Перейти к содержанию
Правила раздела

Подозрение на вирус, некорректная работа браузера, постоянное обращение к ЖД [ОК]

redtooth

От redtooth
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

redtooth Новичок

redtooth

Опубликовано
Опубликовано

Здравствуйте,

 

в последнее время появились подозрения на наличие вируса. Настараживает постоянное обращение к жесткому диску. В браузере FireFox не работает "фишка" с подсказкой логина - во время начала ввода логина в поле формы окошко с подсказкой всплывает и сразу же пропадает.

 

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

 

Также интересно, что означают следующие красные строки лога AVZ:

 

1)

Функция ntdll.dll:LdrLoadDll (122) перехвачена, метод APICodeHijack.JmpTo[10001F16]

 

2)

\FileSystem\ntfs[iRP_MJ_CREATE] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_CLOSE] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_WRITE] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_INFORMATION] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_INFORMATION] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_EA] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_EA] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_VOLUME_INFORMATION] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_VOLUME_INFORMATION] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_DIRECTORY_CONTROL] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_FILE_SYSTEM_CONTROL] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_DEVICE_CONTROL] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_LOCK_CONTROL] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_SECURITY] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_SECURITY] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_PNP] = 8591D1F8 -> перехватчик не определен

 

3)

H:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)

 

Заранее спасибо!

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

c:\program files\relevantknowledge - папка и ее содержимое Вам известны?

 

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('H:\autorun.inf','');
DeleteFile('H:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи

Ссылка на комментарий
Поделиться на другие сайты
redtooth Новичок

redtooth

Опубликовано
  • Автор
Опубликовано
Извините, а какой у вас браузер?

 

У меня несколько браузеров. Чаще всего пользуюсь: Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3 (.NET CLR 3.5.30729)

Как браузер по-умолчанию установлен IE8

 

c:\program files\relevantknowledge - папка и ее содержимое Вам известны?

 

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('H:\autorun.inf','');
DeleteFile('H:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи

 

Происхождение папки c:\program files\relevantknowledge и ее содержимого неизвестны. Почитал об этой программе в Интернете. Думаю она мне совершенно ни к чему. Как от нее лучше всего избавиться?

 

Скрипты выполнил. Архив отправил на указанный емайл, пришел ответ: "В присланном Вами файле не найдено ничего вредоносного."

Хочу от себя добавить. H: это переносной жесткий диск, файл H:\autorun.inf содержал одну строку - путь к пиктограмме фирмы производителя этого устройста.

 

Новые логи:

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

 

Спасибо за помощь!

Ссылка на комментарий
Поделиться на другие сайты
миднайт Продвинутый

миднайт

Опубликовано
Опубликовано (изменено)

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

 

- Отключите ПК от интернета/локалки

- Отключите Антивирус и Файрвол.

 

 

В AVZ выполните скрипт:

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\program files\relevantknowledge\rlservice.exe');
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');
QuarantineFile('C:\Program Files\Ask.com\GenericAskToolbar.dll','');
SetServiceStart('RelevantKnowledge', 4);
StopService('RelevantKnowledge');
DeleteService('RelevantKnowledge');
QuarantineFile('c:\program files\relevantknowledge\rlservice.exe','');
DeleteFile('c:\program files\relevantknowledge\rlservice.exe');
DeleteFile('C:\Program Files\Ask.com\GenericAskToolbar.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

Что с проблемой? Сделайте новые логи.

зы. В покер играете?

+ bonjour надо бы удалить, ни к чему он.

Изменено пользователем миднайт
Ссылка на комментарий
Поделиться на другие сайты
redtooth Новичок

redtooth

Опубликовано
  • Автор
Опубликовано
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

 

- Отключите ПК от интернета/локалки

- Отключите Антивирус и Файрвол.

 

 

В AVZ выполните скрипт:

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\program files\relevantknowledge\rlservice.exe');
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');
QuarantineFile('C:\Program Files\Ask.com\GenericAskToolbar.dll','');
SetServiceStart('RelevantKnowledge', 4);
StopService('RelevantKnowledge');
DeleteService('RelevantKnowledge');
QuarantineFile('c:\program files\relevantknowledge\rlservice.exe','');
DeleteFile('c:\program files\relevantknowledge\rlservice.exe');
DeleteFile('C:\Program Files\Ask.com\GenericAskToolbar.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

Что с проблемой? Сделайте новые логи.

зы. В покер играете?

+ bonjour надо бы удалить, ни к чему он.

 

Все сделал. Новые логи в скрепке. Вроде бы пропали проблемы описанные в первом сообщении.

В покер играю, из-за этого могут быть какие-то проблемы?

Если это не сложно, не могли бы Вы объяснить, как правильно удалить bonjour?

 

Может быть еще будут какие-то рекомендации?

 

Спасибо, что знаимаетесь моей прблемой!

virusinfo_syscure.zipvirusinfo_syscheck.ziphijackthis.log

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • tkm
      Подозрения на вирус/майнер
      От tkm
      Здравствуйте!
      Есть подозрение, что мне что-то прислали по почте. Открыл вложение и комп стал себя вести странно. 
      Помогите, пожалуйста
      CollectionLog-2024.12.28-12.35.zip
    • Salieri
      Подозрения на вирусы, помощь. Торможения
      От Salieri
      Здравствуйте, столкнулся с такой проблемой что у меня начали вылазить окна cmd, долгая перезагрузка, обновления какие-то, проблемы с производительностью. Нужна ваша помощь, антивирусы не дают ничего.CollectionLog-2024.11.17-12.39.zip
    • Sandynist
      Напомните, куда правильно пожаловаться на некорректную работу сайтов Лаборатории?
      От Sandynist
      Добрый вечер! Давно хотел написать о проблеме, но всё руки не доходили. 
       
      Немного истории: с большими усилиями компании удалось выкупить региональный домен https://www.kaspersky.kz/
      Можете погуглить, история мутная, какой-то предприимчивый делец зарегистрировал это имя себе и запросил много бабла с компании. 
       
      Но вот теперь казалось бы всё должно наладится, и сайт должен заработать корректно, но ничего подобного.
      Если у нас попытаться открыть ссылку в виде:
      https://www.kaspersky.ru/about/press-releases/zhertvami-novoj-versii-troyanca-necro-mogli-stat-milliony-vladelcev-android-ustrojstv
      то происходит автоматический редирект на наш региональный домен:
      https://www.kaspersky.kz/about/press-releases/zhertvami-novoj-versii-troyanca-necro-mogli-stat-milliony-vladelcev-android-ustrojstv
      на котором никакой статьи не наблюдается. 
       

       
      Так всё это не работает уже более года, а может даже и двух. Хотел традиционно задать этот вопрос Евгению Валентиновичу, но он заметно нервничает, когда его начинают спрашивать по технической части. А я в свою очередь не знаю куда и кому адресовать жалобу, это же не антивирусный продукт.
      Написал письмо на адрес info@kaspersky.com , но очень сомневаюсь, что будет хоть какой-то результат.
       
      P.S. Раньше тут появлялись технические специалисты компании, которым напрямую можно было написать про такие проблемы, как сейчас с этим обстоят дела?
    • kmscom
      Прошу проверить работу авторизации RUTUB при использовании браузера Google Chrome
      От kmscom
      у меня вот так показано верхнее меню в гугле

      крайний правый кружочек не кликабелен

      хотя в тоже время в Microsoft Edge

      и уведомления сразу показывает на значке колокольчика и аватар с птичкой кликабелен
       
      Я немогу понять, это проделки самого браузера (или его авторов) или у меня частная проблема.

      Сам сервис работает, но как авторизоваться в Google не понятно
      UPD в режиме ингкогнито, в Гугл работает.
      хм, будем разбираться
    • kostyan2008
      Подозрение на вирусы, майнер
      От kostyan2008
      В журнале служб windows часто выскакивает ошибка "Сбой при запуске службы "Служба Google Update (gupdate)" из-за ошибки 
      Служба не ответила на запрос своевременно."
      Сбой при запуске службы "WinRing0_1_2_0" из-за ошибки 
      Системе не удается найти указанный путь.
      В автозагрузке присутствуют непонятные сервисы, включая непонятный google update
      CollectionLog-2024.09.18-20.26.zip
×
×
  • Создать...