Подозрение на вирус, некорректная работа браузера, постоянное обращение к ЖД [ОК]

14 октября, 2009

Здравствуйте,

в последнее время появились подозрения на наличие вируса. Настараживает постоянное обращение к жесткому диску. В браузере FireFox не работает "фишка" с подсказкой логина - во время начала ввода логина в поле формы окошко с подсказкой всплывает и сразу же пропадает.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Также интересно, что означают следующие красные строки лога AVZ:

1)

Функция ntdll.dll:LdrLoadDll (122) перехвачена, метод APICodeHijack.JmpTo[10001F16]

2)

\FileSystem\ntfs[iRP_MJ_CREATE] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_CLOSE] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_WRITE] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_INFORMATION] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_INFORMATION] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_EA] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_EA] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_VOLUME_INFORMATION] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_VOLUME_INFORMATION] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_DIRECTORY_CONTROL] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_FILE_SYSTEM_CONTROL] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_DEVICE_CONTROL] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_LOCK_CONTROL] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_SECURITY] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_SECURITY] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_PNP] = 8591D1F8 -> перехватчик не определен

3)

H:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)

Заранее спасибо!

14 октября, 2009

Извините, а какой у вас браузер?

15 октября, 2009

c:\program files\relevantknowledge - папка и ее содержимое Вам известны?

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('H:\autorun.inf','');
DeleteFile('H:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделайте новые логи

15 октября, 2009

Извините, а какой у вас браузер?

У меня несколько браузеров. Чаще всего пользуюсь: Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3 (.NET CLR 3.5.30729)

Как браузер по-умолчанию установлен IE8

c:\program files\relevantknowledge - папка и ее содержимое Вам известны?

Выполните скрипт в AVZ
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('H:\autorun.inf','');
DeleteFile('H:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполнить скрипт в AVZ.
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделайте новые логи

Происхождение папки c:\program files\relevantknowledge и ее содержимого неизвестны. Почитал об этой программе в Интернете. Думаю она мне совершенно ни к чему. Как от нее лучше всего избавиться?

Скрипты выполнил. Архив отправил на указанный емайл, пришел ответ: "В присланном Вами файле не найдено ничего вредоносного."

Хочу от себя добавить. H: это переносной жесткий диск, файл H:\autorun.inf содержал одну строку - путь к пиктограмме фирмы производителя этого устройста.

Новые логи:

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Спасибо за помощь!

15 октября, 2009

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки

- Отключите Антивирус и Файрвол.

В AVZ выполните скрипт:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\program files\relevantknowledge\rlservice.exe');
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');
QuarantineFile('C:\Program Files\Ask.com\GenericAskToolbar.dll','');
SetServiceStart('RelevantKnowledge', 4);
StopService('RelevantKnowledge');
DeleteService('RelevantKnowledge');
QuarantineFile('c:\program files\relevantknowledge\rlservice.exe','');
DeleteFile('c:\program files\relevantknowledge\rlservice.exe');
DeleteFile('C:\Program Files\Ask.com\GenericAskToolbar.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Что с проблемой? Сделайте новые логи.

зы. В покер играете?

+ bonjour надо бы удалить, ни к чему он.

Изменено 15 октября, 2009 пользователем миднайт

15 октября, 2009

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки

- Отключите Антивирус и Файрвол.

В AVZ выполните скрипт:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\program files\relevantknowledge\rlservice.exe');
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');
QuarantineFile('C:\Program Files\Ask.com\GenericAskToolbar.dll','');
SetServiceStart('RelevantKnowledge', 4);
StopService('RelevantKnowledge');
DeleteService('RelevantKnowledge');
QuarantineFile('c:\program files\relevantknowledge\rlservice.exe','');
DeleteFile('c:\program files\relevantknowledge\rlservice.exe');
DeleteFile('C:\Program Files\Ask.com\GenericAskToolbar.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Что с проблемой? Сделайте новые логи.

зы. В покер играете?

+ bonjour надо бы удалить, ни к чему он.

Все сделал. Новые логи в скрепке. Вроде бы пропали проблемы описанные в первом сообщении.

В покер играю, из-за этого могут быть какие-то проблемы?

Если это не сложно, не могли бы Вы объяснить, как правильно удалить bonjour?

Может быть еще будут какие-то рекомендации?

Спасибо, что знаимаетесь моей прблемой!

virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log

15 октября, 2009

В логах чисто.

15 октября, 2009

Как удалить бунжур посмотрите здесь http://virusinfo.info/showthread.php?t=27923

16 октября, 2009

Спасибо всем кто помогал!

Подозрение на вирус, некорректная работа браузера, постоянное обращение к ЖД [ОК]

Рекомендуемые сообщения

redtooth

Ссылка на комментарий

Поделиться на другие сайты

rabbit

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

redtooth

Ссылка на комментарий

Поделиться на другие сайты

миднайт

Ссылка на комментарий

Поделиться на другие сайты

redtooth

Ссылка на комментарий

Поделиться на другие сайты

snifer67

Ссылка на комментарий

Поделиться на другие сайты

миднайт

Ссылка на комментарий

Поделиться на другие сайты

redtooth

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum