входа: 0x3e7
    GUID входа: {00000000-0000-0000-0000-000000000000}

    Сведения о процессе:
    Идентификатор процесса: 0x4
    Имя процесса:

    Сведения о сети:
    Имя рабочей станции: -
    Сетевой адрес источника: -
    Порт источника: -

    Сведения о проверке подлинности:
    Процесс входа: -
    Пакет проверки подлинности: -
    Промежуточные службы: -
    Имя пакета (только NTLM): -
    Длина ключа: 0

    Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен.

    Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

    В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).

    Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход.

    В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

    Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
    - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC.
    - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
    - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
    - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
    ===

    Погуглил, отключил службу Паралельный порт (парпорт.сис), в событиях исчезла ошибка
    "Сбой при запуске службы "Parallel port driver" из-за ошибки".

    ===

    Решил пока не удалять системные папки, решил удалить профиль пользователя р. Освободил 14 Гб. Но не удалось удалить до конца. Не удается удалить два файла в каталоге
    C:\Documents and Settings\р\AppData\Roaming\SecuROM\UserData

    ЃϵϳЅЂϿϽϯІχϯπρϴϱЄϱЃϵϳЅ
    ЃϵϳЅЂϿϽϯІχϯπρЂϻϵЉЃϵϳЅ

    Файлы скрытие, не возможно просмотреть дату создания, изменения, открытия,
    не возможно просмотреть безопасность
    ПишеТ: Запрошенная информация о безопасности недоступна или не может быть отображена.




    Logfile of Trend Micro HijackThis v2.0.4
    Scan saved at 11:55:11, on 05.11.2011
    Platform: Windows Vista (WinNT 6.00.1904)
    MSIE: Internet Explorer v7.00 (7.00.6000.16386)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\Dwm.exe
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\taskeng.exe
    C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
    EBM\EasyBatteryMgr3.exe
    C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe
    C:\Program Files\COMODO\Firewall\cfp.exe
    C:\Program Files\TortoiseSVN\bin\TSVNCache.exe
    C:\Program Files\AVG\AVG2012\avgtray.exe
    C:\Windows\System32\mobsync.exe
    C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
    C:\Windows\system32\Taskmgr.exe
    C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
    C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe
    C:\Program Files\K-Lite Codec Pack\Media Player Classic\mplayerc.exe
    C:\Program Files\K-Lite Codec Pack\filters\divxsm.exe
    D:\avz4\avz.exe
    C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe
    C:\Windows\system32\SearchFilterHost.exe
    C:\Windows\explorer.exe
    C:\Windows\system32\DllHost.exe

    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
    O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -h
    O4 - HKLM\..\Run: [AVG_TRAY] "C:\Program Files\AVG\AVG2012\avgtray.exe"
    O4 - HKLM\..\Run: [AVZ] "D:\avz4\avz.exe" lang=ru
    O4 - HKLM\..\Run: [HiJackThis] "C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe"
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe"
    O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
    O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
    O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG2012\avgwdsvc.exe
    O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\Firewall\cmdagent.exe
    O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
    O23 - Service: @%systemroot%\system32\SearchIndexer.exe,-103 (WSearch) - Корпорация Майкрософт - C:\Windows\system32\SearchIndexer.exe

    --
    End of file - 2673 bytes

    Добавлено через 59 минут

    Скрыть


    Ура! Погуглил, удалил SecuROM файлы командной строкой.

    del "C:\Users\р\AppData\Roaming\SecuROM\UserData\* " /A:SH /F
    rd "C:\Users\р\AppData\Roaming\SecuROM\UserData" /s
    rd "C:\Users\р\AppData\Roaming\SecuROM" /s

    Но система дальше медленно работает. Странно, что на некоторых папках если кликнуть правой клавишей мыши дефолтное действие Проводник, для других же Открыть. Что б это могло значить?
    Последний раз редактировалось миднайт; 25.11.2011 в 17:03. Причина: ненужное в спойлер

  5. #24
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Что Вы там удаляете из коммандной строки? Прекратите ломать свою систему!
    Копировать строки из системного журнала также не нужно сюда.
    Сделайте лог GSI, ссылку на результат проверки напишите.
    Paula rhei.
    Поддержать проект можно тут

  6. #25

  7. #26
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Обратите внимание на ошибку IRQARB: ACPI BIOS не может выделить IRQ для устройства в PCI слоте 7, функция 0.
    Также вероятно AVG 2012 и COMODO несовместимы.
    Paula rhei.
    Поддержать проект можно тут

  8. #27
    Junior Member Репутация
    Регистрация
    04.11.2011
    Сообщений
    21
    Вес репутации
    46
    Да, я видел ошибку IRQARB: ACPI BIOS не может выделить IRQ для устройства в PCI слоте 7, функция 0. и спрашивал гугла на этот счет, но ничего не нашел, не понял, откуда эта ошибка возникает, и как ее решить.

  9. #28
    Junior Member Репутация
    Регистрация
    04.11.2011
    Сообщений
    21
    Вес репутации
    46
    Что делать, если
    AVG 2012 и COMODO несовместимы.
    ???
    Мне вообще сказали, что на старых машинах нужно снести антивирус и фаервол, потому что они используют всю память и кпу.
    Предложите хорошую пару антивирус+фаервол, желательно безплатное ПО.
    Чтобы была хорошая защита + чтобы работало на старых машинах, чтобы не использовало много CPU + RAM.

  10. #29
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Возможно несовместимы! Это не факт.
    В гугл по поводу этой ошибки IRQARB: масса тем.
    Paula rhei.
    Поддержать проект можно тут

  11. #30
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 12
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Patlatus, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 2 из 2 Первая 12

    Похожие темы

    1. Подозрение на Trojan-Downloader.Win32.AutoIt и Backdoor.Win32.Canvas.10
      От Артём_57 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 29.02.2012, 20:35
    2. поймал Backdoor.Win32.Canvas.10
      От Slava rrr в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 03.12.2010, 03:42
    3. Acaddoc.lsp и Backdoor.Win32.Canvas.10
      От Baurzhan в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 29.10.2010, 11:32
    4. Backdoor.Win32.Padodor.ax - backdoor с бортовым RootKit
      От Зайцев Олег в разделе Описания вредоносных программ
      Ответов: 4
      Последнее сообщение: 26.07.2005, 02:00
    5. BackDoor.Scard (Backdoor.Win32.Small.bq)
      От Geser в разделе Описания вредоносных программ
      Ответов: 4
      Последнее сообщение: 11.11.2004, 22:05

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00896 seconds with 17 queries