Страница 1 из 4 1234 Последняя
Показано с 1 по 20 из 70.

Помогите, создается несуществующий PCI Device! (заявка № 17685)

  1. #1
    Junior Member Репутация
    Регистрация
    07.02.2008
    Сообщений
    42
    Вес репутации
    36

    Exclamation Помогите, создается несуществующий PCI Device!

    Добрый день!
    У меня WinXP SP2 встроенный.
    Проверка Авастом выявила кучу троянов, но главные (как мне казалось) - spool.exe и msftp.dll он не хотел "прибивать". Трафик "шел" очень охотно, без видимых причин.
    ---
    Во время "ручной работы" случайно поставил на общий доступ папки . Своим умом, как это вернуть на место, не понял.
    ---
    Прочел ваши правила, постарался сделать все, как написано.

    После проверки CureIt выявил множество троянов (и других вредителей), может около 60. Главное, вышеописанные "бяки" прибились и перестали заново появляться. До этого вручную ничего сделать не удавалось.
    Но осталось, видимо, много еще чего интересного...
    До сих пор пытается установить некий PCI Device. Кажется,
    Шлю вам логи.
    P.S. На диске C:/ (в корне) заметил странный файлик os357577.bin. У меня он определяется, как VLC media file, но не похоже, что я такие сохранял.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,341
    Вес репутации
    53
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     SetServiceStart('Microsoft PS Service', 4);
     StopService('Microsoft PS Service');
     QuarantineFile('C:\WINDOWS\system32\CTHELPER.EXE','');
     QuarantineFile('C:\Documents and Settings\Kirill\Local Settings\Application Data\cftmon.exe','');
     QuarantineFile('C:\Program Files\Pixologic\ZBrush3\ZData\ZPlugs\WebZPlug.dll','');
     QuarantineFile('C:\WINDOWS\system32\nvtuicpl.cpl','');
     QuarantineFile('C:\WINDOWS\system32\winsys2.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\spool.exe','');
     QuarantineFile('C:\WINDOWS\system32\_svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\PROCEXP111.SYS','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\atf0y3lg.SYS','');
     QuarantineFile('c:\windows\system32\psiservice.exe','');
     DeleteFile('C:\WINDOWS\system32\_svchost.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\spool.exe');
     DeleteFile('C:\WINDOWS\system32\winsys2.exe');
     DeleteFile('C:\Documents and Settings\Kirill\Local Settings\Application Data\cftmon.exe');
      DeleteService('Microsoft PS Service');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=17685

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    	
    O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spool.exe
    O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Kirill\Local Settings\Application Data\cftmon.exe
    Повторите логи

    Добавлено через 59 секунд

    os357577.bin - пришлите по правилам
    Последний раз редактировалось akoK; 07.02.2008 в 13:11. Причина: Добавлено
    Microsoft Most Valuable Professional in Consumer Security

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Цитата Сообщение от Kirik Посмотреть сообщение
    Во время "ручной работы" случайно поставил на общий доступ папки . Своим умом, как это вернуть на место, не понял.
    В свойствах папки закладка Доступ. Или я не очень понимаю,что именно вы включили.

  5. #4
    Junior Member Репутация
    Регистрация
    07.02.2008
    Сообщений
    42
    Вес репутации
    36
    Цитата Сообщение от pig Посмотреть сообщение
    В свойствах папки закладка Доступ. Или я не очень понимаю,что именно вы включили.
    Ох включил и там вот включил, но точно не вспомню. Я так понял, что теперь на доступе C$ D$ E$ (мои партиции ЖД). Правда, может это никаких проблем не принесет (в нашей сетке отрубили передачу файлов напрямую давно), но все же - это, кажется, непорядок.

    Скрипт выполню сегодня ближе к ночи, сейчас нахожусь на работе.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    "Доллары" вам отключат, это легко.

  7. #6
    Junior Member Репутация
    Регистрация
    07.02.2008
    Сообщений
    42
    Вес репутации
    36
    Цитата Сообщение от akoK Посмотреть сообщение
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    ...

    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=17685

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
        
    O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spool.exe
    O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Kirill\Local Settings\Application Data\cftmon.exe
    Повторите логи

    Добавлено через 59 секунд

    os357577.bin - пришлите по правилам
    Все прислал, только в двух архивах (второй, с os357577.bin,к сожалению не смог добавить через AVZ, упаковал с паролем virus в zip через WinRar). С HijackThis вышло так, что он этих двух строчек не показал .

    После прогона вашего скрипта AVZ компьютер не перезагружался сам, и я не смог его перезагрузить по-обычному (пришлось ресет делать). Здесь тоже надо было антивирус выгружать; базы перед этим надо было обновлять? я не понял, относится ли это к любым скриптам, выполняемым в AVZ.

    Прикладываю новые логи.
    Вложения Вложения

  8. #7
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,341
    Вес репутации
    53
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\amzlm1kw.SYS','');
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=17685
    Microsoft Most Valuable Professional in Consumer Security

  9. #8
    Junior Member Репутация
    Регистрация
    07.02.2008
    Сообщений
    42
    Вес репутации
    36
    Цитата Сообщение от akoK Посмотреть сообщение
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".

    ...

    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=17685

    Выполнил, на сей раз комп перезагрузился. Перед (или сразу после, неизвестно) окончанием выполнения скрипта Аваст ругнулся: "обнаружен вирус - vdiyodg1.sys Win32^Trojan-gen"
    Теперь я припоминаю (забыл про это написать), что тоже самое было и вчера, только имя *.sys было, кажется, другое.
    Поиск файла AVZ (в папках Windows и Documents&Settings) после перезагрузки ничего не дал. "PCI device" никуда не исчез.
    Карантин прислал.

    Добавлено через 9 минут

    Я понимаю, что у меня опыта гораздо меньше... Можно ли попробовать убрать строки в реестре, где прописывается это устройство и посмотреть, что будет делать троян для восстановления?
    Последний раз редактировалось Kirik; 08.02.2008 в 13:11. Причина: Добавлено

  10. #9
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,341
    Вес репутации
    53
    Ааа, так антивирус перед выполнением скрипта необходимо отключать давайте новые логи
    Microsoft Most Valuable Professional in Consumer Security

  11. #10
    Junior Member Репутация
    Регистрация
    07.02.2008
    Сообщений
    42
    Вес репутации
    36
    Цитата Сообщение от akoK Посмотреть сообщение
    Ааа, так антивирус перед выполнением скрипта необходимо отключать давайте новые логи
    Все, теперь я уяснил

    Логи сделал по 8-12п. правил.
    Вложения Вложения

  12. #11
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,341
    Вес репутации
    53
    Странно ...
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\ctagent.dll','');
     QuarantineFile('C:\Program Files\Pixologic\ZBrush3\ZData\ZPlugs\WebZPlug.dll','');
     QuarantineFile('D:\NTGLM7X.sys','');
     QuarantineFile('D:\NTACCESS.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
     QuarantineFile('C:\WINDOWS\system32\PSIService.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\aff17ft2.SYS','');
     QuarantineFile('C:\Program Files\Mozilla Firefox\extensions\talkback@mozilla.org\components\qfaservices.dll','');
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=17685

    Добавлено через 2 минуты

    C:\PROGRAM FILES\PROCEXP\PROCEXP.EXE

    Это вы запускаете?
    Последний раз редактировалось akoK; 08.02.2008 в 15:03. Причина: Добавлено
    Microsoft Most Valuable Professional in Consumer Security

  13. #12
    Junior Member Репутация
    Регистрация
    07.02.2008
    Сообщений
    42
    Вес репутации
    36
    Цитата Сообщение от akoK Посмотреть сообщение
    Странно ...

    ...

    Добавлено через 2 минуты

    C:\PROGRAM FILES\PROCEXP\PROCEXP.EXE

    Это вы запускаете?
    На 99% уверен, что я, но перед логами по идее должен был выгрузить. Запускаю, чтобы выгрузить Аваст, - там просто так "выйти" нельзя. Это замена диспетчеру задач (она вроде даже как официальная) с более полным функционалом. Дома проверю.

    У меня в логах setapapi этот девайс указывается определенным образом. До обращения на ваш форум я нашел строки в реестре, которые совпадали с его "идентификацией". Конечно, сам, без знаний и утилит я ничего удалить не смог.

    Добавлено через 5 часов 48 минут

    Выполнил и закачал карантин.
    Procexp.exe - это точно замена для диспетчера задач (Process Explorer).
    Последний раз редактировалось Kirik; 08.02.2008 в 22:15. Причина: Добавлено

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    в карантине ....
    C:\WINDOWS\system32\ctagent.dll
    C:\Program Files\Pixologic\ZBrush3\ZData\ZPlugs\WebZPlug.dll
    C:\WINDOWS\system32\DRIVERS\tcpip.sys
    C:\WINDOWS\system32\PSIService.exe
    C:\Program Files\Mozilla Firefox\extensions\talkback@mozilla.org\components \qfaservices.dll
    все чистые .....

    Добавлено через 2 минуты

    советую временно деинсталировать адобе ...
    Последний раз редактировалось V_Bond; 08.02.2008 в 22:35. Причина: Добавлено

  15. #14
    Junior Member Репутация
    Регистрация
    07.02.2008
    Сообщений
    42
    Вес репутации
    36
    Цитата Сообщение от V_Bond Посмотреть сообщение
    в карантине ....
    C:\WINDOWS\system32\ctagent.dll
    C:\Program Files\Pixologic\ZBrush3\ZData\ZPlugs\WebZPlug.dll
    C:\WINDOWS\system32\DRIVERS\tcpip.sys
    C:\WINDOWS\system32\PSIService.exe
    C:\Program Files\Mozilla Firefox\extensions\talkback@mozilla.org\components \qfaservices.dll
    все чистые .....

    Добавлено через 2 минуты

    советую временно деинсталировать адобе ...
    Из адобов остался только Акробат Ридер 5 и Флэш Плеер 9.
    Девайс все еще "вылазит". Откуда же копыта ростут?

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    Акробат Ридер любит устанавливать чнго нибудь ... попробуйте убрать для чистоты эксперимента ...

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    А если попытаться этому PCI Device обновить драйвер? У меня на работе завелась машина, которая при загрузке системы не может установить драйвер для какого-то очень системного таймера. Причём когда прихожу я и руками в диспетчере устройств велю обновить драйвер, всё сразу же находится. Там же, в системе, без дополнительных дисков. А при перезагрузке опять теряет.

  18. #17
    Junior Member Репутация
    Регистрация
    07.02.2008
    Сообщений
    42
    Вес репутации
    36
    Цитата Сообщение от V_Bond Посмотреть сообщение
    Акробат Ридер любит устанавливать чнго нибудь ... попробуйте убрать для чистоты эксперимента ...
    5-й тоже убрал. Вряд ли это адоб флэш плеер шалит.

    Добавлено через 4 минуты

    Цитата Сообщение от pig Посмотреть сообщение
    А если попытаться этому PCI Device обновить драйвер? У меня на работе завелась машина, которая при загрузке системы не может установить драйвер для какого-то очень системного таймера. Причём когда прихожу я и руками в диспетчере устройств велю обновить драйвер, всё сразу же находится. Там же, в системе, без дополнительных дисков. А при перезагрузке опять теряет.
    Честно говоря... Вот тогда я ошибся и не отключил Аваст, а после выполнения скрипта он ругнулся (на vdiyodg1.sys Win32^Trojan-gen). Поэтому, честно говоря, я боюсь устанавливать непонятно что. Тем более, это чудо (неопределенный pci device) стало появляться, аккурат, после "выползания" троянов.
    Надо ли рисковать или есть способ выявить, что это такое?
    Последний раз редактировалось Kirik; 09.02.2008 в 03:05. Причина: Добавлено

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Способ только один - попросить систему поискать драйвер на устройство. Хотя можно внимательно посмотреть на свойства - вдруг там код устройства светится (PCI_VEN и так далее). Тогда точно что-то аппаратное, с троянами напрямую не связанное. Трояны могли драйвер попортить, например.

  20. #19
    Junior Member Репутация
    Регистрация
    07.02.2008
    Сообщений
    42
    Вес репутации
    36
    Цитата Сообщение от pig Посмотреть сообщение
    Способ только один - попросить систему поискать драйвер на устройство. Хотя можно внимательно посмотреть на свойства - вдруг там код устройства светится (PCI_VEN и так далее). Тогда точно что-то аппаратное, с троянами напрямую не связанное. Трояны могли драйвер попортить, например.
    #-199 Выполнение "C:\WINDOWS\system32\rundll32.exe" с командной строкой: rundll32.exe newdev.dll,ClientSideInstall \\.\pipe\PNP_Device_Install_Pipe_0.{05E20CFE-8F33-4857-8F11-D77A64825F66}
    #I060 Установка выбранного драйвера.
    #-019 Поиск идентификаторов аппаратуры: pci\ven_10de&dev_044a&subsys_10ec0888&rev_a1,pci\v en_10de&dev_044a&subsys_10ec0888,pci\ven_10de&dev_ 044a&cc_040300,pci\ven_10de&dev_044a&cc_0403

    вот так он пытается.. собственно, код есть, но какой там девайс, ума не приложу. Сетевая карта, звуковуха - все.. Больше PCI-ных нет.

  21. #20
    Junior Member Репутация
    Регистрация
    07.02.2008
    Сообщений
    42
    Вес репутации
    36
    spool.exe, _svhost.exe и msftp.dll опять появились
    Есть подозрение на причастность Total Commander 7.0 или сайта picred.com
    Вчера (по описанию) на ТК был запущен (там есть иконка) Интернет Эксплорер, затем совершен вход на picred.com (как я понял, набор первых двух букв, а дальше выбор сайта из свитка).
    Совпало так, что сразу после нажатия "войти" на сайте, Аваст выдал сообщение о трояне. Логи Аваста пока не смотрел, но сделал логи AVZ и HiJackThis.
    Вложения Вложения

  • Уважаемый(ая) Kirik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 4 1234 Последняя

    Похожие темы

    1. pcouffin device
      От dikerson в разделе Malware Removal Service
      Ответов: 0
      Последнее сообщение: 13.09.2010, 03:24
    2. Explorer.EXE Родитель: <Несуществующий процесс>
      От AssLikeThat в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 25.07.2010, 12:20
    3. RAID контроллер и PCI Device
      От SENYA в разделе Аппаратное обеспечение
      Ответов: 15
      Последнее сообщение: 10.01.2009, 13:43
    4. Ответов: 4
      Последнее сообщение: 07.04.2008, 10:40

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00558 seconds with 17 queries