[Drongo]

Цитата RUVATA:

там похоже моя ситуация »

Там совсем не ваша ситуация.

Просканируйте систему любым приглянувшимся онлайн-сканером - Онлайн проверка всего компьютера и отдельных файлов на вирусы

[RUVATA]

это становится весело...

Оглашаю полный список:
не запускаются любые "фиксеры" (открываются и тут-же закрываются) AVZ, AVP tools, RSIT, HiJackThis и т.д.
не скачивает файлы, архивы, "иное" содержащее, хотя бы, в части названия ("avz","drWeb","avp" и т.д)
не открываются сайты:
- оф.антивирусного ПО ; www.drweb.com , www.kaspersky.ru , www.esetnod32.ru и т.д.
- сайты, форумы поддержки ; www.virusinfo.ru и т.д.
- сайты он-лайн сканирования так как лежат на оф.сайтах антивирсного ПО
изменения имени "фиксеров" ничего не дает, полиморфные версии ведут себя так-же
CureIT(вчерашний) ничего не обнаружил.
в реестре не имеется записей по поводу сайтов, и програм по крайней мере по имени, как это делает Kido
Kido Killer ничего не изменил

единственное что удалось сделать, - это запустить avz из архива, и состряпать лог с "кракозябрами" вместо кириллицы

основной симптом - то что DPCs своим NDIS.sys жрет ресурсы процессоров при обращении пользователей к общим папкам
при помощи FileMoon определилось что "фиксеры" "клоузит" некто из набора "services.exe" но он прочно сидит в
памяти.


на подходе лог Malwarebytes's пока это единственное, что в этом плане запустилось

ИМХО:
вирус маскирующийся под драйвер или низкоуровневый аппаратный процесс,
который при запуске модифицирует одну или несколько системных сетевых служб...

[RUVATA]

PS:
в развитие ИМХО версии

Цитата RUVATA:

который при запуске модифицирует одну или несколько системных сетевых служб... »

как завязать вирус с установкой SP2 и обновлений безопасности -
судя по всему тех служб, которые использует вирус... просто не было в SP1...
"инструментарий" для вируса содержался в SP2 или обновлениях безопасности...
потому и показалось что они причина... а сам вирус может сидел у меня уже давно.

[Arbitr]

Цитата RUVATA:

это становится весело... »

хорошее настроение увеличивает позитифф))

Цитата RUVATA:

не запускаются любые "фиксеры" (открываются и тут-же закрываются) AVZ, AVP tools, RSIT, HiJackThis и т.д. »

вирус их блокирует и??

Цитата RUVATA:

не открываются сайты: - оф.антивирусного ПО ; www.drweb.com , www.kaspersky.ru , www.esetnod32.ru и т.д. - сайты, форумы поддержки ; www.virusinfo.ru и т.д. »

возможно прописаны статические адреса (host может быть чистый при этом)

Цитата RUVATA:

вирус маскирующийся под драйвер или низкоуровневый аппаратный процесс, который при запуске модифицирует одну или несколько системных сетевых служб... »

стандартный вирус..вы просто запустили ситуацию!!!
комбо к примеру помог бы вам..но у вас сервер..может удалить лишнее..поэтому так все и происходит..
попробуйте из safe mode сделать лог avz
распакуйте AVZ
1)зайдите в безопасном 1) AVZ => Файл => Стандартные скрипты => скрипт номер 1
2. AVZ => Исследование системы необходимо переключить "Только активные службы и драйверы" на "Все службы и драйверы" => Пуск укажите где сохранить протокол.
3. Необходимо упаковать протокол в архив zip или rar и прикрепите к сообщению.

[RUVATA]

Цитата Arbitr:

возможно прописаны статические адреса (host может быть чистый при этом) »

где это можно посмотреть...

PS:
я уже все подготовил, есть запасной сервер (в виде сильной машины), на худой конец одноранговая сеть...
у меня есть все нужные бекапы и дистрибутивы... да и конфигурация пустяковая-
переустановка сервака - не проблемма, так-же как и грузануться из-по лив-сд,
или из под линухи и вырезать все кроме нужного, а потом с дистрибутива подправиться...
Мне интресно победить эту "зверушку" иначе... это бесценный опыт...
гоняясь за этим вирусом я уже цепанул очень много полезной инфы.
Вам Arbitr, особенное спасибо...

[Arbitr]

Цитата RUVATA:

Вам Arbitr, особенное спасибо... »

спасибо
я бы тогда еще посоветовал проверить ключики
Посмотрите в реестре:
ветка

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

параметр shell и userinit

[RUVATA]

БРАВО!!!
уже кое что есть
в парметре shell все ОК.
значение: explorer.exe

а вот в userinit...
значение: C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\3b1845bc.exe,C:\WINDOWS\system32\gesemd.exe,

Цитата RUVATA:

кстати уже налазил в system32 какую-то бяку 3bcfg4tm.exe // киллЁ »

замечу, что 3bcfg4tm.exe и 3b1845bc.exe это не одно и то-же, но вот это самое "3b"
заставляет задуматься...
ни того ни другого сейчас в system32 нет... по крайней мере ни проводник ни total, методом поиска там ничего не находят.
первый (3bcfg4tm.exe) я убил вчера, со вторым (3b1845bc.exe) вообще не знаком

gesemd.exe - пока вообще загадка надо почитать что это...
а как должен выглядеть userinit? должно ли там быть что-то кроме C:\WINDOWS\system32\userinit.exe?

и что нам в общем все это дает?

Re:

Цитата RUVATA:

gesemd.exe - пока вообще загадка надо почитать что это... »

почитал... короче в состав системы это точно не входит... т.к. инфы за такую вещь гугл вобще не нашел...
боюс только что это может быть что-то связанное с HASP для 1С или с Крипто-ПРО...
уж больно лаконичное название для вируса "gesemd.exe"
кстати проверил байты - в названиях кириллических символов нет!

[Arbitr]

в принципе что в юзер инит смело убивайте, ведь это не ваше)))
чистите ветку и логи!!

Цитата RUVATA:

3bcfg4tm.exe и 3b1845bc.exe »

эти смело

Цитата RUVATA:

gesemd.exe »

этот сделайте копию в карантин(архив)и убивайте

[RUVATA]

Цитата Arbitr:

чистите ветку и логи!! »

а что еще в этой ветке надо поглядеть...
или имелось виду значение параметра "юзеринит"

[Arbitr]

Цитата RUVATA:

или имелось виду значение параметра "юзеринит" »

да только его
так что, теперь AVZ можете запустить RSIT HJT???
не забудьте AVZ актуальна 4,35 и обновить базы