И снова о принадлежности аккаунта “ВКонтакте”...

[Tatarmalae]

sfc /scannow не выявило проблем. "Защита ресурсов Windows не обнаружила нарушений целостности"

 

Отчеты

 

http://www.getsysteminfo.com/read.php?file...a6f565672130d4b

GetSystemInfo_ADMIN_Admin_2011_07_20_21_36_13.zip

 

LanmanServer.rar

Изменено 20 июля, 2011 пользователем Tatarmalae

[Roman_Five]

sfc /scannow не выявило проблем.

да. потому что проблема с реестром, а не с файлами.

 

выполните скрипт в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll');
SaveLog(GetAVZDirectory+'Server.txt');
RebootWindows(true);
end.

перезагрузка!

 

полученный лог Server.txt из папки AVZ приложите.

[Tatarmalae]

Все сделал.

 

Server.txt

 

Или

 

Раскрывающийся текст:

 

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Анализ user32.dll, таблица экспорта найдена в секции .text

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=169B00)

Ядро ntkrnlpa.exe обнаружено в памяти по адресу 8381A000

SDT = 83983B00

KiST = 83898D9C (401)

Функция NtAdjustPrivilegesToken (0C) перехвачена (83A9FB45->8CF2EBDC), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtAlpcConnectPort (16) перехвачена (83A90206->8CF30538), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtAlpcCreatePort (17) перехвачена (83A0FC0C->8CF3078E), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtAlpcSendWaitReceivePort (27) перехвачена (83A6CF0D->8CF30A08), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtClose (32) перехвачена (83A5F37E->8CF2F45C), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtConnectPort (3B) перехвачена (83A92D11->8CF2FB3E), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtCreateEvent (40) перехвачена (83A5B675->8CF2FF48), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtCreateFile (42) перехвачена (83A6A1E8->8CF2F604), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtCreateMutant (4A) перехвачена (83A2B19C->8CF2FE20), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtCreateNamedPipeFile (4B) перехвачена (83A9B501->8CF2E7E2), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtCreatePort (4D) перехвачена (83A0C75F->8CF2FCDC), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtCreateSection (54) перехвачена (83A3DF1B->8CF2E99E), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtCreateSemaphore (55) перехвачена (83A20993->8CF3007A), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtCreateSymbolicLinkObject (56) перехвачена (83A1C7FB->8CF31CBC), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtCreateThread (57) перехвачена (83AF6C2A->8CF2F0FA), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtCreateThreadEx (58) перехвачена (83A8B12C->8CF2F1FA), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtCreateWaitablePort (5E) перехвачена (839BF134->8CF2FD7E), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtDebugActiveProcess (60) перехвачена (83AC8B4E->8CF316AE), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtDuplicateObject (6F) перехвачена (83A4C4E0->8CF3267E), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtFsControlFile (86) перехвачена (83A706A6->8CF2F75E), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtLoadDriver (9B) перехвачена (839E0B78->8CF31740), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtMapViewOfSection (A8) перехвачена (83A61398->8CF31D70), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtOpenEvent (B1) перехвачена (83A2AB98->8CF2FFEA), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtOpenFile (B3) перехвачена (83A4CB00->8CF2F4DE), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtOpenMutant (BB) перехвачена (83A7C0E6->8CF2FEB8), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtOpenProcess (BE) перехвачена (83A2C9E2->8CF2EDE2), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtOpenSection (C2) перехвачена (83A8467C->8CF31CE6), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtOpenSemaphore (C3) перехвачена (83A000C6->8CF3011C), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtOpenThread (C6) перехвачена (83A78D8B->8CF2ED06), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtQueryDirectoryObject (E0) перехвачена (83A739F4->8CF30C4A), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtQuerySection (FE) перехвачена (83A919EE->8CF32088), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtQueueApcThread (10D) перехвачена (83A16CAA->8CF319D6), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtReplyPort (126) перехвачена (83A0BA3D->8CF304A6), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtReplyWaitReceivePort (127) перехвачена (83A535D2->8CF3036C), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtRequestWaitReplyPort (12B) перехвачена (83A588C9->8CF3144E), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtResumeThread (130) перехвачена (83A8B353->8CF32560), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtSecureConnectPort (138) перехвачена (83A78DC0->8CF2F878), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtSetContextThread (13C) перехвачена (83AF7D35->8CF2F318), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtSetInformationToken (150) перехвачена (83A1E786->8CF30CFE), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtSetSecurityObject (15B) перехвачена (83A1C62C->8CF3183A), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtSetSystemInformation (15E) перехвачена (83A690F2->8CF321C8), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtSuspendProcess (16E) перехвачена (83AF88D7->8CF322AC), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtSuspendThread (16F) перехвачена (83AAFE3D->8CF323D4), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtSystemDebugControl (170) перехвачена (83AA0474->8CF315DA), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtTerminateProcess (172) перехвачена (83A759C3->8CF2EF5A), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtTerminateThread (173) перехвачена (83A9333C->8CF2EEB0), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtUnmapViewOfSection (181) перехвачена (83A7F642->8CF31F3E), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtWriteVirtualMemory (18F) перехвачена (83A7A720->8CF2F03A), перехватчик C:\Windows\system32\DRIVERS\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Проверено функций: 401, перехвачено: 48, восстановлено: 48

1.3 Проверка IDT и SYSENTER

Анализ для процессора 1

Анализ для процессора 2

CmpCallCallBacks = 00000000

Проверка IDT и SYSENTER завершена

1.4 Поиск маскировки процессов и драйверов

Проверка не производится, так как не установлен драйвер мониторинга AVZPM

1.5 Проверка обработчиков IRP

Драйвер успешно загружен

Проверка завершена

[микропрограмма лечения]> изменен параметр ServiceDll ключа HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

 

 

 

[Roman_Five]

Все сделал.

проверьте, чтобы в "Событиях" (панель управления - администрирование - просмотр событий - настраиваемые представления) не было новых записей об этих ошибках:

Служба "Браузер компьютеров" является зависимой от службы "Сервер", которую не удалось запустить из-за ошибки Не удается найти указанный файл.

Служба "Сервер" завершена из-за ошибки Не удается найти указанный файл.

если будут - проверьте наличие файла:

C:\Windows\System32\srvsvc.dll

если его нет - поместите тот, что в аттаче.

srvsvc.zip

[Tatarmalae]

Есть такие записи.... Но и файл srvsvc.dll на месте...

[Roman_Five]

Есть такие записи....

перезагружались? записи свежие?

[Tatarmalae]

Свежие да. После перезагрузки сразу залез посмотреть.

[Roman_Five]

Свежие да. После перезагрузки сразу залез посмотреть.

открывайте новую тему в разделе "Компьютерная помощь"

подробно опишите проблему.

приложите ссылку на эту тему.