|
|
|
|
| Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Встречаем - БИРУС!?? |
|
|
Встречаем - БИРУС!??
|
|
Новый участник Сообщения: 22 |
Прежде, чем смеяться, просьба прочитать )))
26 окт 11 во время работы в Chrome неожиданно система зависла. Спас только Reset. После перезагрузки первое, что увидел нечто вроде «CMOS checksum failure». Предлагалось нажать F1 для продолжения или DEL для входа в биос. Выбрал F1, хотя очень удивился – впервые за почти 20 лет. При дальнейшей загрузке сообщалось о проблеме с MBR. Установил дистрибутив Win 7 (x64, лицензия) и выбрал восстановление последней точки системы, и комп сообщил, что всё прошло удачно. Но загрузка опять не прошла из-за MBR. Повторил восстановление с дистрибутива на предмет MBR. После чего система загрузилась. Outpost Firewall 7.5.1 (лицензия) оказался неработоспособным, так же как и trial версия NOD 32 5.0.93.15. Пришлось переустанавливать. Проверка нодом выявила 6 штук HTML/ScrInject.B.Gen, которые антивирус обнаружил в 11 тыс. файлов мусора, но не смог удалить – блокировка (пришлось вручную). Во время «ручной» работы выяснил, что перестала работать клавиша F8 выбора варианта загрузки системы. Попытка восстановить параметры загрузки с помощью Safeboot7.reg (Касперского) выдала ссобщение, что «..не все данные были записаны в реестр. Некоторые разделы были заняты системой или другими процессами». Кроме того появилась странная вещь – двойной старт при загрузке. Включение питания – начало стандартного тестирования – и через 3-5 сек. окошко дисплея платы останавливается на F6. После чего без вмешательства извне компьютер выключается и опять включается успешно проходя все стадии биоса и загружая систему. Управление которой ушло в другие руки ) CCleaner’ом почистил систему и решил проверять её разным софтом. Проверка в самых жёстких режимах (по несколько попыток за 5 дней): 1. DrWeb Cure It ничего не обнаружил. 2. TDSSKiller Касперского – ничего. 3. setup_11.0.0.1245.x01_2011_10_30 Касперского (почти 100Мб) – ничего. 4. Rootkit Unhooker не запустился. 5. Bootkit Remover version 1.2 сообщил об изменениях в MBR, но вылечить ничего не сумел – блокировался системой. 6. Tuluka_v1.0.394.77 сообщала, что «Загрузка драйвера была заблокирована». 7. RootRepeal и Vba32arkit к сожалению работают только в х86 системах. 8. GMER 1.0.15.15011 выдал пару собщений “C:\Windows\System32\Config\system не удаётся найти указанный файл» после чего всё-таки кое-как смог отсканировать систему и выдал четыре похожих записи, нечто вроде этой. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{3FB70834-F0A7-F953-C0F3-C299E37F8BD9}] "habdndakockdhean"=hex:6e,62,6d,62,69,6e,64,6b,62,69,65,6f,6c,65,6a,66,65,6f,6a,62,6b,68,6b,6d,6d,66 ,6e,62,6f,6a,6a,66,6c,6d,70,6c,66,63,70,6d,67,64,6d,62,64,69,6b,69,68,68,64,6d,62,6c,6b,6b,61,63,67, 68,00,00"jabdndakockdheanmbce"=hex:66,61,67,70,67,69,69,6f,6f,63,70,6a,00,00 "pajbcngmbpfenmeaodfilhcamhldpbkp"=hex:64,61,67,70,6b,69,66,6e,00,00 Но больше ничего не смог сделать. Попытка удалить записи вручную привела к сообщению, что система не может найти эти записи. Хотя regedit их чётко показывает. Нашёл в Сети интересные ссылки. Сначала на Хабре http://t.co/qNIpqhFr. Затем http://t.co/eTf59gby и http://t.co/Cd6xl2E0 . Почитал тут http://forum.ixbt.com/topic.cgi?id=77:12198-12 и здесь http://www.rom.by/blog/Novaja_rubrik...irusostroenija . После чего поздравил сам себя и Award с БИРУСОМ ))) Четыре попытки перешить биос EVGA X58 SLI со всеми положенными приёмами завершились одинаково. После окончания автоматической работы CD-ROM’а (из образа с сайта производителя) сообщалось об удачном окончании операции. Но тут же после перезагрузки, опять ошибка «CMOS checksum failure». Затем по клавише F1 загрузка системы. И после этого «нормальный» старт системы. После выключения питания снова двойной старт с паузой на отметке F6 дисплея платы и … круг замкнулся ((( В итоге вспомнил про старый добрый OSZone.net. Постарался без ошибок выполнить все инструкции для создания логов, которые чего-то там нарыли. Прикрепляю. Попытка лечения AVZ дала следующие результаты: А) загрузка драйвера расширенного мониторинга процессов приводит к нулевому результату; Б) лечение стандартным скриптом №1 неизменно приводит к зависанию программы при выгруженном файерволе и антивирусе; В) Включение AVZ Guard выдаёт Ошибка AVZ Guard: C000036B. Что скажете? Есть ли возможность помочь? Буду весьма признателен за любую поддержку. |
|
|
Отправлено: 23:01, 31-10-2011 |
|
Старожил Сообщения: 469
|
Сейчас посмотрю логи
|
|
Отправлено: 23:09, 31-10-2011 | #2 |
|
Новый участник Сообщения: 22
|
Профиль | Отправить PM | Цитировать Спасибо. Не ожидал, что меня прочитают так быстро. Забыл отметить, что батарейку в плате менял. И выполнил все прочие танцы с бубном. ))
|
|
Последний раз редактировалось tonsberg, 31-10-2011 в 23:33. Отправлено: 23:21, 31-10-2011 | #3 |
скептик-оптимист
Сообщения: 5718
|
Профиль | Отправить PM | Цитировать Цитата tonsberg:
Цитата tonsberg:
Если БИОС заражена есть шанс избавиться от лишней инфо в биос прошивкой чипа на отдельном программаторе. В этом случае будет заменена вся информация в чипе. Цитата tonsberg:
|
|||
|
------- Последний раз редактировалось iskander-k, 31-10-2011 в 23:40. Отправлено: 23:34, 31-10-2011 | #4 |
|
Старожил Сообщения: 469
|
Скачайте GMER и запустите
|
|
|
Отправлено: 23:34, 31-10-2011 | #5 |
|
скептик-оптимист
Сообщения: 5718
|
Профиль | Отправить PM | Цитировать + к посту выше
На чистой машине 1. Скачайте образ Alkid Live CD, запишите образ на болванку 2. Скачайте TDSSkiller, и запишите на флешку На проблемной машине 1. Включите в BIOS загрузку с CD 2. Подключите флешку 3. Загрузитесь с созданного диска 4. Запустите TDSSkiller таким образом буква флешки:\tdsskiller.exe -qpath c:\log -qmbr 5. Запакуйте папку c:\log с паролем virus и прикрепите к сообщению |
|
------- Последний раз редактировалось iskander-k, 01-11-2011 в 00:09. Отправлено: 23:59, 31-10-2011 | #6 |
|
Новый участник Сообщения: 22
|
Профиль | Отправить PM | Цитировать Цитата S.R:
Последовательно. GMER. По ссылке не грузится. Нашёл здесь softodrom Жду окончания проверки. |
|
|
Последний раз редактировалось iskander-k, 01-11-2011 в 01:35. Отправлено: 00:19, 01-11-2011 | #7 |
|
Новый участник Сообщения: 22
|
Профиль | Отправить PM | Цитировать S.R
GMER * экспресс-проверка после запуска ничего не выявила; окна о деятельности руткита не было * после сканирования окна о деятельности руткита не было * log файл прилагаю iskander-k Для Вашего поручения потребуется время. Постараюсь как можно быстрее. |
|
Последний раз редактировалось tonsberg, 01-11-2011 в 01:15. Отправлено: 00:46, 01-11-2011 | #8 |
|
скептик-оптимист
Сообщения: 5718
|
Профиль | Отправить PM | Цитировать Цитата tonsberg:
По этому логу чисто. |
|
|
------- Отправлено: 01:34, 01-11-2011 | #9 |
|
Новый участник Сообщения: 22
|
Профиль | Отправить PM | Цитировать Цитата iskander-k:
  делаю вывод, что меня просто что-то не пускает на сайт GMER напрямую. Что уж - не знаю. Странно, что лог GMER'a чистый, так как найденные им проблемные разделы реестра невозможно удалить никакими средствами  Привожу скрин одного раздела.  Три попытки закачать Alkid Live CD пока потерпели неудачу (то антивирус заругается, то из-за слишком быстрой закачки сервер рвёт связь), качается четвёртый вариант. Нахожусь в полном недоумении со всей этой историей. |
|
|
Отправлено: 08:40, 01-11-2011 | #10 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
|
|
Время: 18:06. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
