Заблокирован диспетчер задач, редактор реестра

[smoki]

Есть подозрения, что на компьютере вирус, но никак не могу понять как мог его подцепить, все файлы тщательно проверяются кис'ом и вирустоталом.
Так же хочу добавить, что PID = 0 меня беспокоит (очень странно).
Зашел в "Управление учетными записями" для проверки, может быть полнолуние и моя учетка сменилась с админ правами - учетка была под паролем и админ права были в порядке, но после перезагрузки и войдя в безопасный режим - ничего такого не было замечено (пароль не стоял).
так же прикладываю логи

Очень надеюсь на вашу помощь

[Никита Соловьев]

Выполните полную проверку при помощи AVPTool или CureIt
После проверки выполните скрипт в AVZ:

Код:

begin
 ExecuteRepair(11);
 ExecuteRepair(17);
 RebootWindows(true);
end.

компьютер перезагрузится.
Что с проблемой?

[smoki]

к сожалению, никаких изменений не произошло

[Никита Соловьев]

Неужели Вы так быстро выполнили полную проверку?

[smoki]

полная проверка была выполнена с помощью CureIt перед созданием отчета AVZ

Добавлено через 1 час 27 минут

какие нибудь еще предложения как избавиться от этого...? =\

[smoki]

в AVZ есть функция - разблокировка диспетчера задач и реестра, но так же написано, что при этом вирус не удаляется, а только разблокируется...
я разблокировал и перегрузил компьютер - ничего заблокировано не было. После полной проверки в безопасном режим, опять все заблокировано. Да что ж за вирус такой ? он никакими сканерами не замечается (avz, cureIt, kis)
может запущен какой-то процесс который блокирует? лог процессов в первом посте...

очень надеюсь на вашу помощь...

Добавлено через 2 минуты

с avz:

Код:

Функция NtAdjustPrivilegesToken (0C) перехвачена (829F0981->92080BD0), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtAlpcConnectPort (15) перехвачена (829F717B->9208252C), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtAlpcCreatePort (16) перехвачена (829C77B2->92082782), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtAlpcSendWaitReceivePort (26) перехвачена (82A36AC8->920829FC), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtClose (30) перехвачена (82A288C5->92081450), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtConnectPort (36) перехвачена (829D77F1->92081B32), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtCreateEvent (3A) перехвачена (82A336A4->92081F3C), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtCreateFile (3C) перехвачена (82A31F86->920815F8), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtCreateMutant (43) перехвачена (82A41B97->92081E14), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtCreateNamedPipeFile (44) перехвачена (829D90A8->920807D6), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtCreatePort (47) перехвачена (829A2581->92081CD0), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtCreateSection (4B) перехвачена (82A54127->92080992), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtCreateSemaphore (4C) перехвачена (829EB08E->9208206E), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtCreateSymbolicLinkObject (4D) перехвачена (829E408B->92083CB0), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtCreateThread (4E) перехвачена (82A9EFA4->920810EE), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtCreateWaitablePort (73) перехвачена (82998C77->92081D72), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtDebugActiveProcess (74) перехвачена (82A72514->920836A2), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtDuplicateObject (81) перехвачена (82A04E81->92084672), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtFsControlFile (96) перехвачена (82A3493D->92081752), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtLoadDriver (A5) перехвачена (8297AAD2->92083734), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtMapViewOfSection (B1) перехвачена (82A2F71E->92083D64), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtOpenEvent (B8) перехвачена (829F10DF->92081FDE), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtOpenFile (BA) перехвачена (82A1B5FD->920814D2), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtOpenMutant (BF) перехвачена (82A38264->92081EAC), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtOpenProcess (C2) перехвачена (82A1CB06->92080DD6), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtOpenSection (C5) перехвачена (82A337C2->92083CDA), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtOpenSemaphore (C6) перехвачена (829B682B->92082110), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtOpenThread (C9) перехвачена (82A0D1CA->92080CFA), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtQueryDirectoryObject (DB) перехвачена (82A35498->92082C3E), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtQuerySection (F2) перехвачена (82A41A66->9208407C), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtQueueApcThread (FF) перехвачена (829BEF7C->920839CA), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtReplyPort (10E) перехвачена (82A01EC8->9208249A), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtReplyWaitReceivePort (10F) перехвачена (82A272C7->92082360), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtRequestWaitReplyPort (114) перехвачена (82A38035->92083442), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtResumeThread (11A) перехвачена (82A0C574->92084554), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtSecureConnectPort (11E) перехвачена (829D7203->9208186C), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtSetContextThread (121) перехвачена (82A9FC7B->9208130C), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtSetInformationToken (133) перехвачена (829E68F0->92082CF2), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtSetSecurityObject (13A) перехвачена (829E4403->9208382E), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtSetSystemInformation (13D) перехвачена (82A02372->920841BC), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtSuspendProcess (14A) перехвачена (82AA086B->920842A0), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtSuspendThread (14B) перехвачена (82A5D788->920843C8), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtSystemDebugControl (14C) перехвачена (82A08AB0->920835CE), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtTerminateProcess (14E) перехвачена (829EDF80->92080F4E), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtTerminateThread (14F) перехвачена (82A1A707->92080EA4), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtUnmapViewOfSection (15C) перехвачена (82A2FD75->92083F32), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtWriteVirtualMemory (166) перехвачена (82A18C47->9208102E), перехватчик C:\Windows\system32\DRIVERS\klif.sys
Функция NtCreateThreadEx (17E) перехвачена (82A0CBD2->920811EE), перехватчик C:\Windows\system32\DRIVERS\klif.sys

может это не есть хорошо? =\

[thyrex]

Лечитесь так http://virusinfo.info/showpost.php?p=306441&postcount=2

[smoki]

пройдена полная проверка с помощью LiveCD
подозрительных объектов не найдено

вверху так же представлены строки из avz о каком-то перехвате =\ что это может быть ?

[Bratez]

перехватчик C:\Windows\system32\DRIVERS\klif.sys

Это драйвер касперского.

[smoki]

если сканеры не могут определить вирус, возможно сделать лог загружаемых процессов чтобы узнать что за вирус подгружается? я смотрел процессы, ничего особо подозрительного не нашел

довольно таки странная и в то же время сложная проблема для решения =\

[smoki]

Компьютер был просканен с помощью ComboFix, в ходе которого после перезагрузке компьютера был заблокирован файл mbr.cfxxe. Также когда он заблокирован, то диспетчер и реестр работают нормально. Файл находится по адресу C:\combofix\mbr.cfxee но также хочу заметить что ярлык C:\combofix открывает начальный вид "Мой компьютер" (тоесть где показаны диски и сидиромы). Значит вредоносный файл mbr.cfxxe находился вне системы =\

какие действия посоветуете ? и что это за файл? возможно/нужно ли его удалить ?

[thyrex]

Лог ComboFix выложите

[smoki]

я так понимаю лог должен сохранится в C:\ но там я не нашел файл логирования. по поиску компьютера, файла лога combofix не найдено

[thyrex]

C:\ComboFix.txt нет?

[smoki]

да, такого файла почему-то нету =\

[thyrex]

Еще раз лог сделайте