Показано с 1 по 8 из 8.

Вирус ?? (заявка № 23007)

  1. #1
    Junior Member Репутация
    Регистрация
    17.05.2008
    Сообщений
    16
    Вес репутации
    58

    Thumbs up Вирус ??

    Ситуация типовая, после загрузки WinXP SP2 - процесс winlogon грузит процессор практически на 100%. Дальше практически ничего сделать нельзя. К примеру попытка сходить в окно отключения 'восстановления системы' заняла более двух часов. Добится хоть-какой-то работы от avz удается только выставлением ему наивысшего приоритета.

    Загрузка с другого носителя и проверка выявила зараженные файлы, которые были удалены. На данный момент сканеры ничего не находят.
    В режиме сканирования с максимальными настройками AVZ, показывала

    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Функция kernel32.dlloadLibraryExA (579) перехвачена, метод APICodeHijack.JmpTo[00384BC6]

    судя по RKUnhooker это проделки avsspc.dll - это криптопровайдер из системы клиент-банк. Я убрал эту dll - AVZ сказал 'опасно маскировка процесса'. И никаких подробностей.

    Сканирование GMER стабильно приводит к BSOD в его драйвере.

    p.s. при выполнении скрипта
    "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info"
    возникает ошибка, о чем винда хочет сообщить MS, но скрипт дорабатывает и создает лог.
    Вложения Вложения
    Последний раз редактировалось 2nd; 17.05.2008 в 20:26.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\WINDOWS\totacon.exe','');
     BC_DeleteSvc('Muh47');
     QuarantineFile('Muh47.sys','');
     QuarantineFile('STI Simulator.sys','');
     QuarantineFile('D:\WINDOWS\system32\subsys.dll','');
     QuarantineFile('D:\WINDOWS\system32\basebxm32.dll','');
     DeleteFile('D:\WINDOWS\system32\basebxm32.dll');
     DeleteFile('D:\WINDOWS\system32\subsys.dll');
     DeleteFile('Muh47.sys');
     DeleteFile('D:\WINDOWS\totacon.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    17.05.2008
    Сообщений
    16
    Вес репутации
    58
    система начала дышать - огрормное СПАСИБО !,
    карантин отправил

    muh47.sys у меня был удален еще до карантин, он есть в бэкапе, там же есть кусок STI Simulator = 'PAStiSvc.exe' если нужно могу положить.

    Еще раз спасибо !

    Можно узнать что это было и кто его может своевременно остановить ?
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    пофиксите
    Код:
    F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe
    20 - Winlogon Notify: subsys - subsys.dll (file missing)
    вот эти два файлика найдите при помощи авз ...
    D:\DOCUME~1\KRAFT\LOCALS~1\Temp\KMAIGP.exe
    STI Simulator.sys
    и пришлите по правилам ...

  6. #5
    Junior Member Репутация
    Регистрация
    17.05.2008
    Сообщений
    16
    Вес репутации
    58
    Цитата Сообщение от V_Bond Посмотреть сообщение
    пофиксите
    Код:
    F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe
    20 - Winlogon Notify: subsys - subsys.dll (file missing)
    пофиксил

    вот эти два файлика найдите при помощи авз ...
    D:\DOCUME~1\KRAFT\LOCALS~1\Temp\KMAIGP.exe
    отправил

    STI Simulator.sys
    и пришлите по правилам ...
    этот не найден

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    D:\Documents and Settings\KRAFT\Local Settings\Temp\KMAIGP.exe _ чистый ...
    выполните скрипт ...
    Код:
    begin
     BC_DeleteSvc('STI Simulator');
     BC_Activate;
     RebootWindows(true);
    end.
    больше ничего подозрительного ...
    какие -то проблемы остались ?

  8. #7
    Junior Member Репутация
    Регистрация
    17.05.2008
    Сообщений
    16
    Вес репутации
    58
    Цитата Сообщение от V_Bond Посмотреть сообщение
    больше ничего подозрительного ...
    какие -то проблемы остались ?
    пока не заметно, еще раз спасибо !
    Последний раз редактировалось Rene-gad; 17.05.2008 в 23:07. Причина: full quote удалена

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. d:\\windows\\system32\\basebxm32.dll - Trojan.Win32.Pakes.cws (DrWEB: Trojan.Okuks.based)
      2. d:\\windows\\system32\\subsys.dll - Trojan-Downloader.Win32.Small.vuy (DrWEB: Trojan.DownLoader.60052)
      3. d:\\windows\\totacon.exe - Email-Worm.Win32.Zhelatin.zt (DrWEB: Trojan.Packed.460)


  • Уважаемый(ая) 2nd, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01633 seconds with 19 queries