MINO 0 Опубликовано 25 января, 2009 Share Опубликовано 25 января, 2009 (изменено) Здравствуйте. В последние недели 2 сталкиваюсь на разных компьютерах с одними и теми же проблемами. Проявления следующие. При воспроизведении видео (ч.з. GOM плеер обычно) появляется ошибка об отсутствующем или не правильно настроенном звуковом устройстве, при том что в диспечере устройств всё на месте, а в Панели упр. - в Звуках - Аудиоустройства отсутствуют. При этом звуки Вин, аудио-плеер - звуки есть. Переустановка драйвера и/или перезагрузка решают проблему. Как правило, это сопровождается сменой Панели задач на классический вид (кроме окон) и подвисанием Explorer'а (или сильным торможением). А еще есть такое проявление, что Виндоус может зависать либо во время загрузки, либо в момент работы уже. Что интересно - вирь передается через флеш и !еще как то! (сеть или даже *.ехе). Форматирование и переустановка, как я уже убедился, не решает проблему!. Везде стоит ХР Pro SP3 причем разные + KAV, KIS7-8 с обновл. Проявиться может по-разному - через час после переустановки, либо на след. день. Ошибка svchost выскакивает чаще при завершении работы. В остальном всё работает хорошо. Еще нюанс. Зависание Win далеко не у всех проявляется. Звук и Панель задач тоже не у всех, но в 90%. Иногда странно комп может задумываться при выполнении рядовых задач, без особой загрузки CPU. Есть подозрение на нарушение сетевых/инет функций во время сбоя svchost. И еще у некоторых вместо/вместе с ошибкой svchost выходит сообщение Вин что "...память не может быть written..." Тоже что странно - мало где. У всех "пациентов" я ставил Вин с форматом С:\ как положено от "вчера" до "пары недель назад". Проблема с произведением видео может еще проявляться как "невозможно найти кодеки" - при их наличии и во всех плеерах. Начиналось у всех с плеера GOM со своими встроенными кодеками. Проблема ВРОДЕ частично проходит при удалении GOM и установке любого другого (Media Player Classic и стандартный имеются уже). Привожу логи со своего компа - у меня разово только на днях svchost появился с изменением панели (звук не мог проверить). Сейчас только svchost при завершении работы вылазит - Исправил что-то с kernel32 через стандартный скрипт AVZ - с тех пор кроме svchost при завершении, никаких проявлений. CureIt и KAV-KIS не находят ничего. НО. Вместе с появлением проблемы, при проверки avz появляется интересный кусочек лога после п.п. 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text ... а затем до след. строки (Анализ ntdll.dll, таблица экспорта найдена в секции .text) появляется: Функция kernel32.dll:GetProcAddress (409) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AE30->7C884FEC Функция kernel32.dll:LoadLibraryA (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D7B->7C884F9C Функция kernel32.dll:LoadLibraryExA (582) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D53->7C884FB0 Функция kernel32.dll:LoadLibraryExW (583) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF5->7C884FD8 Функция kernel32.dll:LoadLibraryW (584) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AEDB->7C884FC4 Детектирована модификация IAT: LoadLibraryA - 7C884F9C<>7C801D7B Детектирована модификация IAT: GetProcAddress - 7C884FEC<>7C80AE30 потом через 2 строчки еще такое: Функция user32.dll:RegisterRawInputDevices (546) перехвачена, метод ProcAddressHijack.GetProcAddress ->7E3BCE0E->7E400010 и еще Функция NtNotifyChangeKey (6F) перехвачена (8061C44C->AE038840), перехватчик C:\WINDOWS\system32\drivers\klif.sys, драйвер опознан как безопасный Этими строками отличаются логи avz на зараженных ПК от здоровых ПК. Прошу помощи специалистов и жду результатов ) virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Изменено 26 января, 2009 пользователем wise-wistful Цитата Ссылка на сообщение Поделиться на другие сайты
BigDeF 0 Опубликовано 25 января, 2009 Share Опубликовано 25 января, 2009 (изменено) Сообщение от модератора C. Tantin Процедура лечения даже одного и того же вируса может отличаться, не говоря уже о разновидностях одного и того же вирусаПоэтому не надо приводить ссылки на другие темы. Пользователи, специализирующиеся на уничтожении вирусов ответят. Изменено 25 января, 2009 пользователем C. Tantin Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 25 января, 2009 Share Опубликовано 25 января, 2009 CureIt проверяли как? Опишите. Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится лог сохраниься в файле C:\ComboFix.txt. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Cкачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log. Лог Gmer и ComboFix прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
MINO 0 Опубликовано 26 января, 2009 Автор Share Опубликовано 26 января, 2009 Cure It Не находит ничего, делал и полную проверку. Вот эти логи. Gmer.log ComboFix.txt Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 26 января, 2009 Share Опубликовано 26 января, 2009 (изменено) 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\sm.ex',' '); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @. В письме укажите ссылку на тему. Изменено 26 января, 2009 пользователем wise-wistful Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 4 февраля, 2009 Share Опубликовано 4 февраля, 2009 Карантин получил, врага там нет. Попробуйте поискать при помощи АВЗ--сервис--поиск файлов на диске C:\WINDOWS\system32\sm.ex Цитата Ссылка на сообщение Поделиться на другие сайты
Alexey_I 5 Опубликовано 4 февраля, 2009 Share Опубликовано 4 февраля, 2009 Попробуйте включить встроенный брандмауэр windows, и уберите в исключениях общий доступ к файлам и принтерам, дополнительно воспользоваться утилитой wwdc, описание здесь Установите заплатки MS08-067 (http://www.microsoft.com/technet/security/...n/ms08-067.mspx) MS08-068 (http://www.microsoft.com/technet/security/...n/ms08-068.mspx) MS09-001 (http://www.microsoft.com/technet/security/...n/ms09-001.mspx) И все остальные обновления с windowsupdate.microsoft.com Проверьтесь на всякий случай утилитой KidoKiller_v3.1.zip Вполне возможно проблема в вашей сборке (вероятно samlab) Цитата Ссылка на сообщение Поделиться на другие сайты
MINO 0 Опубликовано 5 февраля, 2009 Автор Share Опубликовано 5 февраля, 2009 Спасибо, всё сделал ) Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 6 февраля, 2009 Share Опубликовано 6 февраля, 2009 В таком случае для деинсталяции ComboFix с компьютера необходимо выполнить: Нажать Пуск затем Выполнить в окне наберите команду Combofix /u (обязательно нужен пробел между х и /), нажмите кнопку "ОК" Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.