none
Проблема с правами RRS feed

  • Вопрос

  • Даже не знаю, как описать эту проблему

    но  , с недавних пор, перестали запускаться приложения, которым так или иначе требуются права

    в консоли сплошные "ошибка доступа"

    UAC не отключается(ни одним из способов, ползунок возвращается, реестр не редактируется)

    запустить с правами Администратора "работает", но права не всегда предаются

    при запуске в обычном режиме весьма регулярно сообщения про то что "заглушке переданы не правильные данные"

    на второй раз приложение запускается как ни в чем не бывало..

    "сносить систему"  оставляю на праздники, хотелось бы пока разобраться

    к сожалению способ по восстановлению меню пуск и иже с ним(накатить обновление системы поверх этой же системы)

    не работает по тем же причинам

    даже установка джавы или винрар или просто завершается процесс или ругается на доступ к папке или файлы, вне зависимости от запущено ли с правами администратора или нет

    27 декабря 2016 г. 13:26

Ответы

  • при чем здесь все эти советы и вопросы?

    ru_windows_7_professional_with_sp1_vl_build_x64_dvd_622441.iso

    подписки нет, инцидентов тоже.

    Уточните пожалуйста Вы подтверждаете, что копия ОС (которая поставляется только по подписке MSDN), Вами была приобретена не легально, например используя какие-либо пиратские ресурсы?

    P.S. Обсуждение и помощь по нелегально приобретенным ОС и ПО запрещено.
    "приложения" забит "Ошибка при изменении состояния  на SECURITY_PRODUCT_STATE_ON (ошибка 02000000)." от SecurityCenter
    Вообще не рекомендуется использовать более одного антивирусного продукта из-за возможных конфликтов и снижения производительности ПК. Есть предположения что виновником является один из антивирусов Eset или 360.

    Best Regards, Andrei ...

    MCP

    30 декабря 2016 г. 23:10
    Модератор

Все ответы

  • картинки вставить не дает (необходима "проверка" если допустим сторонний сервис - могу выложить)

    https://yadi.sk/i/ypNIDsI735L7QV

    https://yadi.sk/i/90gO8IhL35L7a9

    Win10 Pro 1607 14393.0(апгрейд c Win 7Pro VL)

    ставилось с MSDN образа, обновлялось MediaCreationToolx64(и еще раз ,при решении проблем с меню Пуск) и потом Windows10Upgrade

    обновляется самостоятельно(или через WSUS, или периодически вручную)

    последние поставить не может , по причине сабжа

    стоит ESET Endpoint Security 2й год 

    проверки не возможны по той же причине

    выяснилось собственно при попытке развернуть PXE, при монтировании imagex, dism, net и тд - "Отказано в доступе"

    2016-12-27 18:07:45, Info                  DISM   PID=21588 TID=18840 Scratch directory set to 'D:\TEMP\User\'. - CDISMManager::put_ScratchDir
    2016-12-27 18:07:45, Info                  DISM   PID=21588 TID=18840 DismCore.dll version: 10.0.14393.0 - CDISMManager::FinalConstruct
    2016-12-27 18:07:45, Info                  DISM   Try to initialize Panther logging 1 times, last error: 0x0
    2016-12-27 18:07:45, Info                  DISM   PID=21588 TID=18840 Successfully loaded the ImageSession at "C:\WINDOWS\System32\Dism" - CDISMManager::LoadLocalImageSession
    2016-12-27 18:07:45, Info                  DISM   Try to initialize Panther logging 1 times, last error: 0x0
    2016-12-27 18:07:45, Info                  DISM   DISM Provider Store: PID=21588 TID=18840 Found and Initialized the DISM Logger. - CDISMProviderStore::Internal_InitializeLogger
    2016-12-27 18:07:45, Info                  DISM   DISM Provider Store: PID=21588 TID=18840 Failed to get and initialize the PE Provider.  Continuing by assuming that it is not a WinPE image. - CDISMProviderStore::Final_OnConnect
    2016-12-27 18:07:45, Info                  DISM   DISM Provider Store: PID=21588 TID=18840 Finished initializing the Provider Map. - CDISMProviderStore::Final_OnConnect
    2016-12-27 18:07:45, Info                  DISM   DISM Provider Store: PID=21588 TID=18840 Getting Provider DISMLogger - CDISMProviderStore::GetProvider
    2016-12-27 18:07:45, Info                  DISM   DISM Provider Store: PID=21588 TID=18840 Provider has previously been initialized.  Returning the existing instance. - CDISMProviderStore::Internal_GetProvider
    2016-12-27 18:07:45, Info                  DISM   Try to initialize Panther logging 1 times, last error: 0x0
    2016-12-27 18:07:45, Info                  DISM   DISM Provider Store: PID=21588 TID=18840 Getting Provider DISMLogger - CDISMProviderStore::GetProvider
    2016-12-27 18:07:45, Info                  DISM   DISM Provider Store: PID=21588 TID=18840 Provider has previously been initialized.  Returning the existing instance. - CDISMProviderStore::Internal_GetProvider
    2016-12-27 18:07:45, Info                  DISM   DISM Manager: PID=21588 TID=18840 Successfully created the local image session and provider store. - CDISMManager::CreateLocalImageSession
    2016-12-27 18:07:45, Info                  DISM   DISM Provider Store: PID=21588 TID=18840 Getting Provider DISMLogger - CDISMProviderStore::GetProvider
    2016-12-27 18:07:45, Info                  DISM   DISM Provider Store: PID=21588 TID=18840 Provider has previously been initialized.  Returning the existing instance. - CDISMProviderStore::Internal_GetProvider
    2016-12-27 18:07:45, Info                  DISM   DISM.EXE: 
    2016-12-27 18:07:45, Info                  DISM   DISM.EXE: <----- Starting Dism.exe session ----->
    2016-12-27 18:07:45, Info                  DISM   DISM.EXE: 
    2016-12-27 18:07:45, Info                  DISM   DISM.EXE: Host machine information: OS Version=10.0.14393, Running architecture=amd64, Number of processors=4
    2016-12-27 18:07:45, Info                  DISM   DISM.EXE: Dism.exe version: 10.0.14393.0
    2016-12-27 18:07:45, Info                  DISM   DISM.EXE: Executing command line: dism  /online /cleanup-image /restorehealth
    2016-12-27 18:07:45, Info                  DISM   DISM Provider Store: PID=21588 TID=18840 Getting Provider FolderManager - CDISMProviderStore::GetProvider
    2016-12-27 18:07:45, Info                  DISM   DISM Provider Store: PID=21588 TID=18840 Provider has not previously been encountered.  Attempting to initialize the provider. - CDISMProviderStore::Internal_GetProvider
    2016-12-27 18:07:45, Info                  DISM   DISM Provider Store: PID=21588 TID=18840 Loading Provider from location C:\WINDOWS\System32\Dism\FolderProvider.dll - CDISMProviderStore::Internal_GetProvider
    2016-12-27 18:07:45, Info                  DISM   DISM Provider Store: PID=21588 TID=18840 Connecting to the provider located at C:\WINDOWS\System32\Dism\FolderProvider.dll. - CDISMProviderStore::Internal_LoadProvider
    2016-12-27 18:07:45, Info                  DISM   DISM Manager: PID=21588 TID=18840 physical location path: C:\ - CDISMManager::CreateImageSession
    2016-12-27 18:07:45, Info                  DISM   DISM Manager: PID=21588 TID=18840 Event name for current DISM session is Global\{CB8C1DD0-0041-468E-A9C4-569E6D2C94F9} - CDISMManager::CheckSessionAndLock
    2016-12-27 18:07:45, Info                  DISM   DISM Manager: PID=21588 TID=18840 Create session event 0x170 for current DISM session and event name is Global\{CB8C1DD0-0041-468E-A9C4-569E6D2C94F9}  - CDISMManager::CheckSessionAndLock
    2016-12-27 18:07:45, Info                  DISM   DISM Manager: PID=21588 TID=18840 Copying DISM from "C:\WINDOWS\System32\Dism" - CDISMManager::CreateImageSessionFromLocation
    2016-12-27 18:07:47, Error                 DISM   DismHostLib: Failed to create dismhost.exe servicing process.
    2016-12-27 18:07:47, Error                 DISM   DISM Manager: PID=21588 TID=18840 Failed to create Dism Image Session in host. - CDISMManager::LoadRemoteImageSession(hr:0x80070005)
    2016-12-27 18:07:47, Warning               DISM   DISM Manager: PID=21588 TID=18840 A problem ocurred loading the image session. Retrying...  - CDISMManager::CreateImageSession(hr:0x80070005)
    2016-12-27 18:07:47, Info                  DISM   DISM Manager: PID=21588 TID=18840 Copying DISM from "C:\WINDOWS\System32\Dism" - CDISMManager::CreateImageSessionFromLocation
    2016-12-27 18:07:47, Error                 DISM   DismHostLib: Failed to create dismhost.exe servicing process.
    2016-12-27 18:07:47, Error                 DISM   DISM Manager: PID=21588 TID=18840 Failed to create Dism Image Session in host. - CDISMManager::LoadRemoteImageSession(hr:0x80070005)
    2016-12-27 18:07:47, Error                 DISM   DISM Manager: PID=21588 TID=18840 Failed to load the image session from the temporary location: D:\TEMP\User\BC847D30-5D2E-46CE-BE73-643DAF9B55B7 - CDISMManager::CreateImageSession(hr:0x80070005)
    2016-12-27 18:07:47, Error                 DISM   DISM.EXE: Could not load the image session. HRESULT=80070005
    2016-12-27 18:07:47, Error                 DISM   DISM.EXE: Unable to start the servicing process for the image at 'C:\'. HRESULT=80070005
    2016-12-27 18:07:47, Info                  DISM   DISM.EXE: Image session has been closed. Reboot required=no.
    2016-12-27 18:07:47, Info                  DISM   DISM.EXE: 
    2016-12-27 18:07:47, Info                  DISM   DISM.EXE: <----- Ending Dism.exe session ----->
    2016-12-27 18:07:47, Info                  DISM   DISM.EXE: 
    2016-12-27 18:07:47, Info                  DISM   DISM Provider Store: PID=21588 TID=18840 Found the OSServices.  Waiting to finalize it until all other providers are unloaded. - CDISMProviderStore::Final_OnDisconnect
    2016-12-27 18:07:47, Info                  DISM   DISM Provider Store: PID=21588 TID=18840 Disconnecting Provider: FolderManager - CDISMProviderStore::Internal_DisconnectProvider
    2016-12-27 18:07:47, Info                  DISM   DISM Provider Store: PID=21588 TID=18840 Releasing the local reference to DISMLogger.  Stop logging. - CDISMProviderStore::Internal_DisconnectProvider

    криптографического нет(только ру токен для доп авторизации, стоит 2й год)



    27 декабря 2016 г. 15:16
  • Добрый день.

    Вы выполнили:

    Проверьте систему офлайн Антивирусом Kaspersky Rescue Disk 

    Проверьте целостность системных файлов sfc /scannow

    Причем здесь PXE это серверная технология.

    https://yadi.sk/i/ypNIDsI735L7QV суда по скрину, проблема с правами на сервере Fileserver


    Я не волшебник, я только учусь MCP, MCTS, CCNA. Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся инфорmация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, IT Обзоры. Twitter.

    27 декабря 2016 г. 15:34
    Модератор
  • проверка каспером пока не возможна

    скрин с результатами sfc

    при распаковке wim файлов при помощи пакета AIK

    и выплыло то, что многие операции с системными файлами теперь не доступны

    ошибка доступа на установку и с локальных папок(после конкретной следом еще и ошибка доступа к папке C:\Program Files\WinRAR)

    если принципиально - могу сделать скрин 

    и еще

    нового пользователя создавал(все тоже самое)

    Администратора разморозил...не помогло

    27 декабря 2016 г. 16:29
  • проверка каспером пока не возможна

    скрин с результатами sfc

    при распаковке wim файлов при помощи пакета AIK

    и выплыло то, что многие операции с системными файлами теперь не доступны

    ошибка доступа на установку и с локальных папок(после конкретной следом еще и ошибка доступа к папке C:\Program Files\WinRAR)

    если принципиально - могу сделать скрин 

    и еще

    нового пользователя создавал(все тоже самое)

    Администратора разморозил...не помогло

    Добрый день.

    На сколько я помню: Win10 Pro 1607 14393.0(апгрейд c Win 7Pro VL) в рамках бесплатного перехода на Windows 10 недопустим переход с Win 7Pro VL, только при наличие подписки SA

    Вы о чем?

    При чем здесь .wim файлы, AIK.

    Начните с:

    Проверьте систему офлайн Антивирусом Kaspersky Rescue Disk 

    Проверьте целостность системных файлов sfc /scannow


    Я не волшебник, я только учусь MCP, MCTS, CCNA. Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся инфорmация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, IT Обзоры. Twitter.


    27 декабря 2016 г. 16:34
    Модератор
  • Добрый день.

    Не понятно одно:

    Что вы сделали с ос, после чего ос стала вести себя так?

    Вам задаешь вопросы, вы отвечаете мягко говоря "у вас спрашивают про Емелю вы отвечаете про Наташу". При использовании PXE вам нужен дистрибутив ос, а именно файлы boot.wim и install.wim.

    Вас попросили выполнить инструкции, а именно:

    Проверьте систему офлайн Антивирусом Kaspersky Rescue Disk, почему именно офлайн - потому что проверка производится при загрузки с носителя Kaspersky Rescue Disk

    Проверьте целостность системных файлов sfc /scannow и выложите результат выполнения sfc /scannow

    Посмотрите есть какие либо события в Event View

    Покажите пожалуйста лог сторонней антивирусной утилиты FRST, согласно следующей инструкции:
    - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    [*]Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    [*]Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

    [*]Нажмите кнопку Scan.
    [*]После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    [*]Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


    Я не волшебник, я только учусь MCP, MCTS, CCNA. Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся инфорmация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, IT Обзоры. Twitter.

    27 декабря 2016 г. 17:54
    Модератор
  • --Не понятно одно:

    --Что вы сделали с ос, после чего ос стала вести себя так?

    в том то и оно, что из нововведений только AIK

    --Проверьте целостность системных файлов  sfc /scannow и выложите результат выполнения

    на одном из скриншотов результат...уже не раз про это писал

    --Посмотрите есть какие либо события в Event View

    "приложения" забит "Ошибка при изменении состояния  на SECURITY_PRODUCT_STATE_ON (ошибка 02000000)." от SecurityCenter

    "система" встречаются "Служба "Служба предварительной оценки Windows" неожиданно прервана. Это произошло (раз): 6." и др с тем же смыслом

    --Покажите пожалуйста лог сторонней антивирусной утилиты FRST, согласно следующей инструкции:

    собственно в логах это все есть

    https://yadi.sk/d/MlO_PVF335UFAB

    https://yadi.sk/d/P0CNrem235UFUs

    сейчас перегружусь с каспером и продолжу...

    28 декабря 2016 г. 8:26
  • 2 часа в пустую

    единственное за что зацепился каспер - остатки mobogenie

    -куть

    Проверка объектов: завершено 1 минуту назад   (событий: 4, объектов: 3503868, время: 02:04:55)
    28.12.16 11:56 Задача запущена
    28.12.16 12:29 Обнаружено: not-a-virus:AdWare.WinLNK.Clicker.h C:/Users/User/AppData/Local/Mobogenie/Version/OldVersion/Mobogenie/Mobogenie.url
    28.12.16 12:29 Не вылечено: not-a-virus:AdWare.WinLNK.Clicker.h C:/Users/User/AppData/Local/Mobogenie/Version/OldVersion/Mobogenie/Mobogenie.url Отложено
    28.12.16 14:01 Задача завершена

    28 декабря 2016 г. 11:29
  • ставилось с MSDN образа,


    Какая именно подписка? Инциденты поддержки в ней есть?
    29 декабря 2016 г. 10:01
    Модератор
  • при чем здесь все эти советы и вопросы?

    ru_windows_7_professional_with_sp1_vl_build_x64_dvd_622441.iso

    подписки нет, инцидентов тоже..

    система не одна в офисе, ставилось все приблизительно одинаково(и антивирусы и офисы у всех одни и те же, ровно как и др список софта)

    апгрейдилось тоже

    если "проблема с меню пуск" практически у всех появилась

    то эта проблема с правами только на моем ПК, хотя сообщения о "заглушке" появляются у многих

    29 декабря 2016 г. 11:19
  • после, несколько затянувшейся, вводной теперь мы сможем выяснить , проверить и устранить проблему с доступом?

    а то уж очень не хочется сносить систему...

    ЗЫ: и кстати, посеяв зерно сомнения про легитимность, опять запросил МС и дистриба...действительно поменялась концепция для КМС и МАК теперь предлагается Апгрейд за 90%(9907р) стоимости лицензии 0_о но это уже другая история...

    29 декабря 2016 г. 16:41
  • при чем здесь все эти советы и вопросы?

    подписки нет, инцидентов тоже..

    Вопросы для того, чтобы выяснить, ставите Вы честную систему или пиратку. Пиратки здесь не обсуждаются, как бы Вам не было это необходимо.
    29 декабря 2016 г. 18:16
    Модератор
  • при чем здесь все эти советы и вопросы?

    ru_windows_7_professional_with_sp1_vl_build_x64_dvd_622441.iso

    подписки нет, инцидентов тоже.

    Уточните пожалуйста Вы подтверждаете, что копия ОС (которая поставляется только по подписке MSDN), Вами была приобретена не легально, например используя какие-либо пиратские ресурсы?

    P.S. Обсуждение и помощь по нелегально приобретенным ОС и ПО запрещено.
    "приложения" забит "Ошибка при изменении состояния  на SECURITY_PRODUCT_STATE_ON (ошибка 02000000)." от SecurityCenter
    Вообще не рекомендуется использовать более одного антивирусного продукта из-за возможных конфликтов и снижения производительности ПК. Есть предположения что виновником является один из антивирусов Eset или 360.

    Best Regards, Andrei ...

    MCP

    30 декабря 2016 г. 23:10
    Модератор
  • сейчас из кабинета доступен образ

    SW_DVD5_Win_Pro_7_64BIT_Russian_Full_MLF_X15-71236.ISO

    или

    SW_DVD5_Win_Pro_7w_SP1_64BIT_Russian_-2_MLF_X17-59431.ISO

    9 января 2017 г. 10:22
  • всех с прошедшими

    может не ясно выразился, поэтому повторюсь

    в офисе два вида Win7Pro OEM и VL

    последние ставились с образа

    ru_windows_7_professional_with_sp1_vl_build_x64_dvd_622441.iso

    далее апгрейд их был инициирован GXA, ну или как он там "ненавязчивый" звался?...

    или при помощи утилиты MediaCreationTool и/или созданной ей загрузочной флешки

    надеюсь теперь оффтопа избежим? ;)

    360 стоит давно, и до сей поры не мешал

    увы удалить теперь его нет возможности(если только не "руками")

    9 января 2017 г. 10:22
  • О каком кабинете идет речь? На проблемном ПК с ОС Windows 10 с каким типом лицензирования приобреталась лицензия OEM, VL или иной?
    собственно в логах это все есть

    https://yadi.sk/d/MlO_PVF335UFAB

    https://yadi.sk/d/P0CNrem235UFUs

    сейчас перегружусь с каспером и продолжу...



    Лог утилиты FRST можете удалять. Пробовали удалить один из антивирусов eset или 360?

    • Закройте и сохраните все открытые приложения.
    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint: CloseProcesses: HKLM-x32\...\Run: [] => [X] ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => -> No File GroupPolicy: Restriction - Chrome <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION HKU\S-1-5-21-3140122978-3141205315-3990121527-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> D:\Java\bin\ssv.dll => No File BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> D:\Java\bin\jp2ssv.dll => No File FF Extension: (No Name) - C:\Program Files (x86)\WebexpEnhancedV1\WebexpEnhancedV1alpha354\ff [not found] FF Extension: (No Name) - C:\Program Files (x86)\VideoPlayerV3\VideoPlayerV3beta818\ff [not found] FF Extension: (No Name) - C:\Program Files (x86)\MediaPlayerV1\MediaPlayerV1alpha1052\ff [not found] FF Extension: (No Name) - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\ascsurfingprotection@iobit.com [not found] FF Extension: (No Name) - C:\Program Files (x86)\IObit Apps Toolbar\FF [not found] FF Extension: (No Name) - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\adremoveext@adremoveext.net [not found] FF Plugin: @drweb.com/npbrowsebtn,version=10.00.0.201409250 -> C:\Program Files\DrWeb Enterprise Browser Plugins\\npbrowsebtn64.dll [No File] FF Plugin: @drweb.com/npbrowsebtn,version=10.00.0.201504030 -> C:\Program Files\DrWeb Enterprise Browser Plugins\\npbrowsebtn64.dll [No File] FF Plugin: @drweb.com/npdbstorage,version=10.00.0.201409250 -> C:\Program Files\DrWeb Enterprise Browser Plugins\\npdbstorage64.dll [No File] FF Plugin: @drweb.com/npdbstorage,version=10.00.0.201504030 -> C:\Program Files\DrWeb Enterprise Browser Plugins\\npdbstorage64.dll [No File] FF Plugin: @drweb.com/npinshelper,version=10.00.0.201409250 -> C:\Program Files\DrWeb Enterprise Browser Plugins\\npinshelper64.dll [No File] FF Plugin: @drweb.com/npinshelper,version=10.00.0.201504030 -> C:\Program Files\DrWeb Enterprise Browser Plugins\\npinshelper64.dll [No File] FF Plugin: @drweb.com/nplocatesrv,version=10.00.0.201409250 -> C:\Program Files\DrWeb Enterprise Browser Plugins\\nplocatesrv64.dll [No File] FF Plugin: @drweb.com/nplocatesrv,version=10.00.0.201504030 -> C:\Program Files\DrWeb Enterprise Browser Plugins\\nplocatesrv64.dll [No File] FF Plugin: @drweb.com/nportscan,version=10.00.0.201409250 -> C:\Program Files\DrWeb Enterprise Browser Plugins\\nportscan64.dll [No File] FF Plugin: @drweb.com/nportscan,version=10.00.0.201504030 -> C:\Program Files\DrWeb Enterprise Browser Plugins\\nportscan64.dll [No File] FF Plugin: adobe.com/AdobeExManDetect -> C:\Program Files (x86)\Adobe\Adobe Extension Manager CS6\Win64Plugin\npAdobeExManDetectX64.dll [No File] FF Plugin-x32: @java.com/DTPlugin,version=11.101.2 -> D:\Java\bin\dtplugin\npDeployJava1.dll [No File] FF Plugin-x32: @java.com/JavaPlugin,version=11.101.2 -> D:\Java\bin\plugin2\npjp2.dll [No File] FF Plugin-x32: @vmware.com/client-support,version=5.1.0.00000 -> C:\Program Files (x86)\VMware\Client Integration Plug-in 5.1\ClientSupportTools\np-vmware-client-support.dll [No File] FF Plugin-x32: @vmware.com/vmrc,version=2.5.0.00000 -> C:\Program Files (x86)\Common Files\VMware\VMware VMRC Plug-in\Firefox\np-vmware-vmrc.dll [No File] FF Plugin-x32: @vmware.com/vmrc,version=5.1.0.00000 -> C:\Program Files (x86)\Common Files\VMware\VMware Remote Console Plug-in 5.1\Firefox\np-vmware-vmrc.dll [No File] CHR Plugin: (Shockwave Flash) - C:\Users\User\AppData\Local\Google\Chrome\Application\55.0.2883.87\PepperFlash\pepflashplayer.dll => No File CHR Plugin: (Native Client) - C:\Users\User\AppData\Local\Google\Chrome\Application\55.0.2883.87\ppGoogleNaClPluginChrome.dll => No File CHR Plugin: (Chrome PDF Viewer) - C:\Users\User\AppData\Local\Google\Chrome\Application\55.0.2883.87\pdf.dll => No File CHR Plugin: (Adobe Acrobat) - C:\Program Files (x86)\Adobe\Acrobat 10.0\Acrobat\Browser\nppdf32.dll => No File CHR Plugin: (VMware Remote Console Plug-in) - C:\Program Files (x86)\Common Files\VMware\VMware Remote Console Plug-in 5.1\Firefox\np-vmware-vmrc.dll => No File CHR Plugin: (VMware Remote Console and Client Integration Plug-in) - C:\Program Files (x86)\Common Files\VMware\VMware VMRC Plug-in\Firefox\np-vmware-vmrc.dll => No File CHR Plugin: (DivX VOD Helper Plug-in) - C:\Program Files (x86)\DivX\DivX OVS Helper\npovshelper.dll => No File CHR Plugin: (DivX Plus Web Player) - C:\Program Files (x86)\DivX\DivX Plus Web Player\npdivx32.dll => No File CHR Plugin: (Google Update) - C:\Program Files (x86)\Google\Update\1.3.21.135\npGoogleUpdate3.dll => No File CHR Plugin: (Java(TM) Platform SE 6 U39) - C:\Program Files (x86)\Java\jre6\bin\plugin2\npjp2.dll => No File CHR Plugin: (Silverlight Plug-In) - C:\Program Files (x86)\Microsoft Silverlight\5.1.10411.0\npctrl.dll => No File CHR Plugin: (Nokia Suite Enabler Plugin) - C:\Program Files (x86)\Nokia\Nokia Suite\npNokiaSuiteEnabler.dll => No File CHR Plugin: (Java Deployment Toolkit 6.0.390.4) - C:\Windows\SysWOW64\npdeployJava1.dll => No File CHR Plugin: (Shockwave for Director) - C:\Windows\system32\Adobe\Director\np32dsw.dll => No File CHR Extension: (Tampermonkey) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2016-12-16] CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-3140122978-3141205315-3990121527-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\User\AppData\Local\Google\Drive\apdfllckaahabafndbhieahigkjlhalf_live.crx <not found=""> CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - hxxps://clients2.google.com/service/update2/crx CustomCLSID: HKU\S-1-5-21-3140122978-3141205315-3990121527-1000_Classes\CLSID\{0E270DAA-1BE6-48F2-AC49-73F84D73C6A0}\InprocServer32 -> %%systemroot%%\system32\shell32.dll => No File CustomCLSID: HKU\S-1-5-21-3140122978-3141205315-3990121527-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-3140122978-3141205315-3990121527-1000_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.30.3\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-3140122978-3141205315-3990121527-1000_Classes\CLSID\{59B55F04-DE14-4BB8-92FF-C4A22EF2E5F4}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.31.5\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-3140122978-3141205315-3990121527-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-3140122978-3141205315-3990121527-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-3140122978-3141205315-3990121527-1000_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-3140122978-3141205315-3990121527-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-3140122978-3141205315-3990121527-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-3140122978-3141205315-3990121527-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-3140122978-3141205315-3990121527-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => No File Task: {152B043C-8A8D-4BC7-B58C-9FB632FB8F29} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION Task: {557DFD29-21CC-4E37-B085-A10BAAD2F7E9} - \cFos\Registration Tasks\Open Browser -> No File <==== ATTENTION AlternateDataStreams: C:\win7:$WIMMOUNTDATA [498] AlternateDataStreams: C:\ProgramData\TEMP:5CB1E0D3 [376] AlternateDataStreams: C:\ProgramData\TEMP:8DE37BC3 [264] AlternateDataStreams: C:\Users\Все пользователи\TEMP:5CB1E0D3 [376] AlternateDataStreams: C:\Users\Все пользователи\TEMP:8DE37BC3 [264] MSCONFIG\startupreg: mobilegeni daemon => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe Reboot:

    • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
    • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер возможно будет перезагружен.



    Best Regards, Andrei ...

    MCP

    • Изменено SQxModerator 10 января 2017 г. 21:30 добавлено
    10 января 2017 г. 21:23
    Модератор
  • "кабинет" майкрософт, "ключи и загрузки"

    попробую скрипт

    а антивири, ровно как и чтото другое системное не удаляется..уже писал

    даже winrar или java обновить/переустановить не получается

    "Нет доступа к папке"

    11 января 2017 г. 9:06
  • не помогло (

    Error: (0) Failed to create a restore point.
    Processes closed successfully.
    HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\ => value could not remove.
    "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\GDriveSharedOverlay" => key removed successfully
    HKCR\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => key not found. 
    
    "C:\WINDOWS\system32\GroupPolicy\Machine" folder move:
    
    Could not move "C:\WINDOWS\system32\GroupPolicy\Machine" => Scheduled to move on reboot.
    
    Could not move "C:\WINDOWS\system32\GroupPolicy\GPT.ini" => Scheduled to move on reboot.
    Could not move "C:\WINDOWS\SysWOW64\GroupPolicy\GPT.ini" => Scheduled to move on reboot.
    "HKLM\SOFTWARE\Policies\Google" => key removed successfully
    "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" => key removed successfully
    "HKU\S-1-5-21-3140122978-3141205315-3990121527-1000\SOFTWARE\Policies\Microsoft\Internet Explorer" => key removed successfully
    "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}" => key removed successfully
    "HKCR\Wow6432Node\CLSID\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}" => key removed successfully
    "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8984B388-A5BB-4DF7-B274-77B879E179DB}" => key removed successfully
    HKCR\Wow6432Node\CLSID\{8984B388-A5BB-4DF7-B274-77B879E179DB} => key not found. 
    "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}" => key removed successfully
    HKCR\Wow6432Node\CLSID\{D5FEC983-01DB-414a-9456-AF95AC9ED7B5} => key not found. 
    "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}" => key removed successfully
    "HKCR\Wow6432Node\CLSID\{DBC80044-A445-435b-BC74-9C25C1C588A9}" => key removed successfully
    C:\Program Files (x86)\WebexpEnhancedV1\WebexpEnhancedV1alpha354\ff => path removed successfully
    C:\Program Files (x86)\VideoPlayerV3\VideoPlayerV3beta818\ff => path removed successfully
    C:\Program Files (x86)\MediaPlayerV1\MediaPlayerV1alpha1052\ff => path removed successfully
    C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\ascsurfingprotection@iobit.com => path removed successfully
    C:\Program Files (x86)\IObit Apps Toolbar\FF => path removed successfully
    C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\adremoveext@adremoveext.net => path removed successfully
    "HKLM\Software\MozillaPlugins\@drweb.com/npbrowsebtn,version=10.00.0.201409250" => key removed successfully
    "HKLM\Software\MozillaPlugins\@drweb.com/npbrowsebtn,version=10.00.0.201504030" => key removed successfully
    "HKLM\Software\MozillaPlugins\@drweb.com/npdbstorage,version=10.00.0.201409250" => key removed successfully
    "HKLM\Software\MozillaPlugins\@drweb.com/npdbstorage,version=10.00.0.201504030" => key removed successfully
    "HKLM\Software\MozillaPlugins\@drweb.com/npinshelper,version=10.00.0.201409250" => key removed successfully
    "HKLM\Software\MozillaPlugins\@drweb.com/npinshelper,version=10.00.0.201504030" => key removed successfully
    "HKLM\Software\MozillaPlugins\@drweb.com/nplocatesrv,version=10.00.0.201409250" => key removed successfully
    "HKLM\Software\MozillaPlugins\@drweb.com/nplocatesrv,version=10.00.0.201504030" => key removed successfully
    "HKLM\Software\MozillaPlugins\@drweb.com/nportscan,version=10.00.0.201409250" => key removed successfully
    "HKLM\Software\MozillaPlugins\@drweb.com/nportscan,version=10.00.0.201504030" => key removed successfully
    "HKLM\Software\MozillaPlugins\adobe.com/AdobeExManDetect" => key removed successfully
    "HKLM\Software\Wow6432Node\MozillaPlugins\@java.com/DTPlugin,version=11.101.2" => key removed successfully
    "HKLM\Software\Wow6432Node\MozillaPlugins\@java.com/JavaPlugin,version=11.101.2" => key removed successfully
    "HKLM\Software\Wow6432Node\MozillaPlugins\@vmware.com/client-support,version=5.1.0.00000" => key removed successfully
    "HKLM\Software\Wow6432Node\MozillaPlugins\@vmware.com/vmrc,version=2.5.0.00000" => key removed successfully
    "HKLM\Software\Wow6432Node\MozillaPlugins\@vmware.com/vmrc,version=5.1.0.00000" => key removed successfully
    C:\Users\User\AppData\Local\Google\Chrome\Application\55.0.2883.87\PepperFlash\pepflashplayer.dll => not found.
    C:\Users\User\AppData\Local\Google\Chrome\Application\55.0.2883.87\ppGoogleNaClPluginChrome.dll => not found.
    C:\Users\User\AppData\Local\Google\Chrome\Application\55.0.2883.87\pdf.dll => not found.
    C:\Program Files (x86)\Adobe\Acrobat 10.0\Acrobat\Browser\nppdf32.dll => not found.
    C:\Program Files (x86)\Common Files\VMware\VMware Remote Console Plug-in 5.1\Firefox\np-vmware-vmrc.dll => not found.
    C:\Program Files (x86)\Common Files\VMware\VMware VMRC Plug-in\Firefox\np-vmware-vmrc.dll => not found.
    C:\Program Files (x86)\DivX\DivX OVS Helper\npovshelper.dll => not found.
    C:\Program Files (x86)\DivX\DivX Plus Web Player\npdivx32.dll => not found.
    C:\Program Files (x86)\Google\Update\1.3.21.135\npGoogleUpdate3.dll => not found.
    C:\Program Files (x86)\Java\jre6\bin\plugin2\npjp2.dll => not found.
    C:\Program Files (x86)\Microsoft Silverlight\5.1.10411.0\npctrl.dll => not found.
    C:\Program Files (x86)\Nokia\Nokia Suite\npNokiaSuiteEnabler.dll => not found.
    C:\Windows\SysWOW64\npdeployJava1.dll => not found.
    C:\Windows\system32\Adobe\Director\np32dsw.dll => not found.
    C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo => moved successfully
    "HKLM\SOFTWARE\Google\Chrome\Extensions\flliilndjeohchalpbbcdekjklbdgfkk" => key removed successfully
    "HKU\S-1-5-21-3140122978-3141205315-3990121527-1000\SOFTWARE\Google\Chrome\Extensions\apdfllckaahabafndbhieahigkjlhalf" => key removed successfully
    "HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\flliilndjeohchalpbbcdekjklbdgfkk" => key removed successfully
    "HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\gdknicmnhbaajdglbinpahhapghpakch" => key removed successfully
    "HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\gehngeifmelphpllncobkmimphfkckne" => key removed successfully
    "HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\jedelkhanefmcnpappfhachbpnlhomai" => key removed successfully
    "HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\pganlglbhgfjfgopijbhemcpbehjnpia" => key removed successfully
    "HKU\S-1-5-21-3140122978-3141205315-3990121527-1000_Classes\CLSID\{0E270DAA-1BE6-48F2-AC49-73F84D73C6A0}" => key removed successfully
    "HKU\S-1-5-21-3140122978-3141205315-3990121527-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}" => key removed successfully
    "HKU\S-1-5-21-3140122978-3141205315-3990121527-1000_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}" => key removed successfully
    "HKU\S-1-5-21-3140122978-3141205315-3990121527-1000_Classes\CLSID\{59B55F04-DE14-4BB8-92FF-C4A22EF2E5F4}" => key removed successfully
    "HKU\S-1-5-21-3140122978-3141205315-3990121527-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}" => key removed successfully
    "HKU\S-1-5-21-3140122978-3141205315-3990121527-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}" => key removed successfully
    "HKU\S-1-5-21-3140122978-3141205315-3990121527-1000_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}" => key removed successfully
    "HKU\S-1-5-21-3140122978-3141205315-3990121527-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}" => key removed successfully
    "HKU\S-1-5-21-3140122978-3141205315-3990121527-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}" => key removed successfully
    "HKU\S-1-5-21-3140122978-3141205315-3990121527-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}" => key removed successfully
    "HKU\S-1-5-21-3140122978-3141205315-3990121527-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}" => key removed successfully
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{152B043C-8A8D-4BC7-B58C-9FB632FB8F29}" => key removed successfully
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{152B043C-8A8D-4BC7-B58C-9FB632FB8F29}" => key removed successfully
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\OfficeSoftwareProtectionPlatform\SvcRestartTask" => key removed successfully
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{557DFD29-21CC-4E37-B085-A10BAAD2F7E9}" => key removed successfully
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{557DFD29-21CC-4E37-B085-A10BAAD2F7E9}" => key removed successfully
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\cFos\Registration Tasks\Open Browser" => key removed successfully
    C:\win7 => ":$WIMMOUNTDATA" ADS removed successfully.
    C:\ProgramData\TEMP => ":5CB1E0D3" ADS removed successfully.
    C:\ProgramData\TEMP => ":8DE37BC3" ADS removed successfully.
    "C:\Users\Все пользователи\TEMP" => ":5CB1E0D3" ADS not found.
    "C:\Users\Все пользователи\TEMP" => ":8DE37BC3" ADS not found.
    "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon" => key removed successfully


    11 января 2017 г. 9:21
  • Соберите пожалуйста, следующие логи:

    1) Сторонней антивирусной утилиты HiJackThis
    - Нажмите на кнопку "Do a system scan and save a logfile". Сохраните лог. По умолчанию лог сохраняется в папке программы с именем hijackthis.log.
    2) Сторонней антивирусной утилиты AVZ
    - Распакуйте из архива Антивирусную утилиту AVZ и поместите в новую отдельную папку. Запустите AVZ и обновите базы ("Файл" => "Обновление баз"), после чего закройте AVZ.
    - Запустите AVZ*
    . Откройте в меню "Файл"=>"Стандартные скрипты" и отметьте пункт "Скрипт сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог будет сохранен в директории AVZ в папке LOG в архиве virusinfo_syscheck.zip.

    Приложите полученные логи на файловое хранилище (например onedrive).


    Best Regards, Andrei ...

    MCP

    • Изменено SQxModerator 11 января 2017 г. 9:32 добавлено
    11 января 2017 г. 9:32
    Модератор
  • мне конечно не то что бы сложно,

    но проблема явно не в этом,

    что предыдущие антивири и подтвердили

    и зная "приколы" от МС..явно чтото с рееестром..но изза прав.. или с флешки грузится и править..или, все к чему сразу мозг вел, тупо переставить ОС..

    11 января 2017 г. 11:01
  • 1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
     Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
    Функция kernel32.dll:ReadConsoleInputExA (1115) перехвачена, метод ProcAddressHijack.GetProcAddress ->75F2ABF1->77103030
    Функция kernel32.dll:ReadConsoleInputExW (1116) перехвачена, метод ProcAddressHijack.GetProcAddress ->75F2AC24->77103060
     Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Функция ntdll.dll:NtCreateFile (271) перехвачена, метод ProcAddressHijack.GetProcAddress ->778DE150->5D103260
    Функция ntdll.dll:NtSetInformationFile (564) перехвачена, метод ProcAddressHijack.GetProcAddress ->778DDE70->5D103680
    Функция ntdll.dll:NtSetValueKey (596) перехвачена, метод ProcAddressHijack.GetProcAddress ->778DE200->5D136B90
    Функция ntdll.dll:ZwCreateFile (1733) перехвачена, метод ProcAddressHijack.GetProcAddress ->778DE150->5D103260
    Функция ntdll.dll:ZwSetInformationFile (2024) перехвачена, метод ProcAddressHijack.GetProcAddress ->778DDE70->5D103680
    Функция ntdll.dll:ZwSetValueKey (2056) перехвачена, метод ProcAddressHijack.GetProcAddress ->778DE200->5D136B90
     Анализ user32.dll, таблица экспорта найдена в секции .text
    Функция user32.dll:CallNextHookEx (1534) перехвачена, метод ProcAddressHijack.GetProcAddress ->76327CC0->5D102FE0
    Функция user32.dll:SetWindowsHookExW (2351) перехвачена, метод ProcAddressHijack.GetProcAddress ->7632AAE0->5D136C10
    Функция user32.dll:Wow64Transition (1503) перехвачена, метод CodeHijack (метод не определен)
     Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Функция advapi32.dll:CveEventWrite (1233) перехвачена, метод ProcAddressHijack.GetProcAddress ->75E72F22->771200F0
    Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1386) перехвачена, метод ProcAddressHijack.GetProcAddress ->75E73E49->762EAD30
     Анализ ws2_32.dll, таблица экспорта найдена в секции .text
     Анализ wininet.dll, таблица экспорта найдена в секции .text
     Анализ rasapi32.dll, таблица экспорта найдена в секции .text
     Анализ urlmon.dll, таблица экспорта найдена в секции .text
     Анализ netapi32.dll, таблица экспорта найдена в секции .text
    Функция netapi32.dll:NetFreeAadJoinInformation (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->7550C40A->7510B20
    Функция netapi32.dll:NetGetAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->7550C439->7510E90
    1.4 Поиск маскировки процессов и драйверов
     Проверка не производится, так как не установлен драйвер мониторинга AVZPM
    2. Проверка памяти
     Количество найденных процессов: 111
     Количество загруженных модулей: 584
    Проверка памяти завершена

    уже второй диск проверяет

    на системном чисто

    странно что обновляться не хочет

    точнее не может

    11 января 2017 г. 11:24
  • 3. Сканирование дисков
    D:\Docs\User\Downloads\Tc10.1_WIN64\additional_applications\bmide_plugins\GEF-runtime-3.8.0.zip/{ZIP}/eclipse/plugins/org.eclipse.gef_3.8.0.201206112118.jar/{ZIP}/org/eclipse/gef/editpolicies/package.html >>>>> Trojan.BAT.DelAutoexec.e 
    D:\rest\wpe\WPE PRO - modified.exe >>>>> HackTool.Win32.Sniffer.WpePro.v 
    D:\rest\wpe\WpeSpy.dll >>>>> HackTool.Win32.Sniffer.WpePro.w 
    D:\Siemens\Teamcenter10\bmide\client\dropins\extra\plugins\org.eclipse.gef_3.8.0.201206112118.jar/{ZIP}/org/eclipse/gef/editpolicies/package.html >>>>> Trojan.BAT.DelAutoexec.e 
    D:\Siemens\Teamcenter10\bmide\client\plugins\org.eclipse.gef_3.8.0.201206112118.jar/{ZIP}/org/eclipse/gef/editpolicies/package.html >>>>> Trojan.BAT.DelAutoexec.e 
    D:\Siemens\Teamcenter10\portal\plugins\org.eclipse.gef_3.8.0.201206112118.jar/{ZIP}/org/eclipse/gef/editpolicies/package.html >>>>> Trojan.BAT.DelAutoexec.e 
    4. Проверка Winsock Layered Service Provider (SPI/LSP)
     Настройки LSP проверены. Ошибок не обнаружено
    5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
    6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
     Проверка отключена пользователем
    7. Эвристичеcкая проверка системы
    Проверка завершена
    8. Поиск потенциальных уязвимостей
    Проверка завершена
    9. Мастер поиска и устранения проблем
    Проверка завершена
    Просканировано файлов: 444952, извлечено из архивов: 266361, найдено вредоносных программ 6, подозрений - 0
    Сканирование завершено в 11.01.2017 14:57:58
    Сканирование длилось 00:52:25
    Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
    то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
    Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ 
    можно использовать сервис http://virusdetector.ru/

    11 января 2017 г. 11:57
  • https://yadi.sk/i/1gfsDozf38Q7Pq

    hijack

    11 января 2017 г. 12:02
  • Лог AVZ необходим в виде файла virusinfo_syscheck.zip, а не то, что вы прислали.

    Также, уточните не устанавливали в локальной групповой политике ограничения?

    Best Regards, Andrei ...

    MCP

    • Изменено SQxModerator 11 января 2017 г. 12:21 добавлено
    11 января 2017 г. 12:19
    Модератор