УСИЛЕННЫЙ РЕЖИМ

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 26.06.2011 14:53:43

Цитата
EVE N пишет: Action-> Ask/Block Виря в безопасном режиме удаляет. Проверял на первой бете и Windows 7 x64, с такой блокировкой ключей реестра эта виря в обломе. Вот сейчас закончат разработку и наверно поставят новый "забор" то есть - Self-defense support module.

Цитата

EVE N пишет:
Action-> Ask/Block
Виря в безопасном режиме удаляет.
Проверял на первой бете и Windows 7 x64, с такой блокировкой ключей реестра эта виря в обломе.
Вот сейчас закончат разработку и наверно поставят новый "забор" то есть - Self-defense support module.

это понятно, что ESS5 HIPS-ом должен поставить шлагбаум, но, 3 и 4 версии выходит на сегодня вылетают с треском. Да, вирусяка так же грузится в безопасном режиме.

Цитата
Полное имя C:\WINDOWS\SERVICES32.EXE Имя файла SERVICES32.EXE Тек. статус ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске Размер 1172992 байт Создан 20.06.2011 в 16:02:50 Изменен 20.06.2011 в 16:02:40 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Автозапуск Неизвестный файл использует ключ реестра часто используемый вирусами Доп. информация на момент обновления списка SHA1 88E325DCA277FFF1F37A8E59BE01CE61908DEF6C MD5 D2A3874D904978ED4FFAC21CF671BC10 Ссылки на объект Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\wxpdrv wxpdrv C:\WINDOWS\services32.exe Ссылка HKLM\System\CurrentControlSet\Control\SafeBoot\AlternateShell AlternateShell services32.exe

Цитата

Полное имя C:\WINDOWS\SERVICES32.EXE
Имя файла SERVICES32.EXE
Тек. статус ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер 1172992 байт
Создан 20.06.2011 в 16:02:50
Изменен 20.06.2011 в 16:02:40
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Автозапуск Неизвестный файл использует ключ реестра часто используемый вирусами

Доп. информация на момент обновления списка
SHA1 88E325DCA277FFF1F37A8E59BE01CE61908DEF6C
MD5 D2A3874D904978ED4FFAC21CF671BC10

Ссылки на объект
Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\wxpdrv
wxpdrv C:\WINDOWS\services32.exe

Ссылка HKLM\System\CurrentControlSet\Control\SafeBoot\AlternateShell
AlternateShell services32.exe

EVE N, так он систему сразу перегружает в безопасный режим? (и там удаляет антивир)

Изменено: santy - 26.06.2011 14:55:15

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 26.06.2011 14:53:45

По теме:
http://virusinfo.info/showthread.php?s=3f5a8a1918bb19a1c849e452bf3e1de5&t=103480

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 26.06.2011 15:02:06

из лога АВЗ

Цитата
AVP Служба: Стоп, Удалить, Отключить, Удалить через BC Kaspersky Anti-Virus Service Не запущен C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe Скрипт: Kарантин, Удалить, Удалить через BC

http://virusinfo.info/showthread.php?t=104069

Изменено: santy - 26.06.2011 15:02:38

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 26.06.2011 15:15:12

...

Изменено: RP55 RP55 - 26.06.2011 15:18:27

Сообщений: 317

Баллов: 253

Регистрация: 16.03.2010

Размещено 26.06.2011 15:20:47

Цитата
EVE N , так он систему сразу перегружает в безопасный режим? (и там удаляет антивир)

Цитата
12.06.2011 20:09:11 C:\Windows\System32\svchost.exe open process C:\Program Files\ESET\ESET Smart Security\egui.exe blocked 12.06.2011 20:09:02 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked 12.06.2011 20:09:02 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked 12.06.2011 20:09:02 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{3228ef15-2b94-11e0-b010-d6a6fb222995} blocked 12.06.2011 20:09:02 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked 12.06.2011 20:09:02 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{3228ef15-2b94-11e0-b010-d6a6fb222995} blocked 12.06.2011 20:09:02 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked 12.06.2011 20:09:02 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked 12.06.2011 20:09:02 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{9dea862c-5cdd-4e70-acc1-f32b344d4795} blocked 12.06.2011 20:09:02 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked 12.06.2011 20:09:02 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked 12.06.2011 20:09:02 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked 12.06.2011 20:09:01 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{3228ef15-2b94-11e0-b010-d6a6fb222995} blocked 12.06.2011 20:09:01 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked 12.06.2011 20:09:01 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked 12.06.2011 20:09:01 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{9dea862c-5cdd-4e70-acc1-f32b344d4795} blocked 12.06.2011 20:09:01 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked 12.06.2011 20:08:57 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\wxpdrivers blocked 12.06.2011 20:08:57 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\wxpdrivers blocked 12.06.2011 20:08:57 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell blocked 12.06.2011 20:08:57 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\wxpdrivers blocked 12.06.2011 20:08:57 C:\Users\vitalik\Desktop\Flash-Player.exe open process C:\Program Files\ESET\ESET Smart Security\x86\ekrn.exe blocked 12.06.2011 20:08:57 C:\Users\vitalik\Desktop\Flash-Player.exe open process C:\Windows\System32\lsass.exe blocked 12.06.2011 20:08:57 C:\Users\vitalik\Desktop\Flash-Player.exe open process C:\Windows\System32\csrss.exe blocked 12.06.2011 20:08:57 C:\Users\vitalik\Desktop\Flash-Player.exe open process C:\Windows\System32\csrss.exe blocked 12.06.2011 20:08:57 C:\Users\vitalik\Desktop\Flash-Player.exe open process C:\Windows\System32\smss.exe blocked 12.06.2011 20:08:57 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\wxpdrivers blocked 12.06.2011 20:08:57 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\wxpdrivers blocked 12.06.2011 20:08:57 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell blocked 12.06.2011 20:08:56 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\wxpdrivers blocked 12.06.2011 20:08:56 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\wxpdrivers blocked 12.06.2011 20:08:56 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\AlternateShell blocked 12.06.2011 20:08:56 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\wxpdrivers blocked 12.06.2011 20:08:56 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell blocked 12.06.2011 20:07:35 C:\Windows\System32\winlogon.exe open process C:\Windows\System32\csrss.exe blocked 12.06.2011 20:07:35 C:\Windows\System32\winlogon.exe open process C:\Windows\System32\csrss.exe blocked 12.06.2011 20:05:37 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked 12.06.2011 20:05:37 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked 12.06.2011 20:05:36 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{3228ef15-2b94-11e0-b010-d6a6fb222995} blocked 12.06.2011 20:05:36 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked 12.06.2011 20:05:36 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{3228ef15-2b94-11e0-b010-d6a6fb222995} blocked 12.06.2011 20:05:36 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked 12.06.2011 20:05:36 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked 12.06.2011 20:05:36 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{9dea862c-5cdd-4e70-acc1-f32b344d4795} blocked 12.06.2011 20:05:36 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked 12.06.2011 20:05:36 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked 12.06.2011 20:05:36 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked 12.06.2011 20:05:36 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{3228ef15-2b94-11e0-b010-d6a6fb222995} blocked 12.06.2011 20:05:36 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked 12.06.2011 20:05:36 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked 12.06.2011 20:05:36 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{9dea862c-5cdd-4e70-acc1-f32b344d4795} blocked 12.06.2011 20:05:36 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked 12.06.2011 20:05:32 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked 12.06.2011 20:05:32 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked 12.06.2011 20:05:32 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{3228ef15-2b94-11e0-b010-d6a6fb222995} blocked 12.06.2011 20:05:32 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked 12.06.2011 20:05:32 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{3228ef15-2b94-11e0-b010-d6a6fb222995} blocked 12.06.2011 20:05:31 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked 12.06.2011 20:05:31 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked 12.06.2011 20:05:31 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{9dea862c-5cdd-4e70-acc1-f32b344d4795} blocked 12.06.2011 20:05:31 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked 12.06.2011 20:05:31 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked 12.06.2011 20:05:31 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked 12.06.2011 20:05:31 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{3228ef15-2b94-11e0-b010-d6a6fb222995} blocked 12.06.2011 20:05:31 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked 12.06.2011 20:05:31 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked 12.06.2011 20:05:31 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{9dea862c-5cdd-4e70-acc1-f32b344d4795} blocked 12.06.2011 20:05:31 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked 12.06.2011 20:05:31 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\wxpdrivers blocked 12.06.2011 20:05:31 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\wxpdrivers blocked 12.06.2011 20:05:31 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\wxpdrivers blocked 12.06.2011 20:05:31 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell blocked 12.06.2011 20:05:31 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\wxpdrivers blocked 12.06.2011 20:05:31 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\AlternateShell blocked 12.06.2011 20:05:31 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\wxpdrivers blocked 12.06.2011 20:05:31 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\wxpdrivers blocked 12.06.2011 20:05:31 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell blocked 12.06.2011 20:05:31 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\wxpdrivers blocked 12.06.2011 20:05:31 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked 12.06.2011 20:05:31 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked 12.06.2011 20:05:31 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{3228ef15-2b94-11e0-b010-d6a6fb222995} blocked 12.06.2011 20:05:31 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked 12.06.2011 20:05:31 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{3228ef15-2b94-11e0-b010-d6a6fb222995} blocked 12.06.2011 20:05:31 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked 12.06.2011 20:05:31 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked 12.06.2011 20:05:31 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{9dea862c-5cdd-4e70-acc1-f32b344d4795} blocked 12.06.2011 20:05:30 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked 12.06.2011 20:05:30 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked 12.06.2011 20:05:30 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked 12.06.2011 20:05:30 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{3228ef15-2b94-11e0-b010-d6a6fb222995} blocked 12.06.2011 20:05:30 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked 12.06.2011 20:05:30 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked 12.06.2011 20:05:29 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{9dea862c-5cdd-4e70-acc1-f32b344d4795} blocked 12.06.2011 20:05:29 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked 12.06.2011 20:05:29 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\wxpdrivers blocked 12.06.2011 20:05:29 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell blocked 12.06.2011 20:05:29 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\wxpdrivers blocked 12.06.2011 20:05:29 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\wxpdrivers blocked 12.06.2011 20:05:29 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell blocked 12.06.2011 20:05:29 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\wxpdrivers blocked 12.06.2011 20:05:29 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\wxpdrivers blocked 12.06.2011 20:05:28 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\AlternateShell blocked 12.06.2011 20:05:28 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\wxpdrivers blocked 12.06.2011 20:05:28 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell blocked 12.06.2011 20:05:28 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\wxpdrivers blocked 12.06.2011 20:05:28 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell blocked 12.06.2011 20:05:28 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\wxpdrivers blocked 12.06.2011 20:05:27 C:\Users\vitalik\Desktop\Flash-Player.exe open process C:\Program Files\ESET\ESET Smart Security\egui.exe blocked 12.06.2011 20:05:27 C:\Users\vitalik\Desktop\Flash-Player.exe open process C:\Program Files\ESET\ESET Smart Security\x86\ekrn.exe blocked 12.06.2011 20:05:27 C:\Users\vitalik\Desktop\Flash-Player.exe open process C:\Windows\System32\lsass.exe blocked 12.06.2011 20:05:26 C:\Users\vitalik\Desktop\Flash-Player.exe open process C:\Windows\System32\csrss.exe blocked 12.06.2011 20:05:25 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\wxpdrivers blocked 12.06.2011 20:05:25 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell blocked 12.06.2011 20:05:24 C:\Users\vitalik\Desktop\Flash-Player.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell blocked 12.06.2011 20:05:20 C:\Users\vitalik\Desktop\Flash-Player.exe open process C:\Program Files\ESET\ESET Smart Security\egui.exe blocked __________________

Цитата

12.06.2011 20:09:11 C:\Windows\System32\svchost.exe open process C:\Program Files\ESET\ESET Smart Security\egui.exe blocked
12.06.2011 20:09:02 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked
12.06.2011 20:09:02 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:09:02 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{3228ef15-2b94-11e0-b010-d6a6fb222995} blocked
12.06.2011 20:09:02 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:09:02 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{3228ef15-2b94-11e0-b010-d6a6fb222995} blocked
12.06.2011 20:09:02 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:09:02 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:09:02 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{9dea862c-5cdd-4e70-acc1-f32b344d4795} blocked
12.06.2011 20:09:02 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked
12.06.2011 20:09:02 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked
12.06.2011 20:09:02 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:09:01 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{3228ef15-2b94-11e0-b010-d6a6fb222995} blocked
12.06.2011 20:09:01 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:09:01 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:09:01 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{9dea862c-5cdd-4e70-acc1-f32b344d4795} blocked
12.06.2011 20:09:01 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked
12.06.2011 20:08:57 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\wxpdrivers blocked
12.06.2011 20:08:57 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\wxpdrivers blocked
12.06.2011 20:08:57 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell blocked
12.06.2011 20:08:57 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\wxpdrivers blocked
12.06.2011 20:08:57 C:\Users\vitalik\Desktop\Flash-Player.exe open process C:\Program Files\ESET\ESET Smart Security\x86\ekrn.exe blocked
12.06.2011 20:08:57 C:\Users\vitalik\Desktop\Flash-Player.exe open process C:\Windows\System32\lsass.exe blocked
12.06.2011 20:08:57 C:\Users\vitalik\Desktop\Flash-Player.exe open process C:\Windows\System32\csrss.exe blocked
12.06.2011 20:08:57 C:\Users\vitalik\Desktop\Flash-Player.exe open process C:\Windows\System32\csrss.exe blocked
12.06.2011 20:08:57 C:\Users\vitalik\Desktop\Flash-Player.exe open process C:\Windows\System32\smss.exe blocked
12.06.2011 20:08:57 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\wxpdrivers blocked
12.06.2011 20:08:57 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\wxpdrivers blocked
12.06.2011 20:08:57 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell blocked
12.06.2011 20:08:56 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\wxpdrivers blocked
12.06.2011 20:08:56 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\wxpdrivers blocked
12.06.2011 20:08:56 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\AlternateShell blocked
12.06.2011 20:08:56 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\wxpdrivers blocked
12.06.2011 20:08:56 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell blocked
12.06.2011 20:07:35 C:\Windows\System32\winlogon.exe open process C:\Windows\System32\csrss.exe blocked
12.06.2011 20:07:35 C:\Windows\System32\winlogon.exe open process C:\Windows\System32\csrss.exe blocked
12.06.2011 20:05:37 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked
12.06.2011 20:05:37 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:05:36 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{3228ef15-2b94-11e0-b010-d6a6fb222995} blocked
12.06.2011 20:05:36 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:05:36 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{3228ef15-2b94-11e0-b010-d6a6fb222995} blocked
12.06.2011 20:05:36 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:05:36 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:05:36 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{9dea862c-5cdd-4e70-acc1-f32b344d4795} blocked
12.06.2011 20:05:36 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked
12.06.2011 20:05:36 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked
12.06.2011 20:05:36 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:05:36 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{3228ef15-2b94-11e0-b010-d6a6fb222995} blocked
12.06.2011 20:05:36 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:05:36 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:05:36 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{9dea862c-5cdd-4e70-acc1-f32b344d4795} blocked
12.06.2011 20:05:36 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked
12.06.2011 20:05:32 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked
12.06.2011 20:05:32 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:05:32 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{3228ef15-2b94-11e0-b010-d6a6fb222995} blocked
12.06.2011 20:05:32 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:05:32 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{3228ef15-2b94-11e0-b010-d6a6fb222995} blocked
12.06.2011 20:05:31 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:05:31 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:05:31 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{9dea862c-5cdd-4e70-acc1-f32b344d4795} blocked
12.06.2011 20:05:31 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked
12.06.2011 20:05:31 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked
12.06.2011 20:05:31 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:05:31 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{3228ef15-2b94-11e0-b010-d6a6fb222995} blocked
12.06.2011 20:05:31 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:05:31 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:05:31 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{9dea862c-5cdd-4e70-acc1-f32b344d4795} blocked
12.06.2011 20:05:31 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked
12.06.2011 20:05:31 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\wxpdrivers blocked
12.06.2011 20:05:31 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\wxpdrivers blocked
12.06.2011 20:05:31 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\wxpdrivers blocked
12.06.2011 20:05:31 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell blocked
12.06.2011 20:05:31 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\wxpdrivers blocked
12.06.2011 20:05:31 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\AlternateShell blocked
12.06.2011 20:05:31 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\wxpdrivers blocked
12.06.2011 20:05:31 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\wxpdrivers blocked
12.06.2011 20:05:31 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell blocked
12.06.2011 20:05:31 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\wxpdrivers blocked
12.06.2011 20:05:31 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked
12.06.2011 20:05:31 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:05:31 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{3228ef15-2b94-11e0-b010-d6a6fb222995} blocked
12.06.2011 20:05:31 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:05:31 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{3228ef15-2b94-11e0-b010-d6a6fb222995} blocked
12.06.2011 20:05:31 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:05:31 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:05:31 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{9dea862c-5cdd-4e70-acc1-f32b344d4795} blocked
12.06.2011 20:05:30 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked
12.06.2011 20:05:30 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked
12.06.2011 20:05:30 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:05:30 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{3228ef15-2b94-11e0-b010-d6a6fb222995} blocked
12.06.2011 20:05:30 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:05:30 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:05:29 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{9dea862c-5cdd-4e70-acc1-f32b344d4795} blocked
12.06.2011 20:05:29 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked
12.06.2011 20:05:29 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\wxpdrivers blocked
12.06.2011 20:05:29 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell blocked
12.06.2011 20:05:29 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\wxpdrivers blocked
12.06.2011 20:05:29 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\wxpdrivers blocked
12.06.2011 20:05:29 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell blocked
12.06.2011 20:05:29 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\wxpdrivers blocked
12.06.2011 20:05:29 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\wxpdrivers blocked
12.06.2011 20:05:28 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\AlternateShell blocked
12.06.2011 20:05:28 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\wxpdrivers blocked
12.06.2011 20:05:28 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell blocked
12.06.2011 20:05:28 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\wxpdrivers blocked
12.06.2011 20:05:28 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell blocked
12.06.2011 20:05:28 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\wxpdrivers blocked
12.06.2011 20:05:27 C:\Users\vitalik\Desktop\Flash-Player.exe open process C:\Program Files\ESET\ESET Smart Security\egui.exe blocked
12.06.2011 20:05:27 C:\Users\vitalik\Desktop\Flash-Player.exe open process C:\Program Files\ESET\ESET Smart Security\x86\ekrn.exe blocked
12.06.2011 20:05:27 C:\Users\vitalik\Desktop\Flash-Player.exe open process C:\Windows\System32\lsass.exe blocked
12.06.2011 20:05:26 C:\Users\vitalik\Desktop\Flash-Player.exe open process C:\Windows\System32\csrss.exe blocked
12.06.2011 20:05:25 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\wxpdrivers blocked
12.06.2011 20:05:25 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell blocked
12.06.2011 20:05:24 C:\Users\vitalik\Desktop\Flash-Player.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell blocked
12.06.2011 20:05:20 C:\Users\vitalik\Desktop\Flash-Player.exe open process C:\Program Files\ESET\ESET Smart Security\egui.exe blocked __________________

Лог HIPS первой беты.

Прописывается вот сюда:
HKEY_LOCAL_MACHINE\BCD00000000\*\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\*\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\*\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*\
В safe mode запускает свою службу и удаляет все что захочет. А это не важно самому перезагрузится или виря перезагрузит, там во время перезагрузки юзер может и увидит странную загрузку ПК, но будит уже поздно.

Изменено: EVE N - 26.06.2011 15:21:42

ESET Smart Security 7 - The next generation of NOD32 Technology. ESET - Essential Security against Evolving Threats

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 26.06.2011 17:10:01

так же в hosts блокируется доступ к *vk.com, *vkontakte.ru, *facebook.com, *odnoklassniki.ru, *mts.ru
---
усиленный режим в трее не висит, если не установлен антивирус

.

реакция uVS

Цитата
-------------------------------------------------------- Проверка списка... -------------------------------------------------------- Проверено файлов: 652 Найдено вирусов: 19 Запуск служб блокирован Построение списка процессов и модулей... Сбор дополнительной информации... Остановка сервисов и выгрузка драйверов... Завершение процессов... Успешно выгружен C:\WINDOWS\UPDATE.1\SVCHOST.EXE [pid=1064] Успешно выгружен C:\WINDOWS\UPDATE.1\SVCHOST.EXE [pid=1868] Успешно выгружен C:\WINDOWS\MINER2.EXE [pid=2320] Успешно выгружен C:\WINDOWS\SYSDRIVER32.EXE [pid=3316] Успешно выгружен C:\WINDOWS\UPDATE.5.0\SVCHOST.EXE [pid=3592] Успешно выгружен C:\WINDOWS\UPDATE.5.0\SVCHOST.EXE [pid=3668] Успешно выгружен C:\WINDOWS\SYSTEMUP.EXE [pid=3720] Успешно выгружен C:\WINDOWS\UPDATE.2\SVCHOST.EXE [pid=3828] Успешно выгружен C:\WINDOWS\L1REZERV.EXE [pid=3920] Успешно выгружен C:\WINDOWS\UPDATE.2\SVCHOST.EXE [pid=3940] Построение списка процессов и модулей... Анализ автозапуска... Построение списка системных модулей и драйверов... Анализ файлов в списке... Файл не найден: C:\WINDOWS\SYSTEM32\PSXSS.EXE Файл не найден: C:\WINDOWS\SYSTEM32\DRIVERS\DUMP_ATAPI.SYS Файл не найден: C:\WINDOWS\SYSTEM32\DRIVERS\DUMP_WMILIB.SYS Анализ завершен. Список готов. -------------------------------------------------------- Проверка списка... -------------------------------------------------------- Запуск служб разблокирован Завершено процессов: 10 из 10 Изменено/удалено объектов автозапуска 16 из 16 Удалено файлов: 19 из 19

Цитата

--------------------------------------------------------
Проверка списка...
--------------------------------------------------------
Проверено файлов: 652
Найдено вирусов: 19
Запуск служб блокирован
Построение списка процессов и модулей...
Сбор дополнительной информации...
Остановка сервисов и выгрузка драйверов...
Завершение процессов...
Успешно выгружен C:\WINDOWS\UPDATE.1\SVCHOST.EXE [pid=1064]
Успешно выгружен C:\WINDOWS\UPDATE.1\SVCHOST.EXE [pid=1868]
Успешно выгружен C:\WINDOWS\MINER2.EXE [pid=2320]
Успешно выгружен C:\WINDOWS\SYSDRIVER32.EXE [pid=3316]
Успешно выгружен C:\WINDOWS\UPDATE.5.0\SVCHOST.EXE [pid=3592]
Успешно выгружен C:\WINDOWS\UPDATE.5.0\SVCHOST.EXE [pid=3668]
Успешно выгружен C:\WINDOWS\SYSTEMUP.EXE [pid=3720]
Успешно выгружен C:\WINDOWS\UPDATE.2\SVCHOST.EXE [pid=3828]
Успешно выгружен C:\WINDOWS\L1REZERV.EXE [pid=3920]
Успешно выгружен C:\WINDOWS\UPDATE.2\SVCHOST.EXE [pid=3940]
Построение списка процессов и модулей...
Анализ автозапуска...
Построение списка системных модулей и драйверов...
Анализ файлов в списке...
Файл не найден: C:\WINDOWS\SYSTEM32\PSXSS.EXE
Файл не найден: C:\WINDOWS\SYSTEM32\DRIVERS\DUMP_ATAPI.SYS
Файл не найден: C:\WINDOWS\SYSTEM32\DRIVERS\DUMP_WMILIB.SYS
Анализ завершен.
Список готов.
--------------------------------------------------------
Проверка списка...
--------------------------------------------------------
Запуск служб разблокирован
Завершено процессов: 10 из 10
Изменено/удалено объектов автозапуска 16 из 16
Удалено файлов: 19 из 19

Изменено: santy - 26.06.2011 17:11:54

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 26.06.2011 18:04:01

Avast 6.0 (с необновленными базами) так же "упал" в "защищенный режим". (Вирусяка по ходу перезагрузки грузит ситему в безопасный режим,....убивает антивир, далее (автоматически) перегружает уже в нормальный режим.

Прикрепленные файлы

Avast_safe_mode.jpg (29.79 КБ)

Изменено: santy - 26.06.2011 18:04:33

[ Как создать образ автозапуска? ]

Сообщений: 1023

Баллов: 818

Регистрация: 16.03.2010

Размещено 26.06.2011 23:50:41

Так, а такой вопрос.
Я так понял, что вирус из контакта.
Пользователи скачивали какие-то файлы (вроде, обновления флеш) или заражение происходит прямо по http (т.е. при загрузке страниц)?

Изменено: marshal64 - 26.06.2011 23:52:16

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 27.06.2011 00:17:54

Цитата
marshal64 пишет: Так, а такой вопрос. Я так понял, что вирус из контакта. Пользователи скачивали какие-то файлы (вроде, обновления флеш) или заражение происходит прямо по http (т.е. при загрузке страниц)?

сообщение №9

Цитата
Полное имя C:\DOWNLOADS\ПРОГРАММЫ\FLASH-PLAYER.EXE Имя файла FLASH-PLAYER.EXE Тек. статус ВИРУС [Запускался неявно или вручную] Сохраненная информация на момент создания образа Статус [Запускался неявно или вручную] Размер 1172992 байт Создан 20.06.2011 в 20:32:43 Изменен 20.06.2011 в 20:32:54 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ

Цитата

Полное имя C:\DOWNLOADS\ПРОГРАММЫ\FLASH-PLAYER.EXE
Имя файла FLASH-PLAYER.EXE
Тек. статус ВИРУС [Запускался неявно или вручную]

Сохраненная информация на момент создания образа
Статус [Запускался неявно или вручную]
Размер 1172992 байт
Создан 20.06.2011 в 20:32:43
Изменен 20.06.2011 в 20:32:54
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ

т.е. скорее всего, скачивают к себе файлик по ссылке от "друга", и запускают flash-player.exe

[ Как создать образ автозапуска? ]

Сообщений: 1023

Баллов: 818

Регистрация: 16.03.2010

Размещено 27.06.2011 02:04:22

Цитата
т.е. скорее всего, скачивают к себе файлик по ссылке от "друга", и запускают flash-player.exe

Понятно, что называется, проблема в безграмотности пользователей...
Смысл садиться за компьютер с интернетом, если не знать элементарных правил серфинга...
Ни одно антивирусное ПО не поможет, если юзер не знает азы компьютерной безопасности.

Ответы