Началось все с того, что слова начали писаться так, как им угодно - хотят заглавными, хотят - нет... Сразу после этого заметил, что когда нажимаю на файл мышкой выделяются все файлы до этого, будто зажат ctrl... Контекстное меню если открываю на рабочем столе, то практически сразу изчезает, в интернете колесико у мыши начало управлять страницами: вниз - предыдущая, вверх - следующая... Перезагрузки помогают максимум на 20 минут. AVZ нашел кучу keylogger-ов, удалил, но где-то через час после перезагрузки все началось по-новому. Иногда, если повезет - сам начинает нормально работать.
Буду благодарен, если вы поможете разобраться, как это остановить.
Последний раз редактировалось DeniX; 29.07.2009 в 20:54.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1) Он удалил keylogger-ы, которые нашел.
2) Не хочет выкладывать: говорит, что " virusinfo_syscure.zip:
Вы уже вложили этот файл в теме: После вируса не запускаются exe файлы... ".
Кстать теперь он говорит ещё и " virusinfo_syscheck.zip:
Вы уже вложили этот файл в теме: Проблема с клавиатурой и мышью. ".
Про hijackthis.log ничего не говорит.
Переименование не помогает...
3) Спасибо, что напомнили. Отключил.
Последний раз редактировалось DeniX; 29.07.2009 в 20:54.
Хммм, конечно, я мог бы и сам об этом догадаться... А какие кейлоггеры и где он нашёл?
2) Не хочет выкладывать: говорит, что " virusinfo_syscure.zip:
Вы уже вложили этот файл в теме: После вируса не запускаются exe файлы... ".
Значит Вы не тот лог прикрепляете. Удалите ВСЕ старые логи. Если они Вам дороги - сохраните их где хотите, и сделайте комплект новых логов в соотв. с правилами.
Кстать теперь он говорит ещё и " virusinfo_syscheck.zip:
Вы уже вложили этот файл в теме: Проблема с клавиатурой и мышью. ".
1) Их было слишком много, чтобы запомнить. Да и не знал, что понадобится... + к этому типа этого:
"Функция urlmon.dll:URLDownloadToCacheFileA (216) перехвачена, метод APICodeHijack.JmpTo[10001EE6]
>>> Код руткита в функции URLDownloadToCacheFileA нейтрализован
Функция urlmon.dll:URLDownloadToCacheFileW (217) перехвачена, метод APICodeHijack.JmpTo[10001F06]
>>> Код руткита в функции URLDownloadToCacheFileW нейтрализован
Функция urlmon.dll:URLDownloadToFileA (21 перехвачена, метод APICodeHijack.JmpTo[10001EA6]
>>> Код руткита в функции URLDownloadToFileA нейтрализован
Функция urlmon.dll:URLDownloadToFileW (219) перехвачена, метод APICodeHijack.JmpTo[10001EC6]
>>> Код руткита в функции URLDownloadToFileW нейтрализован
Функция wininet.dll:InternetConnectA (231) перехвачена, метод APICodeHijack.JmpTo[10001E26]
>>> Код руткита в функции InternetConnectA нейтрализован
Функция wininet.dll:InternetConnectW (232) перехвачена, метод APICodeHijack.JmpTo[10001E46]
>>> Код руткита в функции InternetConnectW нейтрализован"
и
Функция NtAdjustPrivilegesToken (0B) перехвачена (805EBB3E->F5362F6, перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtConnectPort (1F) перехвачена (805A45B4->F5362472), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtCreateFile (25) перехвачена (80579084->F5362B0C), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtCreateKey (29) перехвачена (806237B0->F53634E4), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtCreatePort (2E) перехвачена (805A50D0->F5362150), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtCreateSection (32) перехвачена (805AB3AE->F53641F0), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtCreateSymbolicLinkObject (34) перехвачена (805C39C2->F53644C, перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtCreateThread (35) перехвачена (805D0FE0->F5361D16), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtDeleteKey (3F) перехвачена (80623C40->F536314E), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtDeleteValueKey (41) перехвачена (80623E10->F53632FE), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtDuplicateObject (44) перехвачена (805BDFD0->F5361A7, перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtLoadDriver (61) перехвачена (8058413A->F5363E72), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtMakeTemporaryObject (69) перехвачена (805BC59C->F53626F6), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtOpenFile (74) перехвачена (8057A182->F5362D50), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtOpenProcess (7A) перехвачена (805CB408->F53617A, перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtOpenSection (7D) перехвачена (805AA3D2->F5362986), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtOpenThread (80) перехвачена (805CB694->F5361920), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtRenameKey (C0) перехвачена (806231D2->F53638AA), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtRequestWaitReplyPort (C перехвачена (805A2D5A->F536226E), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtSecureConnectPort (D2) перехвачена (805A3D48->F5363C0E), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtSetSystemInformation (F0) перехвачена (8060F3E4->F5364020), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtSetValueKey (F7) перехвачена (80621D36->F53636AA), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtShutdownSystem (F9) перехвачена (8061266E->F5362690), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtSystemDebugControl (FF) перехвачена (80617798->F536287A), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtTerminateProcess (101) перехвачена (805D29AA->F536201A), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtTerminateThread (102) перехвачена (805D2BA4->F5361EE, перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Это часть того, что он сегодня выдал в ходе скрипта №3.
И меньше их не становится...
2) Логи удалил (хз, почему сам не догадался...)
Но теперь ещё одна проблема:
Он банально не хочет создавать virusinfo_syscure.zip. Если настройки оставлять так, как при запуске, то все проходит хорошо, но virusinfo_syscure.zip не появляется (точно проверял). Если включить все функции, кроме нейтрализации Kernel RootKit, то в итоге банально выдает какую-то ошибку (типа критической) и вылетает...
P.S. только что заметил, что ни в mail.ru, ни в vkontakte.ru не получается зайти... Хотя все верно ввожу...
Последний раз редактировалось DeniX; 29.07.2009 в 20:54.
Самое интересное:
- это никакие ни кейлоггеры. Конкретно C:\WINDOWS\System32\DRIVERS\cmdguard.sys - от КОМОДО брандмауэра.
- ни один из файлов не был удалён АВЗ.
2) Он банально не хочет создавать virusinfo_syscure.zip.
Скачайте Special AVZ по ссылке в моей подписи и сделайте логи им
Сообщение от DeniX
только что заметил, что ни в mail.ru, ни в vkontakte.ru не получается зайти... Хотя все верно ввожу...
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: