Перейти к содержанию
Правила раздела

Подозрение на вирус, некорректная работа браузера, постоянное обращение к ЖД [ОК]

redtooth

От redtooth
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

redtooth Новичок

redtooth

Опубликовано
Опубликовано

Здравствуйте,

 

в последнее время появились подозрения на наличие вируса. Настараживает постоянное обращение к жесткому диску. В браузере FireFox не работает "фишка" с подсказкой логина - во время начала ввода логина в поле формы окошко с подсказкой всплывает и сразу же пропадает.

 

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

 

Также интересно, что означают следующие красные строки лога AVZ:

 

1)

Функция ntdll.dll:LdrLoadDll (122) перехвачена, метод APICodeHijack.JmpTo[10001F16]

 

2)

\FileSystem\ntfs[iRP_MJ_CREATE] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_CLOSE] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_WRITE] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_INFORMATION] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_INFORMATION] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_EA] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_EA] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_VOLUME_INFORMATION] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_VOLUME_INFORMATION] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_DIRECTORY_CONTROL] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_FILE_SYSTEM_CONTROL] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_DEVICE_CONTROL] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_LOCK_CONTROL] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_SECURITY] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_SECURITY] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_PNP] = 8591D1F8 -> перехватчик не определен

 

3)

H:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)

 

Заранее спасибо!

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

c:\program files\relevantknowledge - папка и ее содержимое Вам известны?

 

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('H:\autorun.inf','');
DeleteFile('H:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи

Ссылка на комментарий
Поделиться на другие сайты
redtooth Новичок

redtooth

Опубликовано
  • Автор
Опубликовано
Извините, а какой у вас браузер?

 

У меня несколько браузеров. Чаще всего пользуюсь: Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3 (.NET CLR 3.5.30729)

Как браузер по-умолчанию установлен IE8

 

c:\program files\relevantknowledge - папка и ее содержимое Вам известны?

 

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('H:\autorun.inf','');
DeleteFile('H:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи

 

Происхождение папки c:\program files\relevantknowledge и ее содержимого неизвестны. Почитал об этой программе в Интернете. Думаю она мне совершенно ни к чему. Как от нее лучше всего избавиться?

 

Скрипты выполнил. Архив отправил на указанный емайл, пришел ответ: "В присланном Вами файле не найдено ничего вредоносного."

Хочу от себя добавить. H: это переносной жесткий диск, файл H:\autorun.inf содержал одну строку - путь к пиктограмме фирмы производителя этого устройста.

 

Новые логи:

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

 

Спасибо за помощь!

Ссылка на комментарий
Поделиться на другие сайты
миднайт Продвинутый

миднайт

Опубликовано
Опубликовано (изменено)

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

 

- Отключите ПК от интернета/локалки

- Отключите Антивирус и Файрвол.

 

 

В AVZ выполните скрипт:

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\program files\relevantknowledge\rlservice.exe');
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');
QuarantineFile('C:\Program Files\Ask.com\GenericAskToolbar.dll','');
SetServiceStart('RelevantKnowledge', 4);
StopService('RelevantKnowledge');
DeleteService('RelevantKnowledge');
QuarantineFile('c:\program files\relevantknowledge\rlservice.exe','');
DeleteFile('c:\program files\relevantknowledge\rlservice.exe');
DeleteFile('C:\Program Files\Ask.com\GenericAskToolbar.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

Что с проблемой? Сделайте новые логи.

зы. В покер играете?

+ bonjour надо бы удалить, ни к чему он.

Изменено пользователем миднайт
Ссылка на комментарий
Поделиться на другие сайты
redtooth Новичок

redtooth

Опубликовано
  • Автор
Опубликовано
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

 

- Отключите ПК от интернета/локалки

- Отключите Антивирус и Файрвол.

 

 

В AVZ выполните скрипт:

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\program files\relevantknowledge\rlservice.exe');
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');
QuarantineFile('C:\Program Files\Ask.com\GenericAskToolbar.dll','');
SetServiceStart('RelevantKnowledge', 4);
StopService('RelevantKnowledge');
DeleteService('RelevantKnowledge');
QuarantineFile('c:\program files\relevantknowledge\rlservice.exe','');
DeleteFile('c:\program files\relevantknowledge\rlservice.exe');
DeleteFile('C:\Program Files\Ask.com\GenericAskToolbar.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

Что с проблемой? Сделайте новые логи.

зы. В покер играете?

+ bonjour надо бы удалить, ни к чему он.

 

Все сделал. Новые логи в скрепке. Вроде бы пропали проблемы описанные в первом сообщении.

В покер играю, из-за этого могут быть какие-то проблемы?

Если это не сложно, не могли бы Вы объяснить, как правильно удалить bonjour?

 

Может быть еще будут какие-то рекомендации?

 

Спасибо, что знаимаетесь моей прблемой!

virusinfo_syscure.zipvirusinfo_syscheck.ziphijackthis.log

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • foxlape
      Подозрения на вирус
      От foxlape
      Запустил прогу и комп тупить начал, есть подозрения на вирус. Логи после запуска проги Logfile.rar (Сохранял логи через Processor Monitor)
       
    • Kopitian
      [РЕШЕНО] Подозрение на майнер и вирус
      От Kopitian
      Обнаружил, что при открытии диспетчера задач, резко падает нагрузка на CPU и GPU, затем через какое то время диспетчер задач самостоятельно выключался. Проверил антивирусом, антивирус нашел вирусы и майнеры. Компьютер стал работать значительно лучше. Подскажите, что-либо еще требуется сделать? Логи прикрепляю.
      CollectionLog-2025.02.01-21.19.zip
    • Buzhor13
      [РЕШЕНО] Подозрение на майнер или вирус
      От Buzhor13
      Здравствуйте,
      Столкнулась с такой проблемой. До нового года (не могу сказать как долго сохранялась проблема), долго запускался компьютер. После ввода пароля открывался рабочий стол и минуты 3 запускались остальные системы (360 Тотал Секьюрити засекал время), программы открывались не с 1 (а иногда даже не с 3) раза, вылетали ошибки, связанные с библиотекой. Ближе к новому году полетела материнская плата (а может быть это был процессор). После того как я заменила обе детали, все было хорошо, но вот  сейчас проблема вернулась. 
      Из общего: я активировала Офис с помощью программы KMS, ее я удалила и антивирус обезвредил какой-то вирус, но проблему это не решило.
      Так же вчера я обнаружила, что если отключить провод интернета - компьютер запускается за 17 сек, с включенным - за 2-3 минуты.
      CollectionLog-2025.02.01-13.35.zip
    • Quester1337
      Подозрение на вирус в роутере.
      От Quester1337
      Дело в том, что в последние дни заметил, что скорость сети упала на всех устройствах кроме пк. Т.е. скорость wi-fi сети была 40-60мб/сек., а стала 20-30 мб/сек. Утилитой провайдера проверил - по её словам днс не изменён и вообще всё ок в безопасности, но есть подозрения, что не всё так однозначно. Не знаю, стоило ли писать сюда, модераторы поправьте если не сюда с таким обращаются. Даже не знаю какие логи присылать...
    • artem12
      dr web постоянно находит вирус chromium:page.malware.url
      От artem12
      C:\Users\sevak\AppData\Local\Google\Chrome\User Data\Default\File System\007\p\00\00000000 показывает что на этом пути вирус, я нажимаю вылечить, но вирус всё равно не пропадает. При повторном сканировании снова показывается. Я поочищал расширения гугла, сделал восстановление системы но он всё равно показывается и просканировал пк ращличными антивирусоми; kaspersky, malware и т.д.
×
×
  • Создать...