Показано с 1 по 19 из 19.

Блокирующий порнобанер. Испочена ОС и BIOS. (заявка № 82140)

  1. #1
    Junior Member Репутация
    Регистрация
    29.06.2010
    Сообщений
    10
    Вес репутации
    51

    Thumbs up Блокирующий порнобанер. Испочена ОС и BIOS.

    Блокирующий порнобанер на двух машинах - полностью блокировал клавиатуру и мышь, в том числе - в безопасном режиме. При попытке загрузки с лайвСД - БИУС выдает ошибку загрузки, при этом на незараженной машине этот лайвСД загружается нормально. Взял винт с одной из зараженных машин, подсоединил его к своей машине, почистил его AVZ4 с новыми базами, вернул обратно - после этого ОС перестала грузиться. В нормальном и в безопасном режиме, при загрузке - выпадает в меню аварийной загрузки (с предложением выбрать режим загрузки безопасного режима) - но при начале загрузки вскоре уходит в перезагрузку в независимости от выбранного режима загрузки.
    Снова снял винт с этой машины, поставил его к себе, выполнил в безопасном режиме скрипт "Сбор информации и карантин" в AVZ.
    На зараженной машине по прежнему не работает загрузка со сменных носителей, попробовал обновить БИУС (мать - P5B-VM) - не помогло.
    Вторую зараженную машину еще не трогал, можно с подключенным ее винтом снять логи AVZ.
    Последний раз редактировалось pig; 30.06.2010 в 23:05. Причина: карантин в теме неуместен

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('c:\huadio.tmp','');
     DeleteService('autorun');
     DeleteFile('c:\huadio.tmp');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    29.06.2010
    Сообщений
    10
    Вес репутации
    51
    Цитата Сообщение от thyrex Посмотреть сообщение
    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Сделано.
    Последний раз редактировалось pig; 30.06.2010 в 23:05. Причина: карантин в теме неуместен

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Лог чистый. Но в безопасном режиме не все может быть видно. Что и как чистили с помощью AVZ?
    Где лог HiJack?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    29.06.2010
    Сообщений
    10
    Вес репутации
    51
    Цитата Сообщение от thyrex Посмотреть сообщение
    Лог чистый. Но в безопасном режиме не все может быть видно. Что и как чистили с помощью AVZ?
    Где лог HiJack?
    Лог HiJack прилагаю.
    Обнаружены:
    Backdoor.Win32.IRCBot.dlp
    MultiPacked.Multi.Generic
    HEUR:Trojan.Win32.Generic
    Packed.Win32.TDSS.z
    Все это лежало в Системный диск\Windows, Системный диск\Windows\System32, Юзер\LocalSettings, Юзер\LocalSettings\Temp, Temporary Internet Files\Content.IE5.

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от Poll_Potolkov Посмотреть сообщение
    Обнаружены:
    HEUR:Trojan.Win32.Generic
    Вряд ли лечились с помощью AVZ. Такой детект он не может выдать. Может все-таки AVP Tool?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    29.06.2010
    Сообщений
    10
    Вес репутации
    51
    Цитата Сообщение от thyrex Посмотреть сообщение
    Вряд ли лечились с помощью AVZ. Такой детект он не может выдать. Может все-таки AVP Tool?
    Детект - Kaspersky Virus Removal TOOL с второй машины. На ней запустили LiveCD.

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от Poll_Potolkov Посмотреть сообщение
    Детект - Kaspersky Virus Removal TOOL с второй машины.
    А лог работы можно увидеть? Запакуйте и прикрепите к сообщению
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    29.06.2010
    Сообщений
    10
    Вес репутации
    51
    Цитата Сообщение от thyrex Посмотреть сообщение
    А лог работы можно увидеть? Запакуйте и прикрепите к сообщению
    Прошу меня извинить - но работы не получилось. Начальник - эникейщик посчитал, что слишком долго идет лечение, вбил код в блокиратор и счастливый растащил компы по отделам. На одном уже AVG сыплет сообщениями об троянах. Я так думаю, вскоре компы опять придут мне на лечение в "первоначальном состоянии".
    Порнобаннер требовал прислать
    SMS 35303414
    на номер 5121.

  11. #10
    Junior Member Репутация
    Регистрация
    29.06.2010
    Сообщений
    10
    Вес репутации
    51
    Цитата Сообщение от Poll_Potolkov Посмотреть сообщение
    Я так думаю, вскоре компы опять придут мне на лечение в "первоначальном состоянии".
    Заблокировались программы - при попытке запуска выпадает таблица: "Отказано в доступе к файлу!". При загрузке системы выскакивает диспетчер установки оборудования, предлагает поставить новое устройство. Новых устройств в систему не ставилось. На диске С: появилась новая папка с именем "8382964512760cf5704a5a27", внутри - папки с файлами, похожими на дистрибутив драйверов. Копировать папку или стереть ее система не позволяет с тем же сообщением. В обычном и безопасном режиме.

    Прогнал в безопасном режиме AVZ - найдена куча перехватчиков API.
    Прогнал HiJackThis - сохранил лог, после чего потер из реестра все, что показалось ненужным.
    После чего в обычном режиме начали запускаться программы и перестал запускаться диспетчер оборудования с предложением установить новое устройство.
    Логи HiJackThis и AVZ прилагаю.

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Сделайте http://virusinfo.info/showpost.php?p=493610&postcount=1 в безопасном режиме
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    29.06.2010
    Сообщений
    10
    Вес репутации
    51
    В безопасном режиме приложение вылетает с ошибкой, антивирус был выгружен. Исправление имени файла на "combo-fix.exe" не помогло. Прилагаю краш-репорт приложения в безопасном режиме. После перезагрузки в обычный режим приложение так же не запускается.

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Outpost временно удалите
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    Junior Member Репутация
    Регистрация
    29.06.2010
    Сообщений
    10
    Вес репутации
    51
    Цитата Сообщение от thyrex Посмотреть сообщение
    Outpost временно удалите
    Удалил. Не помогло. На всякий случай удалил еще и AVG. Не помогло. Теперь при попытке поставить обратно AVG его установка прерывается с ошибкой "Не могу расставить флаги".
    Прилагаю лог Combofix.exe, лог avg_free_stf_eu_90_819a2842.exe весит под 7 мегов.

  16. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Это не лог ComboFix

    Такой лог сделайте http://virusinfo.info/showpost.php?p=457118&postcount=1
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #16
    Junior Member Репутация
    Регистрация
    29.06.2010
    Сообщений
    10
    Вес репутации
    51
    Цитата Сообщение от thyrex Посмотреть сообщение
    Это не лог ComboFix

    Такой лог сделайте http://virusinfo.info/showpost.php?p=457118&postcount=1
    Это не лог работы Combofix, это его крэш-репорт, приложение по прежнему не запускалось.
    Сделал. Лог прилагаю.

  18. #17
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Лог в порядке. Что сейчас с проблемой?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  19. #18
    Junior Member Репутация
    Регистрация
    29.06.2010
    Сообщений
    10
    Вес репутации
    51
    Цитата Сообщение от thyrex Посмотреть сообщение
    Лог в порядке. Что сейчас с проблемой?
    Проблема решена. Для установки AVG потребовалось скачать Микрософтовскую утилиту vcredist_x86.exe, после выполнения которой приложения стали нормально устанавливаться.
    Спасибо!

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Poll_Potolkov, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 1
      Последнее сообщение: 16.04.2010, 00:00
    2. Проблемы с BIOS
      От lanuba в разделе Аппаратное обеспечение
      Ответов: 9
      Последнее сообщение: 01.06.2009, 13:16
    3. Help! A virus in the Bios
      От hiyuce30 в разделе Malware Removal Service
      Ответов: 1
      Последнее сообщение: 27.05.2009, 10:32
    4. BIOS
      От C_L_S в разделе Microsoft Windows
      Ответов: 7
      Последнее сообщение: 08.07.2007, 15:49

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00907 seconds with 19 queries