-
Junior Member
- Вес репутации
- 50
Возможно вирус
При включении иногда останавливается на картинке запуск Windows 2000 и строка загрузки была где-то по серединке. Я изменил файл boot.ini, добавив параметры /sos /bootlog.
Вот некоторые строчки из ntbtlog.txt созданного в результате параметра /bootlog:
Loaded driver \??\C:\WINNT\System32\Drivers\ute0nzk2.sys
Did not load driver \??\C:\WINNT\System32\Drivers\ute0nzk2.sys
Loaded driver \??\C:\WINNT\System32\drivers\klif.sys
В логе АВЗ, в процессах System.exe с ошибкой получения информации о файле.
Порты TCP/UDP нет данных о приложении.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
stat.ru - известный вам домен?
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('System.exe','');
QuarantineFile('C:\WINNT\System32\drivers\ati_det.sys','');
QuarantineFile('C:\WINNT\System32\drivers\cirrus_det.sys','');
QuarantineFile('C:\WINNT\System32\drivers\et4000_det.sys','');
QuarantineFile('C:\WINNT\System32\drivers\mga_det.sys','');
QuarantineFile('C:\WINNT\System32\drivers\qv_det.sys','');
QuarantineFile('C:\WINNT\System32\drivers\s3legacy_det.sys','');
QuarantineFile('C:\WINNT\System32\drivers\wdvga_det.sys','');
QuarantineFile('C:\WINNT\System32\drivers\weitekp9_det.sys','');
BC_ImportAll;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Логи повторите.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 50
stat.ru - домен мне неизвестный
И ещё загружается долго, в начале на экране появляется панель управления, через, примерно, 40сек. рабочий стол, за ним каспер. Может это из-за каспера или автозагрузки?
-
Junior Member
- Вес репутации
- 50
-
Файлы не попали в карантин.
сделайте лог Gmer
Сделайте лог MBAM
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 50
При запуске GMERа ругается Каспер "подозрительные действия", дважды нажав "запретить" сделал лог.
МВАМ - скачал по ссылке, при установке останавливается на файле с расширением *.ref и всё, зависает. Причем в диспечере задач два процесса МВАМ, один из них забирает всю производительность на себя.
Может где другой скачать?
И тачка опять зависла при перезагрузке. Я посмотрел в логе загрузки, когда порядок загрузки драйверов нарушен - комп. виснет.
-
При сканировании gmer нужно отключать антивирус. При установке mbam - также, отключаем антивирус и фаервол. Попробуйте с учетом этого.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 50
Отключил антивирус, Гмером лог сделал, выкладываю.
МВАМ - как и писал, зависает при установке на файле "rules.ref" (при отключенном антивирусе). Загрузка 99%, окно установки не отвечает. МВАМ я скачал по ссылке.
-
В логе гмер чисто. Сделайте лог GSI,ссылку на результат проверки напишите.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 50
MBAM установил, просканировал, но лог не сохранился. Я сохранил только отчет.
GSI - под Win2000 не запустился.
-
Junior Member
- Вес репутации
- 50
Вот ещё, я скачал IceSword. Через его поиск я нашел кучу разных System, только несмог сохранить найденое списком, поэтому сделал снимок экрана и сохранил в Word. Если понадобится, могу выслать.
В разделе Files (IceWord) на диске С он показывает папки, у некоторых вместо имен - иероглифы. Посмотрел через TotalComander этих папок там нет. Можно их удалить?
Добавлено через 57 секунд
Извините за опечатки
Последний раз редактировалось Petrovich031; 19.10.2010 в 17:42.
Причина: Добавлено
-
НИЧЕГО не удалять!!! IceSword так интерпретирует русские символы. В логе мбам ничего интересного. Если вы проявили самостоятельность, то попробуйте с помощью IceSword найти и скопировать файлы из сообщения #2, ни один из файлов в карантин не попал.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 50
IceSword ничего не нашел. AVZ, IceSword - пытался сделать карантин в безопасном режиме, ничего. В boot_clean.log пишет ?? и путь к файлу, через дефис failed (0xC000000D) и так на все файлы карантина.
В модуле пространства ядра были несколько записей черного цвета и одна красного. Я сделал их дамп, если потребуется.
Красной строкой:
VGA.dll \SystemRoot\System32\VGA.dll
-
VGA.dll - это нормальный драйвер. Проверьте его на virustotal, если есть сомнения.
Файлы находятся по поиску через AVZ? Попробуйте пожалуйста. Либо это просто ссылки в реестре.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 50
VirusTotal.com - невозможно найти удаленный сервер. А кроме VirusTotal еще кому-нибудь можно отправить?
По поиску через AVZ файлов тоже нет.
-
Видимо их нет на диске. Кроме этих файлов я больше ничего подозрительного не обнаружил в логах.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 50
Откуда берется System.exe, в процессах есть а на диске нет?
С файлами которые не попали в карантин и записями в реестре о них, что делать?
-
Сообщение от
Petrovich031
Откуда берется System.exe, в процессах есть а на диске нет?
это обычный псевдопроцесс, его и нет на диске.
Сообщение от
Petrovich031
С файлами которые не попали в карантин и записями в реестре о них, что делать?
ничего не делать. Я не могу сделать вывод зловредны они или нет, так как нет файлов для анализа, поэтому ничего не удаляю.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 50
Если зловредов нет значит это что-то с системой, буду разбираться.
Спасибо за помощь!
Тему можно закрыть.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 19
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\oftsemd.dll - Trojan.Win32.Cidox.av ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.6222656, NOD32: Win32/Agent.SFM trojan, AVAST4: Win32:MalOb-HG [Cryp] )
-