клавиатурный вирус

[hofbafon]

Здравствуйте. Заранее извиняюсь за грамматику, поскольку набирать приходится на виртуальной клавиатуре. Набирал текст в ворде, смотрю, опечаток много стало. А одно слово вообще без опечаток набрать не удаётся. Клавиша v печатает сразу v и b, т.е. "vb". Аналогично вместо m пишет "nm". Поскольку клавиши рядом, я думал, механически слиплись. Снял клавиши, нажал пинцетиком - не слиплись: нажимаю одну кнопку, а символа два печатается. Следующий шаг - проверка на вирусы. Тут проблема: сканер др веб при загрузке пишет ошибка вирусной базы данных. Ради справедливости скажу, эта проблема появилась раньше этого случая с клавой. Я нажал ок и все-таки провел проверку - проверка не завершилась. Пришлось переустановить антивирь, обновить базу. Проверил еще раз - вирусов не нашлось. скачал cureit - один вирус все же нашелся (adobe player кажется). Я его удалил, но проблема не пропала. Более того, после нескольких перезапусков клавиши vbnm глючить перестали, но теперь s - capslock, слэш - бэкспейс, а переключение раскладки перезагружает комп. Причем, иногда клава дает войти в безопасный режим, иногда - нет. Утилита avz вирусов тоже не нашла. Откат ни к одной контрольной точке сделать не получается. Смена порта клавы проблему не решила. На данный момент на клаве работает только enter -остальное даже боюсь трогать. Еще заметил следующее. У меня временные файлы лежат в папке d:\temp. Я ее очистил. После перезагрузки в ней откуда-то появились файлы
Arabic.bin
Croatian.bin
Czech.bin
Danish.bin
Dutch.bin
English.bin
Finnish.bin
French.bin
German.bin
Greek.bin
Hebrew.bin
Hungarian.bin
Italian.bin
Japanese.bin
Korean.bin
Lithuanian.bin
Norwegian.bin
Polish.bin
Portuguese(Brazil).bin
Portuguese.bin
Russian.bin
SimChin.bin
Slovak.bin
Slovenian.bin
Spanish.bin
SWEDISH.bin
Thai.bin
TradChin.bin
Turkish.bin
прошу помочь, лог я приложил

CollectionLog-2017.01.09-09.28.zip

[Sandor]

Здравствуйте!

 

Саму клавиатуру менять не пробовали?

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('c:\program files\kinoroom browser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\documents and settings\all users\application data\krb updater utility', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\documents and settings\nata\local settings\application data\microsoft\extensions', '*', true, '', 0 ,0);
 QuarantineFile('C:\Program Files\Kinoroom Browser\krbrowser.exe', '');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\KRB Updater Utility\krbupdater-utility.exe', '');
 QuarantineFile('C:\Documents and Settings\Nata\Local Settings\Application Data\Microsoft\Extensions\extsetup.exe', '');
 DeleteFile('C:\Program Files\Kinoroom Browser\krbrowser.exe', '32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\KRB Updater Utility\krbupdater-utility.exe', '32');
 DeleteFile('C:\Documents and Settings\Nata\Local Settings\Application Data\Microsoft\Extensions\extsetup.exe', '32');
 DeleteFileMask('c:\program files\kinoroom browser', '*', true);
 DeleteFileMask('c:\documents and settings\all users\application data\krb updater utility', '*', true);
 DeleteFileMask('c:\documents and settings\nata\local settings\application data\microsoft\extensions', '*', true);
 DeleteDirectory('c:\program files\kinoroom browser');
 DeleteDirectory('c:\documents and settings\all users\application data\krb updater utility');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','InternetConnect.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Kinoroom Browser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KRB Updater Utility');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SafeBrowser');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

• Загрузите GMER по одной из указанных ссылок:

  Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

• Временно отключите драйверы эмуляторов дисков.
• Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
• Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No.
• Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
• Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
• После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

• Подробную инструкцию читайте в руководстве.

Изменено 9 января, 2017 пользователем Sandor

[hofbafon]

Саму клавиатуру менять не пробовали?

 

не пробовал - у меня сейчас просто нет другой клавы, а взять не у кого. по-моему, дело явно в ПО. Спасибо, как проделаю - отпишусь

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

 

Антивирус Касперского проверил файлы.

 

Вредоносные программы не найдены в файлах:

extsetup.log

le

 

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

 

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

 

Антивирусная Лаборатория, Kaspersky Lab HQ

 

"Ленинградское шоссе 39A/3, Москва, 125212, Russia

Телефон/Факс: + 7 (495) 797 8700

http://www.kaspersky.com http://www.viruslist.com"

defogger_disable.log

gmerlog.log

[Sandor]

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[hofbafon]

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

 

вроде бы я не нарушал правил. в любом случае, зажимать шифт мне нет особого смысла. у меня же с клавиатурой проблемы...

[Sandor]

Это не замечание, а напоминание)) Хорошо, делайте без Shift.

[hofbafon]

ок, вот

CollectionLog-2017.01.09-14.08.zip

[Sandor]

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://antizapret.prostovpn.org/proxy.pac
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
O4 - Startup other users: KRB Updater Utility.lnk    ->    C:\Documents and Settings\All Users\Application Data\KRB Updater Utility\krbupdater-utility.exe

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[hofbafon]

вот

AdwCleanerS0.txt

[Sandor]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Прокси
  • Политики IE
  • Политики Chrome

    и нажмите Ok.

• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[hofbafon]

Знаете, я, пожалуй, решу проблему переустановкой системы. Просто нет желания выкладывать на всеобщее обозрение содержимое своего компа. В любом случае спасибо за помощь!!!!

[Sandor]

Дело Ваше. Уточню, вложенные в сообщения файлы доступны для скачивания только участникам из группы Консультанты и модераторам. Даже Вы не можете скачать свои же логи.

[hofbafon]

Я все же думаю, проще будет переустановить, чем так долго искать причину. Видимо, уже просто время пришло, наверняка какие-нибудь настройки сбились. Обращусь к вам за помощью в следующий раз. Спасибо еще раз!

[Sandor]

IMHO, с клавиатурой - аппаратные проблемы. Поэтому прежде, чем переустанавливать систему, советую все же найти и подставить заведомо исправную. А остальное - банальная адварь. И ради этого систему менять - тоже нет смысла. Но, конечно, решать Вам.

[hofbafon]

 

Sandor, вообще-то, вы были правы. Я потестировал клавиатуру на другом компе - она действительно сломалась. Может, не полностью, но дело все-таки было в ней. Пишу, просто чтобы уже закрыть эту тему. На самом деле, было очень приятно ваше желание помочь. Еще раз спасибо!