Господа!
Есть проблема.
Есть DrWeb ES 5/6
И с недавних пор у клиентов начал выпадать "синий экран" с ошибкой 0x0000008E SCSIPORT.SYS
В безопасный режим также не грузится.
Привести машину в рабочее состояние возможно только с помощью ERD Commander и отключением загрузки драйверов DrWeb'а (dwprot и spider)
После отключения этих драйверов система нормально загружается иработает (не работает только DrWeb)
Пробовал клиентов от ES5 и от ES6 - результат одинаковый (синий экран после перезагрузки).
Пробовал установить персональный DrWeb. Так-же после перезагрузки - "синий экран".
Сначала мне принесли одну такую машину.
Потом ещё две, а сегодня ещё 4!!!
Поставил на машинку AVAST Free...
Он мне сразу показал на RootKit MBR:TDL4
http://www.securelist.com/ru/analysis/208050674/TDSS_TDL_4
Если скопировать MBR в файл, то DrWeb на него реагирует:
[CL,LO] D:\tmp\0.img - infected with BackDoor.Tdss.4005
Как быть в такой ситуации?
Отказываться от DrWeb очень-бы не хотелось...
Stop: 0x0000008e Scsiport.sys
Автор
julay123
, июл 18 2011 12:42
9 ответов в этой теме
#2
Dane
-
- Posters
- 1 630 Сообщений:
Барон
Отправлено 18 Июль 2011 - 12:52
грузитесь с live-cd или с Live-usb и проверяйте машину. Это для начала.
#3
julay123
-
- Posters
- 63 Сообщений:
Newbie
Отправлено 18 Июль 2011 - 12:55
Поставил на машинку AVAST Free...
Он мне сразу показал на RootKit MBR:TDL4
http://www.securelist.com/ru/analysis/208050674/TDSS_TDL_4
Если скопировать MBR в файл, то DrWeb на него реагирует:
[CL,LO] D:\tmp\0.img - infected with BackDoor.Tdss.4005
Вот собственно сам MBR.
Может быть это поможет исправить ситуацию?
0000000000: 33 C0 8E D0 BC 00 7C 8E │ C0 8E D8 BE 00 7C BF 00
0000000010: 06 B9 00 02 FC F3 A4 50 │ 68 1C 06 CB FB 60 B9 47
0000000020: 01 BD 2A 06 D2 4E 00 45 │ E2 FA 44 85 2E 70 1C B8
0000000030: 26 04 08 68 62 40 0E 83 │ 0C A3 3A 81 96 84 F5 12
0000000040: 10 C7 03 21 01 E1 00 37 │ 26 BF B5 C1 37 60 00 A3
0000000050: BF 00 33 E2 88 41 FF D8 │ E8 06 83 4C FF 8E B0 00
0000000060: 7D A8 04 E2 C1 4A 40 CF │ 49 A1 53 02 B0 0C AB B7
0000000070: C2 EA 00 00 00 00 03 1B │ 0C 74 04 04 D8 60 B3 20
0000000080: 02 0E C7 81 4F 80 3E 18 │ F0 08 51 02 CC FF B1 52
0000000090: 10 66 C7 81 8F 80 33 FF │ 6C 98 04 99 F1 60 04 20
00000000A0: CC 40 33 4A C0 C7 40 99 │ 07 1E 40 02 00 4B 12 FA
00000000B0: E8 08 45 85 2E 70 6E 4C │ 75 04 02 AF 8F 80 89 03
00000000C0: 62 FF 98 F6 11 F9 93 1C │ FD C3 BA 3E 51 F8 93 1C
00000000D0: 04 04 00 32 31 7C 54 B6 │ E4 07 44 EB 4E 70 44 36
00000000E0: E4 07 23 BF D9 57 20 A4 │ AD 88 6B BF 78 57 EE 22
00000000F0: 3C 72 04 22 C3 37 40 FA │ 45 08 5D 00 40 F0 B5 78
0000000100: E4 08 87 AD C0 37 40 C4 │ FF FE E1 A2 F1 27 38 00
0000000110: 91 89 E3 A2 B5 27 38 22 │ 1B 72 83 22 F5 27 38 00
0000000120: D3 30 F6 62 F9 A8 6C C9 │ 0E 30 06 91 49 57 D6 85
0000000130: 87 66 98 30 1D F3 FF 06 │ 7C A2 04 D0 88 47 68 99
0000000140: FF 0E 4A 02 CC 38 F0 62 │ 10 00 F5 79 31 DC DD 40
0000000150: 00 BE 54 02 7E 6A 49 BB │ 0B C9 3A 83 20 EC 1C 1B
0000000160: 20 29 F4 40 F9 98 4F 2D │ EA EA E1 1B 8C 27 89 D8
0000000170: 00 72 72 6F 72 20 00 0D │ 0A 00 72 65 73 73 20 61
0000000180: 6E 79 20 6B 65 79 20 74 │ 6F 20 62 6F 6F 74 20 66
0000000190: 72 6F 6D 20 66 6C 6F 70 │ 70 79 2E 2E 2E 00 00 00
00000001A0: 00 00 10 00 01 00 00 7C │ 00 00 00 00 00 00 00 00
00000001B0: 00 00 00 00 00 00 00 00 │ 2F 49 82 3A 00 00 80 01
00000001C0: 01 00 07 FE FF FF 3F 00 │ 00 00 25 B7 D7 0C 00 00
00000001D0: C1 FF 05 FE FF FF 64 B7 │ D7 0C DD 94 60 2D 00 00
00000001E0: 00 00 00 00 00 00 00 00 │ 00 00 00 00 00 00 00 00
00000001F0: 00 00 00 00 00 00 00 00 │ 00 00 00 00 00 00 55 AA
#4
julay123
-
- Posters
- 63 Сообщений:
Newbie
Отправлено 18 Июль 2011 - 12:57
грузитесь с live-cd или с Live-usb и проверяйте машину. Это для начала.
1 + 2 + 4 я ещё вылечу....
А их сотни....
Если завтра у меня все машинки покажут синий экран, то это как-то не спортивно получится...
И по мне будут плакать пистолет или верёвка...
#5
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 18 Июль 2011 - 13:05
Вы сканером Доктора (который drweb32w.exe) проверяли?
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#6
julay123
-
- Posters
- 63 Сообщений:
Newbie
Отправлено 18 Июль 2011 - 13:07
грузитесь с live-cd или с Live-usb и проверяйте машину. Это для начала.
Только что проверил
Dr.Web® LiveUSB
его в виде MBR не видит, а извлеченный в виде файла - видит....
Парадокс...
#7
julay123
-
- Posters
- 63 Сообщений:
Newbie
Отправлено 18 Июль 2011 - 13:10
Вы сканером Доктора (который drweb32w.exe) проверяли?
Проверял...
Сканер на MBR не реагирует....
А реагирует только на файл в который я скопировал MBR...
#8
userr
-
- Members
- 16 310 Сообщений:
Newbie
Отправлено 18 Июль 2011 - 13:17
обязательно напишите в Поддержку http://support.drweb.com/Проверял...Вы сканером Доктора (который drweb32w.exe) проверяли?
Сканер на MBR не реагирует....
А реагирует только на файл в который я скопировал MBR...
а сюда давайте лог Быстрой проверки свежего cureit c больной машины.
#9
julay123
-
- Posters
- 63 Сообщений:
Newbie
Отправлено 18 Июль 2011 - 13:37
Если кто столкнётся с такой ситуацией - лечится заменой MBR на "правильный" (утилитами типа MBRFix)
#10
julay123
-
- Posters
- 63 Сообщений:
Newbie
Отправлено 18 Июль 2011 - 16:07
обязательно напишите в Поддержку http://support.drweb.com/Проверял...Вы сканером Доктора (который drweb32w.exe) проверяли?
Сканер на MBR не реагирует....
А реагирует только на файл в который я скопировал MBR...
а сюда давайте лог Быстрой проверки свежего cureit c больной машины.
В супорт написал...
Лог проверки
CureIt.zip 86,13К
15 Скачано разтам сам лог и копия MBR, которую он не видит...
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых
