Страница 1 из 4 1234 Последняя
Показано с 1 по 20 из 75.

Вирус в MBR ?!?!

  1. #1
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.05.2007
    Адрес
    Щербинка
    Сообщений
    520
    Вес репутации
    76

    Question Вирус в MBR ?!?!

    Доброго ВАМ здоровья!
    ОЧЕНЬ долго грузилась машина! Минут 10!!! P-IV 3200 MHz.
    Было 4 антивируса, думал... УНИКАЛЬНЫЙ СЛУЧАЙ!!! 2 - видел, но чтоб 4!!!
    Выковырял все, кроме остатков симантека, запустил лечащего Касперского, тот нашёл Dummy вроде, удаление только после перезагрузки.. и тут началось...
    Тачка при загрузке долго грузит параметры, рабочий стол... минуты 3-4-5. Создал учётку, поудалял ВСЁ из автозагрузки - ничего не изменилось, напротив: установка Касперского зависает, в режиме защиты от сбоев не грузится - зависает, клава блокируется, в свойствах сетевого окружения отсутствуют подключения сети и VPN - ПУСТО ВООБЩЕ!!!
    Делаю логи AVZ: зависает на середине. Минут через 10 высвечивается окно эксплорера, сканирование возобновляется! Потом опять зависает минут на 10!!! Наконец ЛОГ ЕСТЬ!
    И тут появляются подключения в сетевом окружении!!!
    Делаю второй лог: та же ситуация: зависает. Минут через 15 готов второй лог.
    HiJackThis тоже зависает минут на 10-15.
    Интернет не подключается: провайдер или вирус - не знАю. Дальше - интереснее:
    ОтодвигАю Акронисом (ему уже 1,5 года как!!! на болвани) начало системного раздела вправо, делаю его невидимым, на пустом месте создаю новый раздел, активным,.. перегружаюсь.
    Ставлю на него чистый дистрибутив ХР Pro SP3: тачка первый раз перегружается для установки и... загружает СТАРУЮ ВИНДУ СО СКРЫТОГО НЕАКТИВНОГО РАЗДЕЛА!!!!!!!!!!!!!!! ТУТ ЖЕ Перегружаюсь в Акронис, смотрю разделы: второй старый с виндой невидимый неактивный, новый первый - активный!
    ВОТ КАК ТАКОЕ МОЖЕТ БЫТЬ?!?!!
    Загружаюсь с дистрибутива
    Стираю первый раздел
    Перегружаюсь
    Ставлю на пустое место винду снова... - ВСЁ В ПОРЯДЕ!!!
    И ещё заметил: ОЧЕНЬ ДОЛГО, минуты 2-3 стоит перед подтверждением лицензии (F8 )! ЧТО ДЕЛАЕТ?!?!
    Вирус в MBR ? Раздел-то первый удалял и перегружался!! Второй пока удалить не могу - инфа там! А с обнулением MBR потеряется второй раздел. СЕЙЧАС ОН СКРЫТЫЙ!
    Жду Ваших заключений!
    Спасибо!
    Последний раз редактировалось serjga; 10.04.2011 в 19:10.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

    - Отключите ПК от интернета/локалки
    - Отключите Антивирус и Файрвол.
    - Отключите Системное восстановление.


    В AVZ выполните скрипт:

    Код:
    begin
    SetAVZGuardStatus(True);
     DelBHO('{BE9AF3F9-4317-82D8-27E9-CF44741E1600}');
     QuarantineFile('C:\Documents and Settings\test\Application Data\msmedia.dll','');
     DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
     QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
     DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
     DeleteFile('C:\Documents and Settings\test\Application Data\msmedia.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки

    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новый лог virusinfo_syscheck.zip.(про hijackthis не забудьте)
    А также лог Gmer и лог GSI
    =
    да, вот еще что...следы нескольких антивирусов присутствуют все еще. Надо убирать.
    Последний раз редактировалось миднайт; 15.01.2010 в 01:59. Причина: добавлено

  4. #3
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.05.2007
    Адрес
    Щербинка
    Сообщений
    520
    Вес репутации
    76
    А как следы выковыривать?
    Симантека - знаю, а остальных?

  5. #4
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.05.2007
    Адрес
    Щербинка
    Сообщений
    520
    Вес репутации
    76
    Gmer при записи лога зависает, GSI после старта процесса стоит мёртво 16 минут...
    Карантин пустой.
    Симантека почистил. Программа стартанула через 10 минут после запуска.

    Содержание сетевого окружения появляется минут через 15-20 после старта машины.

    Лог AVZ и hijackthis высылаю.
    Как быть дальше?
    Последний раз редактировалось serjga; 10.04.2011 в 19:10.

  6. #5
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.05.2007
    Адрес
    Щербинка
    Сообщений
    520
    Вес репутации
    76
    Загрузка пустого файла карантина:
    "Результат загрузки
    Ошибка загрузки. Данный файл уже был загружен"

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Зайдите в папку LOG и удалите все оттуда. Повторите логи по правилам.

  8. #7
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.05.2007
    Адрес
    Щербинка
    Сообщений
    520
    Вес репутации
    76
    Ещё раз:
    1. стартует вондоуЗ минуты 3-5 (перед логином в графическом интерфейсе уже стоит)
    2. перед рабочим столом висит минуты 3 (после логина)
    3. на логах AVZ висит по ПОЛЧАСА!!! (winlogon, services)
    4. в ERD обозреватель стартует минут через 5-10.
    5. не работает встроенное "вставить" - не доступно!!!! и не работает перетаскивание объектов!
    6. Симантек Унинсталлер стартовал только минут через 10 после запуска!!!
    7. Не подключает интернет!
    Виснет не понятно - где!
    (убрал в BIOS "A:", нет на машине флопа - может из-за него тормозит открытие и загрузка? проверять уже не было сил )
    ПОМОГИТЕ!!!
    Спасибо!
    Последний раз редактировалось serjga; 10.04.2011 в 19:10.

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    В HiJackThis пофиксите:

    Код:
    O2 - BHO: (no name) - {88888888-8888-8888-8888-888888888888} - (no file)
    Больше ничего плохого в этих логах не нашел.
    AdobeAcrobat 5.0 - убрать. Поставьте последнюю версию. IE тоже обновить! (но это потом)
    По логам вижу только один антивирус теперь - AVG.
    Что с безопасным режимом? Там такие же "тормоза"? Сделайте лог гмер из безопасного. Возможно проблема с железом также.

  10. #9
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.05.2007
    Адрес
    Щербинка
    Сообщений
    520
    Вес репутации
    76
    Когда в пустое место перед проблемным разделом ставлю свежую уже готовую чистую винду из скрытого сохранённого раздела - я об этом писал выше - всё грузится и работает прекрасно, ЛЕТАЕТ! Из неё я как раз и отсылал Вам логи и лазил в инет! Периодически загружаю Акронис и делаю этот раздел загрузочным для связи с миром. Но НАДО сделать рабочим ТОТ СТАРЫЙ раздел!
    Память гонял memtest86, диск проверял MHDD 4.6 - всё ОК!
    Перед последними логами чистил старую систему с помощью AVZ: "Мастер поиска и устранения проблем" от времянок и мусора. Было 100к файлов в "опере" в причинном профиле, например.
    После того неудачного запуска в безопасном - больше не грузился!
    Дело в том, что она может на ПОЛЧАСА 2 раза повиснуть во время создания лога AVZ! - несколько раз выключАл, не дожидался... Просто виснет И ВСЁ! Потом ВДРУГ продолжает дальше! Вчера было 15 минут остановка (Не отвечает), сегодня - 30 минут!!! Можно подумать, что СОВСЕМ повисла!
    И куда на полчаса-час после включения пропадают сетевые подключения как будто нету сетки? Я с новой виндой сидел несколько часов в нете, обновлялся - ХОТЬ БЫ ЧТО!!!! Что это может быть? Например?
    Как удалить хвосты AVG?
    Спасибо!

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Если AVG это хвосты, убирайте конечно!
    Инструкции и утилиты для полного удаления остатков антивирусных продуктов.http://virusinfo.info/showthread.php?t=16646

    В AVZ выполните скрипт:

    Код:
    begin
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(10);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true);
    end.
    Что с безопасным режимом теперь? Лог гмер увидеть весьма желательно.

  12. #11
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.05.2007
    Адрес
    Щербинка
    Сообщений
    520
    Вес репутации
    76
    СПАСИБО!
    Тачка сейчас не рядом.
    Завтра попробую.
    Вам надо GMER обязательно в безопасном? Просто у меня есть мыслЯ, что сохранение лога висло по причине обзора компа, на котором не был доступен "A": достаточно, наверняка, было просто подождать или теперь, когда я его убрал из BIOS, сохранение не будет зависать.
    Так какой лог GMER вам: из безопасного или обычного?
    Спасибо!

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Лучше из обычного.

  14. #13
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.05.2007
    Адрес
    Щербинка
    Сообщений
    520
    Вес репутации
    76
    5. не работает встроенное "вставить" - не доступно!!!! и не работает перетаскивание объектов! - это же не железо! (ЭТО уже в моей практике было как-то!)
    И ещё вспомнил: в панели задач ни в одном профиле не видно вкладок. Можно переключаться между задачами только через "Alt+Tab". Вот :-(

    Добавлено через 1 минуту

    В новой чистой ОС - всё ОК и "летает"!
    Логи завтра попробую сделать...
    Последний раз редактировалось serjga; 17.01.2010 в 02:36. Причина: Добавлено

  15. #14
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.05.2007
    Адрес
    Щербинка
    Сообщений
    520
    Вес репутации
    76
    Вот Вам GMER в обычном режиме!!!
    А я пока уже 9 минут жду, пока виндоус (НЕ машина!!!) уйдёт в перезагрузку.
    Так что пока ничего не изменилось.
    И, кстати: судя по звуку и оборотам кулера процессор греется.. в этот момент
    PS: не, это я просто кулер спиной закрыл - обдува не было )))))))
    А тачка стояла час без движения! Перегружал кнопкой. Через 4 минуты после логина в безопасном сказала, что работает в безопасном. Что делала всё это время?
    Чистая винда работает прекрасно!
    Последний раз редактировалось serjga; 10.04.2011 в 19:10.

  16. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    При сканировании с помощью gmer, после экспресс проверки нужно было нажать кнопку Scan. Переделайте лог пожалуйста.

  17. #16
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.05.2007
    Адрес
    Щербинка
    Сообщений
    520
    Вес репутации
    76
    Цитата Сообщение от миднайт Посмотреть сообщение
    При сканировании с помощью gmer, после экспресс проверки нужно было нажать кнопку Scan. Переделайте лог пожалуйста.
    Да я что-ж: сегодня родился? Делал я! Тестировалась часа 3!
    Это он и есть - полный скан после нажатия на кнопку "Scan"!
    Что теперь дальше? Ничего не изменилось!

    Добавлено через 19 минут

    БОлее того: теперь не работает команда в проводнике "Отправить", чтобы хоть как-то послать содержимое на флэшку! Вчера ещё работала, а сейчас просто ничего не делает!

    Добавлено через 26 минут

    сейчас до Вашего ответа запущу в безопасном пока лог делать...

    Добавлено через 2 часа 19 минут

    Так какой скан Вам делать и как, уважаемый миднайт ?
    Ещё раз GMER так же? Или что-то другое?
    Последний раз редактировалось serjga; 18.01.2010 в 01:25. Причина: Добавлено

  18. #17
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Если это полный скан gmer, то он чист. Что с запуском GSI?
    Сделайте лог MBAM
    Скоро все перепробуем.

  19. #18
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.05.2007
    Адрес
    Щербинка
    Сообщений
    520
    Вес репутации
    76
    Цитата Сообщение от миднайт Посмотреть сообщение
    Если это полный скан gmer, то он чист. Что с запуском GSI?
    Сделайте лог MBAM
    Скоро все перепробуем.
    Но чудес-то не бывает!
    Я уже у ВАс здесь чинюсь ни первый раз и ни первый год. Следы AVG удалил. Сейчас делаю мою дефрагментацию: сохраняю раздел на внешний носитель по сети и восстанавливаю обратно: дефрагментация - 100% и достаточно быстро! Посмотрим: как будет открываться теперь в ERD раздел и обозреватель.
    ОТкрывается теперь быстро! Но грузится ОС и реагирует на зfпуск программ так же: GSI стояла 40 минут пустая, а окружение сети появилось через 35 минут.
    Лог MBAM высылаю.
    Не могу выключить сетевое подключение, не реагирует.
    Что дальше?
    Последний раз редактировалось serjga; 10.04.2011 в 19:10.

  20. #19
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.05.2007
    Адрес
    Щербинка
    Сообщений
    520
    Вес репутации
    76
    Нажимаешь на свойства сетевой карты, расширенные настройки видео.. открывается от 3 минут до.... 30-40. но открывается же! Или виснет напрочь...
    В то время как на чистом разделе ОС работает быстро и без сбоев!
    А, может GMER не правильно отработал?
    Может ему что-то мешает?
    Как определить?

  21. #20
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Удалите в MBAM:

    Код:
    Заражено ключей реестра:
    HKEY_CLASSES_ROOT\CLSID\{fffc57db-1de3-4303-b24d-cee6dcdd3d86} (Adware.MyCentria) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{fffc57db-1de3-4303-b24d-cee6dcdd3d86} (Adware.MyCentria) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> No action taken.
    Заражено папок:
    C:\Program Files\MyCentria (Adware.MyCentria) -> No action taken.
    C:\Program Files\MyCentria\Firefox (Adware.MyCentria) -> No action taken.
    C:\Program Files\MyCentria\InfoBar (Adware.MyCentria) -> No action taken.
    лог мбам повторите

Страница 1 из 4 1234 Последняя

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00029 seconds with 18 queries