Приветствую всех!
Приехал в Набережные Челны, дали ноутбук, попросили помочь
Первым делом попытался открыть диспетчер задач... "отключен администратором". Ага, сектор, началось...
Cure It! - лечу. Вылечил немного. Ребут. Панда появилась в трее (по видимому 16ый вылечился).
Обновления у панды 6.01.09, до моих попыток оживить комп в логах последняя запись 6.02.09. После установки рядом аваста, в панде нашелся Win32.CTX (кажется, или OTX). Сама панда добавляет себе в список исключений две папки с систем рестор.
Добавляет веселье то, что компьютер странным образом выходил в интернет (автоматические обновления грузятся, все остальное - нет), пока ч/з avz я не почистил выполнил около 12 пунктов Восстановления системы и еще мастер поиска и устранения проблем.
Попытался снести панду - аваст наорал на Win32.Sality в деинсталяторе. Рискованый ход - внесение его в список исключений. Запустились сервисы панды. Удалились сервисы аваста. Я понял что сделал фигню. Ребут, надежды, avz и вот вроде бы я сейчас пишу тут сообщение
Сейчас выполняю полную проверку CureIt'ом (потому что он лечит файлы, а аваст только в хранилище отправляет) в обычном режиме, потому безопасный вылетал в бсод последние раз пять.
Панду в процессе создания логов выгружал. В логе hj уже увидел веселые строки
-- Тот компьютер в сеть после перезагрузки в ходе диагностики не вышел. Пытался сделать много чего, но результатов не добился
Два лога hj, так как попытался пофиксить одну строчку. hijackthis-1.log до чистки, после - hijackthis
UPD: Жду вашей помощи и заранее благодарен
Последний раз редактировалось Second_Fry; 05.09.2009 в 21:48.
Причина: Совесть проснулась
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Проверка CureIt'ом в безопасном режиме ничего нового не нашла. Зато после проверки оказались блокированными все устройства - невозможно было никуда ничего записать.
Перезагружаюсь, буду делать логи
UPD: другие варианты не рассматривались, так как нету у меня чистого диска рядом (к утру мб скачается livecd, но все равно еще искать диск)
UPD2: Ребут, ничего не выключал, интернет заработал , логи вот
Последний раз редактировалось Second_Fry; 06.09.2009 в 02:30.
Ясно.
Тогда я сейчас выпущу хранилище аваста (те файлы которые жизненно необходимы или переустановлю программы), в безопасном режиме просканирую все и вновь выложу логи.
Оставшиеся проблемы:
1) Win32.CTX в панде (могу прислать карантин файла)
2) Мастер нового оборудования для двух устройств (непонятно каких)
3) Компьютер грузится долговато (считаю связано с двумя проблемами выше)
+ есть зашифрованный непроверенный диск
Насчет трех антивирусов - нашел avg, panda, avast. Буду пытаться удалять...
UPD:
Sality действительно больше не объявил себя при деинсталяции панды, но вот CTX
avg не записан в списке удаления программ. Видимо остались какие-то службы и файлы на диске
1) Win32.CTX в панде (могу прислать карантин файла)
На какой файл срабатывает?
2) Мастер нового оборудования для двух устройств (непонятно каких)
Это AVZ ставил драйвера.
Насчет трех антивирусов - нашел avg, panda, avast. Буду пытаться удалять...
Это странно, потому что я нашел следы не от AVG, а от Symantec. Получается, антивирусов было четыре.
Нашел только что в хранилище аваста
Это тот самый драйвер, который я уничтожал. Если он только что там появился, то, видимо, avast успел снести его, когда AVZ снял перехваты в ядре. Пришлите этот файл по ссылке вверху в архиве ZIP с паролем virus, поскольку в карантин он не попал, а образцы вредоносного ПО для нас полезны.
UPD3:
Можно все программы до последних версий обновить или стоит сначала разобраться с оставшимся?
(надо обновить: Abode Reader 7.0, WinXP SP2)
Я бы сделал все по порядку: сначала убрать все ненужное, потом провести антивирусную проверку, а потом уже обновлять ПО.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
Sign of "Win32.CTX" has been found in "C:\Program Files\Panda Security\Panda Internet Security 2008\pskavs.dll" file
Сообщение от NickGolovko
Это AVZ ставил драйвера
Т.е. надо будет по окончании лечения в avz выполнить последний (шестой) скрипт?
Сообщение от NickGolovko
Это странно, потому что я нашел следы не от AVG, а от Symantec. Получается, антивирусов было четыре.
однако Symantec'а папки нет. Чистить реестр придется
Сообщение от NickGolovko
Это тот самый драйвер, который я уничтожал. Если он только что там появился, то, видимо, avast успел снести его, когда AVZ снял перехваты в ядре. Пришлите этот файл по ссылке вверху в архиве ZIP с паролем virus, поскольку в карантин он не попал, а образцы вредоносного ПО для нас полезны
Время передачи: 5/9/2009 12:48:25 PM
Сейчас научусь из хранилища аваста файлы безопасно извлекать и отправлю
Сообщение от NickGolovko
Я бы сделал все по порядку: сначала убрать все ненужное, потом провести антивирусную проверку, а потом уже обновлять ПО
Cure It! заявляет, что в miqnkn.sys сидит Sector.12
На pskavs.dll реакция нулевая (аваст даже при анисталле заблокировал какие-то два файла с расширением .rra; их тоже тогда помещу в архив панды)
Сейчас зайду в безопасный режим, заархивирую и отправлю (два zip-архива, один с pskavs, другой с miqnkn)
Сообщение от NickGolovko
Что-то я уже не вижу файлов от Symantec Видимо, я вас дезинформировал, а нортоновские драйвера были где-то в соседней теме.
Бывает
Последний раз редактировалось Second_Fry; 06.09.2009 в 16:28.
Cure It! заявляет, что в miqnkn.sys сидит Sector.12
Еще бы
Сейчас зайду в безопасный режим, заархивирую и отправлю (два zip-архива, один с pskavs, другой с miqnkn)
А два-то зачем? Наш анализатор умный, ему не обязательно слать файлы по одному. Только, если не сложно, сделайте карантин средствами AVZ - тогда и пароль поставится автоматически, и анализатору будет удобнее.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
Извиняюсь, я не специально
Упаковано 7z, с паролем virus
Ваше сообщение прочел уже когда отправил
(витая пара глючила, я разозлился, нашел место соединения, размотал изоленту и оказалось, что там провод отошел. пришлось чинить)
Код:
Файл сохранён как 090906_170852_miqnkn_4aa3b46445c00.zip
Размер файла 3100
MD5 ad2493e56d940be82d0d861cc984363f
Код:
Файл сохранён как 090906_170951_pskavs_4aa3b49fb6889.zip
Размер файла 1107078
MD5 4f2be5746088ead51525674451879c04
(витая пара глючила, я разозлился, нашел место соединения, размотал изоленту и оказалось, что там провод отошел. пришлось чинить)
А вот подобное нежелательно делать. Лучше использоват ьцелый кусок кабеля. Если никак без соединения не обойтись - купите розетку и разъём RJ45 и сделайте с их помощью. Но не на "скрутку"
Я в курсе, что так лучше не делать. Но ситуация была такова, что он уже "мастерами" провайдера был сделан именно так. Криворукие однако мастера нашлись. Я долго ругался на шнур, в итоге обнаружил, что там порван один из шнуров
Далее стандартно - два шнура обвиты вокруг друг друга и вокруг другой пары...
Не моя вина короче
(а розетку и разъемы я пока что в Челнах не нашел [плохо искал видимо])
UPD: так что там с отосланными файлами?
VirusTotal
miqnkn.sys - 31/41 (Sality)
pskavs.dll - 8/41 (Artemis/Blumblebee/Stone'90/Whog-878b/CTX)
Последний раз редактировалось Second_Fry; 06.09.2009 в 19:28.
а удалить-то ее как? отключив аваст на это время?
что ж попробую, потом еще отпишусь
в остальном работа компьютера налажена (осталось только зашифрованный диск проверить - может в нем корень зла? )
UPD:
Скорость работы можно считать теперь оптимальной. Инфекции на доступных дисках больше нет. Будем обновляться
Тему же прошу не закрывать все равно, так как завтра буду сканировать зашифрованный диск (сейчас это невозможно, так как мне не доверяют работу с зашифрованным диском без владельца компьютера)
Добавлено через 36 минут
Код:
06.09.2009 20:00:01 LSASS Exploit (SXP) attack from 95.69.122.69:445
Последний раз редактировалось Second_Fry; 06.09.2009 в 20:02.
Причина: Добавлено
Gentoo (Xfce4), Ubuntu 10.04 (Alpha 3)
Уважаемый(ая) Second_Fry, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: