Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Возможно вирус разрушающий файловые системы (очень опасно) (заявка № 92820)

  1. #1
    Junior Member Репутация
    Регистрация
    07.05.2007
    Сообщений
    85
    Вес репутации
    36

    Exclamation Возможно вирус разрушающий файловые системы (очень опасно)

    Добрый день.

    Кратко опишу события происходящие в моей организации.
    Ко мне обратились с просьбой проверить ЮСБ-флеш диск, компьютер пользователя не видит его. Я включил - все работает.
    Пошел посмотреть компьютер на котором не работает. Вставляю влешку, ее определяет виндовс ХП, но при обращении к этому диску выдает сообщение - Вставьте диск в дисковод либо диск не найден (что то типа такого). Потом я глянул на свойства - флеш диск в системе RAW.
    Пробую эту же флешку на других компьютерах все ОК. На этом компьютере я попробовал три других флеш диска и все они были RAW.
    До этого компьютер работал нормально.
    Прошло несколько дней и ко мне с такой же проблемой обратилось еще двое человек. Ситуация абсолютно аналогичная.

    На одном из компьютеров я решил обновить виндовс до сервис пак 3 + поставил критические обновления вышедшие после СП3. Флеш диск заработал.
    Но на следующий день пользователь пришел и сказал что флеш диск снова не работает.

    А сегодня утром произошел еще более странный случай. Один из компьютеров перестал видеть два раздела на винчестере. Виндовс грузится и диск С полностью работоспособный, а вот диски Д и Е в системе есть но они как бы не отформатированы. Оба в системе RAW.
    Я снял винчестер и посмотрел его на другом компьютере - тоже самое диск С есть два других диска отсутствуют. Так же я посмотрел на состояние диска в програмах по работе с HDD. Проверку віполнить не удается так как формат РАВ.
    Далее я пошел на такой єксперимент, загрузил больной компьютер + подключил к нему рабочий HDD с другого компьютера.
    После загрузки у меня есть на старом винчестере только системный диск С, а на винчестере втором пропал системный раздел + есть два других раздела, но они точно так же не отформатированы. Я выключил компьютер и загрузился с другого винчестера (тот что я подключил) - все загрузилось и все разделы на месте, добавился системный раздел с которого я загрузился и заработали оба других раздела.
    Я снова загрузился со старого винчестера - опять все разделы стали не отформатированы кроме системного диска С.

    Я не знаю что это такое, но это явно не проблемы с железом. Если это вирус то в нашей организации наступит армагеддон.

    Кто то с таким сталкивался?

    Прошу помочь. логи прилагаю.
    Последний раз редактировалось sir-gorgoroth; 01.03.2011 в 18:04.

  2. Реклама
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,042
    Вес репутации
    1254
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\Documents and Settings\user\Application Data\zkdrzi.exe','');
     DeleteFile('C:\Documents and Settings\user\Application Data\zkdrzi.exe');        
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Прокси сами прописывали? -
    Код:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:3128

  4. #3
    Junior Member Репутация
    Регистрация
    07.05.2007
    Сообщений
    85
    Вес репутации
    36
    Да это мой прокси сервер.

    192.168.0.1:3128

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,042
    Вес репутации
    1254
    После выполнения скрипта повторите логи

  6. #5
    Junior Member Репутация
    Регистрация
    07.05.2007
    Сообщений
    85
    Вес репутации
    36
    Карантин выслал. скрипты все выполнил. Результат - без перемен.
    По прежнему не работают два раздела на HDD

    Добавлено через 38 секунд

    Логи сейчас сделаю
    Последний раз редактировалось sir-gorgoroth; 02.12.2010 в 15:16. Причина: Добавлено

  7. #6
    Junior Member Репутация
    Регистрация
    07.05.2007
    Сообщений
    85
    Вес репутации
    36
    логи повторно
    Последний раз редактировалось sir-gorgoroth; 01.03.2011 в 18:04.

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    AVZ обновите. Базы обновите. Логи переделайте.
    Paula rhei.
    Поддержать проект можно тут

  9. #8
    Junior Member Репутация
    Регистрация
    07.05.2007
    Сообщений
    85
    Вес репутации
    36
    новые логи с обновленным АВЗ
    Последний раз редактировалось sir-gorgoroth; 01.03.2011 в 18:04.

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    В AVZ выполните скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\Program Files\DrUpdate\drupdate.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ipfltdex.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\nwlnk2k.sys','');
     QuarantineFile('C:\WINDOWS\assembly\Keylog Detective\KD.exe','');
     QuarantineFile('C:\WINDOWS\System32\spool\PRTPROCS\W32X86\x5print.dll','');
     QuarantineFile('C:\WINDOWS\System32\KERNEL32.DLL.ASLR.000150fb','');
     QuarantineFile('C:\WINDOWS\system32\KERNEL32.DLL.ASLR.00014ff1','');
     DeleteFile('C:\WINDOWS\system32\KERNEL32.DLL.ASLR.00014ff1');
     DeleteFile('C:\WINDOWS\System32\KERNEL32.DLL.ASLR.000150fb');
    BC_ImportAll;
    ExecuteSysClean;
    SetAVZPMStatus(True);
    BC_Activate;
    RebootWindows(true);
    end.

    После перезагрузки

    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
    Логи повторите.
    "O4 - HKCU\..\Run: [SystemCheck] RUNDLL32.EXE syschecks.dll,SysCheckStartup"
    SpyMyPC устанавливали на систему?
    Paula rhei.
    Поддержать проект можно тут

  11. #10
    Junior Member Репутация
    Регистрация
    07.05.2007
    Сообщений
    85
    Вес репутации
    36
    SpyMyPC да это дело когда то устанавливали, для экспериментов.

    сейчас займусь скриптами и карантином

    Добавлено через 11 минут

    Скрипты выполнил, карантин выслал. Но мне кажется при создании карантина возникли ошибки. Просто так быстро прошел процесс сбора карантина что я не успеваю прочесть. По моему он не все туда копирует.

    Добавлено через 1 минуту

    диски по прежнему не отформатированы после выполнения скрипта.
    Последний раз редактировалось sir-gorgoroth; 03.12.2010 в 11:27. Причина: Добавлено

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    Логи повторите. Некоторые файлы требуют анализа, ждем ответа аналитика.
    Paula rhei.
    Поддержать проект можно тут

  13. #12
    Junior Member Репутация
    Регистрация
    07.05.2007
    Сообщений
    85
    Вес репутации
    36
    Снова прилагаю самые свежие логи.
    Последний раз редактировалось sir-gorgoroth; 01.03.2011 в 18:04.

  14. #13
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    sfcfiles.dll присутствует в system32?

    Выполните скрипт в AVZ
    Код:
    begin
    ExecuteRepair(19);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Что-либо изменилось?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  15. #14
    Junior Member Репутация
    Регистрация
    07.05.2007
    Сообщений
    85
    Вес репутации
    36
    Файл sfcfiles.dll присутствует в System 32

    Скрипт выполнил.

    На компьютере по прежнему отсутствуют разделы Д и Е.

    Добавлено через 4 часа 45 минут

    в целях эксперимента подключил к больному компьютеру винчестер с установленным Виндовс 7. Видит только системный диск С с виндовс ХП больного компьютера. Все остальные разделы неотформатированны.
    Проверил подключаемый винчестер с ним все в порядке.
    Последний раз редактировалось sir-gorgoroth; 06.12.2010 в 13:50. Причина: Добавлено

  16. #15
    Junior Member Репутация
    Регистрация
    07.05.2007
    Сообщений
    85
    Вес репутации
    36
    Люди помогите хотя бы понять это вирус который убивает HDD диски, портит NTFS и FAT таблицы... или нет?

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.
    Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
    Перезагрузите компьютер.
    Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
    Сделайте лог GSI, ссылку на результат проверки напишите.
    Paula rhei.
    Поддержать проект можно тут

  18. #17
    Junior Member Репутация
    Регистрация
    07.05.2007
    Сообщений
    85
    Вес репутации
    36
    Добрый день!

    Выполнил все ваши указания.
    Лог АВЗ прикладываю к теме.

    Сделал тестирование GetSystemInfo

    Ссылка
    http://www.getsysteminfo.com/read.ph...816fd133148ef1
    Последний раз редактировалось sir-gorgoroth; 01.03.2011 в 18:04.

  19. #18
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    Однако это интересно.
    В AVZ выполните скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
    DeleteService('MRxCls');
    DeleteService('MRxNet');
     QuarantineFile('C:\WINDOWS\system32\drivers\mrxcls.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\mrxnet.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\mrxcls.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\mrxnet.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.

    После перезагрузки

    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
    Ask Toolbar удалите.
    Логи AVZ и GSI повторите.
    Paula rhei.
    Поддержать проект можно тут

  20. #19
    Junior Member Репутация
    Регистрация
    07.05.2007
    Сообщений
    85
    Вес репутации
    36
    Скрипты выполнил, карантин выслал.

    логи новые прилагаю.


    http://www.getsysteminfo.com/read.ph...d2d18d92ef51a6

    На компьютере без перемен. Разделы винчестера не видит.
    Последний раз редактировалось sir-gorgoroth; 01.03.2011 в 18:04.

  21. #20
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    В AVZ выполните скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\program files\cl\budstandart\server\svcinfolib.exe','');
     QuarantineFile('C:\Documents and Settings\admin\Application Data\zkdrzi.exe','');
     DeleteFile('C:\Documents and Settings\admin\Application Data\zkdrzi.exe');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,2,true);
    BC_Activate;
    RebootWindows(true);
    end.

    После перезагрузки

    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.

    Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.
    Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
    Перезагрузите компьютер.
    Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

    Повторите логи AVZ с подключенными флэшками.
    Paula rhei.
    Поддержать проект можно тут

  • Уважаемый(ая) sir-gorgoroth, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 8
      Последнее сообщение: 11.08.2011, 14:04
    2. Ответов: 7
      Последнее сообщение: 23.11.2010, 19:00
    3. Возможно масс-заражение системы
      От KloneB@DGuY в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 12.06.2010, 12:02
    4. Ответов: 5
      Последнее сообщение: 16.02.2010, 21:27
    5. Бесплатные файловые менеджеры
      От maXmo в разделе Софт - общий
      Ответов: 25
      Последнее сообщение: 22.01.2010, 17:41

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00516 seconds with 21 queries