Возникла такая проблема:
При запуске flash-приложений в любом интернет-браузере перезагружается компьютер. Если запускать обычный *.swf файл с компа, то все нормально. В особенности система мгновенно уходит в ребут при запуске FLASH API 2.0 приложений вконтакте, и сайта одноклассники. Форматировал диск С. После просканил всю систему Dr-Web/NOD/Ad-Aware ничего подозрительно не обнаружили. Но мне посоветовали поставить KIS последней версии, так и сделал. После того как установка потребовала перезагрузки, выполнил - загружаюсь снова и как только начинает подгружаться Kaspersky система опять уходит в ребут, 3 раза подряд, меня это насторожило (удалил через восстановление системы). Более опытные посоветовали AVZ, начал проверять диск Е но лог событый скана меня уже насторожил:
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:TerminateProcess (843) перехвачена, метод APICodeHijack.JmpTo[10003526]
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:WSACleanup (116) перехвачена, метод APICodeHijack.JmpTo[10004016]
Функция ws2_32.dll:WSARecv (71) перехвачена, метод APICodeHijack.JmpTo[100035A6]
Функция ws2_32.dll:WSARecvFrom (73) перехвачена, метод APICodeHijack.JmpTo[100036E6]
Функция ws2_32.dll:WSASend (76) перехвачена, метод APICodeHijack.JmpTo[100039E6]
Функция ws2_32.dll:WSASendTo (7 перехвачена, метод APICodeHijack.JmpTo[10003B16]
Функция ws2_32.dll:WSASocketW (83) перехвачена, метод APICodeHijack.JmpTo[10003F06]
Функция ws2_32.dll:closesocket (3) перехвачена, метод APICodeHijack.JmpTo[10003F86]
Функция ws2_32.dll:recv (16) перехвачена, метод APICodeHijack.JmpTo[10003826]
Функция ws2_32.dll:recvfrom (17) перехвачена, метод APICodeHijack.JmpTo[10003906]
Функция ws2_32.dll:send (19) перехвачена, метод APICodeHijack.JmpTo[10003C46]
Функция ws2_32.dll:sendto (20) перехвачена, метод APICodeHijack.JmpTo[10003D76]
Функция ws2_32.dll:socket (23) перехвачена, метод APICodeHijack.JmpTo[10003EA6]
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=083220)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 8055A220
KiST = 804E26A8 (284)
Проверено функций: 284, перехвачено: 0, восстановлено: 0
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\Layer\Layer.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Layer\Layer.dll>>> Поведенческий анализ
1. Реагирует на события: клавиатура - (это тоже не айс как я понимаю, но с этим я разберусь сам, главное flash)
Так вот, это может быть как-то связанно с моей проблемой? Как с этим справиться.. мне не хватет компьютерных навыков, что посоветуете? В интернет невозможно выходить, страшно зайти на сайт чтобы компьютер не перезагрузился.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети. - Антивирус и Файрвол.
- Пофиксите в HiJackThis:
Код:
R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\Игорь\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: QIPBHO - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\Игорь\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Program Files\Layer\Layer.dll','');
QuarantineFile('c:\program files\layer\layer.exe','');
QuarantineFile('C:\Documents and Settings\Игорь\Local Settings\Temp\~DF2B00.tmp','');
QuarantineFile('C:\Documents and Settings\Игорь\Local Settings\Temp\~DF430C.tmp','');
DeleteFile('C:\Documents and Settings\Игорь\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.
Система перезагрузится.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину. - Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно пункта 2 Правил (Диагностика)
virusinfo_syscheck.zip
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.
выполнил все скрипты. безрезультатно. компьютер продолжает ребутаться. но теперь система пытается найти драйвер для неизвестно оборудования после каждой перезагрузки (безуспешно). начию подумывать что дело в железе, но что еще с ним кроме чистки сделать. заменить полностью :)? Кстати по отосланному карантину, в zip-архиве нет файлов, одни ini-отчеты. DF2B00.tmp, DF430C.tmp - сами прихлопнулись, а layer.exe/dll один умник мне удалил Unlocker'ом.
Вот новые логи:
Последний раз редактировалось zondr; 31.07.2009 в 01:38.
Устройство должно пропасть, если не пропадёт - удалите штатными средствами Windows. Больше ничего подозрительного в логах не вижу.
Cкрипт выполнил, после перезагрузки ничего не изменилось, устройство также просит драйвера. Вышел на форум об этом отписать, резко крутнул тему вниз - сработал ребут :). Штатными средствами? Что посоветуете кроме диспетчера. Да, логи чисты.
Вот сейчас в диспетчере удалить - возродится или нет?
Странно, не возрадился. Но это не обрадовало ни сколько. Мирно смотрел фильм, как вдруг компьютер решил перезагрузиться. Кстати, если кто знает сайт вконтакте, то он размещает рекламу по правую сторону от анкеты пользователя - увидеть её, тоже шок для компьютера )).
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: