Доброго времени суток.
Есть несколько симптомов в связи с которыми возникли вопросы:
1. Через некоторое время после логона в систему перестают работать 2 кнопки на клаве а именно 'n', 'p'. К сожалению к какому то конкретному событию происходящее привязать не удалось.
2. Переодически вылетает svchost.exe - ошибка приложения. После этого в плеерах пропадает звук. Система не видит микшера. Драйвера з.карты на месте. Причем системные звуки остаются. Лечится удалением и установкой драйвера звуковухи, или просто перезагрузкой системы .
3. KIS2009 в контроле приложений с самого начала загрузки системы регистрирует разные подозрительные действия:
"Проводник" запускает различные приложения, например mplayerc.exe, "неизвестное приложение, изменение ключей реестра, запуск приложений и установка им прав отладчика.
Все действия конкретно описывать не стал, могу в последствии приатачить лог KISa начиная с момента загрузки машины.
Постарался в общем кратко и в то же время максимально полно изложить сложившуюся ситуацию, надеюсь на помощь в решении.
OS WinXP SP3, KIS2009.506 (a.b)
Проверялся KAV2009 Linux BootCD, CureIt!, вредоносных преложений не опнаруженно.
Ранее KIS обнаруживал kido.ih рапортовал о успешном лечении.
Последний раз редактировалось PavelA; 13.04.2009 в 17:38.
Причина: Карантин пустой был удален. Присылать по Правилам.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
В логах активного заражения, по-моему, не видно. Очень похоже на то, что антивирус Касперского реагирует на ПО для вуковой карты. Драйвера для аудиокарты точно брали последние с сайта Creative ? Если есть возможность, попробуйте убрать Fusion с машины, хотя бы на время.
К сожалению я не знаю что такое Fusion, и как его убрать тоже
Но позвольте поинтересоваться судари любезные является ли низе приведенное нормальным поведением для загружаемой машины, подчеркиваю что в этот момент я не к чему не обращался и не чего не запускал.
14.04.2009 7:28:02 Kaspersky Internet Security Сетевой экран Задача запущена
14.04.2009 7:28:02 Kaspersky Internet Security Фильтрация активности Задача запущена
14.04.2009 7:28:02 Kaspersky Internet Security Проактивная защита Задача запущена
14.04.2009 7:28:47 Неизвестное приложение Изменение hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Запрещено: KLSystemData/KLStartupRegKeys/Main_Run
14.04.2009 7:28:47 Неизвестное приложение Изменение hklm\SOFTWARE\Classes\CLSID\{48653F81-8A2E-11D3-9EF0-00C0F02DD390} Запрещено: KLSystemData/KLSystemServicesRegKeys/Classes_CLSID
14.04.2009 7:28:47 Неизвестное приложение Изменение hklm\SOFTWARE\Classes\CLSID\{48653F81-8A2E-11D3-9EF0-00C0F02DD390} Запрещено: KLSystemData/KLSystemServicesRegKeys/Classes_CLSID
14.04.2009 7:28:47 Неизвестное приложение Изменение hklm\SOFTWARE\Classes\CLSID\{48653F81-8A2E-11D3-9EF0-00C0F02DD390}\InprocServer32 Запрещено: KLSystemData/KLSystemServicesRegKeys/Classes_CLSID
14.04.2009 7:28:47 Неизвестное приложение Изменение hklm\SOFTWARE\Classes\CLSID\{48653F81-8A2E-11D3-9EF0-00C0F02DD390}\InprocServer32 Запрещено: KLSystemData/KLSystemServicesRegKeys/Classes_CLSID
14.04.2009 7:28:47 Неизвестное приложение Изменение hklm\SOFTWARE\Classes\CLSID\{456B7F20-1BD0-4177-8A4B-A416A99DDD21} Запрещено: KLSystemData/KLSystemServicesRegKeys/Classes_CLSID
14.04.2009 7:28:47 Неизвестное приложение Изменение hklm\SOFTWARE\Classes\CLSID\{456B7F20-1BD0-4177-8A4B-A416A99DDD21} Запрещено: KLSystemData/KLSystemServicesRegKeys/Classes_CLSID
14.04.2009 7:28:47 Неизвестное приложение Изменение hklm\SOFTWARE\Classes\CLSID\{456B7F20-1BD0-4177-8A4B-A416A99DDD21}\InprocServer32 Запрещено: KLSystemData/KLSystemServicesRegKeys/Classes_CLSID
14.04.2009 7:28:47 Неизвестное приложение Изменение hklm\SOFTWARE\Classes\CLSID\{456B7F20-1BD0-4177-8A4B-A416A99DDD21}\InprocServer32 Запрещено: KLSystemData/KLSystemServicesRegKeys/Classes_CLSID
14.04.2009 7:28:51 Неизвестное приложение Низкоуровневый доступ к диску Device\Harddisk0\DR0 Запрещено
14.04.2009 7:28:51 Неизвестное приложение Низкоуровневый доступ к диску Device\Harddisk0\DR0 Запрещено
14.04.2009 7:28:51 Неизвестное приложение Низкоуровневый доступ к диску Device\Harddisk1\DR1 Запрещено
14.04.2009 7:28:51 Неизвестное приложение Низкоуровневый доступ к диску Device\Harddisk1\DR1 Запрещено
14.04.2009 7:28:51 Неизвестное приложение Низкоуровневый доступ к диску Device\Harddisk2\DR6 Запрещено
14.04.2009 7:28:51 Неизвестное приложение Низкоуровневый доступ к диску Device\Harddisk2\DR6 Запрещено
14.04.2009 7:28:51 Неизвестное приложение Запуск процесса c:\program files\k-lite codec pack\media player classic\mplayerc.exe Разрешено
14.04.2009 7:29:06 Неизвестное приложение Установка прав отладчика Запрещено
14.04.2009 7:29:10 Неизвестное приложение Запуск процесса c:\program files\k-lite codec pack\media player classic\mplayerc.exe Разрешено
14.04.2009 7:29:18 Неизвестное приложение Установка прав отладчика Запрещено
14.04.2009 7:29:19 Неизвестное приложение Запуск процесса c:\program files\k-lite codec pack\media player classic\mplayerc.exe Разрешено
14.04.2009 7:29:21 Неизвестное приложение Установка прав отладчика Запрещено
14.04.2009 7:42:30 Неизвестное приложение Изменение hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Shell Folders Запрещено
14.04.2009 7:42:30 Неизвестное приложение Изменение hkey_users\S-1-5-21-1614895754-1383384898-1547161642-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Shell Folders Запрещено
вот продолжение... результат вечерней загрузки компа...
-----===Start KIS Log===-----
14.04.2009 21:46:58 Kaspersky Internet Security Сетевой экран Задача запущена
14.04.2009 21:46:58 Kaspersky Internet Security Фильтрация активности Задача запущена
14.04.2009 21:46:58 Kaspersky Internet Security Проактивная защита Задача запущена
14.04.2009 21:47:55 Отсутствует Запуск драйвера C:\WINDOWS\SYSTEM32\DRIVERS\HTTP.SYS Разрешено
14.04.2009 21:48:28 Неизвестное приложение Изменение hkey_users\S-1-5-21-1614895754-1383384898-1547161642-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Shell Folders Запрещено
14.04.2009 21:48:28 Неизвестное приложение Изменение hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Shell Folders Запрещено
14.04.2009 21:50:06 Неизвестное приложение Установка прав отладчика Запрещено
14.04.2009 21:50:06 Неизвестное приложение Выключение системы Запрещено
-----===End KIS Log===-----
Как не пытался я C:\WINDOWS\SYSTEM32\DRIVERS\HTTP.SYS AVZ'ом запихать в карантин не получилось AVZ не говорит ни об успехе, ни об ошибке... только мол начал процедуру, и её же закончил, в карантине не чего не появилось...
и ещё такой вопрос ху из "Неизвестное приложение" так настойчиво контролируемое KIS, есть предположения?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: