Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Win32.Sector.16, Win32.Sector.17 (Win32.Sality) (заявка № 54048)

  1. #1
    Junior Member Репутация
    Регистрация
    13.08.2009
    Адрес
    Москва
    Сообщений
    27
    Вес репутации
    54

    Thumbs up Win32.Sector.16, Win32.Sector.17 (Win32.Sality)

    Приветствую всех!
    Приехал в Набережные Челны, дали ноутбук, попросили помочь
    Первым делом попытался открыть диспетчер задач... "отключен администратором". Ага, сектор, началось...
    Cure It! - лечу. Вылечил немного. Ребут. Панда появилась в трее (по видимому 16ый вылечился).
    Обновления у панды 6.01.09, до моих попыток оживить комп в логах последняя запись 6.02.09. После установки рядом аваста, в панде нашелся Win32.CTX (кажется, или OTX). Сама панда добавляет себе в список исключений две папки с систем рестор.
    Добавляет веселье то, что компьютер странным образом выходил в интернет (автоматические обновления грузятся, все остальное - нет), пока ч/з avz я не почистил выполнил около 12 пунктов Восстановления системы и еще мастер поиска и устранения проблем.

    Попытался снести панду - аваст наорал на Win32.Sality в деинсталяторе. Рискованый ход - внесение его в список исключений. Запустились сервисы панды. Удалились сервисы аваста. Я понял что сделал фигню. Ребут, надежды, avz и вот вроде бы я сейчас пишу тут сообщение

    Сейчас выполняю полную проверку CureIt'ом (потому что он лечит файлы, а аваст только в хранилище отправляет) в обычном режиме, потому безопасный вылетал в бсод последние раз пять.

    Панду в процессе создания логов выгружал. В логе hj уже увидел веселые строки

    -- Тот компьютер в сеть после перезагрузки в ходе диагностики не вышел. Пытался сделать много чего, но результатов не добился
    Два лога hj, так как попытался пофиксить одну строчку. hijackthis-1.log до чистки, после - hijackthis

    UPD: Жду вашей помощи и заранее благодарен
    Вложения Вложения
    Последний раз редактировалось Second_Fry; 05.09.2009 в 21:48. Причина: Совесть проснулась

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    http://virusinfo.info/showthread.php?t=15927 -(лучше лечение с cd), после лечения скачать АВЗ и HijackThis заново и сделать новые логи.

  4. #3
    Junior Member Репутация
    Регистрация
    13.08.2009
    Адрес
    Москва
    Сообщений
    27
    Вес репутации
    54
    Надеюсь, что SD карта залоченная на не-запись подойдет (так как диска под рукой просто нет). Отпишусь еще как выполню

    UPD: В процессе проверки BSOD
    Код:
    BAD_POOL_CALLER
    *** STOP: 0x000000C2 (0x00000007, 0x00000CD4, 0x00010202, 0xE14D3CE8)
    Если, конечно, это имеет отношение к делу
    Последний раз редактировалось Second_Fry; 05.09.2009 в 22:57. Причина: BSOD

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    По ссылке, которую давал V_Bond, есть еще варианты, кроме Cureit
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    13.08.2009
    Адрес
    Москва
    Сообщений
    27
    Вес репутации
    54
    Проверка CureIt'ом в безопасном режиме ничего нового не нашла. Зато после проверки оказались блокированными все устройства - невозможно было никуда ничего записать.

    Перезагружаюсь, буду делать логи

    UPD: другие варианты не рассматривались, так как нету у меня чистого диска рядом (к утру мб скачается livecd, но все равно еще искать диск)

    UPD2: Ребут, ничего не выключал, интернет заработал , логи вот
    Вложения Вложения
    Последний раз редактировалось Second_Fry; 06.09.2009 в 02:30.

  7. #6
    Junior Member Репутация
    Регистрация
    13.08.2009
    Адрес
    Москва
    Сообщений
    27
    Вес репутации
    54
    Жду
    UPD: Спокойной ночи
    Последний раз редактировалось Second_Fry; 06.09.2009 в 03:09.

  8. #7
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1838
    Выполните скрипт в AVZ:

    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\Hpqsetup.cpl','');
     QuarantineFile('C:\WINDOWS\System32\ntbackup.exe','');
     QuarantineFile('C:\Program Files\Opera 10\opera.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\miqnkn.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\miqnkn.sys');
     BC_ImportALL;
     BC_DeleteSvc('abp470n5');
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    Система перезагрузится.

    Получившийся карантин пришлите по правилам, и повторите процедуру диагностики.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  9. #8
    Junior Member Репутация
    Регистрация
    13.08.2009
    Адрес
    Москва
    Сообщений
    27
    Вес репутации
    54
    Добрый день!

    Файл сохранён как - 090906_130052_virus_4aa37a44b7872.zip
    Размер файла - 220926
    MD5 - 1f8110d7aa4e7f9f97248a63a8e523f5
    Вложения Вложения

  10. #9
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1838
    Драйвер ушел.

    Теперь можно еще раз провести проверку с помощью CureIt для уверенности, и, думаю, можно будет считать, что с Sality мы попрощались.

    Обратите внимание, что в системе имеются признаки сразу трех антивирусных продуктов. Нужно остановиться на каком-то одном.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  11. #10
    Junior Member Репутация
    Регистрация
    13.08.2009
    Адрес
    Москва
    Сообщений
    27
    Вес репутации
    54
    Ясно.
    Тогда я сейчас выпущу хранилище аваста (те файлы которые жизненно необходимы или переустановлю программы), в безопасном режиме просканирую все и вновь выложу логи.
    Оставшиеся проблемы:
    1) Win32.CTX в панде (могу прислать карантин файла)
    2) Мастер нового оборудования для двух устройств (непонятно каких)
    3) Компьютер грузится долговато (считаю связано с двумя проблемами выше)

    + есть зашифрованный непроверенный диск

    Насчет трех антивирусов - нашел avg, panda, avast. Буду пытаться удалять...
    UPD:
    Sality действительно больше не объявил себя при деинсталяции панды, но вот CTX
    avg не записан в списке удаления программ. Видимо остались какие-то службы и файлы на диске

    UPD2:
    Нашел только что в хранилище аваста
    Код:
    C:\windows\system32\drivers\miqnkn.sys - Win32:Rootkit-gen [Rtk]
    UPD3:
    Можно все программы до последних версий обновить или стоит сначала разобраться с оставшимся?
    (надо обновить: Abode Reader 7.0, WinXP SP2)
    Последний раз редактировалось Second_Fry; 06.09.2009 в 15:38.

  12. #11
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1838
    1) Win32.CTX в панде (могу прислать карантин файла)
    На какой файл срабатывает?

    2) Мастер нового оборудования для двух устройств (непонятно каких)
    Это AVZ ставил драйвера.

    Насчет трех антивирусов - нашел avg, panda, avast. Буду пытаться удалять...
    Это странно, потому что я нашел следы не от AVG, а от Symantec. Получается, антивирусов было четыре.

    Нашел только что в хранилище аваста
    Это тот самый драйвер, который я уничтожал. Если он только что там появился, то, видимо, avast успел снести его, когда AVZ снял перехваты в ядре. Пришлите этот файл по ссылке вверху в архиве ZIP с паролем virus, поскольку в карантин он не попал, а образцы вредоносного ПО для нас полезны.

    UPD3:
    Можно все программы до последних версий обновить или стоит сначала разобраться с оставшимся?
    (надо обновить: Abode Reader 7.0, WinXP SP2)
    Я бы сделал все по порядку: сначала убрать все ненужное, потом провести антивирусную проверку, а потом уже обновлять ПО.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  13. #12
    Junior Member Репутация
    Регистрация
    13.08.2009
    Адрес
    Москва
    Сообщений
    27
    Вес репутации
    54
    Цитата Сообщение от NickGolovko Посмотреть сообщение
    На какой файл срабатывает?
    Код:
    Sign of "Win32.CTX" has been found in "C:\Program Files\Panda Security\Panda Internet Security 2008\pskavs.dll" file
    Цитата Сообщение от NickGolovko Посмотреть сообщение
    Это AVZ ставил драйвера
    Т.е. надо будет по окончании лечения в avz выполнить последний (шестой) скрипт?
    Цитата Сообщение от NickGolovko Посмотреть сообщение
    Это странно, потому что я нашел следы не от AVG, а от Symantec. Получается, антивирусов было четыре.
    однако Symantec'а папки нет. Чистить реестр придется
    Цитата Сообщение от NickGolovko Посмотреть сообщение
    Это тот самый драйвер, который я уничтожал. Если он только что там появился, то, видимо, avast успел снести его, когда AVZ снял перехваты в ядре. Пришлите этот файл по ссылке вверху в архиве ZIP с паролем virus, поскольку в карантин он не попал, а образцы вредоносного ПО для нас полезны
    Время передачи: 5/9/2009 12:48:25 PM
    Сейчас научусь из хранилища аваста файлы безопасно извлекать и отправлю
    Цитата Сообщение от NickGolovko Посмотреть сообщение
    Я бы сделал все по порядку: сначала убрать все ненужное, потом провести антивирусную проверку, а потом уже обновлять ПО
    Ладно

  14. #13
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1838
    Код:
    Sign of "Win32.CTX" has been found in "C:\Program Files\Panda Security\Panda Internet Security 2008\pskavs.dll" file
    Однако!

    Давайте тогда и его присылайте. Посмотрим, что там с ним. Обычно антивирусы не детектируют сами себя.

    Т.е. надо будет по окончании лечения в avz выполнить последний (шестой) скрипт?
    Это уже на ваше усмотрение.

    однако Symantec'а папки нет. Чистить реестр придется
    Что-то я уже не вижу файлов от Symantec Видимо, я вас дезинформировал, а нортоновские драйвера были где-то в соседней теме.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  15. #14
    Junior Member Репутация
    Регистрация
    13.08.2009
    Адрес
    Москва
    Сообщений
    27
    Вес репутации
    54
    Cure It! заявляет, что в miqnkn.sys сидит Sector.12
    На pskavs.dll реакция нулевая (аваст даже при анисталле заблокировал какие-то два файла с расширением .rra; их тоже тогда помещу в архив панды)
    Сейчас зайду в безопасный режим, заархивирую и отправлю (два zip-архива, один с pskavs, другой с miqnkn)

    Цитата Сообщение от NickGolovko Посмотреть сообщение
    Что-то я уже не вижу файлов от Symantec Видимо, я вас дезинформировал, а нортоновские драйвера были где-то в соседней теме.
    Бывает
    Последний раз редактировалось Second_Fry; 06.09.2009 в 16:28.

  16. #15
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1838
    Cure It! заявляет, что в miqnkn.sys сидит Sector.12
    Еще бы

    Сейчас зайду в безопасный режим, заархивирую и отправлю (два zip-архива, один с pskavs, другой с miqnkn)
    А два-то зачем? Наш анализатор умный, ему не обязательно слать файлы по одному. Только, если не сложно, сделайте карантин средствами AVZ - тогда и пароль поставится автоматически, и анализатору будет удобнее.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  17. #16
    Junior Member Репутация
    Регистрация
    13.08.2009
    Адрес
    Москва
    Сообщений
    27
    Вес репутации
    54
    Извиняюсь, я не специально
    Упаковано 7z, с паролем virus
    Ваше сообщение прочел уже когда отправил
    (витая пара глючила, я разозлился, нашел место соединения, размотал изоленту и оказалось, что там провод отошел. пришлось чинить)

    Код:
    Файл сохранён как	090906_170852_miqnkn_4aa3b46445c00.zip
    Размер файла	3100
    MD5	ad2493e56d940be82d0d861cc984363f
    Код:
    Файл сохранён как	090906_170951_pskavs_4aa3b49fb6889.zip
    Размер файла	1107078
    MD5	4f2be5746088ead51525674451879c04

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2292
    Цитата Сообщение от Second_Fry Посмотреть сообщение
    (витая пара глючила, я разозлился, нашел место соединения, размотал изоленту и оказалось, что там провод отошел. пришлось чинить)
    А вот подобное нежелательно делать. Лучше использоват ьцелый кусок кабеля. Если никак без соединения не обойтись - купите розетку и разъём RJ45 и сделайте с их помощью. Но не на "скрутку"

  19. #18
    Junior Member Репутация
    Регистрация
    13.08.2009
    Адрес
    Москва
    Сообщений
    27
    Вес репутации
    54
    Я в курсе, что так лучше не делать. Но ситуация была такова, что он уже "мастерами" провайдера был сделан именно так. Криворукие однако мастера нашлись. Я долго ругался на шнур, в итоге обнаружил, что там порван один из шнуров
    Далее стандартно - два шнура обвиты вокруг друг друга и вокруг другой пары...

    Не моя вина короче
    (а розетку и разъемы я пока что в Челнах не нашел [плохо искал видимо])

    UPD: так что там с отосланными файлами?
    VirusTotal
    miqnkn.sys - 31/41 (Sality)
    pskavs.dll - 8/41 (Artemis/Blumblebee/Stone'90/Whog-878b/CTX)
    Последний раз редактировалось Second_Fry; 06.09.2009 в 19:28.

  20. #19
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1838
    C miqnkn.sys все понятно - детект есть, образец не новый. Но все равно спасибо, что выслали.

    Файл от Panda, судя по всему, не поврежден, так что можно считать его условно чистым
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  21. #20
    Junior Member Репутация
    Регистрация
    13.08.2009
    Адрес
    Москва
    Сообщений
    27
    Вес репутации
    54
    а удалить-то ее как? отключив аваст на это время?
    что ж попробую, потом еще отпишусь

    в остальном работа компьютера налажена (осталось только зашифрованный диск проверить - может в нем корень зла? )

    UPD:
    Скорость работы можно считать теперь оптимальной. Инфекции на доступных дисках больше нет. Будем обновляться
    Тему же прошу не закрывать все равно, так как завтра буду сканировать зашифрованный диск (сейчас это невозможно, так как мне не доверяют работу с зашифрованным диском без владельца компьютера)

    Добавлено через 36 минут

    Код:
    06.09.2009 20:00:01 LSASS Exploit (SXP) attack from 95.69.122.69:445
    Последний раз редактировалось Second_Fry; 06.09.2009 в 20:02. Причина: Добавлено
    Gentoo (Xfce4), Ubuntu 10.04 (Alpha 3)

  • Уважаемый(ая) Second_Fry, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Win32/SALITY.NAR или win32.sector.5
      От fabatka в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 10.11.2009, 19:30
    2. Win32.Sector.28682 он же Win32/Sality.NAM
      От Lqaz в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 01.08.2009, 10:05
    3. Ответов: 1
      Последнее сообщение: 02.03.2009, 14:25
    4. Win32.Sality.aa Win32.sector.10
      От Найда Павел в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 23.10.2008, 12:39
    5. Вирус Win32.Sector.xxx либо Win32.Sality.
      От Akela в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 04.09.2008, 17:46

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00237 seconds with 18 queries