Страница 1 из 5 12345 Последняя
Показано с 1 по 20 из 90.

Backdoor.Generoc.1138 (заявка № 7725)

  1. #1
    Junior Member Репутация
    Регистрация
    31.01.2007
    Сообщений
    51
    Вес репутации
    63

    Question Backdoor.Generoc.1138

    hijackthis.log

    virusinfo_syscheck.zip

    virusinfo_syscure.zip

    Здравствуйте!
    Вирус Backdoor.Generic.1138 (выдаёт BSOD с ошибкой driver_irql_not_less_or_equal)
    заранее признателен за помощь, DrWeb не справляется (между прочим лицензионный...), заражённые файлы появляются вновь.

    спасибо
    Дмитрий

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    1. в AVZ файл -- выполнить скрипт - скопировать текст в окно -- запустить
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\WSEC32HK.dll','');
    QuarantineFile('C:\WINDOWS\system32\winsersec.exe','');
    QuarantineFile('C:\WINDOWS\system32\servdll.dll','');
     QuarantineFile('C:\WINDOWS\winwd.exe','');
     DeleteFile('C:\WINDOWS\winwd.exe');
     AutoFixSPI();
    ExecuteSysClean;
    RebootWindows(true);
    end.
    После перезагрузки прислать карантин по Приложению 2 правил. Номер темы - 7725
    Последний раз редактировалось PavelA; 31.01.2007 в 18:44. Причина: Добавил файлы в скрипт
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    31.01.2007
    Сообщений
    51
    Вес репутации
    63
    здравствуйте,
    после выполнения скрипта компьютер не загружается, даже в safe mode, так что прислать карантин не представляется возможным

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Увы
    Придётся ставить пиво знакомому компьютерщику. Ещё не всё потеряно, можно подключить диск к другому аппарату и посмотреть, что там творится.
    Кстати, как именно выглядит "не загружается"?

  6. #5
    Junior Member Репутация
    Регистрация
    31.01.2007
    Сообщений
    51
    Вес репутации
    63
    с пятого раза загрузился
    какие файлы присылать в карантине? там список задать надо...

    зы. у меня на подобные случаи образы залиты, так что ничего. когда начались проблемы, я восстановил с образа и теперь не могу понять: он что, уже давно у меня в компе сидел? потому что тогда, после восстановления, проблема осталась.

  7. #6
    Junior Member Репутация
    Регистрация
    31.01.2007
    Сообщений
    51
    Вес репутации
    63
    так, понял. сейчас выложу

  8. #7
    Junior Member Репутация
    Регистрация
    31.01.2007
    Сообщений
    51
    Вес репутации
    63
    выложил

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Файлы в карантине - чистые. С первого раза не попал. Возможно, из-за удаления winwd.exe и были проблемы с загрузкой РС.
    Больно уж названия у этих файлов подозрительные.

    В AVZ попробуй поискать netlock.dll. Если найдешь, отправь на проверку.
    и попробуй там же выполнить скрипт:
    begin
    AutoFixSPI();
    end.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    31.01.2007
    Сообщений
    51
    Вес репутации
    63
    файл закачал, скрипт выполнил (оно говорит просто "выполнено" и всё).
    это что выходит что следов вируса нет? что-то даже не радуюсь. если опять заглючит придётся по новой всю проверку и три лога выкладывать...

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Файл проверил - чистый. Только одно подозрение от VBA.
    Ждите, еще кто-нибудь посмотрит.

    Строчку с reset5 в HijackThis можно профиксить. Он с SP2 не нужен.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    31.01.2007
    Сообщений
    51
    Вес репутации
    63
    вот опять вылез вирус. я так сделаю: drweb-ом не буду чистить, сделаю сразу avz, тогда может в логе что будет. выложу три лога потом, вдруг получится

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    850
    elangelo только логи делайте с открытым окном браузера Internet Explorer.

  14. #13
    Junior Member Репутация
    Регистрация
    31.01.2007
    Сообщений
    51
    Вес репутации
    63
    попробую, но есть нюанс:
    1. вот сейчас стал гнать avz - так при наличии подключения к сети (у меня выделенка) она не может закончить проверку - перезагружается явно из-за вируса, который не даёт себя удалить. если же отключить сетевуху (у меня ноут), то всё идёт нормально, но и вируса backdoor она уже не видит - только подозрения на троян в паре файлов. я исключаю вариант что вирус приходит по сети потому что у меня по свичу два компьютера на одном адресе, и на втором тьфу тьфу всё окей. так что он может сидеть где-то в сетевых настройках, потому что
    2. я даже пытался удалить в системе сетевые устройства, думал, что все глюки из-за них. безуспешно! не удаляется ни драйвер сетевухи, ни драйвер ранее у меня установленного вай-фай (именно в его установочном файле и есть подозрение на троян), винда сообщает "возможно это устройство необходимо для загрузки"
    так что я думаю что в этом вся проблема и как-то надо это вычистить, но как...

    ну вот. короче первый лог с сетью не получится (а что толку от окна интернет эксплорера если он ничего не может отобразить), а вот остальные два лога сделаю с включённой сетью (правда, в первый раз тоже так же сделал - и вот, говорят, всё чисто)

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    850
    elangelo, отключите интернет, откройте окно браузера и зделайте два последних лога из правил.

  16. #15
    Junior Member Репутация
    Регистрация
    31.01.2007
    Сообщений
    51
    Вес репутации
    63
    выкладываю логи. как всегда ничего подозрительного кроме подозрения на другой вирус в установочном файле wifi как я говорил (могу прислать карантин), кроме того во время выполнения второго скрипта получил в п.6 что "проверка TCP отменена пользователем" - это опять вирус шалит, чтобы его в сетевых компонентах не нашли??
    1й лог сделан с окном IE без сети, последние с сетью и IE.
    Ещё был бы признателен если бы кто-то прокомментировал то что я сказал выше про сеть.

    Спасибо.

    hijackthis.log

    virusinfo_syscheck.zip

    virusinfo_syscure.zip

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Интересный вопрос возник: где доктор Веб находит вирус?
    Скрипт, что я посылал, отработал нормально. Лог стал выглядеть приличней.
    и еще один момент - программы от Tropical Software сами ставили? М.б. в их настройках поковыряться.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Junior Member Репутация
    Регистрация
    31.01.2007
    Сообщений
    51
    Вес репутации
    63
    в каталоге documents and settings. например: C:\Documents and Settings\All Users\Документы\SharedDocs.exe
    спайдер даже залез в каталог avz и вылечил файл, лежавший в карантине)))
    tropical software - не припомню. кажется нет.
    так что же делать теперь вообще и с сетевухами в частности?

  19. #18
    Junior Member Репутация
    Регистрация
    31.01.2007
    Сообщений
    51
    Вес репутации
    63
    ещё мне нравятся такие места в логе spider:
    29-01-2007 09:36:31 [CL] C:\Documents and Settings\All Users\Документы\Adobe PDF 6.0\Data\Data.exe - инфицирован BackDoor.Generic.1138
    29-01-2007 09:36:33 [CL] C:\Documents and Settings\All Users\Документы\Adobe PDF 6.0\Data\Data.exe - исцелен
    29-01-2007 09:36:34 [CL] C:\Documents and Settings\All Users\Документы\Adobe PDF 6.0\Data\Data.exe - инфицирован

    забавно, как сразу вирус появляется опять

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    850
    elangelo,
    AVZ -> Файл -> Выполнить скрипт:

    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('C:\WINDOWS\sdaemon.exe','');
     QuarantineFile('\SystemRoot\system32\drivers\WINSEC.SYS','');
     QuarantineFile('C:\WINDOWS\WSEC32HK.dll','');
     QuarantineFile('C:\WINDOWS\system32\servdll.dll','');
     QuarantineFile('c:\windows\system32\winsersec.exe','');
    CreateQurantineArchive(GetAVZDirectory+'virusinfo_7725_quarantine.zip');
    RebootWindows(true);
    end.
    После перезагрузки, пришлите по правилам файл virusinfo_7725_quarantine.zip

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Цитата Сообщение от elangelo Посмотреть сообщение
    ещё мне нравятся такие места в логе spider:
    29-01-2007 09:36:31 [CL] C:\Documents and Settings\All Users\Документы\Adobe PDF 6.0\Data\Data.exe - инфицирован BackDoor.Generic.1138
    29-01-2007 09:36:33 [CL] C:\Documents and Settings\All Users\Документы\Adobe PDF 6.0\Data\Data.exe - исцелен
    29-01-2007 09:36:34 [CL] C:\Documents and Settings\All Users\Документы\Adobe PDF 6.0\Data\Data.exe - инфицирован

    забавно, как сразу вирус появляется опять
    Заплатки на систему все стоят? Пароль администратора случайно не пустой? Диск C не расшарен в сеть?

  • Уважаемый(ая) elangelo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 5 12345 Последняя

    Похожие темы

    1. BackDoor.Generic.1138
      От Lisenda в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 02:42
    2. BackDoor.Generic.1138
      От ru_5h в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 01:40
    3. BackDoor.Generic.1138
      От Леонид в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 01:40
    4. BackDoor.Generic.1138
      От Batyrzhan в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 07.12.2007, 16:16
    5. BackDoor.Generic.1138
      От Piccontroller в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 21.03.2007, 05:16

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01186 seconds with 20 queries