-
Junior Member
- Вес репутации
- 51
Блокирующий порнобанер. Испочена ОС и BIOS.
Блокирующий порнобанер на двух машинах - полностью блокировал клавиатуру и мышь, в том числе - в безопасном режиме. При попытке загрузки с лайвСД - БИУС выдает ошибку загрузки, при этом на незараженной машине этот лайвСД загружается нормально. Взял винт с одной из зараженных машин, подсоединил его к своей машине, почистил его AVZ4 с новыми базами, вернул обратно - после этого ОС перестала грузиться. В нормальном и в безопасном режиме, при загрузке - выпадает в меню аварийной загрузки (с предложением выбрать режим загрузки безопасного режима) - но при начале загрузки вскоре уходит в перезагрузку в независимости от выбранного режима загрузки.
Снова снял винт с этой машины, поставил его к себе, выполнил в безопасном режиме скрипт "Сбор информации и карантин" в AVZ.
На зараженной машине по прежнему не работает загрузка со сменных носителей, попробовал обновить БИУС (мать - P5B-VM) - не помогло.
Вторую зараженную машину еще не трогал, можно с подключенным ее винтом снять логи AVZ.
Последний раз редактировалось pig; 30.06.2010 в 23:05.
Причина: карантин в теме неуместен
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\huadio.tmp','');
DeleteService('autorun');
DeleteFile('c:\huadio.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
thyrex
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделано.
Последний раз редактировалось pig; 30.06.2010 в 23:05.
Причина: карантин в теме неуместен
-
Лог чистый. Но в безопасном режиме не все может быть видно. Что и как чистили с помощью AVZ?
Где лог HiJack?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
thyrex
Лог чистый. Но в безопасном режиме не все может быть видно. Что и как чистили с помощью AVZ?
Где лог HiJack?
Лог HiJack прилагаю.
Обнаружены:
Backdoor.Win32.IRCBot.dlp
MultiPacked.Multi.Generic
HEUR:Trojan.Win32.Generic
Packed.Win32.TDSS.z
Все это лежало в Системный диск\Windows, Системный диск\Windows\System32, Юзер\LocalSettings, Юзер\LocalSettings\Temp, Temporary Internet Files\Content.IE5.
-
Сообщение от
Poll_Potolkov
Обнаружены:
HEUR:Trojan.Win32.Generic
Вряд ли лечились с помощью AVZ. Такой детект он не может выдать. Может все-таки AVP Tool?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
thyrex
Вряд ли лечились с помощью AVZ. Такой детект он не может выдать. Может все-таки AVP Tool?
Детект - Kaspersky Virus Removal TOOL с второй машины. На ней запустили LiveCD.
-
Сообщение от
Poll_Potolkov
Детект - Kaspersky Virus Removal TOOL с второй машины.
А лог работы можно увидеть? Запакуйте и прикрепите к сообщению
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
thyrex
А лог работы можно увидеть? Запакуйте и прикрепите к сообщению
Прошу меня извинить - но работы не получилось. Начальник - эникейщик посчитал, что слишком долго идет лечение, вбил код в блокиратор и счастливый растащил компы по отделам. На одном уже AVG сыплет сообщениями об троянах. Я так думаю, вскоре компы опять придут мне на лечение в "первоначальном состоянии".
Порнобаннер требовал прислать
SMS 35303414
на номер 5121.
-
Junior Member
- Вес репутации
- 51
Сообщение от
Poll_Potolkov
Я так думаю, вскоре компы опять придут мне на лечение в "первоначальном состоянии".
Заблокировались программы - при попытке запуска выпадает таблица: "Отказано в доступе к файлу!". При загрузке системы выскакивает диспетчер установки оборудования, предлагает поставить новое устройство. Новых устройств в систему не ставилось. На диске С: появилась новая папка с именем "8382964512760cf5704a5a27", внутри - папки с файлами, похожими на дистрибутив драйверов. Копировать папку или стереть ее система не позволяет с тем же сообщением. В обычном и безопасном режиме.
Прогнал в безопасном режиме AVZ - найдена куча перехватчиков API.
Прогнал HiJackThis - сохранил лог, после чего потер из реестра все, что показалось ненужным.
После чего в обычном режиме начали запускаться программы и перестал запускаться диспетчер оборудования с предложением установить новое устройство.
Логи HiJackThis и AVZ прилагаю.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
В безопасном режиме приложение вылетает с ошибкой, антивирус был выгружен. Исправление имени файла на "combo-fix.exe" не помогло. Прилагаю краш-репорт приложения в безопасном режиме. После перезагрузки в обычный режим приложение так же не запускается.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
thyrex
Outpost временно удалите
Удалил. Не помогло. На всякий случай удалил еще и AVG. Не помогло. Теперь при попытке поставить обратно AVG его установка прерывается с ошибкой "Не могу расставить флаги".
Прилагаю лог Combofix.exe, лог avg_free_stf_eu_90_819a2842.exe весит под 7 мегов.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
thyrex
Это не лог работы Combofix, это его крэш-репорт, приложение по прежнему не запускалось.
Сделал. Лог прилагаю.
-
Лог в порядке. Что сейчас с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
thyrex
Лог в порядке. Что сейчас с проблемой?
Проблема решена. Для установки AVG потребовалось скачать Микрософтовскую утилиту vcredist_x86.exe, после выполнения которой приложения стали нормально устанавливаться.
Спасибо!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения вредоносные программы в карантинах не обнаружены
-