Показано с 1 по 13 из 13.

Помогите! Подозрение на Руткит, bsod на mrxdav.sys (заявка № 90340)

  1. #1
    Junior Member Репутация
    Регистрация
    21.10.2010
    Сообщений
    9
    Вес репутации
    27

    Помогите! Подозрение на Руткит, bsod на mrxdav.sys

    Здравствуйте. Все началось с зависания машины XP SP2, после перезагрузки машина загружается до экрана приветствия и уходит в bsod на файле mrxdav.sys . При этом в безопасном режиме машина загружается. Отключив службу "веб-клиент" удалось загрузиться в нормальном режиме, но появились сообщения о критических ошибках программ, также машина отвалилась от сети. AVZ, Symantec, Drweb ничего не нашли. Переставил систему (попробовал поставить XP SP3), думал все... не тут-то было, после очередной перезагрузки опять bsod на том же файле. Логи при отключенном "веб-клиенте" прилагаются.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    21.10.2010
    Сообщений
    9
    Вес репутации
    27
    Забыл прикрепить еще один файлик

  4. #3
    Junior Member Репутация
    Регистрация
    21.10.2010
    Сообщений
    9
    Вес репутации
    27
    В сетке уже 5 машин с одинаковыми симптомами....

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    для начала установите http://www.microsoft.com/downloads/d...displayLang=ru

  6. #5
    Junior Member Репутация
    Регистрация
    21.10.2010
    Сообщений
    9
    Вес репутации
    27
    Дыру закрыл, как вирус вычищать? :-))) Хотя бы знать где он...

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DelBHO('{0010BB0C-2F85-46C3-B06A-0F87BB08646C}');
     DeleteFile('.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новые логи

    Проверьтесь TDSS-killer (ссылка в подписи) и предоставьте лог
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    21.10.2010
    Сообщений
    9
    Вес репутации
    27
    :-))) После выполнения скрипта, машина стоит на окне выбора пользователя... с одной фразой. домена (имя машины) не существует...

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Скрипт к этому точно не мог привести
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    21.10.2010
    Сообщений
    9
    Вес репутации
    27
    Значит это ещё один симптом вируса. Запустил скрипт на двух машинах, обе машины стали одинаково работать, даже в безопасном режиме, "домена (имя машины) не существует". Количество инфицированных машин стало 7. Проверял касперским 7 версии, с новыми базами, (снимал винт и цеплял к другой машине) ничего не было обнаружено.
    Что дальше то делать? привести логи больше не могу, так как машины не грузятся, а с LiveCD не информативно... TDSS-киллер ничего не обнаружил.

    Добавлено через 8 минут

    Для решения проблемы возможно выложить сюда логи с других таких же инфицированных машин.
    Последний раз редактировалось vasiliyd; 25.10.2010 в 15:46. Причина: Добавлено

  11. #10
    Junior Member Репутация
    Регистрация
    21.10.2010
    Сообщений
    9
    Вес репутации
    27
    Машин стало 9, каспер 11 ничего не нашёл...
    Так что дальше то делать?

    Добавлено через 37 минут

    Ещё один симптом, на заражённых машинах при вызове диспетчера задач выскакивает окно с ошибкой 0x0000017.
    Последний раз редактировалось vasiliyd; 28.10.2010 в 07:34. Причина: Добавлено

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    Цитата Сообщение от thyrex Посмотреть сообщение
    ...
    Проверьтесь TDSS-killer (ссылка в подписи) и предоставьте лог
    и ???

  13. #12
    Junior Member Репутация
    Регистрация
    21.10.2010
    Сообщений
    9
    Вес репутации
    27
    да чисто всё, угроз не обнаруженно

    Добавлено через 3 минуты

    Ещё обнаружил странную проблему, при входе в систему при попытке запустить msconfig, диспетчер задач, regedit ... выкидывает ошибки типа не хватает квот, или ошибка приложения, или ошибка системы
    Последний раз редактировалось vasiliyd; 28.10.2010 в 13:46. Причина: Добавлено

  14. #13
    Junior Member Репутация
    Регистрация
    21.10.2010
    Сообщений
    9
    Вес репутации
    27
    Это логи TDSS только с другой машины

  • Уважаемый(ая) vasiliyd, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Подозрение на вирус: DR.Web Scanner валится в BSOD
      От ravgrey в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 20.01.2012, 13:26
    2. помогите подозрение на руткит
      От VladimirShumanov в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 07.01.2012, 19:50
    3. Ответов: 8
      Последнее сообщение: 24.10.2011, 07:17
    4. Помогите почистится, подозрение на руткит
      От semen20100922 в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 28.10.2010, 21:56
    5. Ответов: 10
      Последнее сообщение: 22.02.2009, 04:00

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00738 seconds with 16 queries