Показано с 1 по 10 из 10.

проблемы с Win32.sector.19 (заявка № 46469)

  1. #1
    Junior Member Репутация
    Регистрация
    25.05.2009
    Адрес
    Москва
    Сообщений
    12
    Вес репутации
    55

    Thumbs up проблемы с Win32.sector.19

    Здравствуйте!

    Некоторое время назад, по нашим двум компам и ноуту ( на всех Win2K3 server) прошла эпидемия сабжевого вируса, сначала ноут потом первый комп затем третий комп... лечил курилкой и лайв СД от доктора веба....
    Но с третим компом все оказалось не просто, спустя несколько дней он опять был заражен (и через некоторое время вылечен) этим вирусом... после чего ситуация спустя некоторое время повторилась... причем последний раз 4 дневная (скачанная 4 дня назад) курилка ничего не находила, но что то выдавало ошибку с отсутвием необходимого сетевого или дискового ресурса. Как только включался инет, происходило повторное заражение.
    После чего была произведена повторная проверка с паралельной ОС ХР бесплатным др вебом от корбины с актуальными базами, который нашел три файла зараженных модификацией сабжа. файлы отправлены в др веб.
    Сейчас вроде все хорошо.
    Что не нравиться так это логи avz утилиты про IRP и маскировку процессов.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.06.2008
    Адрес
    Казань
    Сообщений
    370
    Вес репутации
    118
    - проверять AVPTool и CureIT в безопасном и нормальном режимах поочереди

    Если в безопасном не грузится - в AVZ:
    Файл - восстановление системы - п.10 - выполнить

  4. #3
    Junior Member Репутация
    Регистрация
    25.05.2009
    Адрес
    Москва
    Сообщений
    12
    Вес репутации
    55
    Проверял с другой ОС, это не критично?
    Последняя курилка ничего не нашла, а АВП нашел 9 зараженных файлов Sality.ae, все полечил...
    А в AVZ все равно и IRP и скрытые процессы какие то...
    Вложения Вложения

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
    SetAVZGuardStatus(True);
     DeleteFile('D:\WINDOWS\system32\drivers\mfikpn.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('abp470n5');
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!

    3. Повторите логи.
    Сердце решает кого любить... Судьба решает с кем быть...

  6. #5
    Junior Member Репутация
    Регистрация
    25.05.2009
    Адрес
    Москва
    Сообщений
    12
    Вес репутации
    55
    Ну востановление системы в Win2k3 server и так отсутствует, а антивирусу отключил Spider Guard и самозащиту.
    скрипт выполнил вот логи после перезагрузки.
    Вложения Вложения

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Ничего зловредного в логах нет.

    Добавлено через 2 минуты

    Выполните эту инструкцию http://virusinfo.info/showthread.php?t=3519 и загрузите полученный карантин через форму http://virusinfo.info/index.php?page=uploadclean После его загрузки продублируйте имя и MD5 файла, который выдаст форма приема карантинов.
    Последний раз редактировалось Aleksandra; 26.05.2009 в 19:18. Причина: Добавлено
    Сердце решает кого любить... Судьба решает с кем быть...

  8. #7
    Junior Member Репутация
    Регистрация
    25.05.2009
    Адрес
    Москва
    Сообщений
    12
    Вес репутации
    55
    Код:
    Файл сохранён как	090526_195531_virusinfo_files_UNICOMP_4a1c10f319fa6.zip
    Размер файла	5016827
    MD5	9dcb54555bf727746175a89dad939ae3
    Добавлено через 6 минут

    Цитата Сообщение от Aleksandra Посмотреть сообщение
    Ничего зловредного в логах нет.
    А что означает тогда это:
    Код:
    1.4 Поиск маскировки процессов и драйверов
    Маскировка процесса с PID=340, имя = ""
     >> обнаружена подмена PID (текущий PID=0, реальный = 340)
    Маскировка процесса с PID=1752, имя = ""
     >> обнаружена подмена PID (текущий PID=0, реальный = 1752)
    Маскировка процесса с PID=1860, имя = ""
     >> обнаружена подмена PID (текущий PID=0, реальный = 1860)
    Маскировка процесса с PID=284, имя = ""
     >> обнаружена подмена PID (текущий PID=0, реальный = 284)
    Маскировка процесса с PID=364, имя = ""
     >> обнаружена подмена PID (текущий PID=0, реальный = 364)
    Маскировка процесса с PID=376, имя = ""
     >> обнаружена подмена PID (текущий PID=0, реальный = 376)
    Маскировка процесса с PID=464, имя = ""
     >> обнаружена подмена PID (текущий PID=0, реальный = 464)
    Маскировка процесса с PID=664, имя = ""
     >> обнаружена подмена PID (текущий PID=0, реальный = 664)
    Маскировка процесса с PID=708, имя = ""
     >> обнаружена подмена PID (текущий PID=0, реальный = 708)
    Маскировка процесса с PID=808, имя = ""
     >> обнаружена подмена PID (текущий PID=0, реальный = 808)
    Маскировка процесса с PID=668, имя = ""
     >> обнаружена подмена PID (текущий PID=0, реальный = 668)
    Маскировка процесса с PID=1168, имя = ""
     >> обнаружена подмена PID (текущий PID=0, реальный = 1168)
    Маскировка процесса с PID=1700, имя = ""
     >> обнаружена подмена PID (текущий PID=0, реальный = 1700)
    Маскировка процесса с PID=2172, имя = ""
     >> обнаружена подмена PID (текущий PID=0, реальный = 2172)
    Маскировка процесса с PID=2788, имя = ""
     >> обнаружена подмена PID (текущий PID=0, реальный = 2788)
    Маскировка процесса с PID=2824, имя = ""
     >> обнаружена подмена PID (текущий PID=0, реальный = 2824)
    Маскировка процесса с PID=2872, имя = ""
     >> обнаружена подмена PID (текущий PID=0, реальный = 2872)
    Маскировка процесса с PID=3008, имя = ""
     >> обнаружена подмена PID (текущий PID=0, реальный = 3008)
    Маскировка процесса с PID=3560, имя = ""
     >> обнаружена подмена PID (текущий PID=0, реальный = 3560)
    Маскировка процесса с PID=3788, имя = ""
     >> обнаружена подмена PID (текущий PID=0, реальный = 3788)
    Маскировка процесса с PID=3804, имя = ""
     >> обнаружена подмена PID (текущий PID=0, реальный = 3804)
    Маскировка процесса с PID=3024, имя = ""
     >> обнаружена подмена PID (текущий PID=0, реальный = 3024)
     Поиск маскировки процессов и драйверов завершен
     Драйвер успешно загружен
    1.5 Проверка обработчиков IRP
    \FileSystem\ntfs[IRP_MJ_CREATE] = 8A34F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_CLOSE] = 8A34F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_WRITE] = 8A34F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8A34F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8A34F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8A34F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_EA] = 8A34F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A34F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8A34F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8A34F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A34F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8A34F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8A34F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8A34F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8A34F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_PNP] = 8A34F1F8 -> перехватчик не определен
     Проверка завершена
    Последний раз редактировалось Voventys; 26.05.2009 в 20:03. Причина: Добавлено

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    А что означает тогда это
    Это нормальное явление для серверов и Vista..
    Перехватчики от sptd.sys , он же эмулятор дисков.

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Сердце решает кого любить... Судьба решает с кем быть...

  11. #10
    Junior Member Репутация
    Регистрация
    25.05.2009
    Адрес
    Москва
    Сообщений
    12
    Вес репутации
    55
    Точно, сорри за недоверие... проверил на другой машине, которая правда тоже болела сабжем, но логи были чистые в АВЗ, после установки алкоголя появились теже строки про скрытые процессы и обработчики IRP.
    Всем большое спасибо и вам Александра оссобенно!

  • Уважаемый(ая) Voventys, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 5
      Последнее сообщение: 17.12.2010, 09:04
    2. Win32.Sector.16, Win32.Sector.17 (Win32.Sality)
      От Second_Fry в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 07.09.2009, 20:02
    3. Ответов: 1
      Последнее сообщение: 02.03.2009, 14:25
    4. Win32.Sector.5 и сопутствующие проблемы.
      От Dimarick в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 17.02.2009, 09:32
    5. Win32.sector.12(sector.5)
      От Medievil в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 06.12.2008, 03:52

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00955 seconds with 20 queries