Tatarmalae Опубликовано 20 июля, 2011 Автор Поделиться Опубликовано 20 июля, 2011 (изменено) sfc /scannow не выявило проблем. "Защита ресурсов Windows не обнаружила нарушений целостности" Отчеты http://www.getsysteminfo.com/read.php?file...a6f565672130d4b GetSystemInfo_ADMIN_Admin_2011_07_20_21_36_13.zip LanmanServer.rar Изменено 20 июля, 2011 пользователем Tatarmalae Ссылка на комментарий Поделиться на другие сайты Поделиться
Roman_Five Опубликовано 21 июля, 2011 Поделиться Опубликовано 21 июля, 2011 sfc /scannow не выявило проблем. да. потому что проблема с реестром, а не с файлами. выполните скрипт в AVZ: begin SearchRootkit(true, true); SetAVZGuardStatus(true); RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll'); SaveLog(GetAVZDirectory+'Server.txt'); RebootWindows(true); end. перезагрузка! полученный лог Server.txt из папки AVZ приложите. Ссылка на комментарий Поделиться на другие сайты Поделиться
Tatarmalae Опубликовано 21 июля, 2011 Автор Поделиться Опубликовано 21 июля, 2011 Все сделал. Server.txt Или Раскрывающийся текст: 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=169B00) Ядро ntkrnlpa.exe обнаружено в памяти по адресу 8381A000 SDT = 83983B00 KiST = 83898D9C (401) Функция NtAdjustPrivilegesToken (0C) перехвачена (83A9FB45->8CF2EBDC), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtAlpcConnectPort (16) перехвачена (83A90206->8CF30538), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtAlpcCreatePort (17) перехвачена (83A0FC0C->8CF3078E), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtAlpcSendWaitReceivePort (27) перехвачена (83A6CF0D->8CF30A08), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtClose (32) перехвачена (83A5F37E->8CF2F45C), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtConnectPort (3B) перехвачена (83A92D11->8CF2FB3E), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtCreateEvent (40) перехвачена (83A5B675->8CF2FF48), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtCreateFile (42) перехвачена (83A6A1E8->8CF2F604), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtCreateMutant (4A) перехвачена (83A2B19C->8CF2FE20), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtCreateNamedPipeFile (4B) перехвачена (83A9B501->8CF2E7E2), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtCreatePort (4D) перехвачена (83A0C75F->8CF2FCDC), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtCreateSection (54) перехвачена (83A3DF1B->8CF2E99E), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtCreateSemaphore (55) перехвачена (83A20993->8CF3007A), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtCreateSymbolicLinkObject (56) перехвачена (83A1C7FB->8CF31CBC), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtCreateThread (57) перехвачена (83AF6C2A->8CF2F0FA), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtCreateThreadEx (58) перехвачена (83A8B12C->8CF2F1FA), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtCreateWaitablePort (5E) перехвачена (839BF134->8CF2FD7E), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtDebugActiveProcess (60) перехвачена (83AC8B4E->8CF316AE), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtDuplicateObject (6F) перехвачена (83A4C4E0->8CF3267E), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtFsControlFile (86) перехвачена (83A706A6->8CF2F75E), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtLoadDriver (9B) перехвачена (839E0B78->8CF31740), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtMapViewOfSection (A8) перехвачена (83A61398->8CF31D70), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtOpenEvent (B1) перехвачена (83A2AB98->8CF2FFEA), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtOpenFile (B3) перехвачена (83A4CB00->8CF2F4DE), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtOpenMutant (BB) перехвачена (83A7C0E6->8CF2FEB8), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtOpenProcess (BE) перехвачена (83A2C9E2->8CF2EDE2), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtOpenSection (C2) перехвачена (83A8467C->8CF31CE6), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtOpenSemaphore (C3) перехвачена (83A000C6->8CF3011C), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtOpenThread (C6) перехвачена (83A78D8B->8CF2ED06), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtQueryDirectoryObject (E0) перехвачена (83A739F4->8CF30C4A), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtQuerySection (FE) перехвачена (83A919EE->8CF32088), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtQueueApcThread (10D) перехвачена (83A16CAA->8CF319D6), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtReplyPort (126) перехвачена (83A0BA3D->8CF304A6), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtReplyWaitReceivePort (127) перехвачена (83A535D2->8CF3036C), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtRequestWaitReplyPort (12B) перехвачена (83A588C9->8CF3144E), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtResumeThread (130) перехвачена (83A8B353->8CF32560), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSecureConnectPort (138) перехвачена (83A78DC0->8CF2F878), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSetContextThread (13C) перехвачена (83AF7D35->8CF2F318), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSetInformationToken (150) перехвачена (83A1E786->8CF30CFE), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSetSecurityObject (15B) перехвачена (83A1C62C->8CF3183A), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSetSystemInformation (15E) перехвачена (83A690F2->8CF321C8), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSuspendProcess (16E) перехвачена (83AF88D7->8CF322AC), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSuspendThread (16F) перехвачена (83AAFE3D->8CF323D4), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSystemDebugControl (170) перехвачена (83AA0474->8CF315DA), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtTerminateProcess (172) перехвачена (83A759C3->8CF2EF5A), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtTerminateThread (173) перехвачена (83A9333C->8CF2EEB0), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtUnmapViewOfSection (181) перехвачена (83A7F642->8CF31F3E), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtWriteVirtualMemory (18F) перехвачена (83A7A720->8CF2F03A), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Проверено функций: 401, перехвачено: 48, восстановлено: 48 1.3 Проверка IDT и SYSENTER Анализ для процессора 1 Анализ для процессора 2 CmpCallCallBacks = 00000000 Проверка IDT и SYSENTER завершена 1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM 1.5 Проверка обработчиков IRP Драйвер успешно загружен Проверка завершена [микропрограмма лечения]> изменен параметр ServiceDll ключа HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters Ссылка на комментарий Поделиться на другие сайты Поделиться
Roman_Five Опубликовано 22 июля, 2011 Поделиться Опубликовано 22 июля, 2011 Все сделал. проверьте, чтобы в "Событиях" (панель управления - администрирование - просмотр событий - настраиваемые представления) не было новых записей об этих ошибках: Служба "Браузер компьютеров" является зависимой от службы "Сервер", которую не удалось запустить из-за ошибки Не удается найти указанный файл. Служба "Сервер" завершена из-за ошибки Не удается найти указанный файл. если будут - проверьте наличие файла: C:\Windows\System32\srvsvc.dll если его нет - поместите тот, что в аттаче. srvsvc.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Tatarmalae Опубликовано 22 июля, 2011 Автор Поделиться Опубликовано 22 июля, 2011 Есть такие записи.... Но и файл srvsvc.dll на месте... Ссылка на комментарий Поделиться на другие сайты Поделиться
Roman_Five Опубликовано 22 июля, 2011 Поделиться Опубликовано 22 июля, 2011 Есть такие записи.... перезагружались? записи свежие? Ссылка на комментарий Поделиться на другие сайты Поделиться
Tatarmalae Опубликовано 22 июля, 2011 Автор Поделиться Опубликовано 22 июля, 2011 Свежие да. После перезагрузки сразу залез посмотреть. Ссылка на комментарий Поделиться на другие сайты Поделиться
Roman_Five Опубликовано 22 июля, 2011 Поделиться Опубликовано 22 июля, 2011 Свежие да. После перезагрузки сразу залез посмотреть. открывайте новую тему в разделе "Компьютерная помощь" подробно опишите проблему. приложите ссылку на эту тему. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти