Перейти к содержанию
Правила раздела

Подозрение на вирус, некорректная работа браузера, постоянное обращение к ЖД [ОК]

redtooth

Автор redtooth
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

redtooth

redtooth

Опубликовано
Опубликовано

Здравствуйте,

 

в последнее время появились подозрения на наличие вируса. Настараживает постоянное обращение к жесткому диску. В браузере FireFox не работает "фишка" с подсказкой логина - во время начала ввода логина в поле формы окошко с подсказкой всплывает и сразу же пропадает.

 

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

 

Также интересно, что означают следующие красные строки лога AVZ:

 

1)

Функция ntdll.dll:LdrLoadDll (122) перехвачена, метод APICodeHijack.JmpTo[10001F16]

 

2)

\FileSystem\ntfs[iRP_MJ_CREATE] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_CLOSE] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_WRITE] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_INFORMATION] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_INFORMATION] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_EA] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_EA] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_VOLUME_INFORMATION] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_VOLUME_INFORMATION] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_DIRECTORY_CONTROL] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_FILE_SYSTEM_CONTROL] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_DEVICE_CONTROL] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_LOCK_CONTROL] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_SECURITY] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_SECURITY] = 8591D1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_PNP] = 8591D1F8 -> перехватчик не определен

 

3)

H:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)

 

Заранее спасибо!

thyrex

thyrex

Опубликовано
Опубликовано

c:\program files\relevantknowledge - папка и ее содержимое Вам известны?

 

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('H:\autorun.inf','');
DeleteFile('H:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи

redtooth

redtooth

Опубликовано
  • Автор
Опубликовано
Извините, а какой у вас браузер?

 

У меня несколько браузеров. Чаще всего пользуюсь: Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3 (.NET CLR 3.5.30729)

Как браузер по-умолчанию установлен IE8

 

c:\program files\relevantknowledge - папка и ее содержимое Вам известны?

 

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('H:\autorun.inf','');
DeleteFile('H:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи

 

Происхождение папки c:\program files\relevantknowledge и ее содержимого неизвестны. Почитал об этой программе в Интернете. Думаю она мне совершенно ни к чему. Как от нее лучше всего избавиться?

 

Скрипты выполнил. Архив отправил на указанный емайл, пришел ответ: "В присланном Вами файле не найдено ничего вредоносного."

Хочу от себя добавить. H: это переносной жесткий диск, файл H:\autorun.inf содержал одну строку - путь к пиктограмме фирмы производителя этого устройста.

 

Новые логи:

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

 

Спасибо за помощь!

миднайт

миднайт

Опубликовано
Опубликовано (изменено)

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

 

- Отключите ПК от интернета/локалки

- Отключите Антивирус и Файрвол.

 

 

В AVZ выполните скрипт:

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\program files\relevantknowledge\rlservice.exe');
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');
QuarantineFile('C:\Program Files\Ask.com\GenericAskToolbar.dll','');
SetServiceStart('RelevantKnowledge', 4);
StopService('RelevantKnowledge');
DeleteService('RelevantKnowledge');
QuarantineFile('c:\program files\relevantknowledge\rlservice.exe','');
DeleteFile('c:\program files\relevantknowledge\rlservice.exe');
DeleteFile('C:\Program Files\Ask.com\GenericAskToolbar.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

Что с проблемой? Сделайте новые логи.

зы. В покер играете?

+ bonjour надо бы удалить, ни к чему он.

Изменено пользователем миднайт
redtooth

redtooth

Опубликовано
  • Автор
Опубликовано
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

 

- Отключите ПК от интернета/локалки

- Отключите Антивирус и Файрвол.

 

 

В AVZ выполните скрипт:

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\program files\relevantknowledge\rlservice.exe');
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');
QuarantineFile('C:\Program Files\Ask.com\GenericAskToolbar.dll','');
SetServiceStart('RelevantKnowledge', 4);
StopService('RelevantKnowledge');
DeleteService('RelevantKnowledge');
QuarantineFile('c:\program files\relevantknowledge\rlservice.exe','');
DeleteFile('c:\program files\relevantknowledge\rlservice.exe');
DeleteFile('C:\Program Files\Ask.com\GenericAskToolbar.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

Что с проблемой? Сделайте новые логи.

зы. В покер играете?

+ bonjour надо бы удалить, ни к чему он.

 

Все сделал. Новые логи в скрепке. Вроде бы пропали проблемы описанные в первом сообщении.

В покер играю, из-за этого могут быть какие-то проблемы?

Если это не сложно, не могли бы Вы объяснить, как правильно удалить bonjour?

 

Может быть еще будут какие-то рекомендации?

 

Спасибо, что знаимаетесь моей прблемой!

virusinfo_syscure.zipvirusinfo_syscheck.ziphijackthis.log

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...