-
Вложений: 3
Backdoor.Generoc.1138
[ATTACH]6430[/ATTACH]
[ATTACH]6431[/ATTACH]
[ATTACH]6432[/ATTACH]
Здравствуйте!
Вирус Backdoor.Generic.1138 (выдаёт BSOD с ошибкой driver_irql_not_less_or_equal)
заранее признателен за помощь, DrWeb не справляется (между прочим лицензионный...), заражённые файлы появляются вновь.
спасибо
Дмитрий
-
1. в AVZ файл -- выполнить скрипт - скопировать текст в окно -- запустить
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\WSEC32HK.dll','');
QuarantineFile('C:\WINDOWS\system32\winsersec.exe','');
QuarantineFile('C:\WINDOWS\system32\servdll.dll','');
QuarantineFile('C:\WINDOWS\winwd.exe','');
DeleteFile('C:\WINDOWS\winwd.exe');
AutoFixSPI();
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После перезагрузки прислать карантин по Приложению 2 правил. Номер темы - 7725
-
здравствуйте,
после выполнения скрипта компьютер не загружается, даже в safe mode, так что прислать карантин не представляется возможным
-
Увы :(
Придётся ставить пиво знакомому компьютерщику. Ещё не всё потеряно, можно подключить диск к другому аппарату и посмотреть, что там творится.
Кстати, как именно выглядит "не загружается"?
-
с пятого раза загрузился
какие файлы присылать в карантине? там список задать надо...
зы. у меня на подобные случаи образы залиты, так что ничего. когда начались проблемы, я восстановил с образа и теперь не могу понять: он что, уже давно у меня в компе сидел? потому что тогда, после восстановления, проблема осталась.
-
так, понял. сейчас выложу
-
-
Файлы в карантине - чистые. С первого раза не попал. Возможно, из-за удаления winwd.exe и были проблемы с загрузкой РС.
Больно уж названия у этих файлов подозрительные.
В AVZ попробуй поискать netlock.dll. Если найдешь, отправь на проверку.
и попробуй там же выполнить скрипт:
begin
AutoFixSPI();
end.
-
файл закачал, скрипт выполнил (оно говорит просто "выполнено" и всё).
это что выходит что следов вируса нет? что-то даже не радуюсь. если опять заглючит придётся по новой всю проверку и три лога выкладывать...
-
Файл проверил - чистый. Только одно подозрение от VBA.
Ждите, еще кто-нибудь посмотрит.
Строчку с reset5 в HijackThis можно профиксить. Он с SP2 не нужен.
-
вот опять вылез вирус. я так сделаю: drweb-ом не буду чистить, сделаю сразу avz, тогда может в логе что будет. выложу три лога потом, вдруг получится
-
[B]elangelo[/B] только логи делайте с открытым окном браузера Internet Explorer.
-
попробую, но есть нюанс:
1. вот сейчас стал гнать avz - так при наличии подключения к сети (у меня выделенка) она не может закончить проверку - перезагружается явно из-за вируса, который не даёт себя удалить. если же отключить сетевуху (у меня ноут), то всё идёт нормально, но и вируса backdoor она уже не видит - только подозрения на троян в паре файлов. я исключаю вариант что вирус приходит по сети потому что у меня по свичу два компьютера на одном адресе, и на втором тьфу тьфу всё окей. так что он может сидеть где-то в сетевых настройках, потому что
2. я даже пытался удалить в системе сетевые устройства, думал, что все глюки из-за них. безуспешно! не удаляется ни драйвер сетевухи, ни драйвер ранее у меня установленного вай-фай (именно в его установочном файле и есть подозрение на троян), винда сообщает "возможно это устройство необходимо для загрузки"
так что я думаю что в этом вся проблема и как-то надо это вычистить, но как...
ну вот. короче первый лог с сетью не получится (а что толку от окна интернет эксплорера если он ничего не может отобразить), а вот остальные два лога сделаю с включённой сетью (правда, в первый раз тоже так же сделал - и вот, говорят, всё чисто)
-
[B]elangelo[/B], отключите интернет, откройте окно браузера и зделайте два последних лога из правил.
-
Вложений: 3
выкладываю логи. как всегда ничего подозрительного кроме подозрения на другой вирус в установочном файле wifi как я говорил (могу прислать карантин), кроме того во время выполнения второго скрипта получил в п.6 что "проверка TCP отменена пользователем" - это опять вирус шалит, чтобы его в сетевых компонентах не нашли??
1й лог сделан с окном IE без сети, последние с сетью и IE.
Ещё был бы признателен если бы кто-то прокомментировал то что я сказал выше про сеть.
Спасибо.
[ATTACH]6477[/ATTACH]
[ATTACH]6478[/ATTACH]
[ATTACH]6479[/ATTACH]
-
Интересный вопрос возник: где доктор Веб находит вирус?
Скрипт, что я посылал, отработал нормально. Лог стал выглядеть приличней.
и еще один момент - программы от Tropical Software сами ставили? М.б. в их настройках поковыряться.
-
в каталоге documents and settings. например: C:\Documents and Settings\All Users\Документы\SharedDocs.exe
спайдер даже залез в каталог avz и вылечил файл, лежавший в карантине)))
tropical software - не припомню. кажется нет.
так что же делать теперь вообще и с сетевухами в частности?
-
ещё мне нравятся такие места в логе spider:
29-01-2007 09:36:31 [CL] C:\Documents and Settings\All Users\Документы\Adobe PDF 6.0\Data\Data.exe - инфицирован BackDoor.Generic.1138
29-01-2007 09:36:33 [CL] C:\Documents and Settings\All Users\Документы\Adobe PDF 6.0\Data\Data.exe - исцелен
29-01-2007 09:36:34 [CL] C:\Documents and Settings\All Users\Документы\Adobe PDF 6.0\Data\Data.exe - инфицирован
забавно, как сразу вирус появляется опять
-
[B]elangelo[/B],
AVZ -> Файл -> Выполнить скрипт:
[CODE]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\sdaemon.exe','');
QuarantineFile('\SystemRoot\system32\drivers\WINSEC.SYS','');
QuarantineFile('C:\WINDOWS\WSEC32HK.dll','');
QuarantineFile('C:\WINDOWS\system32\servdll.dll','');
QuarantineFile('c:\windows\system32\winsersec.exe','');
CreateQurantineArchive(GetAVZDirectory+'virusinfo_7725_quarantine.zip');
RebootWindows(true);
end.
[/CODE]
После перезагрузки, пришлите по правилам файл [B]virusinfo_7725_quarantine.zip[/B]
-
[QUOTE=elangelo;93813]ещё мне нравятся такие места в логе spider:
29-01-2007 09:36:31 [CL] C:\Documents and Settings\All Users\Документы\Adobe PDF 6.0\Data\Data.exe - инфицирован BackDoor.Generic.1138
29-01-2007 09:36:33 [CL] C:\Documents and Settings\All Users\Документы\Adobe PDF 6.0\Data\Data.exe - исцелен
29-01-2007 09:36:34 [CL] C:\Documents and Settings\All Users\Документы\Adobe PDF 6.0\Data\Data.exe - инфицирован
забавно, как сразу вирус появляется опять[/QUOTE]
Заплатки на систему все стоят? Пароль администратора случайно не пустой? Диск C не расшарен в сеть?
-
заплатки (если имеются в виду обновления безопасности от MS) стоят, С: не расшарен. я уже говорил что странно что второй компьютер жив и здоров - из этого я сделал бы вывод что вирус засел именно на компьютере.
пароля администратора нет, ведь я один пользователь. на втором несколько пользователей, и паролей тоже нет... и пока ничего... это если я правильно понимаю что речь идёт о том пароле что при запуске винды надо вводить
-
[quote=Muffler;93871][B]elangelo[/B],
AVZ -> Файл -> Выполнить скрипт:
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\sdaemon.exe','');
QuarantineFile('\SystemRoot\system32\drivers\WINSEC.SYS','');
QuarantineFile('C:\WINDOWS\WSEC32HK.dll','');
QuarantineFile('C:\WINDOWS\system32\servdll.dll','');
QuarantineFile('c:\windows\system32\winsersec.exe','');
CreateQurantineArchive(GetAVZDirectory+'virusinfo_7725_quarantine.zip');
RebootWindows(true);
end.
[/code]
После перезагрузки, пришлите по правилам файл [B]virusinfo_7725_quarantine.zip[/B][/quote]
выложил
-
Самое главное, что при подключении к администраторским сетевым ресурсам вашей машины (C$ - системная шара диска C) тому, кто захочет достучаться, не придётся подбирать пароль. Администратора, судя по всему, тоже не переименовывали - значит, угадывается достаточно легко.
Но, возможно, конечно, что сидит дроппер или загрузчик недетектируемый. Очень возможно.
-
тут есть что-то - ведь на втором компе юзеры переименованные
а если действительно что-то недетектируемое?
но для начала я переименую юзера
нет, учётная запись изначально была переименована. так что видимо загрузчик. и что с ним делать?
даже после защиты паролем снова появился вирус. при этом в логе spider'a содержатся подобные строки (привожу только часть):
29-01-2007 09:42:22 [CL] C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - доступ запрещен
29-01-2007 09:42:22 [CL] C:\Documents and Settings\LocalService\ntuser.dat - доступ запрещен
29-01-2007 09:42:22 [CL] C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - доступ запрещен
29-01-2007 09:42:22 [CL] C:\Documents and Settings\NetworkService\ntuser.dat - доступ запрещен
29-01-2007 09:42:23 [CL] C:\Documents and Settings\Дмитрий Коломацкий\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - доступ запрещен
29-01-2007 09:42:23 [CL] C:\Documents and Settings\Дмитрий Коломацкий\ntuser.dat - доступ запрещен
29-01-2007 09:42:23 [CL] C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.chk - доступ запрещен
29-01-2007 09:42:28 [CL] C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.log - доступ запрещен
из чего я мог бы сделать вывод что это и есть скрытый загрузчик тела вируса. может как-то посмотрите эти файлы? или просто скажете мне, можно ли их удалить и главное как? потому что на них стоит защита даже от просмотра.
да, а потом после этих строк начинаются строки о заражённых файлах
[B]Павел![/B]
я действительно использую tropical software - а именно PC Security. и что с ним делать? а потом вряд ли это просто программный конфликт если вирус действительно появляется.
-
В первых логах AVZ ругался именно на dll от PC Security. Скорее всего, именно эта программа и блокирует файлы, указанные в логе Dr.Web.
После лечения вируса Dr.Web, вполне возможно, PC Security поломалась.
Можно попробовать ее переустановить и заново настроить. См. цитату ниже - описание программы.
[CODE]'PC Security™ 5.1 is the ultimate in computer security, offering multiple locking systems for the Windows environment and internet. Lock files, monitor programs' activities, even detect intruders![/CODE]
-
[QUOTE=elangelo;93939]в логе spider'a содержатся подобные строки (привожу только часть):
29-01-2007 09:42:22 [CL] C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - доступ запрещен
29-01-2007 09:42:22 [CL] C:\Documents and Settings\LocalService\ntuser.dat - доступ запрещен
29-01-2007 09:42:22 [CL] C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - доступ запрещен
29-01-2007 09:42:22 [CL] C:\Documents and Settings\NetworkService\ntuser.dat - доступ запрещен
29-01-2007 09:42:23 [CL] C:\Documents and Settings\Дмитрий Коломацкий\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - доступ запрещен
29-01-2007 09:42:23 [CL] C:\Documents and Settings\Дмитрий Коломацкий\ntuser.dat - доступ запрещен
29-01-2007 09:42:23 [CL] C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.chk - доступ запрещен
29-01-2007 09:42:28 [CL] C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.log - доступ запрещен[/QUOTE]
Это нормально. Файлы заблокированы самой системой. Их в статье MS даже рекомендуется исключать из антивирусной проверки, чтобы монитор работу не тормозил.
-
Ну ладно PC Security, но ведь вирус-то есть, перезагрузка из-за него и происходит... что ж с ним делать?
-
@elangelo Я же написал. Попробовать снести PC Security и попробовать поработать. Если ошибка исчезнет, то проблема м.б. в драйвере от этой программы, который висит в памяти. (файл winsec.sys в папке Drivers)
Да, еще когда появится BSOD списать цифры. По ним можно определить какой из драйверов врет.
-
как раз писал вам. снёс секьюрити, заодно regcleaner'ом почистил реестр. перезапустил комп - всё нормально вроде. началась вирусная атака (я следил как у спайдера растёт число) - 60 заражённых файлов на лету вылечил без зависания. так что вроде работает пока лучше, но вирус всё равно где-то есть, даже уже не знаю, может действительно кому в сети понравился именно этот комп.
-
цифры уже списывал
0x0000001D (driver_irql_not_less_or_equal), смотрел соответствующий форум, ничего не нашёл подходящего. после полного сноса секьюрити пока не появлялся. посмотрим. но вирус где-то жив похоже...
-
[QUOTE=elangelo;94023]как раз писал вам. снёс секьюрити, заодно regcleaner'ом почистил реестр. перезапустил комп - всё нормально вроде. началась вирусная атака (я следил как у спайдера растёт число) - 60 заражённых файлов на лету вылечил без зависания. так что вроде работает пока лучше, но вирус всё равно где-то есть, даже уже не знаю, может действительно кому в сети понравился именно этот комп.[/QUOTE]
Лог прикрепите, что бы видеть где эти файлы находилидь
-
проблема ещё была и в том что у моего thinkpad 600 я не могу добраться до продвинутых настроек BIOS. я думал, как советовал BSOD, отключить кэшинг и шэдоуинг. ну ладно
-
Файервалл включен? и пароль на вход в винды для администратора надо поставить.
BSOD перестал возникать? Значит, глючил драйвер PCSecurity.
Теперь надо закрыться файером и паролем.
-
с паролем не работает drweb
после удаления security спайдер начал успешно справляться, но вирус появлялся. в инете нашёл про утилиту msconfig.exe, запустил, обнаружил пару подозрительных процессов (один вообще был с пустым описанием), удалил - я уже перезагружался сам два раза и работаю в инете и с офисом часа три - ни одного заражённого файла пока не зарегистрировано. видимо это и был паразит, который теперь просто не подгружается при загрузке. жалко что они от возраста не умирают, лежит где-то по-прежнему, хотя и изолированный :)
если что, ещё напишу
большое-пребольшое Вам спасибо за помощь
-
а файер конечно стоит - я собственно потому сто лет назад и ставил PCSecurity потому что у винды как-то не было такой утилиты ограничивающей доступ программ в интернет, теперь с SP2 есть.
-
[QUOTE=elangelo;94067]с паролем не работает drweb[/QUOTE]
Это как?
driver_irql_not_less_or_equal - в принципе, этим иногда страдает Спайдер, в зависимости от конфигурации софта и железа. Правда, на XP лично не наблюдал, только на Windows 2000, прошедших трудный путь от SP2 до SP4 + Rollup1 (в том числе неправильную версию последнего).
-
дело в том что я при установке пароля указал защитить папки и файлы данного пользователя (теперь это уже не отключается). в результате запущенный в нормале доктор веб из другой записи то не видит. но я знаю это решаемо просто пути логов надо исправить, но вдруг ещё какой софт заглючит.
что до пресловутого BSOD то он после удаления секьюрити пока не появлялся. пару раз до этого бывал другой BSOD с жалобой конкретно на spider.sys
-
увы вирус появился снова, так что он сидит где-то в других процессах. BSOD выскакивает, когда я мешаю спайдеру лечить файлы на лету, или просто вирус блокирует что-то. так что дело не в самой по себе секьюрити.
буду признателен за дальнейшие советы, хотя непонятно, можно ли тут что ещё сделать
-
Надо новые логи, а то много чего поменялось.
-
Вложений: 3
здравствуйте
выкладываю логи
в этот раз все три выполнены при включенном инете и эксплорере, удалось захватить не удалённый вебом из-за нештатной перезагрузки заражённый файл, один из тех, что начинают появляться, как я понимаю.
спасибо
[ATTACH]6567[/ATTACH]
[ATTACH]6568[/ATTACH]
[ATTACH]6569[/ATTACH]
Page generated in 0.00629 seconds with 10 queries