Перейти к содержанию

PDM.Hidden object


neotrance

Рекомендуемые сообщения

Продукт: Антивирус Касперского

Версия Антивируса: 11.0.2.556 (b.c.d)

Версия Операционной Системы: Windows Home Edition

Проблема состоит в: В том что постоянно выскакивает сообщение согласно отчету "Неизвестная программа Разрешено: PDM.Hidden object C:\WINDOWS\TEMP\3D93C43A-C4208F62-901972C5-B9D95334\3A73D_XP.EXE Действие выбрано в соответствии с параметрами"

Скриштон 1cc8a119e703.jpg

В данной папке нету данного файла.

 

На одном форуму нашел такой ответ:

Каспер реагирует на cureit только в момент или после запуска запуска и окончания работы cureit так как отстается работающий драйвер cureit. После перезагрузки компа и при условии что cureit снова не запускался - такой реакции на cureit не должно быть. Так как после перезагрузки компа драйвер сканера cureit - перестает работать до тех пор пока снова не запустят cureit.

Да, я действительно пользовался перед этим этой програмкой, но все хочеться узнать самому это ложное срабатывание проактивки, или всё-таки "зверёк" залез. Недоверяю я всему что пишут на всяких форумах.

 

Обращался в Техническую Поддержку Лаборатории Касперского НЕТ

Пользовался поиском по форуму: Да, но схожих проблем не нашёл.

Ссылка на комментарий
Поделиться на другие сайты

neotrance

прочтите правила соседнего раздела "Уничтожение вирусов", сделайте логи, прикрепите их сюда.

нажмите на кнопку "жалоба" на своём сообщении и попросите, чтобы перенесли в раздел "Уничтожение вирусов".

 

там посмотрит кто-нибудь.

Ссылка на комментарий
Поделиться на другие сайты

Пофиксите в HijackThis:

R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
R3 - URLSearchHook: (no name) -  - (no file)
R3 - URLSearchHook: (no name) - {E9598854-2568-48DF-9755-1D330BD50EDE} - (no file)
R3 - URLSearchHook: SrchHook Class - {F4F10C1D-87C7-404A-B4B3-000000000000} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O23 - Service: NMSAccessU - Unknown owner - D:\ПРОГРАМНІ ФАЙЛИ\CDBurnerXP\NMSAccessU.exe (file missing)

 

После проведённого лечения рекомендуется установить следующие обновления:

- установить текущий пакет обновлений (SP) для Windows (может потребоваться активация Windows)

* выберите SP для своей версии Windows: Windows XP - SP3, Windows Vista x86 - Sp2x86, Windows Vista x64 - SP2x64, Windows 7 x86 - Sp1x86, Windows 7 x64 - SP1x64

- все обновления на Windows (может потребоваться активация Windows)

- обновить Java до актуальной версии

- обновить Adobe Reader до актуальной версии

- обновить Adobe Shockwave Player до актуальной версии

- обновить Adobe Flash Player до актуальной версии

- обновить QuickTime Player до актуальной версии

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (загрузить обновление MBAM).

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

 

Сделайте новые логи по правилам.

Ссылка на комментарий
Поделиться на другие сайты

1. Пофиксил в HijackThis:

 

2.

- установить текущий пакет обновлений (SP) для Windows (может потребоваться активация Windows)

* выберите SP для своей версии Windows: Windows XP - SP3, Windows Vista x86 - Sp2x86, Windows Vista x64 - SP2x64, Windows 7 x86 - Sp1x86, Windows 7 x64 - SP1x64

Установить SP3 не смог хотя и винда лицензионная.

Когда начинает сохранять информацию перед обновлением, пишет: "Файл С:\windows\system32\samsrv.dll\ используеться другим приложением. Закройте все другие приложение и нажмите повтор". Все закрыл, вроди и все отключил...Так и не обновил.

Я уже поднимал этот вопрос на другом сайте, но мне так и не смогли помоч. Так как компьютер рабочий и стоит много программ других фирм, не сильно спешу делать какието "екстренные" приёмы обновления кроме автоматического.

 

3. Обновил Java, Adobe Shockwave Player, Adobe Flash Player, QuickTime Player до актуальной версии

Обновил все кроме Adobe Reader так как я его давно снес. Поставил меньшую по размерам прогу (компьютер не силен по характеристикам, память нужна)

 

4. Скачал. Установил. Обновил. Просканировал. Лог прикрепил.

Мне нашло какой то вирус. Удалил с помощью этой же программы.

 

5. Прикрепил новые логи от AVZ, HijackThis и Malwarebytes' Anti-Malware

hijackthis.log

mbam_log_2011_03_15__17_02_47_.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

Изменено пользователем neotrance
Ссылка на комментарий
Поделиться на другие сайты

Мне нашло какой то вирус.

это не вирус.

отключено было уведомление в центре безопасности, что обновы не ав втомате ищутся для Windows

 

для Вашей Win SP2 у Вас подозрительно нет зловредов :)

деинсталлируйте MBAM.

 

сделайте ещё лог GSI

http://forum.kasperskyclub.ru/index.php?sh...ost&p=55906

 

пробуйте ставить SP3 при "чистой загрузке Windows"

http://support.microsoft.com/kb/310353/ru

если не поможет, создайте в разделе "Компьютерная помощь" тему о невозможности установки SP3 - местные аксакалы, думаю, помогут

 

 

 

проверьте на virustotal.com файл С:\windows\system32\samsrv.dll\

Ссылка на комментарий
Поделиться на другие сайты

проверьте на virustotal.com файл С:\windows\system32\samsrv.dll\

 

File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:

MD5: 356779ca52f2b3c073335b9aad53ecff

Date first seen: 2009-04-02 12:16:36 (UTC)

Date last seen: 2009-04-02 12:26:50 (UTC)

Detection ratio: 0/40

 

 

http://www.getsysteminfo.com/read.php?file...1de9d0724dcf666

GetSystemInfo_COMP1_Админ_2011_03_17_14_23_39.zip

Изменено пользователем neotrance
Ссылка на комментарий
Поделиться на другие сайты

деинсталлируйте потенциально несовместимое ПО:

NVIDIA ForceWare Network Access Manager

 

зачем Вам adGuard?

в KIS есть такой функционал (по умолчанию отключен).

 

SP3 так и не получилось поставить?

у Вас многие службы не запускаются.

 

проверьте диск C:

cmd - chkdsk C: /v /f /r /x

y

перезагрузка

 

а затем на целостность ОС:

cmd - sfc /scannow

(под рукой иметь диск с Windows)

 

пробуйте после этого ставить снова SP3

Ссылка на комментарий
Поделиться на другие сайты

зачем Вам adGuard?

в KIS есть такой функционал (по умолчанию отключен).

 

Он мне как раз незачем!

Когда то имел глупость установить ее! Потом она дала сбой, удалить полностью не смог. Остался файлик adguarg.dll .Принудительно удалил его-нет перестал работать! Соответсвенно делал откат.

Потом нашел это:

Раскрывающийся текст:

adGuard - фриварная баннерорезка , активно рекламируемая в Сети.

Даже НЕ ПРОБУЙТЕ ! Это натуральный троян , причём , маскирующийся не хуже

самых маститых рукитов . Большинством антивирей не определяется (за редким

исключением , вроде COMODO-вского с его параноидальной эвристикой ). Прекрасно

"договаривается" с самыми маститыми файерами , не говоря уж о виндовском бранде.

 

Что творит adGuard.

 

Изначально, в 10-15 протоколах TCP/IP подменяет штатную библиотеку mswsock.dll

на собственную adguarg.dll , начиная фактически провайдерствовать в Системе

параллельно "мелкомягким". Внешне это малозаметно : может немного подрастает

исходящий сетевой траф., чуток подтормаживает Инет , но выглядит всё благопристойно.

Самое интересное начинается при попытке деинсталяции : прога совершает последний массированный скачок в Сеть ,сливая хозяевам последнее недослитое (мой Outpost от

подобной наглости аж зашёлся) ,и благополучно (для себя) покидает комп , оставляя

испорченные протоколы TCP/IP и своего уже призрачного резидента в автозагрузе .

В итоге - полностью клинит Сеть и блокируется выход в Инет.

 

Как с этим бороться.

 

Рекомендую ещё ДО ДЕИНСТАЛЯЦИИ adGuard скачать программульку winsockxpfix.exe -

способную восстановить сетевые протоколы (они входят в ядро ОС-и и без сноса Системы поправить их можно , но непросто ). Я обошёлся без неё (неохота было вновь

колдовать с настройками), но на всяк случай иметь полезно .В 9 из 10 случаев способна реанимировать Сеть. Можно сбросить настройки TCP/IP вручную через NetShell (через командную строку "netsh int ip reset resetlog.txt").Всё это может сработать , но без гарантий...

Я пошёл другим путём , в общем стандартным для борьбы с последствиями от подобных

вирусов:

1. Лезем в реестр , находим 3 ветки :

HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/WinSock2/Parameters/Protocol_catalog9/Catalog_entries

HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Services/WinSock2/Parameters/Protocol_catalog9/Catalog_entries

HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Services/WinSock2/Parameters/Protocol_catalog9/Catalog_entries

 

Здесь мы увидим множество разделов с именами 0000000000001 000000000002 и т.д.

до 000...25.

В каждом из этих разделов есть параметр PackedCatalogItem

Вот он то нас и интересует. Открываем.

Появляется окно "Редактирования двоичного параметра"

В самом начале содержимого должна быть примерно такая строка

%SystemRoot%\system32\mswsock.dll

Это путь к необходимой для данного поставщика услуг библиотеке

Поскольку у нас здесь поработал вирус, он заменил кое что, и мы видим вместо mswsock.dll - adguard.dll .Но троян попортил не все разделы.

Копируем содержимое уцелевшего раздела в испорченный (в каждый испорченный ,

в каждой из трёх веток).Удобно пользовать что-то вроде Registrar , но вполне можно

обойтись и штатным редактором реестра.Посчитайте сколько порченых разделов поправили - потом пригодится.

 

2.Лезем в автозагруз (удобно через Autorans - но кому как) и прибиваем "привидение"

adguard. Перезагруз.

 

Всё - Сеть худо-бедно восстановлена ! Определяемся - насколько "худо".

 

3.(Полезно - но необязательно) Запускаем AVZ (антивирь Зайцева).Сканировать систему

не надо ! Лезем в "Сервис - Менеджер Winsock - Поиск ошибок" .Получаем , что из 25

протоколов неработоспособно 10-15.Сравниваем с количеством "исправленных" нами в

реестре - число должно совпасть , иначе возвращаемся к п.1 и перепроверяем ещё раз.

По сути мы не исправили "вирусопопорченные" протоколы , а лишь заблокировали их ,

чтоб только загрузить Инет .Сеть реанимирована , но она "хромая".Поэтому идём далее.

 

4. Отрубаем себе сеть ! (Выключаем модем) .Запускаем "Ишака" - лучше последнего -IE8

и тупо ломимся на любой сайт , на тот же "Гугл" .Соединения ,естественно, не происходит

, жмём на "Диагностику" сетевого соединения .И Винда немного попинговав выдаёт инфу

об ошибках в Протоколах , предлагая всё исправить , сбросом в Default . Соглашаемся.

Затем соглашаемся на перезагруз.

Вуаля- Сеть полноценно реанимирована , НАСТРОЙКИ СОХРАНЕНЫ . Последнее важно

для сидящих на безлимитке ADSL в "бридже" - иначе им пришлось бы самостоятельно

настраивать модем (а не только "Сетевое подключение") - а такое не всем под силу.

 

И ещё .Манипуляции через "Свойства сетевого соединения - Исправить" , а не через

браузер неэффективны .Проверено.Так что п.4 - это отнюдь не через "попу".

И уж если пп.1-4 не помогут (маловероятно , но - вдруг) , тогда пользуйте проги ,

упомянутые в самом начале.Но вероятна потеря настроек.Кому последнее неважно ,

так может и лучше сразу через них.

В конце можно опять запустить AVZ и убедиться :

"Настройки LSP проверены. Ошибок не обнаружено"

 

 

Пробывал опять установить и удалить - непомогло. Теперь в папке programe files осталась папка с файлом аdguarg.dll :appl:

Как уже писал-комп рабочий поетому не решаюсь его пока трогать (согласно того решения под спойлером) -чтобы не полетело все!

Изменено пользователем neotrance
Ссылка на комментарий
Поделиться на другие сайты

проверьте диск C:

cmd - chkdsk C: /v /f /r /x

y

перезагрузка

 

а затем на целостность ОС:

cmd - sfc /scannow

(под рукой иметь диск с Windows)

 

Это не знаю как правильно делать :plach:

Ссылка на комментарий
Поделиться на другие сайты

Создайте точку восстановления системы!

 

Скачайте WinSock XP Fix 1.2

http://majorgeeks.com/WinSock_XP_Fix_d4372.html

 

Выполните скрипт в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\adGuard\ADGUARD.DLL');
DeleteFileMask('C:\Program Files\adGuard\','*.* ',true ,' ');
DeleteDirectory('C:\Program Files\adGuard\',' ');
DelAutorunByFileName('C:\Program Files\adGuard\ADGUARD.DLL');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteFile('C:\Program Files\adGuard\ADGUARD.DLL');
BC_Activate;
AutoFixSPI;
RebootWindows(true);
end.

Перезагрузка!

 

Если "отвалится" интернет:

1) сначала запускаем скрипт:

begin
SetAVZGuardStatus(True);
AutoFixSPI;
ExecuteWizard('TSW',1,1,true);
RebootWindows(true);
end.

2) не поможет - используем WinSock XP Fix 1.2

3) не поможет - делаете "откат" системы.

Ссылка на комментарий
Поделиться на другие сайты

Спасибо Roman_Five!

1. Удалил NVIDIA ForceWare Network Access Manager

2. Проверил диск С [cmd - chkdsk C: /v /f /r /x]

Не проверил на целостность ОС, не было диска под рукой [cmd - sfc /scannow]

3. Зделал первый скрипт. После перегрузки интернет "не отвалился" :harhar:

Может мне зделать еще какие то логи чтобы посмотреть нету ли остатков от этой "бяки"?

 

4. Нужно еще попробывать установить SP3 и вообще бомба будет.

Изменено пользователем neotrance
Ссылка на комментарий
Поделиться на другие сайты

Может мне зделать еще какие то логи чтобы посмотреть нету ли остатков от этой "бяки"?

 

сделайте лог 2-го стандартного скрипт и лог GSI

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
×
×
  • Создать...