Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Не запускается проверка диска, не работает дефрагментация [Rootkit.Win32.TDSS.dah ] (заявка № 36686)

  1. #1
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.01.2009
    Адрес
    Moscow
    Сообщений
    118
    Вес репутации
    69

    Question Не запускается проверка диска, не работает дефрагментация [Rootkit.Win32.TDSS.dah ]

    Добрый день! У меня подобная проблема, которая была описана в теме http://virusinfo.info/showthread.php?t=35532.
    Не возможно запустить дефрагментацию и проверку диска С:.
    После перезагрузки говорит, что проверка невозможна, т.к. системный диск имеет файловую систему RAW.
    Проблема возникла скорее всего в следствие трояна Win32/AutoRun.Agent.BE. Вирус был уничтожен программой Nod32 в безопасном режиме. Был заблокирован доступ к диску D: из проводника Windows, при этом выдавалось сообщение, что том ссылается на папку создаваемую вирусом. После чистки вируса проблему решил сменой буквы диска на E: и возвратом обратно на D:.
    На текущий момент антивирусные программы ничего не обнаруживают.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Нужны логи AVZ.
    I am not young enough to know everything...

  4. #3
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.01.2009
    Адрес
    Moscow
    Сообщений
    118
    Вес репутации
    69

    Просканировал, выкладываю

    Прилагаю
    Вложения Вложения

  5. #4
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.01.2009
    Адрес
    Moscow
    Сообщений
    118
    Вес репутации
    69

    [B]Не работает проверка диска, дефрагментатор, help please!![/B]

    Добрый день! У меня подобная проблема, которая была описана в теме http://virusinfo.info/showthread.php?t=35532.
    Не возможно запустить дефрагментацию и проверку диска С:.
    После перезагрузки говорит, что проверка невозможна, т.к. системный диск имеет файловую систему RAW.
    Проблема возникла скорее всего в следствие трояна Win32/AutoRun.Agent.BE. Вирус был уничтожен программой Nod32 в безопасном режиме. Был заблокирован доступ к диску D: из проводника Windows, при этом выдавалось сообщение, что том ссылается на папку создаваемую вирусом. После чистки вируса проблему решил сменой буквы диска на E: и возвратом обратно на D:.
    На текущий момент антивирусные программы ничего не обнаруживают.
    Изображения Изображения
    Вложения Вложения

  6. #5
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Прочитать и выполнить http://virusinfo.info/showthread.php?t=1235

  7. #6
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.01.2009
    Адрес
    Moscow
    Сообщений
    118
    Вес репутации
    69
    На самом деле я выложил файлы в такой же теме http://virusinfo.info/showthread.php?t=36686 и не могу удалить ни эту, ни предыдущую. Обидно(

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    С Новым Годом, Вас!!
    Не огорчайтесь.
    Мы эти темы объеденим и
    Вам поможем.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.01.2009
    Адрес
    Moscow
    Сообщений
    118
    Вес репутации
    69
    Ребята, проверьте логи, плиз!
    Цитата Сообщение от PavelA Посмотреть сообщение
    С Новым Годом, Вас!!
    Не огорчайтесь.
    Мы эти темы объеденим и
    Вам поможем.

  10. #9
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".


    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\secpol.exe','');
     DeleteFile('C:\WINDOWS\system32\secpol.exe');
    BC_ImportALL;  
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин по правилам и повторите логи...

  11. #10
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.01.2009
    Адрес
    Moscow
    Сообщений
    118
    Вес репутации
    69
    Карантин послал, логи повторил
    Вложения Вложения

  12. #11
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.01.2009
    Адрес
    Moscow
    Сообщений
    118
    Вес репутации
    69

    Вот еще такую штуку запустил, и результат

    Стоит ли поместить эти файлы в карантин, потому, что проводник их не видит!?
    Изображения Изображения

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Файлы поместить в карантин стоит. Плюс добавить C:\WINDOWS\system32\winlogon.exe

    DiskKeeper можно попробовать остановить. Он тоже может мешать дефрагментатору.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.01.2009
    Адрес
    Moscow
    Сообщений
    118
    Вес репутации
    69
    Дело в том, что наличие этих файлов показывает только эта утилита. Утилита платная и я ее не покупал к сожалению. AVZ переместить эти файлы в карантин не может. НЕ видит попросту. К сожалению более ничем их увидеть нельзя, они как мне кажется физически не присутсвуют в системе.
    Проверка по прежнему запускается только из командной строки. После перезагрузки не выполняется - пишет, что файловая система диска С:\ - RAW.
    Diskeeper выгружать бесполезно, штатный тоже не работает.
    Winlogon тоже в карантин?
    А что с логами?
    Последний раз редактировалось serggio; 07.01.2009 в 11:19.

  15. #14
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.01.2009
    Адрес
    Moscow
    Сообщений
    118
    Вес репутации
    69
    Просканил gmer. Тоже нашел гада. Помогите прибить. Скрин и лог программы прилагаю
    Изображения Изображения
    Вложения Вложения
    • Тип файла: log gmer.log (12.9 Кб, 2 просмотров)

  16. #15
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Сделайте логи с установленным AVZPM...

  17. #16
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.01.2009
    Адрес
    Moscow
    Сообщений
    118
    Вес репутации
    69
    Цитата Сообщение от Гриша Посмотреть сообщение
    Сделайте логи с установленным AVZPM...
    Добрый день еще раз!
    К счастью медленно и планомерно прибил гада с помощью GMER.
    Гад прописывался как скрытый системный процесс, и с помощью внесения модификации в реестр модифицировал свои пути и пути к системным службам.
    Файл находился по адресу " C:\windows\system32\drivers\msqpdxlvhkwkos.sys" , а так же "C:\windows\system32\" - где находилась системная msqpdxlvh~.dll.
    К сожалению файл .dll закарнтинить забыл и удалил раньше времени. Файл .sys высылаю в карантине с переименованным расширением.
    Так же собрал логи на вылеченной машине, прилагаю, гляньте пожалуйста, вдруг еще чего.
    Смущают ветки реестра в логах GMER: HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D3 6E972-E325-11CE-BFC1-08002BE10318}

    Огромное спасибо Грише за скрипт! Файл secpol.exe решил изучить и пришел на сайт http://www.prevx.com/filenames/X9104...ECPOL.EXE.html откуда собственно и взял утилиту, которая обнаружила основного зверя.
    Теперь функции системы восстановлены, все работает. Спасибо. Логи в аттаче.
    Вложения Вложения

  18. #17
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    В логах чисто...

  19. #18
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.01.2009
    Адрес
    Moscow
    Сообщений
    118
    Вес репутации
    69
    Цитата Сообщение от Гриша Посмотреть сообщение
    В логах чисто...
    А про ветки реестра, что я спросил из лога gmer (лог в теме, несколько выше) ?

  20. #19
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Нормальные эти ветки...

  21. #20
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    как говорится не одним АВЗ живы.
    Часто приходится применять и другие инструменты.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  • Уважаемый(ая) serggio, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 15
      Последнее сообщение: 24.07.2009, 23:20
    2. Ответов: 9
      Последнее сообщение: 22.02.2009, 09:22
    3. Ответов: 0
      Последнее сообщение: 24.01.2009, 19:22
    4. Ответов: 3
      Последнее сообщение: 19.01.2009, 22:49
    5. Ответов: 4
      Последнее сообщение: 17.01.2009, 15:57

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01320 seconds with 18 queries