Нове в поведении ПК:
1.После выключения, через секунду ПК снова самопроизвольно включается.
2.Через несколько минут после перезагрузки начинается лихорадочная работа мыши и самопроизволное раскрытие насквозь двух-трех папок при прикосновении указателя.
3.Притормажевание и зависание.
AVZ(мастер проблем) находит и устраняет нарушения настроек, но через некоторое время все повторяется.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) SergejVT, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Я начинал с аппаратных проблем. Менял мышки.
Ставлю чистый Windows - все в порядке. Возвращаю в чистую NTFS свою копию и опять то же самое.
Может что-то видно в более ранних логах AVZ?
Через 2-3 дня AVZ выдает красным примерно одно и тоже, что это значит:
1.
/CmpCallCallBacks = 00093D84
Disable callback OK/
2.
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
3.
Функция NtAdjustPrivilegesToken (0B) перехвачена (805EC464->A9485690), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtAssignProcessToJobObject (13) перехвачена (805D6642->AA1E9610), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtClose (19) перехвачена (805BC530->A9485F94), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtConnectPort (1F) перехвачена (805A45D0->A9486DC8), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtCreateEvent (23) перехвачена (8060EF4E->A9487312), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtCreateFile (25) перехвачена (805790A8->A9486270), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtCreateKey (29) перехвачена (806240F0->A9484500), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtCreateMutant (2B) перехвачена (8061769E->A94871F8), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtCreateNamedPipeFile (2C) перехвачена (805790E2->A948527E), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtCreatePort (2E) перехвачена (805A50EC->A94870CC), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtCreateSection (32) перехвачена (805AB3C8->A9485426), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtCreateSemaphore (33) перехвачена (8061504E->A9487432), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtCreateThread (35) перехвачена (805D1018->A9485C1C), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtCreateWaitablePort (38) перехвачена (805A5110->A9487162), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtDebugActiveProcess (39) перехвачена (80643B30->A9488B1A), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtDeleteKey (3F) перехвачена (8062458C->A9484B0A), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtDeleteValueKey (41) перехвачена (8062475C->A9484EBE), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtDeviceIoControlFile (42) перехвачена (8057926E->A94866F2), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtDuplicateObject (44) перехвачена (805BE008->A9489D26), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtEnumerateKey (47) перехвачена (8062493C->A948500A), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtEnumerateValueKey (49) перехвачена (80624BA6->A94850A2), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtFsControlFile (54) перехвачена (805792A2->A9486500), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtLoadDriver (61) перехвачена (80584160->A9488C0C), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtLoadKey (62) перехвачена (80626314->A94844DC), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtLoadKey2 (63) перехвачена (80625F20->A94844EE), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtMapViewOfSection (6C) перехвачена (805B203A->A9489374), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtNotifyChangeKey (6F) перехвачена (806262DE->A94851CE), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtOpenEvent (72) перехвачена (8060F04E->A94873A8), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtOpenFile (74) перехвачена (8057A1A6->A9486016), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtOpenKey (77) перехвачена (806254CE->A94846C0), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtOpenMutant (78) перехвачена (80617776->A9487288), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtOpenProcess (7A) перехвачена (805CB440->A94858CC), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtOpenSection (7D) перехвачена (805AA3EC->A948910E), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtOpenSemaphore (7E) перехвачена (80615148->A94874C8), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtOpenThread (80) перехвачена (805CB6CC->A94857BE), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtProtectVirtualMemory (89) перехвачена (805B841E->AA1E96D0), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtQueryKey (A0) перехвачена (80625810->A948513A), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtQueryMultipleValueKey (A1) перехвачена (8062323E->A9484D72), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtQuerySection (A7) перехвачена (805B85E0->A94896AE), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtQueryValueKey (B1) перехвачена (80622314->A948499C), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtQueueApcThread (B4) перехвачена (805D1276->A9488FA0), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtRenameKey (C0) перехвачена (80623B12->A9484C2C), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtReplaceKey (C1) перехвачена (806261C4->A9483F16), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtReplyPort (C2) перехвачена (805A54EC->A948782C), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtReplyWaitReceivePort (C3) перехвачена (805A64B4->A94876F2), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtRequestWaitReplyPort (C8) перехвачена (805A2D76->A94888B4), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtRestoreKey (CC) перехвачена (80625AD0->A948428E), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtResumeThread (CE) перехвачена (805D49BA->A9489BC8), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtSaveKey (CF) перехвачена (80625BCC->A9483EAE), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtSecureConnectPort (D2) перехвачена (805A3D64->A9486B0E), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtSetContextThread (D5) перехвачена (805D173A->A9485E38), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtSetInformationThread (E5) перехвачена (805CC10E->AA1E9650), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtSetInformationToken (E6) перехвачена (805FA7B4->A9488154), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtSetSecurityObject (ED) перехвачена (805C062E->A9488DAA), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtSetSystemInformation (F0) перехвачена (8060FD06->A94897FE), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtSetValueKey (F7) перехвачена (80622662->A9484816), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtSuspendProcess (FD) перехвачена (805D4A82->A94898F0), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtSuspendThread (FE) перехвачена (805D48F4->A9489A2A), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtSystemDebugControl (FF) перехвачена (806180BA->A9488A3E), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtTerminateProcess (101) перехвачена (805D29E2->A9485A68), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtTerminateThread (102) перехвачена (805D2BDC->A94859C8), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtUnmapViewOfSection (10B) перехвачена (805B2E48->A9489552), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция NtWriteVirtualMemory (115) перехвачена (805B43CC->A9485B52), перехватчик C:\WINDOWS\system32\DRIVERS\4437710drv.sys
Функция FsRtlCheckLockForReadAccess (804EAF84) - модификация машинного кода. Метод JmpTo. jmp A9477FD0 \SystemRoot\system32\DRIVERS\4437710drv.sys
Функция IoIsOperationSynchronous (804EF912) - модификация машинного кода. Метод JmpTo. jmp A94783AC \SystemRoot\system32\DRIV
Чтобы месяц не настраивать, то что создавал годами.
Добавлено через 31 минуту
Для справки: я не програмист, но электроникой занимался с 1968 года, кибернетикой (это пробабка сегодняшнего дня) - с 1970 года (МАН Украины), так что железо для меня очень просто, тем более при сегодняшней диагностике и тестерах.
Так вот какая ерунда: автокарантин прибрал этот файл (wuauserv.dll).
AVZ log 04.03.2012:
[Файл: C:\WINDOWS\system32\wuauserv.dll. Результат: Файл НЕ прошел контроль подлинности Microsoft
Файл: C:\WINDOWS\system32\wuauserv.dll. Результат: Файл НЕ обнаружен в базе системных и безопасных объектов AVZ
Файл успешно помещен в карантин (C:\WINDOWS\system32\wuauserv.dll)]
Почему-то пригрет еще один:
Файл успешно помещен в карантин (C:\WINDOWS\system32\dopdfmn7.dll) (вроде бы давно дружу с doPDF)
Не верю глазам, не могу объяснить (бился полтора месяца), но после вышеуказанного РЕЗУЛЬТАТ: мышь перестала сквозить, 15 пробных выключений ПК - ни одного нахального самозапуска.
И еще, Malwarebytes выкопал и удалил запись реестра связанную с Excel, я не придал этому значения, а отчет исчез.
P.S. Чуть не забыл, сегодня полностью выковыривал антивирус (NOD32.v4) и поставил по новой, в прошлом году было дело - он передергивал систему.
Добавлено через 6 часов 56 минут
Как закрыть тему?
Добавлено через 1 минуту
Как закрыть тему?
Последний раз редактировалось SergejVT; 04.03.2012 в 21:42.
Причина: Добавлено
Уважаемый(ая) SergejVT, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: