У меня на компьютере 3 операционки Win98/2000/XP.
Началось всё с того, что программка, представившаяся как программа контроля за обновлениями winamp попросилась прописаться в автозагрузке, а я с дуру разрешил. Я в это время работал под Win2000. На другой день, работая в и-нете тоже под win 2000 обнаружил, что хотя я ничего не качаю, и не занимаюсь серфингом идет интенсивный обмен. Когда я глянул, то было перегнано уже по 15 Мб туда-сюда. Я обрубил связь и полез в AnVir Task Manager 5.5, посмотреть, что сидит в системе. Нешел два непонятных процесса и грохнул их. Попробовал вызвать AVZ и посмотреть систему им. Его вышвыривало сразу после загрузки. Решил перегрузиться на Win XP. Там у меня было установлено несколько антивирусов. После загрузки оказалось, что AnVir Task Manager 3.7 не загрузился, антивирусный монитор Ashampoo был стерт с диска. Total Commander 6.55 пищал, что у него нарушена CRC, возможен вирус и выгружался. При попытке загрузить AVZ, он сообщал, что у него ошибка CRC и его объем увеличился на 11к по сравнению с архивом. При попытке загрузить чистый AVZ с флешки, он был стерт. Утилиту от Dr.Web запустить не смог, так как у неё истек срок. Попытка перегрузиться и войти в защищенном режиме для XP ни к чему не привела. Компьютер постоянно уходил на перезагрузку. Для обычного режима - тоже. Для Win 2000 обычная загрузка приводила к зависанию компьютера, а защищенный режим выдавал синий экран смерти с надписью, что у меня на компьютере есть вирус или неисправны контроллеры жестких дисков. Попытка зарузиться в Win 98 привела к сообщению о сбое программы и синиму экрану. Попытка загрузиться под Win 98 в защищенном режиме удалась, но только первый раз все остальные приводили к синему экрану. Смог загрузиться только в режиме DOS под Win 98. Попытка протестировать диск рограммой ndd версии 8.0 не удалась (диск 80Гб, раздел С - FAT 32, D - - FAT32, остальные NTFS), хотя раньше она свободно запускалась. Говорит, что такого диска не существует. Прграмма diskedit из того же набора нортоновских утилит 8.0 спокойно запустилась, но смогла работать с диском только на физическом уровне, отказываясь понимать логическое разбиение.
Загрузился с Live CD Win PE. Все диски читаются. На нем был Касперский 6 версии - он ничего не нашел. Смог прогнать систему через AVZ. Получил большой протокол с красными пометками. Но что это - действия вирусов или фокусы Win PE не понял.
Что делать дальше?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Разорился на новый диск (относительно). Б/у гиг на 40. Чистый и форматированный. Переразбил заново. Поставил Win 2000 Pro. Система стала нормально. После перезагрузки - при стандартной загрузке система грузится до половины, потом идет на перезагрузку, при загрузке в Safe mode - синий экран смерти с сообщением, что у меня вирус в системе или ошибка в контроллерах жестких дисков. Перепрошил биос, переформатировал винт. Поставил опять Win 2000 Pro. Все нормально, но уже поздно, час ночи. Лег спать. На утро то же самое. При стандартной загрузке система грузится до половины, потом идет на перезагрузку, при загрузке в Safe mode - синий экран смерти. Начал грешить на железо. Побежал, купил новую батарейку на материнку. Переставил систему, прогнал AVZ - он ничего не нашел. Выключил комп, пошел по делам. Прихожу, включаю. Опять траблы. Теперь пишет, что в ветке реестра бла-бла-бла\SOFTWARE нет какой-то программы. и снова на перезагрузку. Запустил Windiws PE с Live CD. Он нашел какую-то ошибку в системном каталоге на С:, предложил исправить, я согласился. После этого комп стал грузиться нормально. Хотел прогнать опять AVZ, сунулся в каталог на диске, а его там нет. Восстановил из архива, прогнал. Он ничего не нашел. Выхода в и-нет нет. Надо доставлять PPPoE (у меня ADSL). Решил поставить второй ос Win XP SP3 - чтоб иметь нормальный выход в и-нет. Поставил, настроил выход в и-нет. Попробовал прогнать AVZ, а его выкидывает из системы. Попробовал перегрузиться, AVZ исчез с диска. Восстановил из архива. Перименовал. Запустил. Он ничего не нашел, зато его объем увеличился на 100к! Восстановил из архива под своим именем. При попыткке запуска опять выкидывает из системы. Попасть на сайт Dr.Web не могу. Сайт блокирован вирусом. Скачал необходимые примочки для Win 2000. Перегрузился. Подключил интернет. Пробую прогнать AVZ. Ничего не находит. Попробовал под Win 2000 зайти на сайт Dr.Web. Не могу. Сайт блокирован. Что делать?
Кто-нибудь может положить утилиту CureIt на Deposit или Rapidshare, а то дома вирус на сайт не пускает, а на работе админ отрубил доступ к ftp: ?
Жду советов и рекомендаций по борьбе с этой заразой
Как-то ходили слухи, про вирусы, которые могут жить во флешпамяти материнки и MBR винта. Неужели я подцепил такую гадость? Ведь старый винт я отключил и подключил на его место новый и они одновременно не работали. И с флешки я ничего не запускал, только использовал для переноса информации (и autorun.inf на ней нет)
Да, AVZ использовал версии 4.32 с базами за август месяц.
Сделал логи указанной версией.
После сканирования размер файлов AVZ, в том числе и переименованных, увеличивался на 62 кбайт, в том числе и полиморфного set.pif.
Файл AVZ.EXE удалялся с диска.
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
QuarantineFile('D:\WINDOWS\system32\DRIVERS\viadsk.sys','');
QuarantineFile('D:\WINDOWS\system32\drivers\rnomqn.sys','');
end.
Пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы).
Выслал запрошенный карантин. У меня материнка на чипсете VIA.
При выполнении скрипта были следующие сообщения.
Файл успешно помещен в карантин (D:\WINDOWS\system32\DRIVERS\viadsk.sys)
Выполнен карантин файла D:\WINDOWS\system32\DRIVERS\viadsk.sys
Ошибка карантина файла, попытка прямого чтения (D:\WINDOWS\system32\drivers\rnomqn.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (D:\WINDOWS\system32\drivers\rnomqn.sys)
Карантин с использованием прямого чтения - ошибка
Зашел к знакомому, чтобы записать на флешку CureIt, а он на ней Касперским нашел кучу вирусов под именем Win32,Sality.e Во всех exe. Подлечил. Скачал CureIt, Дома загрузился через Live CD и запустил CureIt. Найдено куча файлов, но с вирусом Win32.Sector. Наверное Dr.Web и Касперский обзывают их по разному.
Печальный вывод: AVZ 4.32 с библиотеками от 21.08.2009 его не опознает.
Последний раз редактировалось Silur; 15.09.2009 в 00:56.
То, что AVZ его не лечит - ладно. Но он не находит эту заразу и в памяти - хотя вирус сидит там резидентно. А это не хорошо. Значит недоработка в алгоритмах анализа памяти.
Но он не находит эту заразу и в памяти - хотя вирус сидит там резидентно.
Такого функционала в AVZ нет вообще. Т.е. анализа кода программ в памяти.
Виден только активный драйвер вируса среди модулей пространства ядра:
D:\WINDOWS\system32\drivers\rnomqn.sys
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: