Функция IoEnumerateDeviceObjectList (804D4A1A) - модификация машинного кода
Пожалуйста, помогите разобраться:
Утром Avast ругонулся на трояна. Привожу запись из журнала Avast:
«Sign of "Win32:PolyCrypt-XL [Trj]" has been found in "C:\Documents and Set....\Temporary Internet Files\Content.IE5\OT2Z4HIJ\msntsrv[1].exe" file.
Sign of "Win32:PolyCrypt-XL [Trj]" has been found in "C:\DOCUME~1\....\LOCALS~1\Temp\msd1.tmp" file.»
Попробовал ответить «удалить», не помогло, Аваст выдал ошибку занятости процесса.
Поняв что запахло жареным, отключил кабель от модема и выключил комп. Загрузив с CD WinPE удалил содержимое временных папок а также файл С:\msntsrv.exe. Под этой же системой просканировал cureit от DrWeb. Ничего подозрительного обнаружено не было, за исключением одного .exe файла в System Volume Information (восстановление системы отключено почти сразу после установки системы, последнюю восстанавливаю с помощью Акрониса, ИМХО надежнее) ничего не обнаружил.
Не знаю, может просто раньше не замечал, но обратил внимание на имя файла bOoT.INI (так он сейчас выглядит), дата создания - 7/02/2007, изменения - 7/02/2007 (ставилась система), открыт - 20/09/2007. Внутри ничего подозрительного не заметил.
В просмотре событий системы при включении системы записывается следующая ошибка:
Тип события: Ошибка
Источник события: System Error
Категория события: (102)
Код события: 1003
Описание:
Код ошибки 00000027, параметр1 baad00a3, параметр2 f99b8afc, параметр3 f99b87fc, параметр4 804d499b.
после нескольких перезагрузок эта запись появляться перестала.
В менеджере автозапуска AVZ увидел строку запуска C:\DOCUME~1\.....\LOCALS~1\Temp\msd1.tmp, которую удалил.
При сканировании системы AVZ выдает следующее:
Функция IoEnumerateDeviceObjectList (804D4A1A) - модификация машинного кода. Метод не определен., внедрение с байта 15 и т.д.
подобное уже было в ветке http://virusinfo.info/showthread.php?t=12433
но ведь раньше этих модификаций не было, а здесь они точка в точку сходятся.
Фактически, можно было бы все восстановить за считанные минуты Акронисом, но решил немного побороться, себе шишек набить, ну и, возможно кому пригодится данная ветка.
Заранее благодарен.
P.S. Может кто сможет подсказать, как удалить System Volume Information с дисков? На сколько я понял, это информация для восстановления. У меня она не применяется, а места занимает кучу.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
To:drongo & V_Bond
Спасибо, за столь оперативный ответ.
Если честно, то AVZPM у меня был включен всегда. Отключил только перед запуском скриптов, думая что он ими дублируется.
Теперь вроде сделал, как положено,
с префиксом sm_ файлики при отработке в режиме safe mode.
To:V_Bond
Да, действительно, я неправильно запускал сканирование.
Нужно сканировать только системный диск или все?
Последний раз редактировалось MCat; 21.09.2007 в 02:46.
Причина: Добавил sm_avz_sysinfo
Карантин отправил правда дважды, по неопытности не сохранил результаты загрузки.
Вот результаты второй загрузки:
Файл сохранён как 070921_025844_virus_46f379b4a7259.zip
Размер файла 4007
MD5 745fa11ccb800ba63ce9c05bf227bc0d
system volume Infomation удаляется через "Мой компьютер". Отключить восст. на всех дисках.
Отключено, но тем не менее в этих папках прячется около 4Гб инфы (смотрел из-под WinPE, из под системы доступа не дает)
тема о наполнении всегда актуальна
Ok! Чуточку позже отправлю.
Еще есть вопрос:
Просмотрел папочку System32 в ней изменен файлик wpa.dbl 1374б от 21/09/2007 11:18 старый wpa.bak 1316б от 04/08/2007 20:10 Вроде он не должен меняться, или я не прав?
Последний раз редактировалось MCat; 21.09.2007 в 12:33.
Причина: Дополнение
To: PavelA
Грохнул я его через отложеннное удаление (микропрограмма удалила службу драйвер).
Что подозрительно, что появился он ночью, т.е. уже после лечения нечисти. Опять что-то затевают?
Пока, вроде, сетевой активности не замечено. Просканирую - отпишусь.
Просканил, тем не менее проблема осталась.
Судя по логам вроде как и чисто, но что же всетаки за модификация машинного кода? Все один-к-одному.
Все логи в приложении (префикс sm_ - safe mode):
Последний раз редактировалось MCat; 21.09.2007 в 16:54.
Причина: Добавил RkRaport
Кажется что-то накопал.
Как раз машинку со слетевшими окошками подкинули. Переустановил систему на формаченый диск и кинул офис. Не ставил ни драйверов ни заплаток. Не активировал. Чисто из спортивного интереса запустил AVZ и вот что получилось:
На усмотрение модераторов тему можно закрыть.
Всем большое спасибо за отклик.
Последний раз редактировалось MCat; 21.09.2007 в 17:25.
Причина: Дополнение
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: