Показано с 1 по 15 из 15.

Хорошо окопавшаяся зараза (заявка № 64255)

  1. #1
    Junior Member Репутация
    Регистрация
    10.04.2009
    Сообщений
    478
    Вес репутации
    35

    Thumbs up Хорошо окопавшаяся зараза

    Сразу прошу прощения, что не по форме обращаюсь. Для этого есть причины.
    На компе явно сидит какая-то зараза. При заходе эксплорером в папку \avz - комп выключается. Если переименовать папку, заходит нормально.
    Но все равно ни в обычной моде, ни в безопасной не удается запустить ни avz, ни тулзу от Кашперского, ни от доктора Weba - выдаются сообщения об ошибке загрузки dll-к из папки \Windows\Temp, обращениях к адресу памяти 0x000000010 - и на этом все заканчивается.

    Вообще сообщения об обращении не к тем адресам памяти выдаются и без попыток запуска антивирусов.

    Видимо, аналогичными средствами блокирован установленный на комп Symantec Endpoint Protection.

    DrWeb Live CD тоже не пошел, но тут, возможно, что-то неправильно в нем самом, разбираюсь.

    Дополнительная информация: 9-го числа SEP сигнализировал об обнаружении (и удалении) на этом компе Packed.Generic.272 в файле C:/WINDOWS/Temp/1.tmp, по эвристике.

    Просмотром 0 трака на винчестере обнаружена запись MBR внешне похожая на настоящую и еще один сектор с невразумительной информацией в конце трака.

    Конечно, можно попробовать перезалить систему с нуля. Но очень уж интересно, что за зараза.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199

  4. #3
    Junior Member Репутация
    Регистрация
    10.04.2009
    Сообщений
    478
    Вес репутации
    35
    Глубокоуважаемый хелпер!

    Ну я же пишу, что не могу выполнить правила. Хотя очень стараюсь.
    Еще раз: ни avz, ни AVPTool, ни CureIt не запускаются! И в безопасной моде - тоже!

    Может быть, меня следовало отправить в другой раздел. Может быть - вообще послать нафик и забыть. Но зачем мне указывать на правила?


    Я НЕ МОГУ ВЫПОЛНИТЬ ИХ ТРЕБОВАНИЙ!!!


  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    132
    Полиморфный АВЗ пробовали? МВАМ еще попробуйте (см. в моей подписи), Hijackthis лог попробуйте сделать. Результат отпишите
    The Truth is Out There

  6. #5
    Junior Member Репутация
    Регистрация
    10.04.2009
    Сообщений
    478
    Вес репутации
    35
    Спасибо, в понедельник займусь. Сейчас оставил на тесте памяти. Хотя вряд ли это глюки железа.

  7. #6
    Junior Member Репутация
    Регистрация
    10.04.2009
    Сообщений
    478
    Вес репутации
    35
    Так, докладываю:
    - специальный AVZ не идет (ошибка при загрузке dll, неверная попытка доступа к адресу памяти)
    - hijackthis переименованный пошел. Но на этапе создания лога (блокнот как раз спросил, создавать ли файл) система ушла на перезагрузку. Как переименовать лог, я не нашел.
    - mbam-setup не идет (попытка записи в адрес 000000010).

    Да, система - Windows XP Pro, SP3

    Прошу и жду дальнейшей помощи. Пока проверю MBR, постараюсь запустить DrWeb LiveCD, ну, может, еще какие идеи будут (((
    -

    Добавлено через 3 минуты

    Да, и GMER тоже не идет.

    Добавлено через 6 часов 16 минут

    Целый день гонял DrWeb LiveCD. Выловлено в папках \Windows\system32 и \Windows\Temp по штучке Trojan.MulDrop.52414 и Trojan.PWS.Panda.171 и весьма много экземпляров Trojan.Blackmailer.1562. В симантековском карантине тот же Blackmailer и Trojan.Bynx.
    После удаления чудеса прекратились и стало возможным начать стандартную процедуру согласно правилам. Завтра будут логи.
    MBR, вероятно, невиновна, но 100% уверенности нет. И что, интересно, за информация в лог. секторе 32? (0,0,33)?
    Последний раз редактировалось vgo; 21.12.2009 в 17:57. Причина: Добавлено

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    132
    Делайте логи, посмотрим что осталось
    The Truth is Out There

  9. #8
    Junior Member Репутация
    Регистрация
    10.04.2009
    Сообщений
    478
    Вес репутации
    35
    В процессе предварительного сканирования AVPTool'ом выявлено два трояна - Trojan.Win32.Patched.fr и Trojan.Win32.Sasfis.vcq, один из них (кажется, второй, но 100% не уверен, логи не сохранились) - в карантине антивируса SEP.

  10. #9
    Junior Member Репутация
    Регистрация
    10.04.2009
    Сообщений
    478
    Вес репутации
    35
    Файлы логов (с первого раза что-то не так сделал).
    Последний раз редактировалось vgo; 07.06.2010 в 10:46.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\oembios.exe,C:\WINDOWS\system32\sdra64.exe,
    O20 - AppInit_DLLs: C:\WINDOWS\system32\sgqdd.dll
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\system32\oembios.exe','');
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     QuarantineFile('C:\WINDOWS\system32\sgqdd.dll','');
     DeleteFile('C:\WINDOWS\system32\sgqdd.dll');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
     DeleteFile('c:\windows\system32\oembios.exe');
    BC_ImportALL;
    ExecuteSysClean;
    RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
    RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
    BC_DeleteSvc('s469792.sys');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил, если будет не пуст
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=64255).
    Сделайте новые логи (только п.2 и 3 раздела Диагностика).
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    10.04.2009
    Сообщений
    478
    Вес репутации
    35
    Спасибо.

    Карантин пуст. Логи высылаю.
    Небольшое сомнение насчет "подключения к интернету" по п. 2. Насколько должно быть обеспечено реальное соединение с интернетом и не достаточно ли просто подключения к локальной сети?
    Последний раз редактировалось vgo; 07.06.2010 в 10:46.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните скрипт:
    Код:
    begin
    ExecuteRepair(13);
    RebootWindows(true);
    end.
    Больше ничего плохого не видно.
    Что с проблемами?

    Добавлено через 1 минуту

    Цитата Сообщение от vgo Посмотреть сообщение
    Насколько должно быть обеспечено реальное соединение с интернетом
    По возможности оно должно быть реальным.
    Последний раз редактировалось Bratez; 22.12.2009 в 17:50. Причина: Добавлено
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    10.04.2009
    Сообщений
    478
    Вес репутации
    35
    Ну если важно, чтобы подключение к инету было реальным, сделал его реальным и перегенерировал логи. Вот сейчас отправляю логи с больного компа.

    Что до проблем, то вот сейчас наблюдаю проблему. MSIE мне сообщает, что заблокировал всплывающее окно с Вашего сайта.
    Сколько тут общаюсь, всплывающих окон как-то не замечал.
    Возможно, это признак очередной заразы.

    Те же проблемы, о которых я писал в прошлый раз, прекратились после удаления DrWeb LiveCD кучки троянов. Иначе бы я не мог вообще ничего делать.
    Последний раз редактировалось vgo; 07.06.2010 в 10:46.

  15. #14
    Junior Member Репутация
    Регистрация
    10.04.2009
    Сообщений
    478
    Вес репутации
    35
    Спасибо за помощь!

  16. #15
    Junior Member Репутация
    Регистрация
    10.04.2009
    Сообщений
    478
    Вес репутации
    35
    Все-таки остается вопрос о блокированных всплывающих окошках. Когда я вчера, уже после пролечивания, заходил сюда с того самого компьютера, MSIE несколько раз сообщил, что он блокировал некое всплывающее окно.
    Это несколько смущает, потому что я вроде бы не замечал всплывающих окон на Вашем сайте.

  • Уважаемый(ая) vgo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 9
      Последнее сообщение: 19.02.2010, 11:28
    2. Firewall: False хорошо это или плохо?
      От versed в разделе Межсетевые экраны (firewall)
      Ответов: 0
      Последнее сообщение: 11.08.2009, 21:57
    3. Посмотрите все ли хорошо
      От wolf-zver в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 17.05.2008, 14:25
    4. Новое это... хорошо забытое старое...
      От ScratchyClaws в разделе Юмор
      Ответов: 0
      Последнее сообщение: 25.09.2006, 09:16

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01048 seconds with 16 queries