Страница 2 из 4 Первая 1234 Последняя
Показано с 21 по 40 из 70.

Помогите, создается несуществующий PCI Device! (заявка № 17685)

  1. #21
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,343
    Вес репутации
    80
    Виновен интернет..
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\_svchost.exe','');
     QuarantineFile('C:\Documents and Settings\Kirill\Local Settings\Temporary Internet Files\Content.IE5\G56RS5EF\ieupdater[1].exe','');
     QuarantineFile('C:\Documents and Settings\Kirill\Local Settings\Temporary Internet Files\Content.IE5\8LEVWPQV\ieupdater[1].exe','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\PROCEXP111.SYS','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\a03bogrq.SYS','');
     QuarantineFile('C:\WINDOWS\system32\msftp.dll','');
     QuarantineFile('c:\windows\system32\drivers\spool.exe','');
     QuarantineFile('c:\documents and settings\kirill\local settings\application data\cftmon.exe','');
     DeleteFile('c:\documents and settings\kirill\local settings\application data\cftmon.exe');
     DeleteFile('c:\windows\system32\drivers\spool.exe');
     DeleteFile('C:\WINDOWS\system32\msftp.dll');
     DeleteFile('C:\Documents and Settings\Kirill\Local Settings\Temporary Internet Files\Content.IE5\8LEVWPQV\ieupdater[1].exe');
     DeleteFile('C:\Documents and Settings\Kirill\Local Settings\Temporary Internet Files\Content.IE5\G56RS5EF\ieupdater[1].exe');
     DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
     DeleteFile('C:\WINDOWS\system32\_svchost.exe');
     DeleteFile('C:\Documents and Settings\Administrator\DoctorWeb\Quarantine\A0009788.exe');
     DeleteFile('C:\Documents and Settings\Administrator\DoctorWeb\Quarantine\A0010916.exe');
     DeleteFile('C:\Documents and Settings\Administrator\DoctorWeb\Quarantine\A0010919.exe');
     DeleteFile('C:\Documents and Settings\Administrator\DoctorWeb\Quarantine\ieupdater[10.exe');
     DeleteFile('C:\Documents and Settings\Administrator\DoctorWeb\Quarantine\ieupdater[1].exe');
     DeleteFile('C:\Documents and Settings\Administrator\DoctorWeb\Quarantine\ieupdr2.exe');
     DeleteFile('C:\Documents and Settings\Administrator\DoctorWeb\Quarantine\ie_updates3r.exe');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=17685

    Добавлено через 4 минуты

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    	
    O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\Kirill\Local Settings\Application Data\cftmon.exe
    O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spool.exe
    O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Kirill\Local Settings\Application Data\cftmon.exe
    O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spool.exe
    Повторите логи

    Добавлено через 54 минуты

    Господин psw предложил интересную мысль использовать devcon от Микрософта http://support.microsoft.com/kb/311272 для определения устройства
    Последний раз редактировалось akoK; 10.02.2008 в 17:18. Причина: Добавлено
    Microsoft Most Valuable Professional in Consumer Security

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #22
    Junior Member Репутация
    Регистрация
    07.02.2008
    Сообщений
    44
    Вес репутации
    64
    spool.exe (2 штуки) удаляются из процессов. cftmon.exe (и он запускает второй cftmon.exe) после удаления возникают снова.
    В procexp можно посмотреть threads от cftmon.exe. Как я понимаю, он "тесно общается" с kernel32.dll и msftp.dll и, тем самым, постоянно "потребляет" процессорное время от ~5 до 8%. А вся эта "система" после перезагрузки и захода в интернет с кем-то "общается"...

  4. #23
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1528
    вы скрипт выполнили ... ?
    где новые логи ?

  5. #24
    Junior Member Репутация
    Регистрация
    07.02.2008
    Сообщений
    44
    Вес репутации
    64
    сейчас выполнять буду... я не успел прочесть, только потом увидел.

  6. #25
    Junior Member Репутация
    Регистрация
    07.02.2008
    Сообщений
    44
    Вес репутации
    64
    Цитата Сообщение от akoK Посмотреть сообщение
    Господин psw предложил интересную мысль использовать devcon от Микрософта http://support.microsoft.com/kb/311272 для определения устройства
    Скрипт выполнил, карантин прислал, прикладываю логи. В HiJackThis не было тех 4 строчек, которые надо было фиксить.
    Devcon скачал, подскажите, пожалуйста, как составить командную строку для моего случая.
    Вложения Вложения

  7. #26
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1528
    в логах не видно ничего зловредного ...
    какие проблемы остались ?

  8. #27
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,343
    Вес репутации
    80
    Получается команда вида
    devcon hwids PCI\VEN_10DE выдаст список устройств от nVidia (ven_10de)
    Microsoft Most Valuable Professional in Consumer Security

  9. #28
    Junior Member Репутация
    Регистрация
    07.02.2008
    Сообщений
    44
    Вес репутации
    64
    Цитата Сообщение от V_Bond Посмотреть сообщение
    в логах не видно ничего зловредного ...
    какие проблемы остались ?
    По-видимому, только с этим "девайсом". Но все же странно, как так один и тот же "троян" появляется через некоторое время снова? Никаких файлов подозрительных не запускали...
    Попробовать поменять пароль администратора?

    Добавлено через 1 минуту

    Цитата Сообщение от akoK Посмотреть сообщение
    Получается команда вида
    подскажите, как сделать, чтобы окно оставалось после выполнения команд?
    Последний раз редактировалось Kirik; 11.02.2008 в 00:47. Причина: Добавлено

  10. #29
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,343
    Вес репутации
    80
    Пуск - выполнить - cmd

    Добавлено через 1 минуту

    . Но все же странно, как так один и тот же "троян" появляется через некоторое время снова? Никаких файлов подозрительных не запускали...
    Отключите на браузере JS, а еще лучше юзайте под ограниченным пользователем
    Последний раз редактировалось akoK; 11.02.2008 в 01:01. Причина: Добавлено
    Microsoft Most Valuable Professional in Consumer Security

  11. #30
    Junior Member Репутация
    Регистрация
    07.02.2008
    Сообщений
    44
    Вес репутации
    64
    Цитата Сообщение от akoK Посмотреть сообщение
    Пуск - выполнить - cmd

    Добавлено через 1 минуту



    Отключите на браузере JS, а еще лучше юзайте под ограниченным пользователем

    код экземпляра устройства очень длинный... на команду
    C:\Program Files\devcon\i386>devcon.exe -hwids pci\ven_10de&dev_044a&subsys_10ec0888&rev_a1
    я получил список ID NVidia и в конце:
    15 matching device(s) found. "dev_044a" не является внутренней или внешней командой, исполняемой программой или пакетным файлом. "subsys_10ec0888" не является внутренней или внешней командой, исполняемой программой или пакетным файлом. "rev_a1" не является внутренней или внешней командой, исполняемой программой или пакетным файлом.
    JavaScript отключил (просто Java и JRE к этому совету, как я понимаю, не относятся?), а вот как использовать браузер под ограниченным пользователем, не понимаю.. ? это где-то присваивается?

  12. #31
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1320
    Если это действительно nVidia, то можно попробовать переставить драйвер.

  13. #32
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,343
    Вес репутации
    80
    Нет вы просто создаете учетную запись с ограниченными правами и все
    Microsoft Most Valuable Professional in Consumer Security

  14. #33
    Junior Member Репутация
    Регистрация
    07.02.2008
    Сообщений
    44
    Вес репутации
    64
    Цитата Сообщение от akoK Посмотреть сообщение
    Нет вы просто создаете учетную запись с ограниченными правами и все
    Спасибо за помощь! Не думаю, что учетная запись такого рода поможет А все-таки, отключенный JS что-нибудь дает? На некоторых сайтах пишут "у вас отключен яваскрипт, сайт не будет корректно работать" - что-нибудь в этом духе... Это с сайта знакомств.

    Добавлено через 31 минуту

    переустановил драйвера NVidia. Попробовал установку драйверов для этого девайса автоматом - не нашлись, оставил галку, чтоб не напоминали больше. Но устройство никуда не делось... Заметил я нечто забавное... Сегодня в папке Windows/system32/ появился странный новый файл FNTCACHE.DAT Это было до переустановки драйверов. После удаления он все равно обновлялся... Никаких schedule и проверок у меня никакими программами не назначено - откуда это (весом примерно 1,5 Мб), непонятно.

    Добавлено через 1 час 13 минут

    http://eitnetwork.utoledo.edu/und_do...c/newvirus.htm вот что дал поиск в гугле ... интересно, это может быть как-то связано с восстановлением трояна?
    Последний раз редактировалось Kirik; 11.02.2008 в 13:24. Причина: Добавлено

  15. #34
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,343
    Вес репутации
    80
    Файл согласно правил пришлите
    Microsoft Most Valuable Professional in Consumer Security

  16. #35
    Junior Member Репутация
    Регистрация
    07.02.2008
    Сообщений
    44
    Вес репутации
    64
    прислал.

  17. #36
    Junior Member Репутация
    Регистрация
    07.02.2008
    Сообщений
    44
    Вес репутации
    64
    Опять появились msftp.dll, а потом появился spool.exe
    На нашем компьютере два пользователя, я спрашивал маму - она ни на какие баннеры не кликала, ничего подозрительного не запускала... Короче, она соображает. Но в первую очередь msftp.dll обнаружился в папке ее документов - может ли троян где-то тихо сидеть у другого пользователя? Какой у этого механизм, мне непонятно.
    Прикладываю логи, согласно правилам.
    Вложения Вложения

  18. #37
    Junior Member Репутация
    Регистрация
    07.02.2008
    Сообщений
    44
    Вес репутации
    64
    были ли в прошлый раз при исследовании замечены файлы settings.sfm и settingsbkup.sfm ? А еще, в первый раз, обратил свое внимание на появление непонятных файлов типа :
    BMXBkpCtrlState-{00000001-00000000-00000009-00001102-00000004-10071102}.rfx , BMXCtrlState-{00000001-00000000-00000009-00001102-00000004-10071102}.rfx

    BMXState-{00000001-00000000-00000009-00001102-00000004-10071102}.rfx

    BMXStateBkp-{00000001-00000000-00000009-00001102-00000004-10071102}.rfx

    DVCState-{00000001-00000000-00000009-00001102-00000004-10071102}.rfx

    DVCStateBkp-{00000001-00000000-00000009-00001102-00000004-10071102}.rfx

    поиск в Гугле дал мне интересную ссылку
    http://www.thetechguide.com/forum/lo...hp/t25271.html

    P.S. Восстановление системы я пока не включал.

  19. #38
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\spool.exe','');
     QuarantineFile('C:\Documents and Settings\Mama\Local Settings\Application Data\cftmon.exe','');
     DeleteFile('C:\Documents and Settings\Mama\Local Settings\Application Data\cftmon.exe');
     DeleteFile('C:\Documents and Settings\Kirill\Local Settings\Application Data\cftmon.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\spool.exe');
     DeleteFile('C:\WINDOWS\system32\msftp.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=17865

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\Kirill\Local Settings\Application Data\cftmon.exe
    O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spool.exe

  20. #39
    Junior Member Репутация
    Регистрация
    07.02.2008
    Сообщений
    44
    Вес репутации
    64
    Цитата Сообщение от wise-wistful Посмотреть сообщение

    ...

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\Kirill\Local Settings\Application Data\cftmon.exe
    O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spool.exe

    Скрипт выполнил, карантин прислал (по правилам). В HijackThis опять таких строчек не нашел

    Логи сделать новые?

  21. #40
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Строчек не было - это хорошо. С логами немного погодите посмотрим, что в карантине.

  • Уважаемый(ая) Kirik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 2 из 4 Первая 1234 Последняя

    Похожие темы

    1. pcouffin device
      От dikerson в разделе Malware Removal Service
      Ответов: 0
      Последнее сообщение: 13.09.2010, 04:24
    2. Explorer.EXE Родитель: <Несуществующий процесс>
      От AssLikeThat в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 25.07.2010, 13:20
    3. RAID контроллер и PCI Device
      От SENYA в разделе Аппаратное обеспечение
      Ответов: 15
      Последнее сообщение: 10.01.2009, 13:43
    4. Ответов: 4
      Последнее сообщение: 07.04.2008, 11:40

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01099 seconds with 17 queries