puhovick

Сделал

Системный переустановил, а с данными восстановил с образа

Так быстрее все же

Соболезную.....

ML или HL

Да, ТССОП щуп прожил недолго (((((

Спасибо

Посмотрел службы, а они все включены, а в Администрировании часть выключена

Это как?

А где в реестре поправить?

Я в службах отключил на всех компах уже

Ну винде 6 лет

Попробую реестр почистить, давно делал....

Пора новую ставить видимо

А что такое анонимка?

Сканирую AVZ

Не нравится перехватчик

Удаляешь, исправляешь, а он опять появляется

 

Внимание !!! База поcледний раз обновлялась 23.02.2014 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Протокол антивирусной утилиты AVZ версии 4.43

Сканирование запущено в 23.04.2014 12:34:16

Загружена база: сигнатуры - 297613, нейропрофили - 2, микропрограммы лечения - 56, база от 23.02.2014 17:04

Загружены микропрограммы эвристики: 405

Загружены микропрограммы ИПУ: 9

Загружены цифровые подписи системных файлов: 649447

Режим эвристического анализатора: Максимальный уровень эвристики

Режим лечения: включено

Версия Windows: 5.1.2600, Service Pack 3 "Microsoft Windows XP" ; AVZ работает с правами администратора

Восстановление системы: Отключено

1. Поиск RootKit и программ, перехватывающих функции API

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Анализ user32.dll, таблица экспорта найдена в секции .text

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=085700)

Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000

SDT = 8055C700

KiST = 80504460 (284)

Функция NtCreateKey (29) перехвачена (806237B2->B7EA80E0), перехватчик spiu.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtEnumerateKey (47) перехвачена (80623FF2->B7EC6CA2), перехватчик spiu.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtEnumerateValueKey (49) перехвачена (8062425C->B7EC7030), перехватчик spiu.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtOpenKey (77) перехвачена (80624B84->B7EA80C0), перехватчик spiu.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtQueryKey (A0) перехвачена (80624EAA->B7EC7108), перехватчик spiu.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtQueryValueKey (B1) перехвачена (806219EA->B7EC6F88), перехватчик spiu.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtSetValueKey (F7) перехвачена (80621D38->B7EC719A), перехватчик spiu.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Проверено функций: 284, перехвачено: 7, восстановлено: 7

1.3 Проверка IDT и SYSENTER

Анализ для процессора 1

Анализ для процессора 2

CmpCallCallBacks = 00093D84

Disable callback OK

Проверка IDT и SYSENTER завершена

1.4 Поиск маскировки процессов и драйверов

Проверка не производится, так как не установлен драйвер мониторинга AVZPM

1.5 Проверка обработчиков IRP

Драйвер успешно загружен

\FileSystem\ntfs[iRP_MJ_CREATE] = 8B2491F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_CLOSE] = 8B2491F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_WRITE] = 8B2491F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_INFORMATION] = 8B2491F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_INFORMATION] = 8B2491F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_EA] = 8B2491F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_EA] = 8B2491F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_VOLUME_INFORMATION] = 8B2491F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_VOLUME_INFORMATION] = 8B2491F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_DIRECTORY_CONTROL] = 8B2491F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_FILE_SYSTEM_CONTROL] = 8B2491F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_DEVICE_CONTROL] = 8B2491F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_LOCK_CONTROL] = 8B2491F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_SECURITY] = 8B2491F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_SECURITY] = 8B2491F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_PNP] = 8B2491F8 -> перехватчик не определен

Проверка завершена

2. Проверка памяти

Количество найденных процессов: 44

Анализатор - изучается процесс 1868 C:\Program Files\Java\jre7\bin\jqs.exe

[ES]:Может работать с сетью

[ES]:Прослушивает порты TCP !

[ES]:Приложение не имеет видимых окон

[ES]:Записан в автозапуск !!

[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?

Анализатор - изучается процесс 340 C:\Mitchell1\OnDemand5\Mitchell1.Security.MachineTokenService.exe

[ES]:Приложение не имеет видимых окон

Анализатор - изучается процесс 836 C:\WINDOWS\system32\RAMDiskImage.exe

[ES]:Приложение не имеет видимых окон

[ES]:Размещается в системной папке

>>> Реальный размер предположительно = 3276800

Анализатор - изучается процесс 2400 C:\Program Files\Cordless USB Phone\Vtech Cordless Phone Suite.exe

[ES]:Приложение не имеет видимых окон

[ES]:Записан в автозапуск !!

Количество загруженных модулей: 420

Проверка памяти завершена

3. Сканирование дисков

C:\Program Files\Acronis\TrueImageHome\license_activator.bak - PE файл с нестандартным расширением(степень опасности 5%)

Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys

4. Проверка Winsock Layered Service Provider (SPI/LSP)

Настройки LSP проверены. Ошибок не обнаружено

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

В базе 317 описаний портов

На данном ПК открыто 11 TCP портов и 13 UDP портов

Проверка завершена, подозрительные порты не обнаружены

7. Эвристичеcкая проверка системы

Проверка завершена

8. Поиск потенциальных уязвимостей

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

Проверка завершена

9. Мастер поиска и устранения проблем

Проверка завершена

Просканировано файлов: 304296, извлечено из архивов: 141537, найдено вредоносных программ 0, подозрений - 0

Сканирование завершено в 23.04.2014 12:38:24

!!! Внимание !!! Восстановлено 7 функций KiST в ходе работы антируткита

Это может нарушить нормальную работу ряда программ, поэтому настоятельно рекомендуется перезагрузить компьютер

Сканирование длилось 00:04:10

Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,

то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18

Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ

можно использовать сервис http://virusdetector.ru/

 

Образ раскатал с декабря, бестолку

Все лишние службы отрубил, восттановление отключено

Обновления не поставить, винда не лицензия

Придется перестанавливать

Про AVZ (второй стандартный скрипт) - не нашел, ткни пальцем, где он

Все перепробовал

Бестолку

С образа буду раскатывать системный диск

А с кем бы пообщаться о восстановлении девайса по софту

2 уже трупика есть

Имеется ввиду перешивка флешей по JTAG, в случае, если девайс не перешить обычным способом (нет связи по сети)

Если что-то секретное, давайте в приват

Если вместо датчиков резаки, то моторник тоже скорость не будет видеть

Проблем много возникнет

Параметры осциллографа какие?

Посмотрю

68HC05L52 - это какая-то экзотика, думаю он пустой

а в чем проблема прочитать нек?

да и бодик выложи

2 Zubr речь идет про старые авто, с 4 очками, там ничего видой не видно

6000 ремонт у кого?

В старых в СЕМе нет дублей, только в моторе

Может в СЕМ пробег и есть, но ничем ты его не увидишь

По ВИНу кодинг 09 блока кто-нибудь может посчитать?

Да в 9 и по инструкции так и делал

А чем отличаются ключи

 

PART NUMBER :

AKRM153

Superb

3 Button VAG remote

OE No : 3T0959753C/3T0837202C

 

и

PART NUMBER :

 

AKRM154

Superb

3 Button remote

OE No : 3T0959753A

 

У меня вообще без буквы, в каталоге его нет

46 блока в этом авто нет

ручная не прокатит

Если там поправить, то раздатка неадекватно будет работать

Там вроде электромуфта с регулируемым зазором у фрикционов

Писали уже в форуме

В 21 канал какого блока?