-
Junior Member
- Вес репутации
- 56
Непонятная вещь с установочными пакетами exe и msi
Я запускаю установочный пакет, идет подготовка к установке, после подгатоке к установке появляется сообщение(восклицание) Данная установка запрещена политикой, выбранной системным администратором!
НО я на компьютере по правам администратор, я пробывал зайти под учетной записью Адмимстратор! Всеравно этаже ошибка!!!!!
У меня Kaspersky Internet Security 2009 я проверял компьютер на вирусы НЕЧЕГО(Базы новейшие, проактовая защита на максимуме как и другие!!!)!!!
Отчет о системе:
<AVZ_CollectSysInfo> : завершен
-------------------------------
Запуск: 17.01.2009 18:32:10
Длительность: 00:02:17
Завершение: 17.01.2009 18:34:27
<AVZ_CollectSysInfo> : завершен
-------------------------------
Время Событие
----- -------
17.01.2009 18:32:14 Версия Microsoft Windows: Microsoft Windows XP, Build=2600, SP="Service Pack 3"
17.01.2009 18:32:14 Восстановление системы: Отключено
17.01.2009 18:32:15 1.1 Поиск перехватчиков API, работающих в пользовательском режиме
17.01.2009 18:32:15 Анализ kernel32.dll, таблица экспорта найдена в секции .text
17.01.2009 18:32:15 Функция kernel32.dll:CreateProcessA (99) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80236B->61F03F42
17.01.2009 18:32:15 Перехватчик kernel32.dll:CreateProcessA (99) нейтрализован
17.01.2009 18:32:15 Функция kernel32.dll:CreateProcessW (103) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C802336->61F04040
17.01.2009 18:32:15 Перехватчик kernel32.dll:CreateProcessW (103) нейтрализован
17.01.2009 18:32:15 Функция kernel32.dll:FreeLibrary (241) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AC6E->61F041FC
17.01.2009 18:32:15 Перехватчик kernel32.dll:FreeLibrary (241) нейтрализован
17.01.2009 18:32:15 Функция kernel32.dll:GetModuleFileNameA (373) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80B55F->61F040FB
17.01.2009 18:32:15 Перехватчик kernel32.dll:GetModuleFileNameA (373) нейтрализован
17.01.2009 18:32:15 Функция kernel32.dll:GetModuleFileNameW (374) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80B465->61F041A0
17.01.2009 18:32:15 Перехватчик kernel32.dll:GetModuleFileNameW (374) нейтрализован
17.01.2009 18:32:15 Функция kernel32.dll:GetProcAddress (409) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AE30->61F04648
17.01.2009 18:32:15 Перехватчик kernel32.dll:GetProcAddress (409) нейтрализован
17.01.2009 18:32:15 Функция kernel32.dlloadLibraryA (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D7B->61F03C6F
17.01.2009 18:32:15 Перехватчик kernel32.dlloadLibraryA (581) нейтрализован
17.01.2009 18:32:15 >>> Функции LoadLibraryA - прививка процесса AVZ от перехвата подменой адреса !!)
17.01.2009 18:32:15 Функция kernel32.dlloadLibraryExA (582) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D53->61F03DAF
17.01.2009 18:32:15 Перехватчик kernel32.dlloadLibraryExA (582) нейтрализован
17.01.2009 18:32:15 >>> Функции LoadLibraryExA - прививка процесса AVZ от перехвата подменой адреса !!)
17.01.2009 18:32:15 Функция kernel32.dlloadLibraryExW (583) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF5->61F03E5A
17.01.2009 18:32:15 Перехватчик kernel32.dlloadLibraryExW (583) нейтрализован
17.01.2009 18:32:15 Функция kernel32.dlloadLibraryW (584) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AEDB->61F03D0C
17.01.2009 18:32:15 Перехватчик kernel32.dlloadLibraryW (584) нейтрализован
17.01.2009 18:32:15 Обнаружена модификация IAT: LoadLibraryW - 00D90010<>7C80AEDB
17.01.2009 18:32:16 Анализ ntdll.dll, таблица экспорта найдена в секции .text
17.01.2009 18:32:16 Анализ user32.dll, таблица экспорта найдена в секции .text
17.01.2009 18:32:16 Анализ advapi32.dll, таблица экспорта найдена в секции .text
17.01.2009 18:32:16 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
17.01.2009 18:32:16 Анализ wininet.dll, таблица экспорта найдена в секции .text
17.01.2009 18:32:16 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
17.01.2009 18:32:16 Анализ urlmon.dll, таблица экспорта найдена в секции .text
17.01.2009 18:32:16 Анализ netapi32.dll, таблица экспорта найдена в секции .text
17.01.2009 18:32:17 1.2 Поиск перехватчиков API, работающих в привилегированном режиме
17.01.2009 18:32:26 Драйвер успешно загружен
17.01.2009 18:32:26 SDT найдена (RVA=085700)
17.01.2009 18:32:26 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
17.01.2009 18:32:26 SDT = 8055C700
17.01.2009 18:32:26 KiST = 80504450 (284)
17.01.2009 18:32:26 Проверено функций: 284, перехвачено: 0, восстановлено: 0
17.01.2009 18:32:26 1.3 Проверка IDT и SYSENTER
17.01.2009 18:32:26 Анализ для процессора 1
17.01.2009 18:32:26 Анализ для процессора 2
17.01.2009 18:32:26 Проверка IDT и SYSENTER завершена
17.01.2009 18:32:28 1.4 Поиск маскировки процессов и драйверов
17.01.2009 18:32:28 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
17.01.2009 18:32:31 Драйвер успешно загружен
17.01.2009 18:32:31 1.5 Проверка обработчиков IRP
17.01.2009 18:32:31 \FileSystem\ntfs[IRP_MJ_CREATE] = 89DE21F8 -> перехватчик не определен
17.01.2009 18:32:31 \FileSystem\ntfs[IRP_MJ_CLOSE] = 89DE21F8 -> перехватчик не определен
17.01.2009 18:32:31 \FileSystem\ntfs[IRP_MJ_WRITE] = 89DE21F8 -> перехватчик не определен
17.01.2009 18:32:31 \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 89DE21F8 -> перехватчик не определен
17.01.2009 18:32:31 \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 89DE21F8 -> перехватчик не определен
17.01.2009 18:32:31 \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 89DE21F8 -> перехватчик не определен
17.01.2009 18:32:31 \FileSystem\ntfs[IRP_MJ_SET_EA] = 89DE21F8 -> перехватчик не определен
17.01.2009 18:32:31 \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 89DE21F8 -> перехватчик не определен
17.01.2009 18:32:31 \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 89DE21F8 -> перехватчик не определен
17.01.2009 18:32:31 \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 89DE21F8 -> перехватчик не определен
17.01.2009 18:32:31 \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 89DE21F8 -> перехватчик не определен
17.01.2009 18:32:31 \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 89DE21F8 -> перехватчик не определен
17.01.2009 18:32:31 \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 89DE21F8 -> перехватчик не определен
17.01.2009 18:32:31 \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 89DE21F8 -> перехватчик не определен
17.01.2009 18:32:31 \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 89DE21F8 -> перехватчик не определен
17.01.2009 18:32:31 \FileSystem\ntfs[IRP_MJ_PNP] = 89DE21F8 -> перехватчик не определен
17.01.2009 18:32:31 \FileSystem\FastFat[IRP_MJ_CREATE] = 887D1500 -> перехватчик не определен
17.01.2009 18:32:31 \FileSystem\FastFat[IRP_MJ_CLOSE] = 887D1500 -> перехватчик не определен
17.01.2009 18:32:31 \FileSystem\FastFat[IRP_MJ_WRITE] = 887D1500 -> перехватчик не определен
17.01.2009 18:32:31 \FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 887D1500 -> перехватчик не определен
17.01.2009 18:32:31 \FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 887D1500 -> перехватчик не определен
17.01.2009 18:32:31 \FileSystem\FastFat[IRP_MJ_QUERY_EA] = 887D1500 -> перехватчик не определен
17.01.2009 18:32:31 \FileSystem\FastFat[IRP_MJ_SET_EA] = 887D1500 -> перехватчик не определен
17.01.2009 18:32:31 \FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 887D1500 -> перехватчик не определен
17.01.2009 18:32:31 \FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 887D1500 -> перехватчик не определен
17.01.2009 18:32:31 \FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 887D1500 -> перехватчик не определен
17.01.2009 18:32:31 \FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 887D1500 -> перехватчик не определен
17.01.2009 18:32:31 \FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 887D1500 -> перехватчик не определен
17.01.2009 18:32:31 \FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 887D1500 -> перехватчик не определен
17.01.2009 18:32:31 \FileSystem\FastFat[IRP_MJ_PNP] = 887D1500 -> перехватчик не определен
17.01.2009 18:32:31 Проверка завершена
17.01.2009 18:32:32 C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll --> Подозрение на перехватчик клавиатуры или троянскую программу
17.01.2009 18:32:32 C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll>>> Поведенческий анализ
17.01.2009 18:32:32 Типичное поведение для перехватчиков клавиатуры не зарегистрировано
17.01.2009 18:32:32 C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll --> Подозрение на перехватчик клавиатуры или троянскую программу
17.01.2009 18:32:32 C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll>>> Поведенческий анализ
17.01.2009 18:32:32 Типичное поведение для перехватчиков клавиатуры не зарегистрировано
17.01.2009 18:32:32 C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll --> Подозрение на перехватчик клавиатуры или троянскую программу
17.01.2009 18:32:32 C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll>>> Поведенческий анализ
17.01.2009 18:32:32 Типичное поведение для перехватчиков клавиатуры не зарегистрировано
17.01.2009 18:32:32 C:\WINDOWS\system32\mstask.dll --> Подозрение на перехватчик клавиатуры или троянскую программу
17.01.2009 18:32:32 C:\WINDOWS\system32\mstask.dll>>> Поведенческий анализ
17.01.2009 18:32:32 Типичное поведение для перехватчиков клавиатуры не зарегистрировано
17.01.2009 18:32:32 C:\WINDOWS\system32\ntshrui.dll --> Подозрение на перехватчик клавиатуры или троянскую программу
17.01.2009 18:32:32 C:\WINDOWS\system32\ntshrui.dll>>> Поведенческий анализ
17.01.2009 18:32:32 Типичное поведение для перехватчиков клавиатуры не зарегистрировано
17.01.2009 18:32:32 Совет: заподозренные файлы НЕ следует удалять, их следует отправить на исследование (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
17.01.2009 18:32:40 Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGR A~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASP ER~1\KASPER~1\kloehk.dll"
17.01.2009 18:32:41 >>> D:\autorun.inf Эвристический анализ системы: подозрение на скрытый автозапуск (высокая степень вероятности)
17.01.2009 18:32:41 >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
17.01.2009 18:32:41 >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
17.01.2009 18:32:41 >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
17.01.2009 18:32:41 > Службы: набор применяемых на компьютере служб зависит от области его применения (домашний, компьютер в сети предприятия и т.д.)!
17.01.2009 18:32:41 >> Безопасность: к компьютеру разрешен доступ анонимного пользователя
17.01.2009 18:32:44 >> Отключено автоматическое обновление системы (Windows Update)
17.01.2009 18:32:44 Выполняется исследование системы...
17.01.2009 18:34:27 Исследование системы завершено
17.01.2009 18:34:27 Удаление файла:C:\Documents and Settings\Тёма\Рабочий стол\Virus Removal Tool\is-USVC2\LOG\avptool_syscheck.htm
17.01.2009 18:34:27 Удаление файла:C:\Documents and Settings\Тёма\Рабочий стол\Virus Removal Tool\is-USVC2\LOG\avptool_syscheck.xml
17.01.2009 18:34:27 Удаление службы/драйвера: utmymzcx
17.01.2009 18:34:27 Удаление файла:C:\WINDOWS\system32\Drivers\utmymzcx.sys
17.01.2009 18:34:27 Удаление службы/драйвера: ujmymzcx
17.01.2009 18:34:27 Скрипт выполнен без ошибок
Надеюсь на вашу помощь!!!!!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-