Скан убивается через 5-10 сек
#1
Отправлено 05 Сентябрь 2009 - 02:51
С компами не первый год, и некоторый опыт имеется. Но 2 дня назад принесли на ремонт комп, с которым никак не удается до конца долечится.
Извиняюсь что нет логов, правила читал, но вот этот пункт никак не могу выполнить..
После проверки сканером или CureIt (если проверка не удалась, подробно расскажите что не получилось) скачайте по ссылкам Хайджек (HijackThis) и РкУ (RkU, RootkitUnhooker), сделайте логи (как сделать лог Хайджек и РкУ) и прикрепите к теме.
------------
И так.
Изначально был вирус Windows Police Pro , прошелся по интернету, удалил вручную. что там рекомендовали.
Попап окошки вируса с предложением заплатить и вылечить его, пропали. Но так как после этого все инструкции рекомендовали обновить антивирус и антитрояны и пройтись еще пару раз сканами, то так и решил сделать.
И вот тут началось шоу.
Mwab, KAZ, CureIt - Все прекрасно ставяться, качают апдейты, Но после начала сканирования, через 10-15 сек окно программы само закрывается и меняются права у исполняемого модуля программы. При следуюшем старте этой же программы получаем мессагу - что у нас нет прав для запуска.
Это происходит так быстро, что даже Хайджек и РКУ не успевают сделать свои логи, их так же закрывает сразу после начала скана.
Сканирование делалось в безопасном режиме, практически все процессы что увидел стандартный taskmgr - были прибиты до начала скана.
Скан с загрузкой через LiveCD - не находит ничего.
При запуске в нормальном режиме - комп грузится примерно 6-8 мин, почти не моргая хардом.Вместо обычных 1-2
С радостью приму советы, что еще мне попробовать в данном случае
#2
Отправлено 05 Сентябрь 2009 - 03:48
Права меняются у .exe файлика запускаемого антивира/антитрояна
вирус не был пойман как таковой, его описаний полно было в интернете, поэтому даже не задумались что это что-то новое, нестандартное
И в реестре в 'RUN" и в msconfig в стартуюших прогах удалено практически все, даже совсем безобидные
Да.. еще прибивает именно после начала сканирования.
Если программу запустить и не нажимать на Скан - она спокойно себе живет.
Жмем скан - 5-10 сек - ее окно закрыто.
#3
Отправлено 05 Сентябрь 2009 - 04:07
Как сделать лог GMER
Скоро придут Helpers и обязательно вам помогут.
PS По возможности, если запустится GMER, не пытайтесь решить проблему сами, нужен только лог, все остальное вам подскажут.
#4
Отправлено 05 Сентябрь 2009 - 05:34
Запустите CureIt с таким параметромПереименовывать пытался, - не помогло, прибивает и меняет права
Права меняются у .exe файлика запускаемого антивира/антитрояна
вирус не был пойман как таковой, его описаний полно было в интернете, поэтому даже не задумались что это что-то новое, нестандартное
И в реестре в 'RUN" и в msconfig в стартуюших прогах удалено практически все, даже совсем безобидные
Да.. еще прибивает именно после начала сканирования.
Если программу запустить и не нажимать на Скан - она спокойно себе живет.
Жмем скан - 5-10 сек - ее окно закрыто.
"C:\Documents and Settings\User\Рабочий стол\d5d4s5sw.exe" /dbg:2
где d5d4s5sw.exe-cureIT
Нажать кнопку Пуск-Выполнить. Вставить строчку
%USERPROFILE%\DoctorWeb\cureit.dbg
Нажать ОК.
Этот лог приложить сюда.
-------------------------------------
Запустить FileMon и повторить операцию.Лог FileMon сюда.
-----------------------------------
попробывать запустить RootRepal
#5
Отправлено 05 Сентябрь 2009 - 17:15
Сделаем, отпишусь во вторник.
Компьютер этот на работе, а тут у нас длинные выходные.
#6
Отправлено 08 Сентябрь 2009 - 17:06
Попробуйте сделать лог GMER, перед запуском переименуйте.
Как сделать лог GMER
Скоро придут Helpers и обязательно вам помогут.
PS По возможности, если запустится GMER, не пытайтесь решить проблему сами, нужен только лог, все остальное вам подскажут.
pervie rezultati. Poka Gmer skaniroval pamqt - on sdelal 3 zapisi
win32k.sys:1 - not found
win32k.sys:2 - not found
globalroot\device\_max++>\467BD8CC.x86.dll - hidden
kak tolko poxowe vzqlsq za scan diska - ego zaktilo takwe kak i ostalnix
#7
Отправлено 08 Сентябрь 2009 - 17:58
----------
ROOTREPEAL © AD, 2007-2009
==================================================
Scan Start Time: 2009/09/08 10:50
Program Version: Version 1.3.5.0
Windows Version: Windows XP SP2
==================================================
Drivers
-------------------
Name: aujasnkj.sys
Image Path: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\aujasnkj.sys
Address: 0xF6B06000 Size: 84352 File Visible: No Signed: -
Status: -
Name: dump_iaStor.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_iaStor.sys
Address: 0xF7086000 Size: 479232 File Visible: No Signed: -
Status: -
Name: r2l.sys
Image Path: C:\WINDOWS\system32\drivers\r2l.sys
Address: 0xF6CBE000 Size: 49152 File Visible: No Signed: -
Status: -
Name: win32k.sys:1
Image Path: C:\WINDOWS\win32k.sys:1
Address: 0xF798D000 Size: 20480 File Visible: No Signed: -
Status: -
Name: win32k.sys:2
Image Path: C:\WINDOWS\win32k.sys:2
Address: 0xF7875000 Size: 61440 File Visible: No Signed: -
Status: -
==EOF==
#8
Отправлено 08 Сентябрь 2009 - 18:10
#9
Отправлено 08 Сентябрь 2009 - 18:13
#10
Отправлено 08 Сентябрь 2009 - 18:16
#11
Отправлено 08 Сентябрь 2009 - 18:19
Проверьте на вирустотал C:\WINDOWS\system32\drivers\r2l.sys
Net ego tam. Ni odnogo iz 4x filelov, hto pokazal v loge RootRepeal - net na diske. Dawe esli zajti s LiveCD i poiskat ego FAR po vsemu disku
#12
Отправлено 08 Сентябрь 2009 - 18:24
Все логи прикладывать полностью...в виде файловПроверьте на вирустотал C:\WINDOWS\system32\drivers\r2l.sys
Net ego tam. Ni odnogo iz 4x filelov, hto pokazal v loge RootRepeal - net na diske. Dawe esli zajti s LiveCD i poiskat ego FAR po vsemu disku
#13
Отправлено 08 Сентябрь 2009 - 18:36
Все логи прикладывать полностью...в виде файлов
не все проги могут создать лог и записать туда что-нить (например куреит только тогда, когда начал сканирование, а пока подготовка - фиг, хотя там иногда происходят странности, но об этом потом)).
А с C:\WINDOWS\win32k.sys:1 не ipkib один мается, некоторые делают лог каким-то сренгом
P.S. Да, и кстати HijackThis тоже падает?
#14
Отправлено 08 Сентябрь 2009 - 18:38
Так может это NTFS потоки?А с C:\WINDOWS\win32k.sys:1 не ipkib один мается, некоторые делают лог каким-то сренгом
#15
Отправлено 08 Сентябрь 2009 - 19:02
по идее и сам файл должен находиться в корне виндовс папки((не аксиома)), а win32k,sys находиться и должен находиться в систем32Так может это NTFS потоки?А с C:\WINDOWS\win32k.sys:1 не ipkib один мается, некоторые делают лог каким-то сренгом
#16
Отправлено 08 Сентябрь 2009 - 19:04
#17
Отправлено 08 Сентябрь 2009 - 19:13
aujasnkj.sys - такой файл я тоже нашел на одной проблемной машине. Скорее всего зверь. Пока выковырять не смог.
у большинства это связано с шадоу.бэйсед
#18
Отправлено 08 Сентябрь 2009 - 19:14
#19
Отправлено 08 Сентябрь 2009 - 19:15
Это вроде драйвер GMERaujasnkj.sys - такой файл я тоже нашел на одной проблемной машине. Скорее всего зверь. Пока выковырять не смог.
#20
Отправлено 08 Сентябрь 2009 - 19:16
aujasnkj.sys - такой файл я тоже нашел на одной проблемной машине. Скорее всего зверь. Пока выковырять не смог.
у большинства это связано с шадоу.бэйсед
Shadow там и близко не лежал (как мне кажется).
RKU показывает драйверы, запущенные из темпа. Обычным путем их не видать. Я с Борькой консультировался.
Все что смог наковырять, в вирлаб отправил.
К LiveCD пока не прибегал, ибо не было у меня еще физического доступа к машине.
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых