-
Junior Member
- Вес репутации
- 58
Хорошо окопавшаяся зараза
Сразу прошу прощения, что не по форме обращаюсь. Для этого есть причины.
На компе явно сидит какая-то зараза. При заходе эксплорером в папку \avz - комп выключается. Если переименовать папку, заходит нормально.
Но все равно ни в обычной моде, ни в безопасной не удается запустить ни avz, ни тулзу от Кашперского, ни от доктора Weba - выдаются сообщения об ошибке загрузки dll-к из папки \Windows\Temp, обращениях к адресу памяти 0x000000010 - и на этом все заканчивается.
Вообще сообщения об обращении не к тем адресам памяти выдаются и без попыток запуска антивирусов.
Видимо, аналогичными средствами блокирован установленный на комп Symantec Endpoint Protection.
DrWeb Live CD тоже не пошел, но тут, возможно, что-то неправильно в нем самом, разбираюсь.
Дополнительная информация: 9-го числа SEP сигнализировал об обнаружении (и удалении) на этом компе Packed.Generic.272 в файле C:/WINDOWS/Temp/1.tmp, по эвристике.
Просмотром 0 трака на винчестере обнаружена запись MBR внешне похожая на настоящую и еще один сектор с невразумительной информацией в конце трака.
Конечно, можно попробовать перезалить систему с нуля. Но очень уж интересно, что за зараза.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 58
Глубокоуважаемый хелпер!
Ну я же пишу, что не могу выполнить правила. Хотя очень стараюсь.
Еще раз: ни avz, ни AVPTool, ни CureIt не запускаются! И в безопасной моде - тоже!
Может быть, меня следовало отправить в другой раздел. Может быть - вообще послать нафик и забыть. Но зачем мне указывать на правила?
Я НЕ МОГУ ВЫПОЛНИТЬ ИХ ТРЕБОВАНИЙ!!!
-
Полиморфный АВЗ пробовали? МВАМ еще попробуйте (см. в моей подписи), Hijackthis лог попробуйте сделать. Результат отпишите
-
-
Junior Member
- Вес репутации
- 58
Спасибо, в понедельник займусь. Сейчас оставил на тесте памяти. Хотя вряд ли это глюки железа.
-
Junior Member
- Вес репутации
- 58
Так, докладываю:
- специальный AVZ не идет (ошибка при загрузке dll, неверная попытка доступа к адресу памяти)
- hijackthis переименованный пошел. Но на этапе создания лога (блокнот как раз спросил, создавать ли файл) система ушла на перезагрузку. Как переименовать лог, я не нашел.
- mbam-setup не идет (попытка записи в адрес 000000010).
Да, система - Windows XP Pro, SP3
Прошу и жду дальнейшей помощи. Пока проверю MBR, постараюсь запустить DrWeb LiveCD, ну, может, еще какие идеи будут (((
-
Добавлено через 3 минуты
Да, и GMER тоже не идет.
Добавлено через 6 часов 16 минут
Целый день гонял DrWeb LiveCD. Выловлено в папках \Windows\system32 и \Windows\Temp по штучке Trojan.MulDrop.52414 и Trojan.PWS.Panda.171 и весьма много экземпляров Trojan.Blackmailer.1562. В симантековском карантине тот же Blackmailer и Trojan.Bynx.
После удаления чудеса прекратились и стало возможным начать стандартную процедуру согласно правилам. Завтра будут логи.
MBR, вероятно, невиновна, но 100% уверенности нет. И что, интересно, за информация в лог. секторе 32? (0,0,33)?
Последний раз редактировалось vgo; 21.12.2009 в 17:57.
Причина: Добавлено
-
Делайте логи, посмотрим что осталось
-
-
Junior Member
- Вес репутации
- 58
В процессе предварительного сканирования AVPTool'ом выявлено два трояна - Trojan.Win32.Patched.fr и Trojan.Win32.Sasfis.vcq, один из них (кажется, второй, но 100% не уверен, логи не сохранились) - в карантине антивируса SEP.
-
Junior Member
- Вес репутации
- 58
Файлы логов (с первого раза что-то не так сделал).
Последний раз редактировалось vgo; 07.06.2010 в 11:46.
-
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\oembios.exe,C:\WINDOWS\system32\sdra64.exe,
O20 - AppInit_DLLs: C:\WINDOWS\system32\sgqdd.dll
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\oembios.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\sgqdd.dll','');
DeleteFile('C:\WINDOWS\system32\sgqdd.dll');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('c:\windows\system32\oembios.exe');
BC_ImportALL;
ExecuteSysClean;
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
BC_DeleteSvc('s469792.sys');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил, если будет не пуст
(загружать тут: http://virusinfo.info/upload_virus.php?tid=64255).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 58
Спасибо.
Карантин пуст. Логи высылаю.
Небольшое сомнение насчет "подключения к интернету" по п. 2. Насколько должно быть обеспечено реальное соединение с интернетом и не достаточно ли просто подключения к локальной сети?
Последний раз редактировалось vgo; 07.06.2010 в 11:46.
-
Выполните скрипт:
Код:
begin
ExecuteRepair(13);
RebootWindows(true);
end.
Больше ничего плохого не видно.
Что с проблемами?
Добавлено через 1 минуту
Сообщение от
vgo
Насколько должно быть обеспечено реальное соединение с интернетом
По возможности оно должно быть реальным.
Последний раз редактировалось Bratez; 22.12.2009 в 17:50.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 58
Ну если важно, чтобы подключение к инету было реальным, сделал его реальным и перегенерировал логи. Вот сейчас отправляю логи с больного компа.
Что до проблем, то вот сейчас наблюдаю проблему. MSIE мне сообщает, что заблокировал всплывающее окно с Вашего сайта.
Сколько тут общаюсь, всплывающих окон как-то не замечал.
Возможно, это признак очередной заразы.
Те же проблемы, о которых я писал в прошлый раз, прекратились после удаления DrWeb LiveCD кучки троянов. Иначе бы я не мог вообще ничего делать.
Последний раз редактировалось vgo; 07.06.2010 в 11:46.
-
Junior Member
- Вес репутации
- 58
-
Junior Member
- Вес репутации
- 58
Все-таки остается вопрос о блокированных всплывающих окошках. Когда я вчера, уже после пролечивания, заходил сюда с того самого компьютера, MSIE несколько раз сообщил, что он блокировал некое всплывающее окно.
Это несколько смущает, потому что я вроде бы не замечал всплывающих окон на Вашем сайте.