Показано с 1 по 20 из 20.

Возможно вирус (заявка № 89961)

  1. #1
    Junior Member Репутация
    Регистрация
    25.09.2010
    Сообщений
    24
    Вес репутации
    50

    Exclamation Возможно вирус

    При включении иногда останавливается на картинке запуск Windows 2000 и строка загрузки была где-то по серединке. Я изменил файл boot.ini, добавив параметры /sos /bootlog.
    Вот некоторые строчки из ntbtlog.txt созданного в результате параметра /bootlog:
    Loaded driver \??\C:\WINNT\System32\Drivers\ute0nzk2.sys
    Did not load driver \??\C:\WINNT\System32\Drivers\ute0nzk2.sys
    Loaded driver \??\C:\WINNT\System32\drivers\klif.sys
    В логе АВЗ, в процессах System.exe с ошибкой получения информации о файле.
    Порты TCP/UDP нет данных о приложении.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    stat.ru - известный вам домен?
    В AVZ выполните скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('System.exe','');
     QuarantineFile('C:\WINNT\System32\drivers\ati_det.sys','');
     QuarantineFile('C:\WINNT\System32\drivers\cirrus_det.sys','');
     QuarantineFile('C:\WINNT\System32\drivers\et4000_det.sys','');
     QuarantineFile('C:\WINNT\System32\drivers\mga_det.sys','');
     QuarantineFile('C:\WINNT\System32\drivers\qv_det.sys','');
     QuarantineFile('C:\WINNT\System32\drivers\s3legacy_det.sys','');
     QuarantineFile('C:\WINNT\System32\drivers\wdvga_det.sys','');
     QuarantineFile('C:\WINNT\System32\drivers\weitekp9_det.sys','');
    BC_ImportAll;
    BC_Activate;
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.

    После перезагрузки

    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
    Логи повторите.
    Paula rhei.
    Поддержать проект можно тут

  4. #3
    Junior Member Репутация
    Регистрация
    25.09.2010
    Сообщений
    24
    Вес репутации
    50
    stat.ru - домен мне неизвестный
    И ещё загружается долго, в начале на экране появляется панель управления, через, примерно, 40сек. рабочий стол, за ним каспер. Может это из-за каспера или автозагрузки?

  5. #4
    Junior Member Репутация
    Регистрация
    25.09.2010
    Сообщений
    24
    Вес репутации
    50
    Карантин я выслал

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Файлы не попали в карантин.
    сделайте лог Gmer
    Сделайте лог MBAM
    Paula rhei.
    Поддержать проект можно тут

  7. #6
    Junior Member Репутация
    Регистрация
    25.09.2010
    Сообщений
    24
    Вес репутации
    50
    При запуске GMERа ругается Каспер "подозрительные действия", дважды нажав "запретить" сделал лог.

    МВАМ - скачал по ссылке, при установке останавливается на файле с расширением *.ref и всё, зависает. Причем в диспечере задач два процесса МВАМ, один из них забирает всю производительность на себя.
    Может где другой скачать?

    И тачка опять зависла при перезагрузке. Я посмотрел в логе загрузки, когда порядок загрузки драйверов нарушен - комп. виснет.

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    При сканировании gmer нужно отключать антивирус. При установке mbam - также, отключаем антивирус и фаервол. Попробуйте с учетом этого.
    Paula rhei.
    Поддержать проект можно тут

  9. #8
    Junior Member Репутация
    Регистрация
    25.09.2010
    Сообщений
    24
    Вес репутации
    50
    Отключил антивирус, Гмером лог сделал, выкладываю.
    МВАМ - как и писал, зависает при установке на файле "rules.ref" (при отключенном антивирусе). Загрузка 99%, окно установки не отвечает. МВАМ я скачал по ссылке.

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    В логе гмер чисто. Сделайте лог GSI,ссылку на результат проверки напишите.
    Paula rhei.
    Поддержать проект можно тут

  11. #10
    Junior Member Репутация
    Регистрация
    25.09.2010
    Сообщений
    24
    Вес репутации
    50
    MBAM установил, просканировал, но лог не сохранился. Я сохранил только отчет.
    GSI - под Win2000 не запустился.

  12. #11
    Junior Member Репутация
    Регистрация
    25.09.2010
    Сообщений
    24
    Вес репутации
    50
    Вот ещё, я скачал IceSword. Через его поиск я нашел кучу разных System, только несмог сохранить найденое списком, поэтому сделал снимок экрана и сохранил в Word. Если понадобится, могу выслать.
    В разделе Files (IceWord) на диске С он показывает папки, у некоторых вместо имен - иероглифы. Посмотрел через TotalComander этих папок там нет. Можно их удалить?

    Добавлено через 57 секунд

    Извините за опечатки
    Последний раз редактировалось Petrovich031; 19.10.2010 в 17:42. Причина: Добавлено

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    НИЧЕГО не удалять!!! IceSword так интерпретирует русские символы. В логе мбам ничего интересного. Если вы проявили самостоятельность, то попробуйте с помощью IceSword найти и скопировать файлы из сообщения #2, ни один из файлов в карантин не попал.
    Paula rhei.
    Поддержать проект можно тут

  14. #13
    Junior Member Репутация
    Регистрация
    25.09.2010
    Сообщений
    24
    Вес репутации
    50
    IceSword ничего не нашел. AVZ, IceSword - пытался сделать карантин в безопасном режиме, ничего. В boot_clean.log пишет ?? и путь к файлу, через дефис failed (0xC000000D) и так на все файлы карантина.
    В модуле пространства ядра были несколько записей черного цвета и одна красного. Я сделал их дамп, если потребуется.
    Красной строкой:
    VGA.dll \SystemRoot\System32\VGA.dll

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    VGA.dll - это нормальный драйвер. Проверьте его на virustotal, если есть сомнения.
    Файлы находятся по поиску через AVZ? Попробуйте пожалуйста. Либо это просто ссылки в реестре.
    Paula rhei.
    Поддержать проект можно тут

  16. #15
    Junior Member Репутация
    Регистрация
    25.09.2010
    Сообщений
    24
    Вес репутации
    50
    VirusTotal.com - невозможно найти удаленный сервер. А кроме VirusTotal еще кому-нибудь можно отправить?
    По поиску через AVZ файлов тоже нет.

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Видимо их нет на диске. Кроме этих файлов я больше ничего подозрительного не обнаружил в логах.
    Paula rhei.
    Поддержать проект можно тут

  18. #17
    Junior Member Репутация
    Регистрация
    25.09.2010
    Сообщений
    24
    Вес репутации
    50
    Откуда берется System.exe, в процессах есть а на диске нет?
    С файлами которые не попали в карантин и записями в реестре о них, что делать?

  19. #18
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Цитата Сообщение от Petrovich031 Посмотреть сообщение
    Откуда берется System.exe, в процессах есть а на диске нет?
    это обычный псевдопроцесс, его и нет на диске.

    Цитата Сообщение от Petrovich031 Посмотреть сообщение
    С файлами которые не попали в карантин и записями в реестре о них, что делать?
    ничего не делать. Я не могу сделать вывод зловредны они или нет, так как нет файлов для анализа, поэтому ничего не удаляю.
    Paula rhei.
    Поддержать проект можно тут

  20. #19
    Junior Member Репутация
    Регистрация
    25.09.2010
    Сообщений
    24
    Вес репутации
    50
    Если зловредов нет значит это что-то с системой, буду разбираться.
    Спасибо за помощь!
    Тему можно закрыть.

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 19
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\oftsemd.dll - Trojan.Win32.Cidox.av ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.6222656, NOD32: Win32/Agent.SFM trojan, AVAST4: Win32:MalOb-HG [Cryp] )


  • Уважаемый(ая) Petrovich031, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. возможно вирус
      От click80 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 19.12.2011, 20:46
    2. Ответов: 4
      Последнее сообщение: 05.03.2011, 13:53
    3. Возможно вирус ??
      От cender в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 03.05.2010, 12:21
    4. Возможно вирус
      От Seriy294 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 08.02.2010, 17:14
    5. Возможно вирус?
      От Aelite в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 07:37

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01121 seconds with 19 queries