Показано с 1 по 13 из 13.

Накрылись три операцилнки на одном компьютере (заявка № 53970)

  1. #1
    Junior Member Репутация
    Регистрация
    04.09.2009
    Сообщений
    9
    Вес репутации
    54

    Exclamation Накрылись три операцилнки на одном компьютере

    У меня на компьютере 3 операционки Win98/2000/XP.
    Началось всё с того, что программка, представившаяся как программа контроля за обновлениями winamp попросилась прописаться в автозагрузке, а я с дуру разрешил. Я в это время работал под Win2000. На другой день, работая в и-нете тоже под win 2000 обнаружил, что хотя я ничего не качаю, и не занимаюсь серфингом идет интенсивный обмен. Когда я глянул, то было перегнано уже по 15 Мб туда-сюда. Я обрубил связь и полез в AnVir Task Manager 5.5, посмотреть, что сидит в системе. Нешел два непонятных процесса и грохнул их. Попробовал вызвать AVZ и посмотреть систему им. Его вышвыривало сразу после загрузки. Решил перегрузиться на Win XP. Там у меня было установлено несколько антивирусов. После загрузки оказалось, что AnVir Task Manager 3.7 не загрузился, антивирусный монитор Ashampoo был стерт с диска. Total Commander 6.55 пищал, что у него нарушена CRC, возможен вирус и выгружался. При попытке загрузить AVZ, он сообщал, что у него ошибка CRC и его объем увеличился на 11к по сравнению с архивом. При попытке загрузить чистый AVZ с флешки, он был стерт. Утилиту от Dr.Web запустить не смог, так как у неё истек срок. Попытка перегрузиться и войти в защищенном режиме для XP ни к чему не привела. Компьютер постоянно уходил на перезагрузку. Для обычного режима - тоже. Для Win 2000 обычная загрузка приводила к зависанию компьютера, а защищенный режим выдавал синий экран смерти с надписью, что у меня на компьютере есть вирус или неисправны контроллеры жестких дисков. Попытка зарузиться в Win 98 привела к сообщению о сбое программы и синиму экрану. Попытка загрузиться под Win 98 в защищенном режиме удалась, но только первый раз все остальные приводили к синему экрану. Смог загрузиться только в режиме DOS под Win 98. Попытка протестировать диск рограммой ndd версии 8.0 не удалась (диск 80Гб, раздел С - FAT 32, D - - FAT32, остальные NTFS), хотя раньше она свободно запускалась. Говорит, что такого диска не существует. Прграмма diskedit из того же набора нортоновских утилит 8.0 спокойно запустилась, но смогла работать с диском только на физическом уровне, отказываясь понимать логическое разбиение.
    Загрузился с Live CD Win PE. Все диски читаются. На нем был Касперский 6 версии - он ничего не нашел. Смог прогнать систему через AVZ. Получил большой протокол с красными пометками. Но что это - действия вирусов или фокусы Win PE не понял.

    Что делать дальше?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Стоит провести такую процедуру http://virusinfo.info/showthread.php?t=15927

    + после этого сделать логи этой версией AVZ
    The worst foe lies within the self...

  4. #3
    Junior Member Репутация
    Регистрация
    04.09.2009
    Сообщений
    9
    Вес репутации
    54

    Хроника борьбы.

    Разорился на новый диск (относительно). Б/у гиг на 40. Чистый и форматированный. Переразбил заново. Поставил Win 2000 Pro. Система стала нормально. После перезагрузки - при стандартной загрузке система грузится до половины, потом идет на перезагрузку, при загрузке в Safe mode - синий экран смерти с сообщением, что у меня вирус в системе или ошибка в контроллерах жестких дисков. Перепрошил биос, переформатировал винт. Поставил опять Win 2000 Pro. Все нормально, но уже поздно, час ночи. Лег спать. На утро то же самое. При стандартной загрузке система грузится до половины, потом идет на перезагрузку, при загрузке в Safe mode - синий экран смерти. Начал грешить на железо. Побежал, купил новую батарейку на материнку. Переставил систему, прогнал AVZ - он ничего не нашел. Выключил комп, пошел по делам. Прихожу, включаю. Опять траблы. Теперь пишет, что в ветке реестра бла-бла-бла\SOFTWARE нет какой-то программы. и снова на перезагрузку. Запустил Windiws PE с Live CD. Он нашел какую-то ошибку в системном каталоге на С:, предложил исправить, я согласился. После этого комп стал грузиться нормально. Хотел прогнать опять AVZ, сунулся в каталог на диске, а его там нет. Восстановил из архива, прогнал. Он ничего не нашел. Выхода в и-нет нет. Надо доставлять PPPoE (у меня ADSL). Решил поставить второй ос Win XP SP3 - чтоб иметь нормальный выход в и-нет. Поставил, настроил выход в и-нет. Попробовал прогнать AVZ, а его выкидывает из системы. Попробовал перегрузиться, AVZ исчез с диска. Восстановил из архива. Перименовал. Запустил. Он ничего не нашел, зато его объем увеличился на 100к! Восстановил из архива под своим именем. При попыткке запуска опять выкидывает из системы. Попасть на сайт Dr.Web не могу. Сайт блокирован вирусом. Скачал необходимые примочки для Win 2000. Перегрузился. Подключил интернет. Пробую прогнать AVZ. Ничего не находит. Попробовал под Win 2000 зайти на сайт Dr.Web. Не могу. Сайт блокирован. Что делать?

    Кто-нибудь может положить утилиту CureIt на Deposit или Rapidshare, а то дома вирус на сайт не пускает, а на работе админ отрубил доступ к ftp: ?

    Жду советов и рекомендаций по борьбе с этой заразой

    Как-то ходили слухи, про вирусы, которые могут жить во флешпамяти материнки и MBR винта. Неужели я подцепил такую гадость? Ведь старый винт я отключил и подключил на его место новый и они одновременно не работали. И с флешки я ничего не запускал, только использовал для переноса информации (и autorun.inf на ней нет)

    Да, AVZ использовал версии 4.32 с базами за август месяц.

  5. #4
    Junior Member Репутация
    Регистрация
    04.09.2009
    Сообщений
    9
    Вес репутации
    54

    Логи системы

    Сделал логи указанной версией.
    После сканирования размер файлов AVZ, в том числе и переименованных, увеличивался на 62 кбайт, в том числе и полиморфного set.pif.
    Файл AVZ.EXE удалялся с диска.

  6. #5
    Junior Member Репутация
    Регистрация
    04.09.2009
    Сообщений
    9
    Вес репутации
    54

    Логи системы

    Что-то логи не прикрепились. Повторяю.
    Вложения Вложения

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Белый Сокол
    Регистрация
    25.06.2008
    Адрес
    Кишингтон-сити
    Сообщений
    1,103
    Вес репутации
    227
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     QuarantineFile('D:\WINDOWS\system32\DRIVERS\viadsk.sys','');
     QuarantineFile('D:\WINDOWS\system32\drivers\rnomqn.sys','');
    end.
    Пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы).
    "Убей в себе амбиции и ты будешь видеть людей насквозь."
    Антивирусные утилиты в помощь пользователю:
    Dr.Web CureIt! - IceSword - ComboFix - Gmer - RSIT - AVPTool

  8. #7
    Junior Member Репутация
    Регистрация
    04.09.2009
    Сообщений
    9
    Вес репутации
    54

    Выслал карантин

    Выслал запрошенный карантин. У меня материнка на чипсете VIA.
    При выполнении скрипта были следующие сообщения.

    Файл успешно помещен в карантин (D:\WINDOWS\system32\DRIVERS\viadsk.sys)
    Выполнен карантин файла D:\WINDOWS\system32\DRIVERS\viadsk.sys
    Ошибка карантина файла, попытка прямого чтения (D:\WINDOWS\system32\drivers\rnomqn.sys)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (D:\WINDOWS\system32\drivers\rnomqn.sys)
    Карантин с использованием прямого чтения - ошибка

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Пролечитесь от файловых вирусов http://virusinfo.info/showthread.php?t=15927
    Вариант с Live CD предпочтительнее
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    04.09.2009
    Сообщений
    9
    Вес репутации
    54

    Кое-что нашел

    Зашел к знакомому, чтобы записать на флешку CureIt, а он на ней Касперским нашел кучу вирусов под именем Win32,Sality.e Во всех exe. Подлечил. Скачал CureIt, Дома загрузился через Live CD и запустил CureIt. Найдено куча файлов, но с вирусом Win32.Sector. Наверное Dr.Web и Касперский обзывают их по разному.

    Печальный вывод: AVZ 4.32 с библиотеками от 21.08.2009 его не опознает.
    Последний раз редактировалось Silur; 15.09.2009 в 00:56.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    AVZ от файловых вирусов не лечит. Не её профиль.

  12. #11
    Junior Member Репутация
    Регистрация
    04.09.2009
    Сообщений
    9
    Вес репутации
    54
    То, что AVZ его не лечит - ладно. Но он не находит эту заразу и в памяти - хотя вирус сидит там резидентно. А это не хорошо. Значит недоработка в алгоритмах анализа памяти.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Цитата Сообщение от Silur Посмотреть сообщение
    Но он не находит эту заразу и в памяти - хотя вирус сидит там резидентно.
    Такого функционала в AVZ нет вообще. Т.е. анализа кода программ в памяти.
    Виден только активный драйвер вируса среди модулей пространства ядра:
    D:\WINDOWS\system32\drivers\rnomqn.sys

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Silur, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. нет интернете на одном из компов
      От fantazer333 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 12.03.2012, 19:07
    2. Ответов: 8
      Последнее сообщение: 03.11.2011, 02:36
    3. Ответов: 3
      Последнее сообщение: 09.02.2010, 10:11
    4. Троян и червь в одном компьютере
      От arthurhaifa в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 19.09.2009, 16:41
    5. 2 проблеммы в одном
      От RVK-RVK в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 12.02.2009, 11:14

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01461 seconds with 20 queries