-
Junior Member
- Вес репутации
- 62
Возможно вирус разрушающий файловые системы (очень опасно)
Добрый день.
Кратко опишу события происходящие в моей организации.
Ко мне обратились с просьбой проверить ЮСБ-флеш диск, компьютер пользователя не видит его. Я включил - все работает.
Пошел посмотреть компьютер на котором не работает. Вставляю влешку, ее определяет виндовс ХП, но при обращении к этому диску выдает сообщение - Вставьте диск в дисковод либо диск не найден (что то типа такого). Потом я глянул на свойства - флеш диск в системе RAW.
Пробую эту же флешку на других компьютерах все ОК. На этом компьютере я попробовал три других флеш диска и все они были RAW.
До этого компьютер работал нормально.
Прошло несколько дней и ко мне с такой же проблемой обратилось еще двое человек. Ситуация абсолютно аналогичная.
На одном из компьютеров я решил обновить виндовс до сервис пак 3 + поставил критические обновления вышедшие после СП3. Флеш диск заработал.
Но на следующий день пользователь пришел и сказал что флеш диск снова не работает.
А сегодня утром произошел еще более странный случай. Один из компьютеров перестал видеть два раздела на винчестере. Виндовс грузится и диск С полностью работоспособный, а вот диски Д и Е в системе есть но они как бы не отформатированы. Оба в системе RAW.
Я снял винчестер и посмотрел его на другом компьютере - тоже самое диск С есть два других диска отсутствуют. Так же я посмотрел на состояние диска в програмах по работе с HDD. Проверку віполнить не удается так как формат РАВ.
Далее я пошел на такой єксперимент, загрузил больной компьютер + подключил к нему рабочий HDD с другого компьютера.
После загрузки у меня есть на старом винчестере только системный диск С, а на винчестере втором пропал системный раздел + есть два других раздела, но они точно так же не отформатированы. Я выключил компьютер и загрузился с другого винчестера (тот что я подключил) - все загрузилось и все разделы на месте, добавился системный раздел с которого я загрузился и заработали оба других раздела.
Я снова загрузился со старого винчестера - опять все разделы стали не отформатированы кроме системного диска С.
Я не знаю что это такое, но это явно не проблемы с железом. Если это вирус то в нашей организации наступит армагеддон.
Кто то с таким сталкивался?
Прошу помочь. логи прилагаю.
Последний раз редактировалось sir-gorgoroth; 01.03.2011 в 18:04.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Documents and Settings\user\Application Data\zkdrzi.exe','');
DeleteFile('C:\Documents and Settings\user\Application Data\zkdrzi.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Прокси сами прописывали? -
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:3128
-
-
Junior Member
- Вес репутации
- 62
Да это мой прокси сервер.
192.168.0.1:3128
-
После выполнения скрипта повторите логи
-
-
Junior Member
- Вес репутации
- 62
Карантин выслал. скрипты все выполнил. Результат - без перемен.
По прежнему не работают два раздела на HDD
Добавлено через 38 секунд
Логи сейчас сделаю
Последний раз редактировалось sir-gorgoroth; 02.12.2010 в 15:16.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 62
Последний раз редактировалось sir-gorgoroth; 01.03.2011 в 18:04.
-
AVZ обновите. Базы обновите. Логи переделайте.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 62
новые логи с обновленным АВЗ
Последний раз редактировалось sir-gorgoroth; 01.03.2011 в 18:04.
-
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Program Files\DrUpdate\drupdate.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ipfltdex.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\nwlnk2k.sys','');
QuarantineFile('C:\WINDOWS\assembly\Keylog Detective\KD.exe','');
QuarantineFile('C:\WINDOWS\System32\spool\PRTPROCS\W32X86\x5print.dll','');
QuarantineFile('C:\WINDOWS\System32\KERNEL32.DLL.ASLR.000150fb','');
QuarantineFile('C:\WINDOWS\system32\KERNEL32.DLL.ASLR.00014ff1','');
DeleteFile('C:\WINDOWS\system32\KERNEL32.DLL.ASLR.00014ff1');
DeleteFile('C:\WINDOWS\System32\KERNEL32.DLL.ASLR.000150fb');
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(True);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Логи повторите.
"O4 - HKCU\..\Run: [SystemCheck] RUNDLL32.EXE syschecks.dll,SysCheckStartup"
SpyMyPC устанавливали на систему?
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 62
SpyMyPC да это дело когда то устанавливали, для экспериментов.
сейчас займусь скриптами и карантином
Добавлено через 11 минут
Скрипты выполнил, карантин выслал. Но мне кажется при создании карантина возникли ошибки. Просто так быстро прошел процесс сбора карантина что я не успеваю прочесть. По моему он не все туда копирует.
Добавлено через 1 минуту
диски по прежнему не отформатированы после выполнения скрипта.
Последний раз редактировалось sir-gorgoroth; 03.12.2010 в 11:27.
Причина: Добавлено
-
Логи повторите. Некоторые файлы требуют анализа, ждем ответа аналитика.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 62
Снова прилагаю самые свежие логи.
Последний раз редактировалось sir-gorgoroth; 01.03.2011 в 18:04.
-
sfcfiles.dll присутствует в system32?
Выполните скрипт в AVZ
Код:
begin
ExecuteRepair(19);
RebootWindows(true);
end.
Компьютер перезагрузится.
Что-либо изменилось?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 62
Файл sfcfiles.dll присутствует в System 32
Скрипт выполнил.
На компьютере по прежнему отсутствуют разделы Д и Е.
Добавлено через 4 часа 45 минут
в целях эксперимента подключил к больному компьютеру винчестер с установленным Виндовс 7. Видит только системный диск С с виндовс ХП больного компьютера. Все остальные разделы неотформатированны.
Проверил подключаемый винчестер с ним все в порядке.
Последний раз редактировалось sir-gorgoroth; 06.12.2010 в 13:50.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 62
Люди помогите хотя бы понять это вирус который убивает HDD диски, портит NTFS и FAT таблицы... или нет?
-
Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
Сделайте лог GSI, ссылку на результат проверки напишите.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 62
Добрый день!
Выполнил все ваши указания.
Лог АВЗ прикладываю к теме.
Сделал тестирование GetSystemInfo
Ссылка
http://www.getsysteminfo.com/read.ph...816fd133148ef1
Последний раз редактировалось sir-gorgoroth; 01.03.2011 в 18:04.
-
Однако это интересно.
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
DeleteService('MRxCls');
DeleteService('MRxNet');
QuarantineFile('C:\WINDOWS\system32\drivers\mrxcls.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\mrxnet.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\mrxcls.sys');
DeleteFile('C:\WINDOWS\system32\drivers\mrxnet.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Ask Toolbar удалите.
Логи AVZ и GSI повторите.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 62
Скрипты выполнил, карантин выслал.
логи новые прилагаю.
http://www.getsysteminfo.com/read.ph...d2d18d92ef51a6
На компьютере без перемен. Разделы винчестера не видит.
Последний раз редактировалось sir-gorgoroth; 01.03.2011 в 18:04.
-
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\program files\cl\budstandart\server\svcinfolib.exe','');
QuarantineFile('C:\Documents and Settings\admin\Application Data\zkdrzi.exe','');
DeleteFile('C:\Documents and Settings\admin\Application Data\zkdrzi.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
Повторите логи AVZ с подключенными флэшками.
Paula rhei.
Поддержать проект можно тут
-