Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Вирус на Windows 7, поражающий графическую подсистему (http://forum.oszone.net/showthread.php?t=221985)

reise 02-12-2011 07:52 1807760
Вирус на Windows 7, поражающий графическую подсистему
 
Вложений: 2
Пользуюсь Debian'ом, на VirtualBox стоит Win7 только для экзотических программ. Умудрился подцепить странный вирус, который угробил графическую подсистему - экран использует ограниченную цветовую палитру, в связи с чем получаю такую картину:
http://s59.radikal.ru/i166/1112/a2/fe2c8eec9fc2.png
Прогнал нодом с новыми базами, cureit'ом - что-то понаходило (кто бы сомневался :)) но после перезагрузки та же картина.

Куда копать, как избавится от вируса?
Переустанавливать виндовс не вариант, работает много нужного софта, привязанного лицензиями к именно к этому виндовсу.
П.С. То, что это именно вирус - сомнений нет, потому что во-первых виндовс стоит на виртуальной машине и с графикой в линуксе все в порядке, во-вторых сабж возник мгновенно после активного юзания ИЕ.

Буду благодарен любым советам по решению проблемы.

SolarSpark 02-12-2011 08:28 1807769
логи?

okshef 02-12-2011 08:31 1807770
reise, скриншот под спойлер уберите (тэг скрытого текста) или оставьте только ссылку. Почему?
Правила - п.3.9

reise 02-12-2011 08:56 1807780
SolarSpark, какиу нужны логи?
okshef, сделал, спасибо.

SolarSpark 02-12-2011 08:59 1807784
Выполните рекомендации полученные логи: virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt прикрепите к своей теме.

У вас повтор темы на киберфоруме, выберете форум для лечения

reise 02-12-2011 09:07 1807789
Цитата:
Цитата SolarSpark
Выполните рекомендации полученные логи: virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt прикрепите к своей теме. »
Ок, сейчас этим займусь.

Цитата:
Цитата SolarSpark
У вас повтор темы на киберфоруме, выберете форум для лечения »
Да, я в курсе. А что это запрещено? Я создал на нескольких форумах в надежде, что хоть где-то помогут.

reise 02-12-2011 10:08 1807830
Вложений: 2
Цитата:
Диагностика 1. Запустите RSIT, выберите проверку файлов за последние три месяца и нажмите Продолжить (подробнее) После чего программа автоматически скачает утилиту HijackThis из сети интернет и создаст два лога log.txt и info.txt. По умолчанию они сохраняются в одноименной папке (RSIT) в корне системного диска.
Это уже сделал, прикрепляю логи и продолжаю...

reise 02-12-2011 10:55 1807850
Цитата:
2.1 Запустите AVZ, выберите в меню "Файл"=>"Стандартные скрипты" и поставьте галочку напротив скрипта №3. Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip.
Этот пункт выполнил, прикрепляю лог.

reise 02-12-2011 11:18 1807862
Цитата:
2.2 После перезагрузки снова запустите AVZ, выберите в меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив скрипта №2. Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscheck.zip.
И это выполнил. Прикрепляю лог.

reise 02-12-2011 11:20 1807863
Все логи готовы, надеюсь на помощь. Заранее спасибо.

SolarSpark 02-12-2011 11:42 1807872
VirtualBox предоставляет возможность делать снимки состояния системы, то есть точки восстановления. Вы такие делали? Откат пробовали?
никаких супер программ с привязкой к лицензии я не вижу))

Обновите Internet Explorer до IE9

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\Temp\TS_1628.tmp','');
 QuarantineFile('C:\Windows\Temp\TS_FA2C.tmp','');
 DeleteFile('C:\Windows\Temp\TS_1628.tmp');
 DeleteFile('C:\Windows\Temp\TS_FA2C.tmp');
ExecuteWizard('SCU',2,3,true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!


Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."


Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

reise 02-12-2011 12:14 1807892
Цитата:
Цитата SolarSpark
VirtualBox предоставляет возможность делать снимки состояния системы, то есть точки восстановления. Вы такие делали? »
Нет. Даже не знал об этом, не заморачивался с этим.

Цитата:
Цитата SolarSpark
никаких супер программ с привязкой к лицензии я не вижу)) »
это сео-софт: keycollector, content-downloader, jako dorgen pro, allsubmitter, trafficweb, page-weight и т.д.

Цитата:
Цитата SolarSpark
Обновите Internet Explorer до IE9 »
ок, сделаю

Цитата:
Цитата SolarSpark
Отключите:
Антивирус/Файерволл
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить. »
ок, пошел делать.

Цитата:
Цитата SolarSpark
После выполнения скрипта компьютер перезагрузится! »
Скрипт не помог, единственное, что заметил компьютер относительно долго (минуты 2) остановился при перезагрузки на в том месте, где показывается логотип виндовс с надписью "запуск windows" - кстати в этот момент с цветами было все ок, градиенты были нормальные, а потом показался рабочий стол - и опять та же проблема - несколько цветов. Я честно говоря даже не знаю, где в windows 7 посмотреть сколько цветов отображается :)
Но явно мало - наверно не больше чем 256 :)

Techno88 02-12-2011 12:35 1807906
Цитата:
Цитата reise
Я честно говоря даже не знаю, где в windows 7 посмотреть сколько цветов отображается »
Правой кнопкой по рабочему столу->"Разрешение экрана"->"дополнительные параметры"->вкладка "Монитор"

reise 02-12-2011 12:37 1807907
Цитата:
Цитата Techno88
Правой кнопкой по рабочему столу->"Разрешение экрана"->"дополнительные параметры"->вкладка "Монитор" »
Да, я угадал :)
Качество цветопередачи 256 цветов :)

Techno88 02-12-2011 12:39 1807910
Цитата:
Цитата reise
Качество цветопередачи 256 цветов »
А другое выбрать никак?)))

reise 02-12-2011 12:42 1807912
Вот сделал скриншот при загрузке - там все нормально с градиентами.
http://i078.radikal.ru/1112/8e/d5b5faec746a.png

Цитата:
Цитата Techno88
А другое выбрать никак?))) »
никак (((
В списке только 1 пункт - 256 цветов.

Techno88 02-12-2011 12:44 1807915
Драйвера то стоят? Попробуйте переустановить если стоят.

SolarSpark 02-12-2011 13:02 1807928
reise, мы вообще то не лечим виртуалки, потому как делается откат на снимок до проблемы и все приходит в норму..
на вашей системе я не вижу активного вирусного заражения.
Techno88 прав, скорее всего, дело в драйверах

reise 02-12-2011 13:04 1807930
Цитата:
Цитата Techno88
Драйвера то стоят? Попробуйте переустановить если стоят. »
А их там и не надо. Это же виртуальная машина, все что было надо установилось по умолчанию и работало в нормальной цветовой гамме (32-битной) на протяжении уже нескольких месяцев без глюков.
Да и какие там драйвера, если там по умолчанию виртуальный адаптер VirtualBox Graphics Adapter.

Цитата:
Цитата SolarSpark
мы вообще то не лечим виртуалки »
А что разве есть какое-то принципиальное отличие?

Цитата:
Цитата SolarSpark
потому как делается откат на снимок до проблемы и все приходит в норму.. »
к сожалению у меня такого снимка нет.

Цитата:
Цитата SolarSpark
на вашей системе я не вижу активного вирусного заражения. »
а как тогда прокомментировать нормальный скрин во всей красе со всеми градиентами в момент запуска и переключение на 256 цветов сразу после загрузки?
Еще раз показываю скрин в момент загрузки http://i078.radikal.ru/1112/8e/d5b5faec746a.png
А вот скрин сразу после загрузки http://s02.radikal.ru/i175/1112/04/017b73272a9f.png
Что это, если не вирус?

Techno88 02-12-2011 13:36 1807942
Выключите компоненты интеграции, должна будет появиться возможность смены цветовой палитры.

reise 02-12-2011 13:58 1807955
В общем проблема решилась.
Я удалил в диспетчере устройств видеоадаптер и перезагрузил, после перезагрузки стало все нормально с графикой, при этом как и полагается обнаружилось новое устройство, установились драйвера.
Я так предполагаю, что вирус покалечил файлы видео-драйверов, а потом путем всех этих манипуляций был удален. Соответственно после удаления адаптера, ВМ поставила заново свой драйвер и все стало ОК.
Спасибо всем за помощь.

reise 02-12-2011 14:29 1807972
Кстати точно неизвестно это ли именно помогло решить проблему. Потому что винда предложила обновления, я подтвердил, они скачались, потом я удалил видеоадаптер и только тогда перезагрузил, после чего стало все ок.

reise 02-12-2011 14:34 1807977
Вложений: 1
Прикрепляю скрин журнала обновлений, заметьте там есть интересное дополнение:
Цитата:
Средство удаления вредоносных программ: ноябрь 2011 г. (KB890830)

Дата установки: ‎02.‎12.‎2011 10:47

Состояние установки: Успех

Способ обновления: Важное

После загрузки это средство запускается один раз для проверки, не заражен ли компьютер некоторыми известными программами злоумышленников (включая Blaster, Sasser и Mydoom), и для удаления всех обнаруженных вредоносных программ. Если вредоносная программа обнаружена, средство выдаст отчет о состоянии при следующем запуске компьютера. Новая версия этого средства будет предлагаться каждый месяц. Если требуется запустить это средство на компьютере вручную, можно загрузить копию из центра загрузки Microsoft или запустить интерактивную версию с веб-узла microsoft.com. Это средство не заменяет антивирусную программу. Для защиты компьютера следует использовать антивирусную программу.
Может оно почистило какую-то вирусню?

П.С. А как приятно смотрится снова в 32-битной гамме :)

SolarSpark 02-12-2011 15:37 1808028
Цитата:
Цитата reise
сли вредоносная программа обнаружена, средство выдаст отчет о состоянии при следующем запуске компьютера »
сообщение было?)

reise 02-12-2011 22:46 1808305
Цитата:
Цитата SolarSpark
сообщение было?) »
не было )

SolarSpark 03-12-2011 08:01 1808419
значит, не о чем и говорить).
Обновлять систему важно!
В результате самостоятельного вашего лечения утилитой от др. Веба + антивирусом со свежими базами зловреды были удалены. По выложенным логам система чистая. Вирус ли покалечил драйвера или не вирус сейчас уже не понять.
После восстановления драйвера проблема устранена.
Чистого инета!


Время: 12:17.

Время: 12:17.
© OSzone.net 2001-