-
Junior Member
- Вес репутации
- 50
Помогите! Подозрение на Руткит, bsod на mrxdav.sys
Здравствуйте. Все началось с зависания машины XP SP2, после перезагрузки машина загружается до экрана приветствия и уходит в bsod на файле mrxdav.sys . При этом в безопасном режиме машина загружается. Отключив службу "веб-клиент" удалось загрузиться в нормальном режиме, но появились сообщения о критических ошибках программ, также машина отвалилась от сети. AVZ, Symantec, Drweb ничего не нашли. Переставил систему (попробовал поставить XP SP3), думал все... не тут-то было, после очередной перезагрузки опять bsod на том же файле. Логи при отключенном "веб-клиенте" прилагаются.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 50
Забыл прикрепить еще один файлик
-
Junior Member
- Вес репутации
- 50
В сетке уже 5 машин с одинаковыми симптомами....
-
-
-
Junior Member
- Вес репутации
- 50
Дыру закрыл, как вирус вычищать? :-))) Хотя бы знать где он...
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{0010BB0C-2F85-46C3-B06A-0F87BB08646C}');
DeleteFile('.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи
Проверьтесь TDSS-killer (ссылка в подписи) и предоставьте лог
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
:-))) После выполнения скрипта, машина стоит на окне выбора пользователя... с одной фразой. домена (имя машины) не существует...
-
Скрипт к этому точно не мог привести
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Значит это ещё один симптом вируса. Запустил скрипт на двух машинах, обе машины стали одинаково работать, даже в безопасном режиме, "домена (имя машины) не существует". Количество инфицированных машин стало 7. Проверял касперским 7 версии, с новыми базами, (снимал винт и цеплял к другой машине) ничего не было обнаружено.
Что дальше то делать? привести логи больше не могу, так как машины не грузятся, а с LiveCD не информативно... TDSS-киллер ничего не обнаружил.
Добавлено через 8 минут
Для решения проблемы возможно выложить сюда логи с других таких же инфицированных машин.
Последний раз редактировалось vasiliyd; 25.10.2010 в 16:46.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 50
Машин стало 9, каспер 11 ничего не нашёл...
Так что дальше то делать?
Добавлено через 37 минут
Ещё один симптом, на заражённых машинах при вызове диспетчера задач выскакивает окно с ошибкой 0x0000017.
Последний раз редактировалось vasiliyd; 28.10.2010 в 08:34.
Причина: Добавлено
-
Сообщение от
thyrex
...
Проверьтесь TDSS-killer (ссылка в подписи) и предоставьте лог
и ???
-
-
Junior Member
- Вес репутации
- 50
да чисто всё, угроз не обнаруженно
Добавлено через 3 минуты
Ещё обнаружил странную проблему, при входе в систему при попытке запустить msconfig, диспетчер задач, regedit ... выкидывает ошибки типа не хватает квот, или ошибка приложения, или ошибка системы
Последний раз редактировалось vasiliyd; 28.10.2010 в 14:46.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 50
Это логи TDSS только с другой машины