Перейти к содержимому


Фото
- - - - -

Win32.hllw.shadow.based.

Автор Lamazz , янв 21 2009 19:00

  • Please log in to reply
82 ответов в этой теме

#41 Darsky

Darsky

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 27 Январь 2009 - 16:25

Ребята, вот спросить хотел.

у меня в сети из 5 компьютеров 4 компа были инфицированы дней 10 назад (на одном, где стоит серврер 2003 вирус обнаружен небыл), вирус удалил, но остался некий глюк..: несколько раз в день компьютеры зависают, а именно, не запускаються никакие программы, панель задач вообще не реагирует, в диспетчере задач Windows показывает нагрузку ЦП 100%, а именно, процесс SYSTEM грузит ЦП,..Завершить работу системы не получается, спасает только кнопка reset. Много кратно проверял систему снова и снова, никаких следов вируса даже нет... но что же тогда так грузит систему?.. что за "последсвия" остались?.. до инфицирования Win32.hllw.shadow.based такого небыло,


Хм... Заплатки последние установлены? Попробуйте отключить один из компов с "последствиями" от сети и посмотреть, будет ли возникать эта проблема.


заплатки не ставил, но от сети отключал, происходило тоже самое, - машина висела полностью,

#42 b0b0

b0b0

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 27 Январь 2009 - 19:39

Ты еще здесь расскажи что нет вирусов которые умеют менять содержимое BIOS
и здесь все тоже поймут что ты неучь

Как это возможно, если БИОС это ROM - Read Only Memory. Память только для считывания. Её невозможно перезаписать.

#43 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 27 Январь 2009 - 19:54

Ты еще здесь расскажи что нет вирусов которые умеют менять содержимое BIOS
и здесь все тоже поймут что ты неучь

Как это возможно, если БИОС это ROM - Read Only Memory. Память только для считывания. Её невозможно перезаписать.


Учим матчасть: BIOS - микросхема Flash-памяти. Сейчас постепенно идет переход на FWH-чипы, но обычные "параллельные" еще можно встретить. Независимо от этого Flash-память может быть перезаписана. C FWH работать сложнее, с параллельными - проще. Описание принципов записи во Flash-память можно прочитать например в этом даташите http://www.alldatasheet.com/datasheet-pdf/...9F001-55JC.html
У других микрух отличается разбивка на блоки, идентификационные коды и прочие не столь важные параметры. Если уж вы совсем не верите - поищите у себя на материнке BIOS, и поищите даташиты на него, там все будет подробно описано (если, конечно, не FWH).

Личный сайт по Энкодерам - http://vmartyanov.ru/

#44 b0b0

b0b0

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 27 Январь 2009 - 20:07

Не, у меня не FWH. Комп древнейший. Ладно, не будем оффтопить. Тема про биосы тут
http://forum.drweb.com/index.php?showtopic...mp;#entry283646

#45 vet235

vet235

    Newbie

  • Posters
  • 17 Сообщений:

Отправлено 29 Январь 2009 - 18:25

После лечения курейтом в корне диска С все равно появляются какие то странные файлы с расширением dat.
Кроме того как были заблокированы не которые сайты так и остались. Не могу скачать обновление с microsoft , а www.eset.com по прежнему выдает что у него IP 127.0.0.1 и естественно не грузится.
И КАК ЭТО ВОССТАНОВИТЬ?!
Пробывал последнюю удачную конфигурацию реестра но все так и осталось.
По-моему этот вирус там так по прежнему и остался!

#46 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 29 Январь 2009 - 18:33

По-моему этот вирус там так по прежнему и остался!

КуреИтом сканировали? Покажите экспорт ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost интересует список служб в параметре "netsvcs".
С уважением,
Борис А. Чертенко aka Borka.

#47 vet235

vet235

    Newbie

  • Posters
  • 17 Сообщений:

Отправлено 29 Январь 2009 - 18:45

По-моему этот вирус там так по прежнему и остался!

КуреИтом сканировали? Покажите экспорт ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost интересует список служб в параметре "netsvcs".

Да


По умолчанию REG_SZ значение не присвоено
AuthenticationCapabilites REG_DWORD 0x00003020 (12320)
ColnitializeSecurituParam REG_DWORD 0x00000001 (1)

#48 userr

userr

    Newbie

  • Members
  • 16 310 Сообщений:

Отправлено 29 Январь 2009 - 19:22

По-моему этот вирус там так по прежнему и остался!

Сделайте, пожалуйста, логи по правилам этого раздела http://forum.drweb.com/index.php?showtopic=276590 пункт Собственно, если вирус

#49 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 29 Январь 2009 - 19:46

По-моему этот вирус там так по прежнему и остался!

КуреИтом сканировали? Покажите экспорт ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost интересует список служб в параметре "netsvcs".

По умолчанию REG_SZ значение не присвоено
AuthenticationCapabilites REG_DWORD 0x00003020 (12320)
ColnitializeSecurituParam REG_DWORD 0x00000001 (1)

Это не то. Вы показываете ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\netsvcs, а я просил параметр. Это значит, что нужно встать курсором в левом окне на "Svchost", а в правом будет параметр "netsvcs". Вот содержимое и интересует.
С уважением,
Борис А. Чертенко aka Borka.

#50 vet235

vet235

    Newbie

  • Posters
  • 17 Сообщений:

Отправлено 29 Январь 2009 - 20:02

По-моему этот вирус там так по прежнему и остался!

КуреИтом сканировали? Покажите экспорт ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost интересует список служб в параметре "netsvcs".

По умолчанию REG_SZ значение не присвоено
AuthenticationCapabilites REG_DWORD 0x00003020 (12320)
ColnitializeSecurituParam REG_DWORD 0x00000001 (1)

Это не то. Вы показываете ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\netsvcs, а я просил параметр. Это значит, что нужно встать курсором в левом окне на "Svchost", а в правом будет параметр "netsvcs". Вот содержимое и интересует.



Ну тогда
REG_MULTI_SZ 6to4 AppMgmt AudioSrv Brouser CryptSvc DMServer DHCP ERSvc EventSystem FastUserSwitching0
Это?

#51 vet235

vet235

    Newbie

  • Posters
  • 17 Сообщений:

Отправлено 29 Январь 2009 - 20:07

По-моему этот вирус там так по прежнему и остался!

Сделайте, пожалуйста, логи по правилам этого раздела http://forum.drweb.com/index.php?showtopic=276590 пункт Собственно, если вирус


А я куреит не из с:/test запускал и там лог файла нет.
Он неизлечимое удалил и все. Вроде как чисто.

#52 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 29 Январь 2009 - 20:16

По-моему этот вирус там так по прежнему и остался!

КуреИтом сканировали? Покажите экспорт ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost интересует список служб в параметре "netsvcs".

По умолчанию REG_SZ значение не присвоено
AuthenticationCapabilites REG_DWORD 0x00003020 (12320)
ColnitializeSecurituParam REG_DWORD 0x00000001 (1)

Это не то. Вы показываете ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\netsvcs, а я просил параметр. Это значит, что нужно встать курсором в левом окне на "Svchost", а в правом будет параметр "netsvcs". Вот содержимое и интересует.

Ну тогда
REG_MULTI_SZ 6to4 AppMgmt AudioSrv Brouser CryptSvc DMServer DHCP ERSvc EventSystem FastUserSwitching0
Это?

Ага. И это все? Что-то маловато...
С уважением,
Борис А. Чертенко aka Borka.

#53 userr

userr

    Newbie

  • Members
  • 16 310 Сообщений:

Отправлено 29 Январь 2009 - 20:20

Сделайте, пожалуйста, логи по правилам этого раздела http://forum.drweb.com/index.php?showtopic=276590 пункт Собственно, если вирус

А я куреит не из с:/test запускал и там лог файла нет.
Он неизлечимое удалил и все. Вроде как чисто.

Сделайте, пожалуйста, логи по правилам этого раздела http://forum.drweb.com/index.php?showtopic=276590 пункт Собственно, если вирус

#54 vet235

vet235

    Newbie

  • Posters
  • 17 Сообщений:

Отправлено 29 Январь 2009 - 20:41

По-моему этот вирус там так по прежнему и остался!

КуреИтом сканировали? Покажите экспорт ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost интересует список служб в параметре "netsvcs".

По умолчанию REG_SZ значение не присвоено
AuthenticationCapabilites REG_DWORD 0x00003020 (12320)
ColnitializeSecurituParam REG_DWORD 0x00000001 (1)

Это не то. Вы показываете ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\netsvcs, а я просил параметр. Это значит, что нужно встать курсором в левом окне на "Svchost", а в правом будет параметр "netsvcs". Вот содержимое и интересует.

Ну тогда
REG_MULTI_SZ 6to4 AppMgmt AudioSrv Brouser CryptSvc DMServer DHCP ERSvc EventSystem FastUserSwitching0
Это?

Ага. И это все? Что-то маловато...


6to4
AppMgmt
AudioSrv
Browser
CryptSvc
DMServer
DHCP
ERSvc
EventSystem
FastUserSwitchingCompatibility
HidServ
Ias
Iprip
Irmon
LanmanServer
LanmanWorkstation
Messenger
Netman
Nla
Ntmssvc
NWCWorkstation
Nwsapagent
Rasauto
Rasman
Remoteaccess
Schedule
Seclogon
SENS
Sharedaccess
SRService
Tapisrv
Themes
TrkWks
W32Time
WZCSVC
Wmi
WmdmPmSp
winmgmt
wscsvc
xmlprov
BITS
wuauserv
ShellHWDetection
helpsvc
WmdmPmSN
napagent
hkmsvc

вот остальное

#55 Helper

Helper

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 29 Январь 2009 - 21:56

Если актуально - найти файлик
C:\Windows\system32\drivers\etc\hosts и вычестить его содержимое.

#56 userr

userr

    Newbie

  • Members
  • 16 310 Сообщений:

Отправлено 29 Январь 2009 - 22:19

Вот логи куреита.

А остальные логи (HijackThis и RkU) где? Лог cureit просили в архиве.

#57 vet235

vet235

    Newbie

  • Posters
  • 17 Сообщений:

Отправлено 29 Январь 2009 - 22:22

Если актуально - найти файлик
C:\Windows\system32\drivers\etc\hosts и вычестить его содержимое.



Не помогло.

#58 vet235

vet235

    Newbie

  • Posters
  • 17 Сообщений:

Отправлено 29 Январь 2009 - 22:42

Вот логи куреита.

А остальные логи (HijackThis и RkU) где? Лог cureit просили в архиве.


Вот все 3 лога в одном архиве

Прикрепленные файлы:

  • Прикрепленный файл  report.rar   60,63К   40 Скачано раз

#59 userr

userr

    Newbie

  • Members
  • 16 310 Сообщений:

Отправлено 29 Январь 2009 - 22:50

Вот логи куреита.

Расскажите о своих попытках установить антивирусы. У Вас стоит НОД, кроме того, элементы от drweb 4.44
Процесс в памяти: D:\Program Files\DrWeb\DRWEBSCD.EXE:1504 - OK
элементы от drweb 5.0 и следы от установки ?
Процесс в памяти: C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe:1988 - OK
C:\Documents and Settings\User\Local Settings\Temp\{2BD3661D-1384-4EF4-9E5C-DFDB8EE6E3EA}\spideragent_set.exe - OK
C:\DOCUME~1\User\LOCALS~1\Temp\drweb5-setup.log - OK
что-то от Симантека
[Проверяемый путь] c:\documents and settings\all users\application data\norton\norton2009reset.exe
Вы знаете, что нельзя устанавливать 2 и более "полных" АВ? Предупреждение при установке drweb 5.0 видели?

c:\windows\system32\drivers\gaopdxoxstowyk.sys - видите у себя такой файл? Посмотрите свойства, проверьте на http://www.virustotal.com/

#60 vet235

vet235

    Newbie

  • Posters
  • 17 Сообщений:

Отправлено 29 Январь 2009 - 23:00

Вот логи куреита.

Расскажите о своих попытках установить антивирусы. У Вас стоит НОД, кроме того, элементы от drweb 4.44
Процесс в памяти: D:\Program Files\DrWeb\DRWEBSCD.EXE:1504 - OK
элементы от drweb 5.0 и следы от установки ?
Процесс в памяти: C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe:1988 - OK
C:\Documents and Settings\User\Local Settings\Temp\{2BD3661D-1384-4EF4-9E5C-DFDB8EE6E3EA}\spideragent_set.exe - OK
C:\DOCUME~1\User\LOCALS~1\Temp\drweb5-setup.log - OK
что-то от Симантека
[Проверяемый путь] c:\documents and settings\all users\application data\norton\norton2009reset.exe
Вы знаете, что нельзя устанавливать 2 и более "полных" АВ? Предупреждение при установке drweb 5.0 видели?

c:\windows\system32\drivers\gaopdxoxstowyk.sys - видите у себя такой файл? Посмотрите свойства, проверьте на http://www.virustotal.com/



------------
Я же их ставил не одновременно а сносил по очереди.
Drweb похоже не определил здесь вирусы
И чем их убирать?

АнтивирусВерсияОбновлениеРезультатa-squared4.0.0.932009.01.29-
AhnLab-V35.0.0.22009.01.29-
AntiVir7.9.0.602009.01.29TR/Rootkit.Gen
Authentium5.1.0.42009.01.29-
Avast4.8.1281.02009.01.29Win32:FaRoot
AVG8.0.0.2292009.01.29Rootkit-Agent.CT
BitDefender7.22009.01.29Gen:Rootkit.Heur
CAT-QuickHeal10.002009.01.29-
ClamAV0.94.12009.01.29-
Comodo9522009.01.29-
DrWeb4.44.0.091702009.01.29-
eSafe7.0.17.02009.01.29Suspicious File
eTrust-Vet31.6.63332009.01.29Win32/Alureon!generic
F-Prot4.4.4.562009.01.29W32/Alureon.D.gen!Eldorado
F-Secure8.0.14470.02009.01.29-
Fortinet3.117.0.02009.01.29-
GData192009.01.29Gen:Rootkit.Heur
IkarusT3.1.1.45.02009.01.29-
K7AntiVirus7.10.6092009.01.29-
Kaspersky7.0.0.1252009.01.29-
McAfee55102009.01.29-McAfee+Artemis55102009.01.29-
Microsoft1.42052009.01.29Trojan:WinNT/Alureon.C
NOD3238112009.01.29
-Norman6.00.022009.01.29-
nProtect2009.1.8.02009.01.29
-Panda9.5.1.22009.01.29-
PCTools4.4.2.02009.01.29
-Prevx1V22009.01.29-
Rising21.13.42.002009.01.23
-SecureWeb-Gateway6.7.62009.01.29Trojan.Rootkit.Gen
Sophos4.38.02009.01.29Mal/Alureon-A
Sunbelt3.2.1835.22009.01.16
-Symantec102009.01.29-
TheHacker6.3.1.5.2322009.01.29
-TrendMicro8.700.0.10042009.01.29-
VBA323.12.8.112009.01.29
-ViRobot2009.1.29.15802009.01.29-
VirusBuster4.5.11.02009.01.29Rootkit.Alureon.Gen!Pac.2
Назад к Помощь по лечению
  1. Dr.Web forum
  2. Русские форумы
  3. Антивирусная лаборатория
  4. Помощь по лечению
  5. Privacy Policy
  6. Terms & Rules ·