18 ответов в этой теме

[brz]

Дано:
компьютер с неизвестным процессом, который:
1) искажает файловую систему на flash-накопителях так, что при форматировании выдает ошибку "Неправильный носитель или испорчена дорожка 0", и операцию невозможно корректно завершить.

2) изменяет названия файлов и папок, так, что их нельзя запустить, открыть, удалить:
Примеры:
"_defraggler" -> _DEFRA~1."
"ccsetup214" -> CCSETU~1
"RTHDCPL.exe" -> RTHDCPL.gxe

Замечания:
1) Файлы искажаются только после записи с данного компьютера на USB-носитель. При чтении флешки, записанной на другом компьютере - ничего не происходит.
2) Форматирование флешки на другом компьютере происходит совершенно безболезненно.
3) На возможный вопрос о том, заражена ли сама флешка, могу ответить, что Low Format ей тоже не помог, да и на других компьютерах никаких проблем с ее использованием не испытываю.
4) Тут мне уже пытались помочь, не помогли. Там же можно ознакомиться с логами GMER и AVG. Они правда были сделаны до очередной очистки, переразбивки винчестера и переустановки винчестера, но это мало на что влияет
http://virusinfo.info/showthread.php?t=39466
5) Дистрибутив виндоус чистый, с последним сервис-паком, это ни разу не самостоятельная сборка. На других компьютерах с ним не было никаких проблем.
6) Единственная программа, которая выдала хоть какую-то реакцию, это RootkitUnhoocker, запущенный перед этим постом, который что-то нашел в ntoskrnl.exe.
Я выполнил операцию unhook all, это не изменило ситуацию.
Ну и конечно же, в самом ntoskrnl.exe ничего не нашлось:
http://www.virustotal.com/ru/analisis/699e...7bccfcc753592fc


---
Что было проделано:
- Полное обнуление MBR и полное стирание жесткого диска с помощью MHDD (раза 2)
- полная переразбивка диска с удалением и переформатированием разделов (раза 2)
- переустановка операционной системы (раза 3)
- установка всех последних заплаток на систему с WUD
- низкоуровневое форматирование флешек (** раз)
- обычное форматирование флешек (*** раз)
- восстановление и исправление ошибок флешек с помощью Jetflash Recovery Tool
- полная проверка с последними антивирусными базами с помощью Symantec Antivirus Corporate, Dr. Web Cureit!, AVZ, AVPTool

P.S: мне может сразу в "Доктор Веб" компьютер целиком привезти, так проще будет?

Прикрепленные файлы:

•  cureit_fast.log   365,71К   162 Скачано раз
•  hijackthis.log   3,08К   111 Скачано раз
•  rkulog.txt   22,8К   112 Скачано раз

[v.martyanov]

Дано:
компьютер с неизвестным процессом, который:
1) искажает файловую систему на flash-накопителях так, что при форматировании выдает ошибку "Неправильный носитель или испорчена дорожка 0", и операцию невозможно корректно завершить.

2) изменяет названия файлов и папок, так, что их нельзя запустить, открыть, удалить:
Примеры:
"_defraggler" -> _DEFRA~1."
"ccsetup214" -> CCSETU~1
"RTHDCPL.exe" -> RTHDCPL.gxe

Замечания:
1) Файлы искажаются только после записи с данного компьютера на USB-носитель. При чтении флешки, записанной на другом компьютере - ничего не происходит.
2) Форматирование флешки на другом компьютере происходит совершенно безболезненно.
3) На возможный вопрос о том, заражена ли сама флешка, могу ответить, что Low Format ей тоже не помог, да и на других компьютерах никаких проблем с ее использованием не испытываю.
4) Тут мне уже пытались помочь, не помогли. Там же можно ознакомиться с логами GMER и AVG. Они правда были сделаны до очередной очистки, переразбивки винчестера и переустановки винчестера, но это мало на что влияет
http://virusinfo.info/showthread.php?t=39466
5) Дистрибутив виндоус чистый, с последним сервис-паком, это ни разу не самостоятельная сборка. На других компьютерах с ним не было никаких проблем.
6) Единственная программа, которая выдала хоть какую-то реакцию, это RootkitUnhoocker, запущенный перед этим постом, который что-то нашел в ntoskrnl.exe.
Я выполнил операцию unhook all, это не изменило ситуацию.
Ну и конечно же, в самом ntoskrnl.exe ничего не нашлось:
http://www.virustotal.com/ru/analisis/699e...7bccfcc753592fc


---
Что было проделано:
- Полное обнуление MBR и полное стирание жесткого диска с помощью MHDD (раза 2)
- полная переразбивка диска с удалением и переформатированием разделов (раза 2)
- переустановка операционной системы (раза 3)
- установка всех последних заплаток на систему с WUD
- низкоуровневое форматирование флешек (** раз)
- обычное форматирование флешек (*** раз)
- восстановление и исправление ошибок флешек с помощью Jetflash Recovery Tool
- полная проверка с последними антивирусными базами с помощью Symantec Antivirus Corporate, Dr. Web Cureit!, AVZ, AVPTool

P.S: мне может сразу в "Доктор Веб" компьютер целиком привезти, так проще будет?

Есть сомнения в исправности оборудования... Я бы советовал попробовать запись с Linux LiveCD на флэшку.

[brz]

Спасибо, ответ разумный, пойду качать ISO Live CD Ubuntu..

[pig]

USB-гнездо, куда флэшку пихаете, - оно на морде? Провода с платы туда какие идут? Если обычный неэкранированный жгут, то дело в нём.

[brz]

Нет, этот вариант я тоже пробовал.

Вставлял флешку в разьемы, впаянные к мат. плате, к одному из них подключена клавиатура, которая без проблем работает.
Все то же самое, не отформатировать, при записи - искажение файлов.
У нас в учреждении еще 20 точно таких же компьютеров, таких проблем с неэкранированным проводком к морде в корпусах нет.

С линуксом буду баловаться на днях, скачать-то скачал, а нет болванки.
А пока гонял немного Memtest 86 на предмет ошибок оборудования.. Проблем нет.

[v.martyanov]

Нет, этот вариант я тоже пробовал.

Вставлял флешку в разьемы, впаянные к мат. плате, к одному из них подключена клавиатура, которая без проблем работает.
Все то же самое, не отформатировать, при записи - искажение файлов.
У нас в учреждении еще 20 точно таких же компьютеров, таких проблем с неэкранированным проводком к морде в корпусах нет.

С линуксом буду баловаться на днях, скачать-то скачал, а нет болванки.
А пока гонял немного Memtest 86 на предмет ошибок оборудования.. Проблем нет.

Мост может дохнуть... Memtest, кстати, тестирует не так уж и много компонентов: проц частично, память, несного мать.

[maxic]

Была кстати подобная ерунда... Не так чтоб имена искажались, просто комп считал что на флэшке битые файлы.
Сбросили настройки биоса в дефолт - все наладилось.

[brz]

Я не то, чтобы настройки биоса в дефолт сбросил, я его обновил до последней версии - не помогло.

Вообще, сегодня еще раз запустил RootkitUnhooker, в Code Hooks он увидел руткит уже в другом процессе - ntkrnlpa.exe
Сдается мне, что это все-таки какой-то новый руткит, никому пока не известный. RootkitUnhooker c ним не справляется: после Unhook ALL - симптомы все те же.
Только непонятно, как он выжил после низкоуровневого форматирования, и почему его теперь нет якобы в ntoskrnl.exe, как раньше.
Может, сравним размеры этих двух файлов? У кого XP SP3?
мои файлы:
ntkrnlpa.exe - 1,97 МБ (2 067 712 байт)
ntoskrnl.exe - 2,08 МБ (2 190 848 байт)


ntkrnlpa.exe на VirusTotal - ноль реакции:
http://www.virustotal.com/ru/analisis/e83c...eec04a750263f09


Что мне в итоге-то делать? Слать ntkrnlpa.exe и ntoskrnl.exe на Dr.Web?

[Pavel Plotnikov]

Я не то, чтобы настройки биоса в дефолт сбросил, я его обновил до последней версии - не помогло.

Вообще, сегодня еще раз запустил RootkitUnhooker, в Code Hooks он увидел руткит уже в другом процессе - ntkrnlpa.exe
Сдается мне, что это все-таки какой-то новый руткит, никому пока не известный. RootkitUnhooker c ним не справляется: после Unhook ALL - симптомы все те же.
Только непонятно, как он выжил после низкоуровневого форматирования, и почему его теперь нет якобы в ntoskrnl.exe, как раньше.
Может, сравним размеры этих двух файлов? У кого XP SP3?
мои файлы:
ntkrnlpa.exe - 1,97 МБ (2 067 712 байт)
ntoskrnl.exe - 2,08 МБ (2 190 848 байт)


ntkrnlpa.exe на VirusTotal - ноль реакции:
http://www.virustotal.com/ru/analisis/e83c...eec04a750263f09


Что мне в итоге-то делать? Слать ntkrnlpa.exe и ntoskrnl.exe на Dr.Web?

Обратитесь в службу тех. поддержки пользователей антивируса Dr.WEB

[brz]

http://vms.drweb.com/sendvirus/

?

[Pavel Plotnikov]

http://vms.drweb.com/sendvirus/

?

http://new-support.drweb.com/new/tech/

[brz]

Из продуктов компании Dr. Web я использую только CureIt, так что лицензионный ключ им я не могу предоставить..

[Pavel Plotnikov]

Из продуктов компании Dr. Web я использую только CureIt, так что лицензионный ключ им я не могу предоставить..

http://new-support.drweb.com/new/feedback/
с подробным описанием проблемы.

[Vl-rr]

Дано:
компьютер с неизвестным процессом, который:
1) искажает файловую систему на flash-накопителях так, что при форматировании выдает ошибку "Неправильный носитель или испорчена дорожка 0", и операцию невозможно корректно завершить.

2) изменяет названия файлов и папок, так, что их нельзя запустить, открыть, удалить:
Примеры:
"_defraggler" -> _DEFRA~1."
"ccsetup214" -> CCSETU~1
"RTHDCPL.exe" -> RTHDCPL.gxe

Замечания:
1) Файлы искажаются только после записи с данного компьютера на USB-носитель. При чтении флешки, записанной на другом компьютере - ничего не происходит.
2) Форматирование флешки на другом компьютере происходит совершенно безболезненно.
3) На возможный вопрос о том, заражена ли сама флешка, могу ответить, что Low Format ей тоже не помог, да и на других компьютерах никаких проблем с ее использованием не испытываю.
4) Тут мне уже пытались помочь, не помогли. Там же можно ознакомиться с логами GMER и AVG. Они правда были сделаны до очередной очистки, переразбивки винчестера и переустановки винчестера, но это мало на что влияет
http://virusinfo.info/showthread.php?t=39466
5) Дистрибутив виндоус чистый, с последним сервис-паком, это ни разу не самостоятельная сборка. На других компьютерах с ним не было никаких проблем.
6) Единственная программа, которая выдала хоть какую-то реакцию, это RootkitUnhoocker, запущенный перед этим постом, который что-то нашел в ntoskrnl.exe.
Я выполнил операцию unhook all, это не изменило ситуацию.
Ну и конечно же, в самом ntoskrnl.exe ничего не нашлось:
http://www.virustotal.com/ru/analisis/699e...7bccfcc753592fc


---
Что было проделано:
- Полное обнуление MBR и полное стирание жесткого диска с помощью MHDD (раза 2)
- полная переразбивка диска с удалением и переформатированием разделов (раза 2)
- переустановка операционной системы (раза 3)
- установка всех последних заплаток на систему с WUD
- низкоуровневое форматирование флешек (** раз)
- обычное форматирование флешек (*** раз)
- восстановление и исправление ошибок флешек с помощью Jetflash Recovery Tool
- полная проверка с последними антивирусными базами с помощью Symantec Antivirus Corporate, Dr. Web Cureit!, AVZ, AVPTool

P.S: мне может сразу в "Доктор Веб" компьютер целиком привезти, так проще будет?

Есть сомнения в исправности оборудования... Я бы советовал попробовать запись с Linux LiveCD на флэшку.

НЕТ сомнений - 99.999% - это неисправность оборудования!
В BIOS на USB что стоит - HiSpeed или FULLSpeed? попробуйте поменять...
Возьмите под манибэк в каком-нибудь магазине PCI контроллер USB - проверьте с ним.
Загрузитесь с какого-нибудь LiveCD - посмотрите... Если то-же самое- мамка...
И если у Вас куча ОДИНАКОВЫХ компов - просто тупо поставьте этот свой "зараженный" винт
на любой из них и проверьте... я почти уверен -все будет там норм
ну и наоборот - с норм компа на этот "зараженный" сравните результаты
Кстати, а в отчетах о системных событиях нет никаких записей?

[brz]

Одуреть. Поставил PCI USB-контроллер, и проблемы кажется исчезли.

Коллеги, спасибо огромное за консультацию. При необходимости, обязательно к вам обращусь!

P.S: HighSpeed - FullSpeed не помог, проблема точно в битом встроенном контроллере USB

[v.martyanov]

Одуреть. Поставил PCI USB-контроллер, и проблемы кажется исчезли.

Коллеги, спасибо огромное за консультацию. При необходимости, обязательно к вам обращусь!

P.S: HighSpeed - FullSpeed не помог, проблема точно в битом встроенном контроллере USB

Кондеры на матери в порядке?

[Vl-rr]

Кондеры на матери в порядке?

Если мамка на гарантии - то менять...
Если уже нет - то гораздо дешевле и быстрее ремонта - использовать PCI USB-контроллер
Кстати, а мать не разгонялась?

[v.martyanov]

Кондеры на матери в порядке?

Если мамка на гарантии - то менять...
Если уже нет - то гораздо дешевле и быстрее ремонта - использовать PCI USB-контроллер
Кстати, а мать не разгонялась?

Кондеры надо именно менять. Потому что сегодня из-за проблем с питанием глючит USB, а завтра - IDE начнет глючить или память :-(

[Vl-rr]

Кондеры надо именно менять. Потому что сегодня из-за проблем с питанием глючит USB, а завтра - IDE начнет глючить или память :-(

Согласен, впринципе, конечно оно так... но недешево это стоит... иногда проще мать дешевую купить!
Для начала НУЖНО просто хорошо все пропылесосить, пыль убрать - может еще лет 10 проработать, а может и нет Перегрев - зло...
почему и спрашивал - разгон был или нет.
PS Хотя не факт - что это конденсаторы... вполне возможно и сам контроллер - мы же не знаем что-за мамка, какой чип... и тд, и если кондеры в общей цепи питания - то глючило бы гораздо больше - факт.
А контроллер USB спалить легко - подсоединить, например, левый китайский USB подогреватель для кофе - и такое было...