Показано с 1 по 14 из 14.

Подмена имени (заявка № 11079)

  1. #1
    Junior Member Репутация
    Регистрация
    16.07.2007
    Адрес
    Петропавловск-Камчатский
    Сообщений
    15
    Вес репутации
    39

    Question Подмена имени

    Здравствуйте,
    сегодня пришлось ставить систему на соседний раздел (WinXP, E: ), т.к. при выполнении скрипта "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" на рабочей ОС (WINXP, С: ) компьютер уходит в перезагрузку. На новой системе скрипт обнаруживает подмену имени... spidernt.exe и еще парочки.

    DRWEB ничего подозрительного не находит.
    Прикрепленные логи - новая система с раздела E:
    Очень хотелось бы как-нибудь победить заразу на основной системе.
    Заранее огромное спасибо.
    Вложения Вложения
    Последний раз редактировалось asdas911; 16.07.2007 в 13:25.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Какой смысл делать логи после переустановки Windows?

  4. #3
    Junior Member Репутация
    Регистрация
    16.07.2007
    Адрес
    Петропавловск-Камчатский
    Сообщений
    15
    Вес репутации
    39
    Я не переустанавливал, а просто установил новую систему на соседний раздел. А проблема с подменой имен осталась и в новой ос. Просто очень хочется не переустанавливать рабочую систему.

    Только что попробовал запустить скрипт на (Win, С в безопасном режиме. скрипт отрабатывает практически до конца. уже появляется сообщение о создании отчета, еще пара строк ... BSOD на долю секунды и перезагрузка.

    При проверке диска chkdsk находит одну ошибку в файле AVZ*.tmp, в логах программы ничего нет

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Цитата Сообщение от asdas911 Посмотреть сообщение
    Я не переустанавливал, а просто установил новую систему на соседний раздел.
    Так ничего не получится. Необходимо чтобы AVZ работал с реестром и системными путями именно той системы в которой есть поблемы.

    Цитата Сообщение от asdas911 Посмотреть сообщение
    А проблема с подменой имен осталась и в новой ос.
    Нет никакой проблемы. Все нормально.

    Сureit надо запускать только тем, у кого антивирус НЕ DrWeb.

    Чтобы сдвинутся с мервой точки попробуем так:
    Выполните из рабочей ОС (WINXP, С: ) в безопасном режиме то, что написано тут, но архив загрузите не как там написано, а по ссылке:
    http://virusinfo.info/upload_virus.php?tid=11079

  6. #5
    Junior Member Репутация
    Регистрация
    16.07.2007
    Адрес
    Петропавловск-Камчатский
    Сообщений
    15
    Вес репутации
    39
    не знаю, поможет ли это сдвинутся с мертвой точки, но...

    в безопасном режиме доходит до:
    "Выполняется автокарантин"
    c:\.... успешно добавлен в карантин
    с:\....\winlogon.exe успешно добавлен в карантин
    и BSOD, перезагрузка.

    в нормальном режиме - тоже самое, только перед winlogon.exe больше файлов. :-(

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Отключие автоматическую перезагрузку:
    Свойства компьютера - Дополнительно - Загрузка и восстановление.
    И запишите первые две строки с синего экрана.

    +

    Лог Hijackthis в рабочей ОС вы можете сделать?

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Выполните пожалуйста http://virusinfo.info/showthread.php?t=10963
    Рекомендации актуальны для Вашего случая.

  9. #8
    Junior Member Репутация
    Регистрация
    16.07.2007
    Адрес
    Петропавловск-Камчатский
    Сообщений
    15
    Вес репутации
    39
    Проверка системного тома ничего не дала.

    В системных событиях после очередной перезагрузки только запись экрана смерти, больше ничего интересного:
    Компьютер был перезагружен после критической ошибки: 0x1000008e (0xc0000005, 0xf741d640, 0xf5838b80, 0x00000000). Копия памяти сохранена: C:\WINDOWS\Minidump\Mini071707-01.dmp.

    BSOD
    Stop: 0x0000008E
    FastFat.Sys - adress f741d640

    посмотрел на форумах про эту ошибку, в основном грешат на память.
    проверил память двумя разными тестами. все ок.
    попробовал менять местами планки и оставлять по одной. результат тот же.

    сегодня уже сил нет. попробую повоевать завтра. у нас уже ночь давно.

    на скрепке лог Hijackthis и дамп памяти.

    Каждый раз при запуске 3-го скрипта пишет красным:

    Функция NtDeleteValueKey (41) перехвачена (8058EAFA->F76F04C2), перехватчик C:\WINDOWS\system32\drivers\runtime2.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtEnumerateKey (47) перехвачена (8056EF68->F76EFFFA), перехватчик C:\WINDOWS\system32\drivers\runtime2.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtEnumerateValueKey (49) перехвачена (8057EC28->F76F01B6), перехватчик C:\WINDOWS\system32\drivers\runtime2.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtOpenKey (77) перехвачена (80567BFB->F76EFF4C), перехватчик C:\WINDOWS\system32\drivers\runtime2.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtSetValueKey (F7) перехвачена (80574D1D->F76F0372), перехватчик C:\WINDOWS\system32\drivers\runtime2.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован

    и

    1.4 Поиск маскировки процессов и драйверов
    >> Маскировка драйвера: Base=F5942000, размер=73728, имя = "\??\C:\WINDOWS\system32\DRIVERS\NVKEYNT.SYS"


    Спасибо за участие.
    Вложения Вложения

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    лог дополнительный в Safe Mode запросто решит все ваши проблемы!!
    (почти реклама СБ)

    А если серьезно. Выполните скрипт:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\runtime.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys','');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
    // Deletefile('C:\WINDOWS\system32\drivers\ip6fw.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys');
     BC_DeleteSvc('runtime');
     BC_DeleteSvc('runtime2');
    // BC_DeleteSvc('Ip6Fw');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    Это должно помочь, почти как аспирин. После логи в студию !!!
    З.Ы.сорри! У нас сегодня праздник.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Цитата Сообщение от PavelA Посмотреть сообщение
    З.Ы.сорри! У нас сегодня праздник.
    Какой праздник?

  12. #11
    Junior Member Репутация
    Регистрация
    16.07.2007
    Адрес
    Петропавловск-Камчатский
    Сообщений
    15
    Вес репутации
    39
    скрипт не помог =((
    таже история: экран смерти (fastfat.sys).

    очень жду еще вариатов борьбы с этой гадостью.

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Сделайте дополнительный лог на зараженной системе как написано здесь.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    И пришлите то, что попало в карантин.

  15. #14
    Junior Member Репутация
    Регистрация
    16.07.2007
    Адрес
    Петропавловск-Камчатский
    Сообщений
    15
    Вес репутации
    39
    доп. лог уже пробовал делать. таже проблема (bsod). в карантине пусто.

  • Уважаемый(ая) asdas911, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 9
      Последнее сообщение: 09.10.2011, 14:12
    2. подмена имени
      От irishka54 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 02.02.2010, 17:07
    3. Подмена имени...
      От Dolour в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 22.02.2009, 01:46
    4. Ответов: 4
      Последнее сообщение: 07.02.2007, 19:45

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01305 seconds with 17 queries