Показано с 1 по 14 из 14.

Неизвестное устройство как повод суицида (заявка № 9525)

  1. #1
    Junior Member Репутация
    Регистрация
    07.10.2006
    Сообщений
    40
    Вес репутации
    41

    Thumbs up Неизвестное устройство как повод суицида

    Предистория (читать не обязательно)
    Поймал на одном нехорошем сайтене скажу каком кучу всякой заразы. (антивируса штатного нет, монитора нет, как то оно раньше и не нужно было... обновления виндовые качаются, файрвол - виндовый брендмауер) есть сторож реестра. Строж реестра нашёл 7 строчек в разделах автозапуска, на самом деле думаю было больше. Попытался быстро отрубить Инет и вычистить всё ручками. Вычистил много, но увы, сделал только хуже. Комп стал полуживой. Запускался в 10-20 раз медленнее,при запуске находит какое то неизвестное устройство без роду без племени, Инет отвалился (надежда на помощь в вирус-инфо пропала), звуковуха отвалилась, что-то ещё там отвалилось, уже и не помню... на панели задач собственно самих задач то и нету. AVZ свой список процессов не показывает - виснет. В защищенном режиме та же фигня. Похоже эта хрень жила где-то на уровне системных служб и драйверов. Были некоторые странные левые службы с англоязычными названиями.
    Мучался, мучался, отнёс на работу. Лечил там на чистой машине Cureit-м. Принёс домой, всё равно комп полуживой. Поставил заново винду. 3-4 часа развлечения... Установка помогла.. ровно до первой обычной перезагрузки. Через перезагрузку все прелести вернулись. Мля... Махнул рукой.

    История (можно уже читать)
    Решил поставить винду заново на новом диске (давно пора уже было...купил на Савёлове новый диск). Поставил. Подключил Инет.
    Итак имеем WinXP SP2 + IDE driver + Sound driver. Обновления видовые скачались (вроде все), проверка подлинности была послана вдаль. Всё. Больше ничего пока не ставил. Брендмауэр включён. Озаботился наконец вопросами безопасности. Стал читать умные слова. По шпаргалке на сайте провайдера снёс MS файловые службы и DCOM из-за их дырявости. Ну думаю всё... ща всё аккуратно сделаю и заживу как белый человек. Поставлю себе фаервол, Оперу (ну к лешему этот IE с его дырами). Мда... Любопытство и "хочу всё знать" про дыры в DCOM и про популярные виды атак завели на сайт hackzona.ru. Похоже словил каую то хрень на этом милом сайте. В общем IE заблокировал авто-загрузку какого то файла, но видно как то криво, похоже что-то просочилось. После очередной перезагрузки было "найдено" неизвестное устройство

    Итак, видимые симптомы:
    • Неизвестное устройство в диспетчере устройств без имени и прочих атрибуров. Видна хочет при загрузке найти драйвера для него. На вкладке Сведения видим параметр Код экземпляра устройства=ROOT\LEGACY_AVZRK\0000. Глаз зацепился за "AVZ". Хм...
    • В процессах иногда появляются по непонятным причинам mcc.exe, msdtc.exe, dllhost.exe, хотя никаких видимых окон консолей не наблюдается.
    • Во время загрузки и завершения работы появились небольшие паузы (хотя возможно просто параноя)
    • Когда я написал это письмо до этой строчки (в окне формы на сайте вирус-инфо) текст письма был странным образом уничтожен. Это второй вариант письма. Поймать бы гниду и...
    • (Возможно фигня и параноя) В Program Files есть три пустые папки microsoft frontpage\version3.0\bin, xerox\nwwia, msn gaming zone\windows которы не хотят никак удалятся - заняты какими то процессами.

    Из-за гигантского слива времени в унитаз у меня выпал один важный проект... Хочется уже вешаться. Поможите люди добрые.
    Вложения Вложения
    Последний раз редактировалось A4'; 06.05.2007 в 22:09.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    В логах чисто. Активного заражения нет.

  4. #3
    Junior Member Репутация
    Регистрация
    07.10.2006
    Сообщений
    40
    Вес репутации
    41
    Что же тогда происходит? Есть хоть какая то версия? Может быть у меня просто проблемы с железом? Как это проверить и отсечь? Если это был троян... мог он уйти и скрыть следы своего присутствия?

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Бывают самоудалющиеся трояны, но это скорее относиться к пинчу.
    Может быть руткит, который тщательно скрывается, но скорее всего это или проблемы с железом, или последствия криво удаленных вирусов (скорее всего именно этот вариант).

  6. #5
    Junior Member Репутация
    Регистрация
    07.10.2006
    Сообщений
    40
    Вес репутации
    41
    Цитата Сообщение от MaXim Посмотреть сообщение
    Бывают самоудалющиеся трояны, но это скорее относиться к пинчу.
    Может быть руткит, который тщательно скрывается, но скорее всего это или проблемы с железом, или последствия криво удаленных вирусов (скорее всего именно этот вариант).
    Нет никаких криво удалённых вирусов. Всё ставилось на отформатированный диск, заражённый диск лежит в сторонке до него дело ещё не дошло. Куды ж бечь то? Значит бояться пока нечего? Можно попробовать удалить это устройство и расслабиться?

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Попробуйте удалить и вспомнить, все ли Вы драйвера поставили. Логи ну просто очень чистые.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от A4' Посмотреть сообщение
    Сведения видим параметр Код экземпляра устройства=ROOT\LEGACY_AVZRK\0000.
    Дурная у меня привычка - к словам цепляться. Вот опять цепочку символов в гугле задал : http://virusinfo.info/showthread.php?p=107006

  9. #8
    Junior Member Репутация
    Регистрация
    07.10.2006
    Сообщений
    40
    Вес репутации
    41
    Удалил. Перезагруз. Всё тихо. Нет больше неизвестных устройств.
    Хм... А не могло это быть попыткой атаки? Схема такая: как то добавляем строчку в файл Hosts подменяющую winupdate, потом каким то споособом "создаём" левое устройство, виндовс инсталер лезет на липовый winupdate и ловит там заразу. Или это слишком сложно?

    Ща буду уже фаерволл ставить. Хватит с меня приключений...

    Если у меня стоял (и ушёл) троян, то чего мне следует бояться? Он скорее всего знает мои пароли. Но что это ему даст? Зайти на мой комп он вроде бы не сможет. Или я не прав? DCOM (и удалённый доступ) у меня отрезаны напрочь. Кстати кнопка "Удалённый доступ" с некоторго времени стала заблокированной. Я связал это с блокировкой DCOM. Это так и есть?

  10. #9
    Junior Member Репутация
    Регистрация
    07.10.2006
    Сообщений
    40
    Вес репутации
    41
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Дурная у меня привычка - к словам цепляться. Вот опять цепочку символов в гугле задал : http://virusinfo.info/showthread.php?p=107006
    Угу, вижу. И... собственно что? Как это трактовать? Это баг AVZ? Реакция XP на какие то функции AVZ? Разжуйте плиз если знаете...

    и кстати... а вот это:
    "В процессах иногда появляются по непонятным причинам mcc.exe, msdtc.exe, dllhost.exe, хотя никаких видимых окон консолей не наблюдается."

    мне же это не приснилось. значит что-то было.
    Последний раз редактировалось A4'; 06.05.2007 в 23:32.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Схема такая: как то добавляем строчку в файл Hosts подменяющую winupdate, потом каким то споособом "создаём" левое устройство, виндовс инсталер лезет на липовый winupdate и ловит там заразу. Или это слишком сложно?
    Возможно.
    Если у меня стоял (и ушёл) троян, то чего мне следует бояться?
    Украденных паролей.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1362
    А пароли на аску, почту и т.д.?

  13. #12
    Junior Member Репутация
    Регистрация
    07.10.2006
    Сообщений
    40
    Вес репутации
    41
    Цитата Сообщение от Alex_Goodwin Посмотреть сообщение
    А пароли на аску, почту и т.д.?
    аська всё равно зло =)
    а почта... да он сможет написать несколько писем от моего имени или сменив пароль закрыть мне доступ к ящику. По моему чепуха. Этим не заработаешь. А пароли на почту которые храняться в... (где то в почтовом клиенте) легко ломаются?

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Зависит от клиента.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    936
    Цитата Сообщение от Alex_Goodwin Посмотреть сообщение
    А пароли на аску, почту и т.д.?
    -эти пароли недолго и сменить... а вот если были похищены пароли платёжных систем или номера и коды платёжных карт...
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  • Уважаемый(ая) A4', наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Обнаружено неизвестное устройство
      От Deepforest Elf в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 31.05.2012, 17:49
    2. определяется неизвестное usb-устройство
      От bo4karev в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 05.10.2011, 19:50
    3. Ответов: 3
      Последнее сообщение: 13.10.2010, 07:55
    4. Неизвестное устройство
      От Максут в разделе Аппаратное обеспечение
      Ответов: 4
      Последнее сообщение: 02.02.2009, 17:37
    5. Устанавливает неизвестное устройство
      От Светлая в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 21.11.2008, 07:46

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01440 seconds with 17 queries