Показано с 1 по 16 из 16.

Заблокирован диспетчер задач, редактор реестра (заявка № 61204)

  1. #1
    Junior Member Репутация
    Регистрация
    24.11.2009
    Сообщений
    14
    Вес репутации
    26

    Exclamation Заблокирован диспетчер задач, редактор реестра

    Есть подозрения, что на компьютере вирус, но никак не могу понять как мог его подцепить, все файлы тщательно проверяются кис'ом и вирустоталом.
    Так же хочу добавить, что PID = 0 меня беспокоит (очень странно).
    Зашел в "Управление учетными записями" для проверки, может быть полнолуние и моя учетка сменилась с админ правами - учетка была под паролем и админ права были в порядке, но после перезагрузки и войдя в безопасный режим - ничего такого не было замечено (пароль не стоял).
    так же прикладываю логи

    Очень надеюсь на вашу помощь
    Вложения Вложения

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,448
    Вес репутации
    905
    Выполните полную проверку при помощи AVPTool или CureIt
    После проверки выполните скрипт в AVZ:
    Код:
    begin
     ExecuteRepair(11);
     ExecuteRepair(17);
     RebootWindows(true);
    end.
    компьютер перезагрузится.
    Что с проблемой?

  4. #3
    Junior Member Репутация
    Регистрация
    24.11.2009
    Сообщений
    14
    Вес репутации
    26
    к сожалению, никаких изменений не произошло

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,448
    Вес репутации
    905
    Неужели Вы так быстро выполнили полную проверку?

  6. #5
    Junior Member Репутация
    Регистрация
    24.11.2009
    Сообщений
    14
    Вес репутации
    26
    полная проверка была выполнена с помощью CureIt перед созданием отчета AVZ

    Добавлено через 1 час 27 минут

    какие нибудь еще предложения как избавиться от этого...? =\
    Последний раз редактировалось smoki; 25.11.2009 в 01:38. Причина: Добавлено

  7. #6
    Junior Member Репутация
    Регистрация
    24.11.2009
    Сообщений
    14
    Вес репутации
    26
    в AVZ есть функция - разблокировка диспетчера задач и реестра, но так же написано, что при этом вирус не удаляется, а только разблокируется...
    я разблокировал и перегрузил компьютер - ничего заблокировано не было. После полной проверки в безопасном режим, опять все заблокировано. Да что ж за вирус такой ? он никакими сканерами не замечается (avz, cureIt, kis)
    может запущен какой-то процесс который блокирует? лог процессов в первом посте...

    очень надеюсь на вашу помощь...

    Добавлено через 2 минуты

    с avz:
    Код:
    Функция NtAdjustPrivilegesToken (0C) перехвачена (829F0981->92080BD0), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtAlpcConnectPort (15) перехвачена (829F717B->9208252C), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtAlpcCreatePort (16) перехвачена (829C77B2->92082782), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtAlpcSendWaitReceivePort (26) перехвачена (82A36AC8->920829FC), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtClose (30) перехвачена (82A288C5->92081450), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtConnectPort (36) перехвачена (829D77F1->92081B32), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtCreateEvent (3A) перехвачена (82A336A4->92081F3C), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtCreateFile (3C) перехвачена (82A31F86->920815F8), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtCreateMutant (43) перехвачена (82A41B97->92081E14), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtCreateNamedPipeFile (44) перехвачена (829D90A8->920807D6), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtCreatePort (47) перехвачена (829A2581->92081CD0), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtCreateSection (4B) перехвачена (82A54127->92080992), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtCreateSemaphore (4C) перехвачена (829EB08E->9208206E), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtCreateSymbolicLinkObject (4D) перехвачена (829E408B->92083CB0), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtCreateThread (4E) перехвачена (82A9EFA4->920810EE), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtCreateWaitablePort (73) перехвачена (82998C77->92081D72), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtDebugActiveProcess (74) перехвачена (82A72514->920836A2), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtDuplicateObject (81) перехвачена (82A04E81->92084672), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtFsControlFile (96) перехвачена (82A3493D->92081752), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtLoadDriver (A5) перехвачена (8297AAD2->92083734), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtMapViewOfSection (B1) перехвачена (82A2F71E->92083D64), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtOpenEvent (B8) перехвачена (829F10DF->92081FDE), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtOpenFile (BA) перехвачена (82A1B5FD->920814D2), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtOpenMutant (BF) перехвачена (82A38264->92081EAC), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtOpenProcess (C2) перехвачена (82A1CB06->92080DD6), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtOpenSection (C5) перехвачена (82A337C2->92083CDA), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtOpenSemaphore (C6) перехвачена (829B682B->92082110), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtOpenThread (C9) перехвачена (82A0D1CA->92080CFA), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtQueryDirectoryObject (DB) перехвачена (82A35498->92082C3E), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtQuerySection (F2) перехвачена (82A41A66->9208407C), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtQueueApcThread (FF) перехвачена (829BEF7C->920839CA), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtReplyPort (10E) перехвачена (82A01EC8->9208249A), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtReplyWaitReceivePort (10F) перехвачена (82A272C7->92082360), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtRequestWaitReplyPort (114) перехвачена (82A38035->92083442), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtResumeThread (11A) перехвачена (82A0C574->92084554), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtSecureConnectPort (11E) перехвачена (829D7203->9208186C), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtSetContextThread (121) перехвачена (82A9FC7B->9208130C), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtSetInformationToken (133) перехвачена (829E68F0->92082CF2), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtSetSecurityObject (13A) перехвачена (829E4403->9208382E), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtSetSystemInformation (13D) перехвачена (82A02372->920841BC), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtSuspendProcess (14A) перехвачена (82AA086B->920842A0), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtSuspendThread (14B) перехвачена (82A5D788->920843C8), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtSystemDebugControl (14C) перехвачена (82A08AB0->920835CE), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtTerminateProcess (14E) перехвачена (829EDF80->92080F4E), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtTerminateThread (14F) перехвачена (82A1A707->92080EA4), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtUnmapViewOfSection (15C) перехвачена (82A2FD75->92083F32), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtWriteVirtualMemory (166) перехвачена (82A18C47->9208102E), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Функция NtCreateThreadEx (17E) перехвачена (82A0CBD2->920811EE), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    может это не есть хорошо? =\
    Последний раз редактировалось smoki; 25.11.2009 в 18:51. Причина: Добавлено

  8. #7
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  9. #8
    Junior Member Репутация
    Регистрация
    24.11.2009
    Сообщений
    14
    Вес репутации
    26
    пройдена полная проверка с помощью LiveCD
    подозрительных объектов не найдено

    вверху так же представлены строки из avz о каком-то перехвате =\ что это может быть ?

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Это драйвер касперского.
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    24.11.2009
    Сообщений
    14
    Вес репутации
    26
    если сканеры не могут определить вирус, возможно сделать лог загружаемых процессов чтобы узнать что за вирус подгружается? я смотрел процессы, ничего особо подозрительного не нашел

    довольно таки странная и в то же время сложная проблема для решения =\

  12. #11
    Junior Member Репутация
    Регистрация
    24.11.2009
    Сообщений
    14
    Вес репутации
    26
    Компьютер был просканен с помощью ComboFix, в ходе которого после перезагрузке компьютера был заблокирован файл mbr.cfxxe. Также когда он заблокирован, то диспетчер и реестр работают нормально. Файл находится по адресу C:\combofix\mbr.cfxee но также хочу заметить что ярлык C:\combofix открывает начальный вид "Мой компьютер" (тоесть где показаны диски и сидиромы). Значит вредоносный файл mbr.cfxxe находился вне системы =\

    какие действия посоветуете ? и что это за файл? возможно/нужно ли его удалить ?

  13. #12
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Лог ComboFix выложите
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  14. #13
    Junior Member Репутация
    Регистрация
    24.11.2009
    Сообщений
    14
    Вес репутации
    26
    я так понимаю лог должен сохранится в C:\ но там я не нашел файл логирования. по поиску компьютера, файла лога combofix не найдено

  15. #14
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    C:\ComboFix.txt нет?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  16. #15
    Junior Member Репутация
    Регистрация
    24.11.2009
    Сообщений
    14
    Вес репутации
    26
    да, такого файла почему-то нету =\

  17. #16
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Еще раз лог сделайте
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  • Уважаемый(ая) smoki, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 5
      Последнее сообщение: 02.03.2012, 15:35
    2. Ответов: 6
      Последнее сообщение: 31.10.2009, 17:20
    3. Ответов: 12
      Последнее сообщение: 22.02.2009, 09:36
    4. Ответов: 12
      Последнее сообщение: 22.02.2009, 07:02
    5. Ответов: 2
      Последнее сообщение: 25.12.2008, 17:56

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01339 seconds with 22 queries