25 ответов в этой теме

[Dima_Odin]

Здравствуйте!

Кратко:
Однозначно могу сказать одно, что HOSTS файл что-то меняет, добавляет строки типа:
127.0.0.1 www.avira.com
127.0.0.1 www.eset.com
127.0.0.1 www.kaspersky.com

Свежие AVP TOOL и CureIt ничего не видят, и есть BSOD'ы
(минидампы в наличии)

Подробно:
Soft:
Win XP SP3 + апдейты,
интернет через Wi-Fi к раутеру
Comodo Firewall

Сначала был внезапный BSOD на ровном месте, потом юзер перезагрузился
в Safe Mode. Поиск юзером в Safe Mode'е средствами Windows по маске *.exe
(искал CureIt на диске D привел к следующему BSOD'у (stop 0x0f (0,0,0,0)
UNEXPECTED_KERNEL_MODE_TRAP Divide by Zero Error)).
Потом компьютер перезагрузился в нормальном режиме и работал долго,
произошел следующий BSOD (0xD1 DRIVER_IRQL_NOT_LESS_OR_EQUAL).
После компьютер был выключен. Ждали моего приезда

Полтора часа Memtesta (2 прохода) - ошибок 0.
Тесты HDD c LiveCD - все прекрасно.
В LiveCD был запущен свежий CureIt - ничего не нашел.

Загрузились в винду. Запуск HijackThis, полет нормальный.
Посмотрел в HOSTS - он изменен. Удалил все 127.0.0.1.
Скачал AVZ, обновил его, COMODO выключил. Запуск AVZ привел
к перезагрузке(синего экрана не было, во всех других случаях был)
в System events запись о BSOD'е.

В HOSTS файле снова появились записи (127.0.0.1 ...)
Запускаю AVZ, COMODO при этом включен.

Потом был еще один BSOD
Потом по просьбе юзера скачали свежий CureIt.
Просканировали диски из винды - ничего не нашли, кроме HOSTS файла.

Потом снова сканировали.
Но после всех танцев сейчас HOSTS файл чистый.

Перед открытием этой темы выполнил все как написано в правилах:
1)Скачал свежий CureIt, папка c:\TEST и т.д.... все чисто, логи прилагаются
2)hijackthis.log
НО с RkU фокусы
Я скачал ваш RkU LE 3.8.380.580 SR1, установил, запустил
и призапуске

Rootkit Unhooker has detected parasite inside itself!
It is recommended to remove parasite, okay?
Parasite type: Unknown remote thread
Thread ID: 2160
Priority: 8
Thread start address 0x00000000

Нажал OK.

Error removing parasite, program integrity damaged

Закрыл RkU.
На компе был установлен RkU 3.8.341.552
Запустил последнего. Он ни на что не ругался. Быстро сделал скан. Отчет прилагается.
Потом я запустил снова ваш RkU LE 3.8.380.580 SR1. На этот раз он не ругался, запустился и сделал скан. Отчет прилагается.

Также прилагаю:
лог GMER'a
содержимое измененного HOSTS файла
(там нету drweb.com; вирусосоздатель про вас не знает?)
скриншоты RkU сообщений

Прикрепленные файлы:

•  Logs.rar   147,15К   26 Скачано раз

Сообщение было изменено Dima_Odin: 23 Октябрь 2009 - 03:24

[YVS]

минидампы в наличии

Можете дать на посмотреть?

[Dima_Odin]

Минидамп.
Я не помню точно, но кажется когда смотрел на минидампы в LiveCD даты были другие.

Прикрепленные файлы:

•  Minidump.rar   82,55К   24 Скачано раз

Сообщение было изменено Dima_Odin: 23 Октябрь 2009 - 09:51

[YVS]

Проверьте на VirusTotal
C:\WINDOWS\system32\DRIVERS\secdrv.sys
C:\WINDOWS\system32\drivers\MTictwl.sys

[Dima_Odin]

Проверьте на VirusTotal
C:\WINDOWS\system32\DRIVERS\secdrv.sys
C:\WINDOWS\system32\drivers\MTictwl.sys

secdrv.sys - чист
MTiCtwl.sys - чист

[YVS]

Из представленных дампов:
3 - memory_corruption
1 - hardware error
1 - ALCXWDM.SYS (DRIVER_IRQL_NOT_LESS_OR_EQUAL)

[Dima_Odin]

Из представленных дампов:
3 - memory_corruption
1 - hardware error
1 - ALCXWDM.SYS (DRIVER_IRQL_NOT_LESS_OR_EQUAL)

Memtest ошибок не выявил, тесты HDD - тоже.
Списать на глюячное железо тяжело, эти строки пишутся с этого компа.
Комп все время работает и без BSOD'oв.

А вот повторное изменее Hosts файла после перезагруза и
срабатывание самозащиты RkU - это уже странно, очень странно.

Может что-то маскируется?
или самоуничтожилось? (в последнее верится с трудом)

[YVS]

А вот повторное изменее Hosts файла после перезагруза и

FileMon-ом можно посмотреть, кто его изменяет.

срабатывание самозащиты RkU - это уже странно, очень странно.

Это может быть из-за COMODO

[Dima_Odin]

А вот повторное изменее Hosts файла после перезагруза и

FileMon-ом можно посмотреть, кто его изменяет.

Пробывал. Не помогло. Изменения, наверно, вносились во время закрытия или загрузки винды.

срабатывание самозащиты RkU - это уже странно, очень странно.

Это может быть из-за COMODO

Сейчас снес COMODO, повторно сделаю сканы.

[Dima_Odin]

Снес COMODO Firewall.

GMER ничего не нашел. Пустой report.
RkU что-то видит.

Прикрепленные файлы:

•  Without_COMODO_Firewall.rar   3,18К   24 Скачано раз

[YVS]

RkU что-то видит.

Самозащита RkU сработала?

[Dima_Odin]

RkU что-то видит.

Самозащита RkU сработала?

Нет, не сработала

[YVS]

Сделайте, пожалуйста, новый комплект логов.

[Yasha]

а это что такое?

Driver: C:\DOCUME~1\Dima\LOCALS~1\Temp\fxtdipow.sys
Address: 0xF4ABD000
Size: 90112 bytes

[YVS]

а это что такое?

Driver: C:\DOCUME~1\Dima\LOCALS~1\Temp\fxtdipow.sys
Address: 0xF4ABD000
Size: 90112 bytes

Драйвер GMER

[Dima_Odin]

Сделайте, пожалуйста, новый комплект логов.

Пожалуйста, новый комплект логов.

Прикрепленные файлы:

•  Logs.rar   104,47К   26 Скачано раз

[YVS]

Судя по логам чисто...

А что с проблемами: HOSTS модифицируется? BSoD-ы наблюдаются?

[Dima_Odin]

Судя по логам чисто...

А что с проблемами: HOSTS модифицируется? BSoD-ы наблюдаются?

Hosts не модифицируется, BSoD'ов нету.

Наверно вирь был плохо написан, не умеет что-ли работать с Интернетом через
Wi-Fi, и "почувствовав" (RkU, GMER и т.д.), что с ним борются самоуничтожился.
Пока другого объяснения я не вижу.

или может он замаскировался

[YVS]

или может он замаскировался

А может COMODO "хулиганил"?

[Dima_Odin]

или может он замаскировался

А COMODO "хулиганил"?

Что значит "хулиганил"?