Что это?

[shelbY]

В последнее время не качал ничего такого, а с момента скачивания уже прошло время. Сегодня сижу играю в САМП, как обычно и тут я не могу прыгнуть. Вместо прыжка у меня выполняется другое действие, но это не важно. Захотел перезайти в игру, но не смог. Такое чувство, что мышка сама нажимает на рабочем столе, а если нажать ЛКМ по рабочему столу, то открывается менюшка ПКМ(свойства, персонализация и т.д). Восстановление сделать не удалось, пробовал два раза: сначала забыл выключить антивирус, а потом с уже выключенным.

 

Элементарно не могу переключаться по вкладкам в браузере. Не жмётся и всё, приходится закрывать вкладку, что впереди нужной. Вообще с трудом подключился к интернету и вошёл в браузер. Жмёт абсолютно всё. Если бы было что-то с мышкой, так бы не лагало

[Mark D. Pearlstone]

У вас столько тем в этом разделе и вы всё ещё не знаете или не помните, что нужно выполнять правила раздела?

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[shelbY]

Логи:

На минут 5-10 это пропадает, а потом снова начинается. Думал, что всё пропало и пошёл смотреть обзорчики на Ютубе и пить чай, но нет. Вдруг опять открылась вкладка, вызвалось ПКМ меню на видео(копировать ссылку, посмотреть код и т.д, ну знаете, что там высвечивается, если жмёшь ПКМ при просмотре видео).

CollectionLog-2016.09.20-21.44.zip

Изменено 20 сентября, 2016 пользователем shelbY

[shelbY]

Поднимаю.

Это адекватно, нет?

 

Восстановление системы: включено

1. Поиск RootKit и программ, перехватывающих функции API

1.1 Поиск перехватчиков API, работающих в UserMode

 Анализ kernel32.dll, таблица экспорта найдена в секции .text

Функция kernel32.dll:ReadConsoleInputExA (1106) перехвачена, метод ProcAddressHijack.GetProcAddress ->758C1957->74A4ACE0

Функция kernel32.dll:ReadConsoleInputExW (1107) перехвачена, метод ProcAddressHijack.GetProcAddress ->758C198A->74A4AD10

 Анализ ntdll.dll, таблица экспорта найдена в секции .text

Функция ntdll.dll:NtCreateFile (272) перехвачена, метод ProcAddressHijack.GetProcAddress ->774B04B0->72D824E0

Функция ntdll.dll:NtSetInformationFile (560) перехвачена, метод ProcAddressHijack.GetProcAddress ->774AE190->72D82420

Функция ntdll.dll:NtSetValueKey (592) перехвачена, метод ProcAddressHijack.GetProcAddress ->774ADD90->72DB85D0

Функция ntdll.dll:ZwCreateFile (1669) перехвачена, метод ProcAddressHijack.GetProcAddress ->774B04B0->72D824E0

Функция ntdll.dll:ZwSetInformationFile (1955) перехвачена, метод ProcAddressHijack.GetProcAddress ->774AE190->72D82420

Функция ntdll.dll:ZwSetValueKey (1987) перехвачена, метод ProcAddressHijack.GetProcAddress ->774ADD90->72DB85D0

 Анализ user32.dll, таблица экспорта найдена в секции .text

Функция user32.dll:CallNextHookEx (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->750F13A0->72D820E0

Функция user32.dll:SetWindowsHookExW (2341) перехвачена, метод ProcAddressHijack.GetProcAddress ->750F7BF0->72DB8650

 Анализ advapi32.dll, таблица экспорта найдена в секции .text

Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1386) перехвачена, метод ProcAddressHijack.GetProcAddress ->74C87C0B->7523C260

 Анализ ws2_32.dll, таблица экспорта найдена в секции .text

 Анализ wininet.dll, таблица экспорта найдена в секции .text

 Анализ rasapi32.dll, таблица экспорта найдена в секции .text

 Анализ urlmon.dll, таблица экспорта найдена в секции .text

 Анализ netapi32.dll, таблица экспорта найдена в секции .text

Функция netapi32.dll:NetFreeAadJoinInformation (139) перехвачена, метод ProcAddressHijack.GetProcAddress ->7431C3CE->6771A730

Функция netapi32.dll:NetGetAadJoinInformation (140) перехвачена, метод ProcAddressHijack.GetProcAddress ->7431C3FD->6771AAA0

1.2 Поиск перехватчиков API, работающих в KernelMode

 Драйвер успешно загружен

 SDT найдена (RVA=236300)

 Ядро ntoskrnl.exe обнаружено в памяти по адресу 81808000

   SDT = 81A3E300

   KiST = 819204F4 (444)

Функция NtWriteVirtualMemory (04) перехвачена (81B36236->835E4110), перехватчик C:\WINDOWS\System32\drivers\klhk.sys, драйвер опознан как безопасный

Функция NtUnmapViewOfSection (14) перехвачена (81ACBE36->835E41B0), перехватчик C:\WINDOWS\System32\drivers\klhk.sys, драйвер опознан как безопасный

Функция NtTerminateThread (23) перехвачена (81AFF2E4->835E4100), перехватчик C:\WINDOWS\System32\drivers\klhk.sys, драйвер опознан как безопасный

Функция NtTerminateProcess (24) перехвачена (81B01172->835E40F0), перехватчик C:\WINDOWS\System32\drivers\klhk.sys, драйвер опознан как безопасный

Функция NtSystemDebugControl (26) перехвачена (81CBBBA3->835E4150), перехватчик C:\WINDOWS\System32\drivers\klhk.sys, драйвер опознан как безопасный

Функция NtSuspendProcess (28) перехвачена (81C8B739->835E41F0), перехватчик C:\WINDOWS\System32\drivers\klhk.sys, драйвер опознан как безопасный

Функция NtSetSystemInformation (3A) перехвачена (81B0E3BA->835E4180), перехватчик C:\WINDOWS\System32\drivers\klhk.sys, драйвер опознан как безопасный

Функция NtSetInformationToken (4B) перехвачена (81A85264->835E4010), перехватчик C:\WINDOWS\System32\drivers\klhk.sys, драйвер опознан как безопасный

Функция NtSetInformationObject (4F) перехвачена (81AA1220->835E40C0), перехватчик C:\WINDOWS\System32\drivers\klhk.sys, драйвер опознан как безопасный

Функция NtSetContextThread (5F) перехвачена (81C8A189->835E4130), перехватчик C:\WINDOWS\System32\drivers\klhk.sys, драйвер опознан как безопасный

Функция NtSecureConnectPort (64) перехвачена (81AD1160->835E4070), перехватчик C:\WINDOWS\System32\drivers\klhk.sys, драйвер опознан как безопасный

Функция NtResumeThread (6D) перехвачена (81AFE806->835E41E0), перехватчик C:\WINDOWS\System32\drivers\klhk.sys, драйвер опознан как безопасный

Функция NtRequestWaitReplyPort (72) перехвачена (81B31A00->835E4200), перехватчик C:\WINDOWS\System32\drivers\klhk.sys, драйвер опознан как безопасный

Функция NtQueueApcThread (90) перехвачена (81B410CA->835E4140), перехватчик C:\WINDOWS\System32\drivers\klhk.sys, драйвер опознан как безопасный

Функция NtProtectVirtualMemory (C8) перехвачена (81ABA840->835E40E0), перехватчик C:\WINDOWS\System32\drivers\klhk.sys, драйвер опознан как безопасный

Функция NtPlugPlayControl (D4) перехвачена (81A7CD6A->835E41D0), перехватчик C:\WINDOWS\System32\drivers\klhk.sys, драйвер опознан как безопасный

Функция NtOpenThread (DA) перехвачена (81B328F2->835E40A0), перехватчик C:\WINDOWS\System32\drivers\klhk.sys, драйвер опознан как безопасный

Функция NtOpenSection (DE) перехвачена (81B2BF2E->835E4080), перехватчик C:\WINDOWS\System32\drivers\klhk.sys, драйвер опознан как безопасный

Функция NtOpenProcess (E3) перехвачена (81AA5600->835E4090), перехватчик C:\WINDOWS\System32\drivers\klhk.sys, драйвер опознан как безопасный

Функция NtMapViewOfSection (FA) перехвачена (81ABD630->835E41A0), перехватчик C:\WINDOWS\System32\drivers\klhk.sys, драйвер опознан как безопасный

Функция NtLoadDriver (108) перехвачена (81B477EE->835E4170), перехватчик C:\WINDOWS\System32\drivers\klhk.sys, драйвер опознан как безопасный

Функция NtDuplicateObject (13A) перехвачена (81AFD8C0->835E4190), перехватчик C:\WINDOWS\System32\drivers\klhk.sys, драйвер опознан как безопасный

Функция NtDeviceIoControlFile (13E) перехвачена (81AB66C0->835E4210), перехватчик C:\WINDOWS\System32\drivers\klhk.sys, драйвер опознан как безопасный

Функция NtDebugActiveProcess (14B) перехвачена (81C39316->835E4160), перехватчик C:\WINDOWS\System32\drivers\klhk.sys, драйвер опознан как безопасный

Функция NtCreateThreadEx (158) перехвачена (81A8C4D6->835E4050), перехватчик C:\WINDOWS\System32\drivers\klhk.sys, драйвер опознан как безопасный

Функция NtCreateThread (159) перехвачена (81C875CB->835E4120), перехватчик C:\WINDOWS\System32\drivers\klhk.sys, драйвер опознан как безопасный

Функция NtCreateSymbolicLinkObject (15A) перехвачена (81A63AFE->835E41C0), перехватчик C:\WINDOWS\System32\drivers\klhk.sys, драйвер опознан как безопасный

Функция NtCreateSection (15C) перехвачена (81ABDAA0->835E4000), перехватчик C:\WINDOWS\System32\drivers\klhk.sys, драйвер опознан как безопасный

Функция NtConnectPort (179) перехвачена (81B3E678->835E4060), перехватчик C:\WINDOWS\System32\drivers\klhk.sys, драйвер опознан как безопасный

Функция NtClose (183) перехвачена (81AB51B0->835E40D0), перехватчик C:\WINDOWS\System32\drivers\klhk.sys, драйвер опознан как безопасный

Функция NtAlpcSendWaitReceivePort (190) перехвачена (81AC3930->835E4030), перехватчик C:\WINDOWS\System32\drivers\klhk.sys, драйвер опознан как безопасный

Функция NtAlpcConnectPort (1A2) перехвачена (81AD1632->835E4020), перехватчик C:\WINDOWS\System32\drivers\klhk.sys, драйвер опознан как безопасный

Функция NtAlpcConnectPortEx (1A3) перехвачена (81AD19D0->835E4040), перехватчик C:\WINDOWS\System32\drivers\klhk.sys, драйвер опознан как безопасный

Функция NtAdjustPrivilegesToken (1AE) перехвачена (81A86E7E->835E40B0), перехватчик C:\WINDOWS\System32\drivers\klhk.sys, драйвер опознан как безопасный

Проверено функций: 444, перехвачено: 34, восстановлено: 0

Помогите.

[Sandor]

Здравствуйте!

 

1. Консультанты не работники ЛК и не обязаны круглосуточно находиться онлайн. Помогаем бесплатно, поэтому, пожалуйста, наберитесь терпения.

 

2. Логи в порядке, ничего вирусоподобного. Указанные выше строки - нормальны.

[shelbY]

И что делать? Разъёмы менять пробовал - проблема остаётся.

[Sandor]

Обратитесь в Компьютерную помощь.