36 ответов в этой теме

[ipkib]

Добрый день.
С компами не первый год, и некоторый опыт имеется. Но 2 дня назад принесли на ремонт комп, с которым никак не удается до конца долечится.
Извиняюсь что нет логов, правила читал, но вот этот пункт никак не могу выполнить..
После проверки сканером или CureIt (если проверка не удалась, подробно расскажите что не получилось) скачайте по ссылкам Хайджек (HijackThis) и РкУ (RkU, RootkitUnhooker), сделайте логи (как сделать лог Хайджек и РкУ) и прикрепите к теме.
------------
И так.
Изначально был вирус Windows Police Pro , прошелся по интернету, удалил вручную. что там рекомендовали.
Попап окошки вируса с предложением заплатить и вылечить его, пропали. Но так как после этого все инструкции рекомендовали обновить антивирус и антитрояны и пройтись еще пару раз сканами, то так и решил сделать.
И вот тут началось шоу.
Mwab, KAZ, CureIt - Все прекрасно ставяться, качают апдейты, Но после начала сканирования, через 10-15 сек окно программы само закрывается и меняются права у исполняемого модуля программы. При следуюшем старте этой же программы получаем мессагу - что у нас нет прав для запуска.
Это происходит так быстро, что даже Хайджек и РКУ не успевают сделать свои логи, их так же закрывает сразу после начала скана.
Сканирование делалось в безопасном режиме, практически все процессы что увидел стандартный taskmgr - были прибиты до начала скана.
Скан с загрузкой через LiveCD - не находит ничего.
При запуске в нормальном режиме - комп грузится примерно 6-8 мин, почти не моргая хардом.Вместо обычных 1-2
С радостью приму советы, что еще мне попробовать в данном случае

[ipkib]

Переименовывать пытался, - не помогло, прибивает и меняет права
Права меняются у .exe файлика запускаемого антивира/антитрояна
вирус не был пойман как таковой, его описаний полно было в интернете, поэтому даже не задумались что это что-то новое, нестандартное
И в реестре в 'RUN" и в msconfig в стартуюших прогах удалено практически все, даже совсем безобидные
Да.. еще прибивает именно после начала сканирования.
Если программу запустить и не нажимать на Скан - она спокойно себе живет.
Жмем скан - 5-10 сек - ее окно закрыто.

[account has been deleted]

Попробуйте сделать лог GMER, перед запуском переименуйте.
Как сделать лог GMER
Скоро придут Helpers и обязательно вам помогут.
PS По возможности, если запустится GMER, не пытайтесь решить проблему сами, нужен только лог, все остальное вам подскажут.

[mrbelyash]

Переименовывать пытался, - не помогло, прибивает и меняет права
Права меняются у .exe файлика запускаемого антивира/антитрояна
вирус не был пойман как таковой, его описаний полно было в интернете, поэтому даже не задумались что это что-то новое, нестандартное
И в реестре в 'RUN" и в msconfig в стартуюших прогах удалено практически все, даже совсем безобидные
Да.. еще прибивает именно после начала сканирования.
Если программу запустить и не нажимать на Скан - она спокойно себе живет.
Жмем скан - 5-10 сек - ее окно закрыто.

Запустите CureIt с таким параметром

"C:\Documents and Settings\User\Рабочий стол\d5d4s5sw.exe" /dbg:2

где d5d4s5sw.exe-cureIT

Нажать кнопку Пуск-Выполнить. Вставить строчку
%USERPROFILE%\DoctorWeb\cureit.dbg
Нажать ОК.

Этот лог приложить сюда.

-------------------------------------

Запустить FileMon и повторить операцию.Лог FileMon сюда.

-----------------------------------

попробывать запустить RootRepal

[ipkib]

Спасибо,

Сделаем, отпишусь во вторник.
Компьютер этот на работе, а тут у нас длинные выходные.

[ipkib]

Попробуйте сделать лог GMER, перед запуском переименуйте.
Как сделать лог GMER
Скоро придут Helpers и обязательно вам помогут.
PS По возможности, если запустится GMER, не пытайтесь решить проблему сами, нужен только лог, все остальное вам подскажут.

pervie rezultati. Poka Gmer skaniroval pamqt - on sdelal 3 zapisi

win32k.sys:1 - not found

win32k.sys:2 - not found

globalroot\device\_max++>\467BD8CC.x86.dll - hidden



kak tolko poxowe vzqlsq za scan diska - ego zaktilo takwe kak i ostalnix

[ipkib]

rezultat RootRepeal esli skanirovat vse krome "Files". Pri skane vmeste s "Files" - takze zakrivaetsq

----------
ROOTREPEAL © AD, 2007-2009
==================================================
Scan Start Time: 2009/09/08 10:50
Program Version: Version 1.3.5.0
Windows Version: Windows XP SP2
==================================================

Drivers
-------------------
Name: aujasnkj.sys
Image Path: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\aujasnkj.sys
Address: 0xF6B06000 Size: 84352 File Visible: No Signed: -
Status: -

Name: dump_iaStor.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_iaStor.sys
Address: 0xF7086000 Size: 479232 File Visible: No Signed: -
Status: -

Name: r2l.sys
Image Path: C:\WINDOWS\system32\drivers\r2l.sys
Address: 0xF6CBE000 Size: 49152 File Visible: No Signed: -
Status: -

Name: win32k.sys:1
Image Path: C:\WINDOWS\win32k.sys:1
Address: 0xF798D000 Size: 20480 File Visible: No Signed: -
Status: -

Name: win32k.sys:2
Image Path: C:\WINDOWS\win32k.sys:2
Address: 0xF7875000 Size: 61440 File Visible: No Signed: -
Status: -

==EOF==

[Yasha]

Win32.HLLW.Shadow.based скорее всего точно есть, если мне память не изменяет. ТОлько странно, почему в безопасном режиме так легко убивается процесс куреита, ии всё запускалось в небезопасном?

[ipkib]

vse v bezopasnom

[mrbelyash]

Проверьте на вирустотал C:\WINDOWS\system32\drivers\r2l.sys

[ipkib]

Проверьте на вирустотал C:\WINDOWS\system32\drivers\r2l.sys

Net ego tam. Ni odnogo iz 4x filelov, hto pokazal v loge RootRepeal - net na diske. Dawe esli zajti s LiveCD i poiskat ego FAR po vsemu disku

[mrbelyash]

Проверьте на вирустотал C:\WINDOWS\system32\drivers\r2l.sys

Net ego tam. Ni odnogo iz 4x filelov, hto pokazal v loge RootRepeal - net na diske. Dawe esli zajti s LiveCD i poiskat ego FAR po vsemu disku

Все логи прикладывать полностью...в виде файлов

[Yasha]

Все логи прикладывать полностью...в виде файлов

не все проги могут создать лог и записать туда что-нить (например куреит только тогда, когда начал сканирование, а пока подготовка - фиг, хотя там иногда происходят странности, но об этом потом)).

А с C:\WINDOWS\win32k.sys:1 не ipkib один мается, некоторые делают лог каким-то сренгом

P.S. Да, и кстати HijackThis тоже падает?

[mrbelyash]

А с C:\WINDOWS\win32k.sys:1 не ipkib один мается, некоторые делают лог каким-то сренгом

Так может это NTFS потоки?

[Yasha]

А с C:\WINDOWS\win32k.sys:1 не ipkib один мается, некоторые делают лог каким-то сренгом

Так может это NTFS потоки?

по идее и сам файл должен находиться в корне виндовс папки((не аксиома)), а win32k,sys находиться и должен находиться в систем32

[maxic]

aujasnkj.sys - такой файл я тоже нашел на одной проблемной машине. Скорее всего зверь. Пока выковырять не смог.

[Yasha]

aujasnkj.sys - такой файл я тоже нашел на одной проблемной машине. Скорее всего зверь. Пока выковырять не смог.

у большинства это связано с шадоу.бэйсед

[mrbelyash]

http://www.threatexpert.com/report.aspx?md...c2c0d9896fc2517

[YVS]

aujasnkj.sys - такой файл я тоже нашел на одной проблемной машине. Скорее всего зверь. Пока выковырять не смог.

Это вроде драйвер GMER

[maxic]

aujasnkj.sys - такой файл я тоже нашел на одной проблемной машине. Скорее всего зверь. Пока выковырять не смог.

у большинства это связано с шадоу.бэйсед

Shadow там и близко не лежал (как мне кажется).
RKU показывает драйверы, запущенные из темпа. Обычным путем их не видать. Я с Борькой консультировался.
Все что смог наковырять, в вирлаб отправил.
К LiveCD пока не прибегал, ибо не было у меня еще физического доступа к машине.