WS 2003 интересная ситуация... мож вирусня
 

сначала было так "трабл"
в итоге решил что вирусня... а самое главное, что эта хрень пошла практически 90% с оригинальным MSDN Visual Studio 2010
которая оказалась "Г" как и все MSDN-овское, я ее кил, но...
тормоза о которых упоминается, начались аккурат сразу после установки VS 2010, после деинсталяции никуда не делись...
плюс uninstal анинсталом, а оставила она после себя кучу "г" всяких языковых пакетов, и прочей ерунды...

Симптомы:
тормозит сеть, DPSc перегружает процы, а его (DPSc) грузит NDIS.sys
avz запускается и сразу закрвается
на оф.сайт avz не идет... так-же как и на др.Веба... хотя на "каспера" лазит...
у меня всегда есть запасной способ от такой вирусни, я знаю путь к FTP avz-шника и др.Веба,
Внимание и тут начинается самое интересное::::
Через браузер... открывает но не грузит файлы:)... а у меня еще есть MEGAMANAGER (файлики качать)...
пытаюс им... и тут ВАУ!!!
вылазит ошибка инициатором которой является, неповерите!
Visual Studio Just-In-Time Debbuger
профукал скрин, сча попытаюсь повторить. и выложить


А причем здесь какой-то там дебаггер который нигде дажо не зарегестрирован? во как

попробуйте сделать логи AVPtool
если не получится то..но если получится то не стоит делать комбо.
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

э-т сервак... пока он худенько но работает... такие вещи как Combofix не серве вещь опассная...,
еще есть существенный трабл... забыл как бы сказать что сервак рабочий и вырубаться не должен...
а на счет AVPtool сча попробую...
кстати уже налазил в system32 какую-то бяку 3bcfg4tm.exe // киллЁ,
но перед кил посмотрел дескрипторы, обращения, эта гадость как бы не использовалась... никакие сервисы, никакаких подвешенных dll...
Новая фитча с avz терь он стартует но все его меню, да и вообще все в нем "крозябрики", проверял байты - случайный набор символов... ни к одной кодировке дажо близко не клеится... АВЗУ качал с разных источников... картина одна и та-же
во как :o

ну о том что это сервер предупреждать надо)))
давайте смотреть AVP кстати RSIT получится сделать???

хотя и мне тоже стоило не лениться а пройти по вашей ссылке..)

Неумение пользоваться продуктом не означает, что он "Г" :)
Чем больше вы пользуетесь всякими "анинсталлами" и "мега прогами", тем загаженнее будет ваш сервер.
Поверим, Студия после установки перехватывает ошибки и предлагает их отладить через свой дебаггер.
Интересный способ - проводить эксперименты на рабочем сервере, нахватать вирусов, а потом обвинять MS в том, что оно "Г" :)))) Забавно.
Ладно, прошу прощения за оффтоп, не удержался :)

согласен... э-т я в сердцах.

я имел в виду родной установочный пакет... меня тот факт и раздражает что он фактически поставил кучу всего, а удалил... едва ли половину...

почему дебагер студии не ушел после ее деинсталяции родным пакетом установки...

Я не обвиняю MS в своих бедах и своем собственном раздолбайстве, это было ИМХО о продукте VS 2010 :(

Тож, прошу прощения за оффтоп...

________________________________________________________________________________

нашел нетривиальный способ запустить avz :)
Запустил исполняемый файл из архива... сразу в память...
запустился, единственное но, все его кириллическое содержание превратилось в непонятно что :)
но на ощупь сканирование таки удалось запустить вот лог... и скрин авз

потому что запускали из архива..как насчет того чтоб отдельно рапасковать обновить а потом закинуть на сервак??

KAV 6 не самый свежий продукт..почему он??

это не изменяет ситуацию, исполняемый файл avz, извлеченный из архива блокируется вирусней
окно отображается на долю секунды, и снова закрывается, не зависимо от того обновленный он или нет...
...
это не "комодо" э-т уже факт... KK результатов не дал...

симптомы:
не дает скачивать что-либо, имеющее в своем названии avz, avp и.т.д.
проверенно... тупо перименовал exe-шники, выкладывая, пытался качнуть - болт...

CureIT так-же не качается... да толку от него как оказалось нет...
сканил вчерашней сборкой - тишина

в system32 опять появился файлик со случайным именем типа "куча букв и цифр".exe

ну.. по прежнему DPCs жрет ресурс... в нем пикует NDIS.sys

HiJack AVP tools, так-же как и avz...

что в логе, а есть англоязычный avz?

вот что кажет FileMoon
в момент когда пытаешся запустить АВЗу...
есть соображения?

http://www46.zippyshare.com/v/90453342/file.html полиморфный AVZ
объясните как вы получили лог avz или из архива можете запустить а из папки нет??

кстати что AVP????

а вот лог исключительно его запуска, надысь нарыть при обращении к чему.. он падает

получил лог так см.сообщение #7 этой темы...

автор вируса где-то прогодал, и если запускать исполняемый файл из архива,
напрямую в память.. он открывается и благополучно работает.. проблема только с кириллицей...
если бы он был англоязычный вообще было бы замечательно...
фишка в том что при инициализации... программа меню которой
кирилическое при стандартном запуске, я уж точно процесс не могу объяснить э-т мож знать только автор,
но процес инициализации можно отследить FileMoon...
суть в том, что при запуске, АВЗа юзает системные приблуды с кодировками и т.д. и т.п. подготавливает свой пакет еще до того как сама форма загрузится в память...
если запускать из архива...
то он попадает в память напрямую.. а там за место символов - служебка это и есть "кракозябры"....
как-то так...

что есть "AVZ-RK kernel driver" ?

и еще в ключах реестра у некотых параметров, я бы даже сказал у многих..
такая хитрая приставочка "vUpAVZ4!!!!" это что значит.. преимущественно что-то с MS Office связанное
куст:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID.....

нет обращения к папке base так как запуск из архива, соот и лог не мог сохраниться..вот поэтому и удивился..
по вопросам которые вы задали, может быть здесь ответят, но я бы обратился к автору О. Зайцев
вы мне не ответили на вопросвсе остальное флейм.

напоминаю... весь пантеон програм "фиксеров":
AVZ, AVP tools, RSIT, HiJackThis и т.д.
ведет себя одинаково... - программа открывается и тут-же закрывается (не блокируется, именно открывается и закрывается)

Лог AVZ запущенного из архива... это все что удалось сделать...

и так-же новый симптом: доступ закрыт не только к сайтам антивирусовЮ но и к некоторым особо популярным
в этом плане ресурсов н\п Virusinfo.com

база нужна, для проверки и лечения, а для сканирования... алгоритм видимо зашит в самом exe

так лог ничего не дал? никаких соображений?

я вот на что пока думаю
висящие в загрузке через svhost
С:\windows\system32\vsjitdebbuger.exe (VS 2010 - удален как-бы)
С:\windows\system32\BDEADMIN.cpl без всяких признаков лицензии

для нормального отображения и насколько знаю не может быть сохранен лог
как насчет МБАМ ??
Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Arbitr, будь добр....
Скопируй странички :

http://virusinfo.info/showthread.php?t=43146
http://virusinfo.info/showthread.php?t=68360
http://virusinfo.info/showthread.php?t=52106

там похоже моя ситуация... а я туда не иду ОН :) не пускает

а по поводу спасибо, сейчас буду пробовать

общее только для всех случаев это не возможно сделать запуск АВЗ и пр программ..
вы сказали у вас сервер..так что это разные вещи..вы должны понимать..что касается скопипастить инфу это полный бред
заражения разные оси разные именя и положения файлов разные, общие только невозможность запустить утилиты
далее все что вам нужно посмотреть зайдите с другого компа
я бы вам предложил выполнить команду
Пуск - Выполнить
Код:
Вввести route -f, нажать ОК и перезагрузиться
но не знаю как она повлияет на ваши настройки
и еще зачем плодить темы???

Там совсем не ваша ситуация.

Просканируйте систему любым приглянувшимся онлайн-сканером - Онлайн проверка всего компьютера и отдельных файлов на вирусы

:o это становится весело...

Оглашаю полный список:
не запускаются любые "фиксеры" (открываются и тут-же закрываются) AVZ, AVP tools, RSIT, HiJackThis и т.д.
не скачивает файлы, архивы, "иное" содержащее, хотя бы, в части названия ("avz","drWeb","avp" и т.д)
не открываются сайты:
- оф.антивирусного ПО ; www.drweb.com , www.kaspersky.ru , www.esetnod32.ru и т.д.
- сайты, форумы поддержки ; www.virusinfo.ru и т.д.
- сайты он-лайн сканирования так как лежат на оф.сайтах антивирсного ПО
изменения имени "фиксеров" ничего не дает, полиморфные версии ведут себя так-же
CureIT(вчерашний) ничего не обнаружил.
в реестре не имеется записей по поводу сайтов, и програм по крайней мере по имени, как это делает Kido
Kido Killer ничего не изменил

единственное что удалось сделать, - это запустить avz из архива, и состряпать лог с "кракозябрами" вместо кириллицы

основной симптом - то что DPCs своим NDIS.sys жрет ресурсы процессоров при обращении пользователей к общим папкам
при помощи FileMoon определилось что "фиксеры" "клоузит" некто из набора "services.exe" но он прочно сидит в
памяти.


на подходе лог Malwarebytes's пока это единственное, что в этом плане запустилось

ИМХО:
вирус маскирующийся под драйвер или низкоуровневый аппаратный процесс,
который при запуске модифицирует одну или несколько системных сетевых служб...

PS:
в развитие ИМХО версии
как завязать вирус с установкой SP2 и обновлений безопасности -
судя по всему тех служб, которые использует вирус... просто не было в SP1...
"инструментарий" для вируса содержался в SP2 или обновлениях безопасности...
потому и показалось что они причина... а сам вирус может сидел у меня уже давно.

хорошее настроение увеличивает позитифф))
вирус их блокирует и??возможно прописаны статические адреса (host может быть чистый при этом)стандартный вирус..вы просто запустили ситуацию!!!
комбо к примеру помог бы вам..но у вас сервер..может удалить лишнее..поэтому так все и происходит..
попробуйте из safe mode сделать лог avz
распакуйте AVZ
1)зайдите в безопасном 1) AVZ => Файл => Стандартные скрипты => скрипт номер 1
2. AVZ => Исследование системы необходимо переключить "Только активные службы и драйверы" на "Все службы и драйверы" => Пуск укажите где сохранить протокол.
3. Необходимо упаковать протокол в архив zip или rar и прикрепите к сообщению.

где это можно посмотреть...

PS:
я уже все подготовил, есть запасной сервер (в виде сильной машины), на худой конец одноранговая сеть...
у меня есть все нужные бекапы и дистрибутивы... да и конфигурация пустяковая-
переустановка сервака - не проблемма, так-же как и грузануться из-по лив-сд,
или из под линухи и вырезать все кроме нужного, а потом с дистрибутива подправиться...
Мне интресно победить эту "зверушку" иначе... это бесценный опыт...
гоняясь за этим вирусом я уже цепанул очень много полезной инфы.
Вам Arbitr, особенное спасибо...

спасибо
я бы тогда еще посоветовал проверить ключики
Посмотрите в реестре:
ветка
параметр shell и userinit

БРАВО!!! :clapping:
уже кое что есть
в парметре shell все ОК.
значение: explorer.exe

а вот в userinit...
значение: C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\3b1845bc.exe,C:\WINDOWS\system32\gesemd.exe,
замечу, что 3bcfg4tm.exe и 3b1845bc.exe это не одно и то-же, но вот это самое "3b"
заставляет задуматься...
ни того ни другого сейчас в system32 нет... по крайней мере ни проводник ни total, методом поиска там ничего не находят.
первый (3bcfg4tm.exe) я убил вчера, со вторым (3b1845bc.exe) вообще не знаком :)

gesemd.exe - пока вообще загадка надо почитать что это...
а как должен выглядеть userinit? должно ли там быть что-то кроме C:\WINDOWS\system32\userinit.exe?

и что нам в общем все это дает?

Re: почитал... короче в состав системы это точно не входит... т.к. инфы за такую вещь гугл вобще не нашел...
боюс только что это может быть что-то связанное с HASP для 1С или с Крипто-ПРО...
уж больно лаконичное название для вируса "gesemd.exe"
кстати проверил байты - в названиях кириллических символов нет!

в принципе что в юзер инит смело убивайте, ведь это не ваше)))
чистите ветку и логи!!

эти смелоэтот сделайте копию в карантин(архив)и убивайте

а что еще в этой ветке надо поглядеть...
или имелось виду значение параметра "юзеринит"

да только его
так что, теперь AVZ можете запустить RSIT HJT???
не забудьте AVZ актуальна 4,35 и обновить базы

должно быть так и обязательно с запятой
А где лог МБАМ ?

MБAM застревает в процессе... совсем... и намертво вешает систему.
Проверка из под Dr.Web LiveCD ничего не дала... за исключением нескольких потенциально SpyWare *.html
и подозрительных архивов... избавился от них... но как и ожидалось "туфтовый улов"

вот удалось запустить AVP Tool /// есть лог...
Но выполнение скриптов похоже не работает...
пробовал выполнить простое удаление... как-то все на месте...
кое - как из архива запустился AVZ /// вот тоже прикладываю...

и еще вдруг пригодится... это лог FileMoon в момент когда пытаешься запустить AVZ

C:\DOCUME~1\admzm\LOCALS~1\Temp\s3chipid.sys вам знаком??
сможете проверить на virustotal.com ссылку приложите
Выполните скрипт AVP. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
После всех процедур выполните скрипт
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.
если карантин будет пустой, попробуйте сами найти этот файл заархивировать и отправить newviruskaspersky.com
далее у вас уже должны будут получиться логи AVZ и RSIT на вермя выполнения AVZ отключите все программы и антивирусное ПО првоерка займет 5-10 минут, перегружайтесь и ждем логи

p.s. кстати если сервак, и все так серьезно..почему элементарный автозапуск не отключен??? не говоря уже о других настройках политик

а потому, что админ раздолбай... его потому и уволили... и вот пока нового не приняли, эта "мзда" легла на программера
т.е. меня... сейчас буду пробовать скрипт...
кстати оформил официальный запрос в сл.поддержки Лаборатории Касперского посмотрим, что они там скажут....
и вот еще есть один лог... "ихней" GetSystemInfo

лог GSI конечно круто, но даже не знаю кто его возьмется смотреть)))
нет, после скрипта повторить лог AVZ предварительно все отключив и лог RSIT

Абсолютная победа!!!!!! :nnn:
особо помогла
GMER Гадом оказалась NdSpl.dll засевшая в C:\Documents and Settings\admzm\Temp\ которая средствами rundll32 и shell32 селилась во внедренных библиотеках...
о чем гордо свидетельствовал параметр vmApplet все той-же ветки
вобще штука интересная т.к. она судя по всему плодила и отслеживала все "прикосновения" к своим питомцам:
3b1845bc.exe,
3bcfg4tm.exe,
и бог знает еще сколько она успела "нашлепать" и сама поубивать...

Наблюдать за сие творением было оч интересно... так как изолировав её в памяти все симптомы исчезли, но при попытке
ее выгрузить и удалить - посыпались ошибки с участием вышеназванных 3b***.exe :ninja: между ними по любому связь...
решил таки узнать кто кого порождает... причем мне было проще поверить в то, что это exe-шник dll-ку,
а оказалось все наоборот :o

Вот как дело было...
снова запускаю NdSpl.dll во внедренные библиотеки... и ВУАЛЯ! ...
непродолжительный скачок нагрузки на процессор... и где-то в ...system32\ появляется некий
fgp4lmk.exe , стоит его хотя-бы выделить его в проводнике - NdSpl.dll выгружается из памяти
(при этом судя по всему - напрягает систему себя попозже перезапустить)...
и если ты этот файлик не "кил" то следующий раз посетив каталог ...system32\ ты его там уже не найдешь...
да и вобще ничего до поры до времени... через случайный временной интервал - опять подгружается NdSpl.dll

ну и собственно говорят "эта песня хороша - начинай сначала"

вот так...