![]() |
Подозрение на вредоносное ПО
Привет, ребят. Сегодня ночью ОС начала себя немного неадекватно вести, пару раз крешился проводник, не удалялись пустые папки. Утром включаю компьютер, касперский не стартует (internet securtity 2010), при чем на экране приветствия надписи protected by kaspersky lab тоже нету. Один раз автоматом открывался блокнот с первой строкой "This Program Cannot Be Run in DOS Mode", а дальше тонны текста непонятной кодировки. Название открытого файла, увы, не помню. Вместе со стартом рабочего стола появляется ошибка "Ошибка при инициализации приложения" MOM.exe, скриншоты этой и остальных ошибок после старта прилагаю. Безопасный режим не стартует ни в одном из вариантов: проходит загрузка файлов, загрузка SPTD, потом черный экран, ребут и снова загрузка ОС. AVZ так же не запускается. Hosts чистый. Скриншот диспетчера прилагаю, в нем, кстати, время от времени проскакивают непонятные процессы, да и сейчас там висят. Очень рассчитываю на вашу помощь, на жесятках много важных файлов, отточенная под себя система, не хотелось бы терять что-либо.
|
DummyCorp, попробуйте сделать логи полиморфным AVZ
если не получится попытайтесь завершить процесс tonysba.exe и так сделать логи. сделайте лог uVS |
regist, завершил все подозрительные процессы от SYSTEM, кроме одного - ibserver.exe, он запускается сам тут же после его завершения. Полиморфный запустился, простой же, после завершения процессов, начал запускаться, но завершался спустя 2-3 секунды. Спустя ~10 минут работы ОС процесс lsass.exe забирает все ресурсы процессора, а сделать с ним ничего нельзя. Сейчас сделаю ребут для драйвера расширенного мониторинга процессов, попробую сделать логи AVZ.
|
просто сделайте логи полиморфным AVZ. с остальным разбёрмся по ходу лечения.
|
regist, попробовал сделать логи AVZ сразу после запуска ОС. Завершить, к сожалению, не удалось. По мере работы AVZ появлялось все больше процессов, а затем lsass.exe начал полностью загружать ЦП, соответственно сканирование стало проходить невозможно медленно.
regist, попробовал сделать лог uVS, аналогично - при длительной проверке цифровых подписей lsass.exe дал о себе знать и все повисло. |
а если в безопасном режиме ? постарайтесь сделать хотя бы стандартный скрипт №2 (он быстрее делается).
+ сделайте лог лог HiJackThis http://forum.oszone.net/thread-177677.html |
В безопасном режиме проверьте утилитой CureIT
|
iskander-k, regist, вот тут-то тоже проблема
Цитата:
|
Цитата:
|
Второй скрипт удалось выполнить, прикрепил файлы.
Сейчас посмотрю с HiJackThis и 10-м пунктом. |
Так-с, не работает ни одна ссылка по загрузке HiJackThis: Невозможно найти удалённый сервер
Есть, скачал с sourceforge.net |
Прикрепляю лог HijackThis
|
DummyCorp, у вас файловый вирус Sality пролечитесь, как указано здесь, а после сделайте новые логи.
на время лечения подключите к компьютеру все флешки и другие съёмные носители чтоб их тоже пролечить. |
regist, Dr. Web LiveCD сделал чуть менее, чем ничего.
Kaspersky Rescue Disk дал некие результаты, проверил системный раздел, секторы загрузки, вылечил около 1000 файлов, но вот беда - системный раздел весит всего-то 10гб, а на его проверку ушла весомая часть времени, как же тогда поступить с зараженным винчестером на 1.5 ТБ? Пары суток не хватит... Сейчас прогоню salitykiller'om от Касперского, но винчестер на полтора ему тоже придется сканировать, не представляю сколько времени это займет. |
Вложений: 1
salitykiller завершил лечение файлов, но проблемы продолжаются. Смог установить касперского, справиться не может, проводит лечение, перезагрузку и опять обнаруживает то, что лечил прошлый раз, хоть и заблокировал доступ вируса к вредоносным файлам в интернете. Вот логи AVZ, лог virusinfo_cure.zip не поместился, вот он:
|
DummyCorp, Ссылку на архив с вирусом отправьте в РМ хэлперу. Из поста удалите.
Цитата:
просканируйте комп Live CD |
iskander-k, лечение livecd от каспера провел
|
DummyCorp, файловый вирус до сих пор активен, пролечитесь ещё раз диском от касперского.
|
Вложений: 2
Эту ночь провел за лечением :3
Есть положительные результаты, активность вирусов, вроде-бы, прекратилась (больше всего дел натворили Sality и Virut, парой работали :D), разблокировался доступ к антивирусным сайтам после работы kaspersky removal tool, прогнал систему salitykiller'oм и virutkiller'ом, обновил базы KIS 2010, прогнал им. Вот новые логи, посмотрите пожалуйста. |
UP: потер еще один файл - nwcwks.dll
|
Выполните скрипт в AVZ
Код:
begin Выполните скрипт в AVZ Код:
begin Сделайте новые логи Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Если лог не открылся, то найти его можно в следующей папке: Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs |
Вложений: 1
thyrex, прикрепляю логи.
ОСь начала себя вести крайне неадекватно, видимо, после "лечения" от каспера, ибо было затронуто много, а точнее, чуть ли не все, системный файлы. Спустя 10-15 минут после старта ОС что-то происходит, теряются почти все пункты из контекстного меню проводника, все exe файлы теряют иконку, а любое действие (даже выключение/перезагрузка) пресекается сообщением о нехватке прав/отказе в доступе/невозможности получить доступ. |
Выполните скрипт в AVZ
Код:
begin Сделайте новые логи |
+ к выше написанному поменяйте пароли, один из файлов который попал в карантин Зловред Trojan.PWS.Spy.12768
|
+ + Когда лечение будет завершено :)
|
Вложений: 1
Так-с, снова были проблемы, как оказалось, каспер кинул дочерние приложения explorer.exe в недоверенные, в связи с чем все крэшилось спустя 1-2 минуты работы ОС (ох у намучился, пока выяснил). Теперь все окей, симптомов нет, системные файлы восстановил. Обновляю логи:
|
Остальные логи где?
|
Вложений: 1
thyrex, следует сделать что-то кроме AVZ? Прикрепляю RSIT.
|
Пофиксите в HiJack
Код:
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file) |
Время: 13:26. |
Время: 13:26.
© OSzone.net 2001-