Показано с 1 по 13 из 13.

Функция IoEnumerateDeviceObjectList (804D4A1A) - модификация машинного кода (заявка № 12625)

  1. #1
    Junior Member Репутация
    Регистрация
    06.07.2007
    Сообщений
    16
    Вес репутации
    39

    Question Функция IoEnumerateDeviceObjectList (804D4A1A) - модификация машинного кода

    Пожалуйста, помогите разобраться:
    Утром Avast ругонулся на трояна. Привожу запись из журнала Avast:
    «Sign of "Win32:PolyCrypt-XL [Trj]" has been found in "C:\Documents and Set....\Temporary Internet Files\Content.IE5\OT2Z4HIJ\msntsrv[1].exe" file.
    Sign of "Win32:PolyCrypt-XL [Trj]" has been found in "C:\DOCUME~1\....\LOCALS~1\Temp\msd1.tmp" file.»

    Попробовал ответить «удалить», не помогло, Аваст выдал ошибку занятости процесса.
    Поняв что запахло жареным, отключил кабель от модема и выключил комп. Загрузив с CD WinPE удалил содержимое временных папок а также файл С:\msntsrv.exe. Под этой же системой просканировал cureit от DrWeb. Ничего подозрительного обнаружено не было, за исключением одного .exe файла в System Volume Information (восстановление системы отключено почти сразу после установки системы, последнюю восстанавливаю с помощью Акрониса, ИМХО надежнее) ничего не обнаружил.

    Не знаю, может просто раньше не замечал, но обратил внимание на имя файла bOoT.INI (так он сейчас выглядит), дата создания - 7/02/2007, изменения - 7/02/2007 (ставилась система), открыт - 20/09/2007. Внутри ничего подозрительного не заметил.

    После запуска, проверенной системы выпало системное окно: «Система восстановлена после серьезной ошибки»
    Подпись ошибки: «BCCode : 27 BCP1 : BAAD00A3 BCP2 : F99B8AFC BCP3 : F99B87FC
    BCP4 : 804D499B OSVer : 5_1_2600 SP : 1_0 Product : 256_1»

    В просмотре событий системы при включении системы записывается следующая ошибка:

    Тип события: Ошибка
    Источник события: System Error
    Категория события: (102)
    Код события: 1003
    Описание:
    Код ошибки 00000027, параметр1 baad00a3, параметр2 f99b8afc, параметр3 f99b87fc, параметр4 804d499b.

    после нескольких перезагрузок эта запись появляться перестала.

    В менеджере автозапуска AVZ увидел строку запуска C:\DOCUME~1\.....\LOCALS~1\Temp\msd1.tmp, которую удалил.

    При сканировании системы AVZ выдает следующее:
    Функция IoEnumerateDeviceObjectList (804D4A1A) - модификация машинного кода. Метод не определен., внедрение с байта 15 и т.д.
    подобное уже было в ветке http://virusinfo.info/showthread.php?t=12433
    но ведь раньше этих модификаций не было, а здесь они точка в точку сходятся.

    Фактически, можно было бы все восстановить за считанные минуты Акронисом, но решил немного побороться, себе шишек набить, ну и, возможно кому пригодится данная ветка.
    Заранее благодарен.
    P.S. Может кто сможет подсказать, как удалить System Volume Information с дисков? На сколько я понял, это информация для восстановления. У меня она не применяется, а места занимает кучу.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    сначала установить AVZPM(http://virusinfo.info/showthread.php?t=12316),
    отключить аваст:
    http://virusinfo.info/showthread.php?t=9860
    сделать новые логи AVZ + дополнительный в сейфмоде: http://virusinfo.info/showthread.php?t=10387

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    RkReport.txt - пустой ... переделайте заново ... (закладка Report, нажать Scan )

  5. #4
    Junior Member Репутация
    Регистрация
    06.07.2007
    Сообщений
    16
    Вес репутации
    39
    To:drongo & V_Bond
    Спасибо, за столь оперативный ответ.
    Если честно, то AVZPM у меня был включен всегда. Отключил только перед запуском скриптов, думая что он ими дублируется.
    Теперь вроде сделал, как положено,
    с префиксом sm_ файлики при отработке в режиме safe mode.

    To:V_Bond
    Да, действительно, я неправильно запускал сканирование.
    Нужно сканировать только системный диск или все?
    Вложения Вложения
    Последний раз редактировалось MCat; 21.09.2007 в 01:46. Причина: Добавил sm_avz_sysinfo

  6. #5
    Junior Member Репутация
    Регистрация
    06.07.2007
    Сообщений
    16
    Вес репутации
    39
    To: drongo
    Подскажите тема о наполнении базы безопасных файлов: http://www.virusinfo.info/showthread.php?t=3519 еще актуальна? Моя помощь нужна?

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Хоть я и не Drongo, но отвечу: если файлы с этого компьютера уже отсылали, то второй раз не нужно. А так тема о наполнении всегда актуальна.

    system volume Infomation удаляется через "Мой компьютер". Отключить восст. на всех дисках.

    Добавлено через 6 минут

    Вот эта штучка меня заинтересовала.

    Выполнить скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\E12F5DA6.exe','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки загрузить карантин, если туда что-то попадет.
    Последний раз редактировалось PavelA; 21.09.2007 в 09:15. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    06.07.2007
    Сообщений
    16
    Вес репутации
    39
    To: PavelA
    Вот эта штучка меня заинтересовала.
    Это уже свеженькое, не заметил.

    Карантин отправил правда дважды, по неопытности не сохранил результаты загрузки.
    Вот результаты второй загрузки:
    Файл сохранён как 070921_025844_virus_46f379b4a7259.zip
    Размер файла 4007
    MD5 745fa11ccb800ba63ce9c05bf227bc0d

    system volume Infomation удаляется через "Мой компьютер". Отключить восст. на всех дисках.
    Отключено, но тем не менее в этих папках прячется около 4Гб инфы (смотрел из-под WinPE, из под системы доступа не дает)
    тема о наполнении всегда актуальна
    Ok! Чуточку позже отправлю.

    Еще есть вопрос:
    Просмотрел папочку System32 в ней изменен файлик wpa.dbl 1374б от 21/09/2007 11:18 старый wpa.bak 1316б от 04/08/2007 20:10 Вроде он не должен меняться, или я не прав?
    Последний раз редактировалось MCat; 21.09.2007 в 11:33. Причина: Дополнение

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Файлик проверил: все молчат. Даже ни одного подозрения. Подождем ответа от ЛК.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    06.07.2007
    Сообщений
    16
    Вес репутации
    39
    To: PavelA
    Грохнул я его через отложеннное удаление (микропрограмма удалила службу драйвер).
    Что подозрительно, что появился он ночью, т.е. уже после лечения нечисти. Опять что-то затевают?
    Пока, вроде, сетевой активности не замечено. Просканирую - отпишусь.

  11. #10
    Junior Member Репутация
    Регистрация
    06.07.2007
    Сообщений
    16
    Вес репутации
    39
    Просканил, тем не менее проблема осталась.
    Судя по логам вроде как и чисто, но что же всетаки за модификация машинного кода? Все один-к-одному.
    Все логи в приложении (префикс sm_ - safe mode):
    Вложения Вложения
    Последний раз редактировалось MCat; 21.09.2007 в 15:54. Причина: Добавил RkRaport

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    FileDisk - не могут быть от него перехваты,от драйвера виртуального диска?
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Junior Member Репутация
    Регистрация
    06.07.2007
    Сообщений
    16
    Вес репутации
    39
    Кажется что-то накопал.
    Как раз машинку со слетевшими окошками подкинули. Переустановил систему на формаченый диск и кинул офис. Не ставил ни драйверов ни заплаток. Не активировал. Чисто из спортивного интереса запустил AVZ и вот что получилось:
    На усмотрение модераторов тему можно закрыть.
    Всем большое спасибо за отклик.
    Вложения Вложения
    Последний раз редактировалось MCat; 21.09.2007 в 16:25. Причина: Дополнение

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 6
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) MCat, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Модификация машинного кода.
      От Quit в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 03.11.2010, 12:40
    2. Модификация машинного кода
      От ssh в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 04.07.2009, 23:21
    3. Ответов: 10
      Последнее сообщение: 22.02.2009, 03:59
    4. Модификация машинного кода
      От Ивпал в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 02:36
    5. Модификация машинного кода.
      От ViVeda в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 13.02.2008, 18:26

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00931 seconds with 17 queries