Множественное заражение траянами, бэкдорами и проч.

Printable View

23.12.2009, 13:26
C0NSUL

Множественное заражение траянами, бэкдорами и проч.

Добрый день,
помогите пжалуста

Принесли комп, Атлон1100-500озу. Начали лечить без меня. Сначала был вообще лежачий, еще и операционка лежала, чтото в систем32 снесли. Койкак восстановил.
Стоял КИС2010, наверное поставили уже в процессе вылечивания.
Комп после перезагрузки почти сразу замирает и ничего не запускает, окон-смс не всплывает.
(Возможно важно: Два логических диска. Операционка как понял стоит на D.
В начале ЖД какаято странная пустая область на 7гб (или мб, не помню). Может туда чтото прячется?, я не в танке современных подходов зловредства)
Больной у меня к сети не подключен, общаюсь с другого.
Пробовал:
1.НОД32 sysrescue (со свежими базами) - чтото находил, но зависшая графика не давала понять что именно, приходилось вырубать.
2.В безопасном АВПТуул - находил с десяток всяких троянов и бекдоров, чтото удалял, но заканчивал както нелогично, подвисал.
3.(после 2) Комп стал в обычном режиме работать чуть лучше. Запустили в обычном режиме АВПТул. Нашел еще с десяток троянов, но тоже под конец подвисает
4.ДРВеб (с не очень свежими базами) - ниче не нашел. Чтото еще пробовал.
5.Сделал Логи как указано в Правилах. НО, к сети больной комп не подключал.

Надеюсь на вашу помощь
23.12.2009, 14:32
thyrex

Пофиксите в HiJack
[CODE]F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe,[/CODE]Больше плохого не видно
23.12.2009, 14:53
C0NSUL

Спасибо за ответ.
Но как пофиксить не понял :) Пользовался лишь пару раз :)
Установлен HiJack 2.0.2 и есть 2.0.3.бета
:)

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

нашел фак, ща разберусь :)
23.12.2009, 14:53
snifer67

[url]http://virusinfo.info/showthread.php?t=4491[/url]
23.12.2009, 22:33
C0NSUL

После фикса, перезагруз, комп начинает грузиться.
Появляется бегущая полоска Виндавс, и BSOD...
Пробовал несколько раз.
Ща в безопасном попробую что там

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

Вобщем в безопасном режиме комп нормально грузится.
А в обычном появляется синий экран, после того как пробежала полоска при загрузке.

Выдержки
_________
....
NO_MORE _IRP_STACK_LOCATIONS
...
***STOP: 0x000000035 (0x81B31708,....
....
__________

Где я наступил на грабли? :)

[size="1"][color="#666686"][B][I]Добавлено через 7 часов 22 минуты[/I][/B][/color][/size]

Нашел в документации
[QUOTE]NO_MORE_IRP_STACK_LOCATIONS : (0x00000035)
Драйвер высшего уровня пытался вызвать драйвер низшего уровня через IoCallDriver() интерфейс, но в запасе не было свободного места в области стека, поэтому драйвер низшего уровня не сможет достичь нужных параметров, так как для него вообще нет никаких параметров. Это гибельная ситуация, так как драйвер высшего уровня считает, что заполнил параметры для драйвера низшего уровня (что-то он должен был сделать, чтобы вызвать драйвер низшего уровня). Тем не менее, так как для последнего драйвера нет свободного места в области стека, составитель аннулировал конец пакета. Это означает, что, скорее всего, какая-то другая память была повреждена.
[/QUOTE]
Могло ли это случиться изза "Пофиксите в HiJack..." выше?
Как проверить?
23.12.2009, 22:59
pig

Не из-за этого точно.
24.12.2009, 00:41
C0NSUL

Ок
(но до этого то ни разу BSOD не было)
Нашел на Мелкософте некоторые советы по подобной ошибке [url]http://support.microsoft.com/kb/906866[/url]
Но их фикс не помог
25.12.2009, 13:12
C0NSUL

(извините за отсутствие)
Вобщем причин BSOD не нашел, ума не хватило. Пришлось "тупо" сделать "последнюю успешную загрузку". Сейчас вроде комп работает и вроде даже шустро.
Похоже стало чище.
С вашего позволения, сделаю еще раз логи, для вашей проверки (чуть позже).
27.12.2009, 03:03
C0NSUL

Это уже мало имеет отношения к данному уважаемому сообществу, но все же напишу что дальше случилось с компом.

...вобщем комп стал выдавать новые BSOD, причем самые разные.
Потом перестал нормально грузиться. стал читать СДРомы и флешки с ошибками
(флешка на другом компе читалась без ошибок)
Потом пропал обычный режим. За ним пропал и Безопасный.
Успел проверить память (mem'86) - память тесты прошла нормально.
Потом перестал грузиться с Live-СДрома (WinXP).
Пару раз загрузился с LiveCDRom - Линукс
Мандриву не захотел. Но нормально загрузился с Slitaz.
(как помнится - Slitaz очень легкий)
Думалось - Мы его теряем!
Потом мама ваще стала выдавать только POST. Причем разнотональными переливами, непрерывно. Не помню такой сигнал ни у кого.
Вскрытие выявило маму EPOX с индикатором POST.
По найденной в сети документации заявлено две ошибки - память и видюшка.
Замена видюшки на какуюто PCI-допотопную с 2мб(!) на борту - привело к оживлению тела сполпинка. Хотя от такой видюшки изображение уехало.
На выдернутой видюшке fx5600-128мб визуально обнаружены вспухщие кондеры.

Теперь по теме.
Спасибо помогавшим (и дочитавшим), но пока не вставим/подберем новую вменяемую видюшку, обсуждение вылечивания данного компутера не имеет смысла.
11.01.2010, 05:28
C0NSUL

комп отправлен на апгрейд,
с другой видиокартой никаких ошибок/подозрений не наблюдалось,
Спасибо участвовавшим.

Думаю тему можно закрыть