» Вирус(ы) в Windows XP,Vista,7,8,8.1. Проблемы. Решения.

saga07
Попробуйте для начала обновить свой NOD

saga07
скачайте - http://family.dveit.ru/wp-content/uploads/khabmama/help-khabmama/autoruns.exe
запустите и как все подгрузит (внизу загорится Ready), нажмите File - Save и выложите сюда (только фал сохраненный заархивируй)

Странное событие произошло на компьютере. Если по времени анализировать работу компьютера, то последнее действие перед проишествием было обновление SUN Java. После этого случилось страшное:
1. Стали валиться виртуальные девайсы (VMWARE Agent, WMVARE DCHP) остальное не успел разлядеть и машина ушла в дамп.
2. После перезагрузки оказался недоступен для управленя AVG антивирус, т.к. сервис не стартовал. Иконка в трее висит, но все заблокировано.
3. Все ярлыки в системе оказались неработоспособными. При просмотре свойств - никаких возможностей для изменения содержимого полей (все заблокировано). Запуск программ по ним невозможен. Сами программы которые запускались по ярлыкам доступны для запуска при их клике в папке установки. Просмотр FARом содержимого ярлыков показал, что все! ярлыки содержат в начале своего "кода" текст
Начало файла:
--#CodedBYTechno#--.........

многоточие это что-то дальше. Но это "что-то" совершенно не соответствует содержимому нормального ярлыка. Такое ощущение, что все что дальше либо закодировано, либо набор случайных символов (что вряд ли).
4. Попытка проверить систему LiveCD и CureIT ничего не дало, кроме зависания системы в силу специфики компьютеров. Сами ярлыки за вирусы не сошли,- скопированные на флешку lnk-файлы для проверки на другом компьютере Eset-ом SS вирусами не оказались.
5. В безопасный режим войти не удается - система сразу идет в перезагрузку.
6. Удалось создать загрузочный диск ERD Commander с подключением драйверов для железа в моем компьютере и под ним запустить CureIt - пока просканировано все в папке Windows - вирусов не найдено. Сканирование идет дальше.

Подскажите, люди добрые, что за зверюга мне попалась?
ЗЫ Система Windows XP SP3 ENG+MUI

beda65
ну какие успехи?
trojan.encoder по-сути...

beda65
Я надеюсь, что в скором времени на Ру-Боарде можно будет осуществлять полноценную помощь таким, как Вы. Пока рекомендую обратиться сюда.

сожалею, но указаные тулзы не помогли. отправил файл для анализа на drweb, ответ оттуда был крайне удивленный, но не лишен желания помочь:

Цитата:

Ого! А как и когда такое случилось? Как с другими типами файлов? Есть требования от злоумышленников?

кстати на поверку оказались зашифрованы и другие типы файлов. сигнатура та же.

beda65
AVZ и HijackThis запускаются? Если да, то ждем логи. Как создать логи можете почиать [more=тут]http://virusinfo.info/pravila.html[/more]

Найден "комплект распространения вируса", это оказался скачаный с рапидшары для ребенка эмулятор денди. В коде исполняемого файла (не с начала файла) обнаружена эта же сигнатура, а так же открытым кодом фраза:
--#CodedBYTechno#-- Некоторые ваши файлы зашифрованы. Если они вам дороги, обра
щайтесь на мыло>--->WTF;)<---<: A :\ *.* Techno Techno Techno Techno rb data.bin wb data.bin *.*

Но видимо автор поделки был настолько увлечен своей гениальностью и не подумал о том, что вирус может начать работу с файлами системных драйверов, что вызвало затем дамп системы, см. мой первый пост. Т.е. эту весельнькую надпись нам увидеть так и не удалось.

Указаный "комплект" отправлен разработчикам антивирусов DRWEB и ESET. Эти антивирусы с последним обновлением баз не видят в этом "комплекте" угрозу.

beda65
Какой-то копировальщик-последователь Корректора. С кривыми руками

del

После появления порно-банера на рабочем столе, когда выставляю в биосе загрузку с CD\DVD, загружаю системный диск (или Acronis), а в ответ "DISCBOOT FAILURE, INSERT SISTEM DISC". Это вирус или что-то с железом? Банер я удалил, а дефект остался. Подскажите пожалуйста

LogachevAnd

Цитата:

После появления порно-банера на рабочем столе, когда выставляю в биосе загрузку с CD\DVD, загружаю системный диск (или Acronis), а в ответ "DISCBOOT FAILURE, INSERT SISTEM DISC".

Загрузочный диск неисправен,загрузить с него ОС невозможно,загрузитесь с харда..
Опишите ситуацию подробно плиз...

Цитата:

Это вирус или что-то с железом?

Это что то с CD\DVD приводом или диском..

Цитата:

когда выставляю в биосе загрузку с CD\DVD

Вы нажимаете F 10 для подтверждения изменений приоретета загрузки в Биосе???

Цитата:

"DISCBOOT FAILURE, INSERT SISTEM DISC".

Дословно переводится примерно так:
отказ загрузочного сектора диска, вставте системный диск

спасиба bvas.
Оказалось что-то с Secondare slave. В биосе против него стояла надпись [None]. Хотя дисковод читал и записывал, при обычной работе в XP, но не видим при загрузке без системы? Дисковод переставил на другой шлейф и все заработало. Наверное это не связано с вирусом

LogachevAnd

Цитата:

Наверное это не связано с вирусом

100% не связано

Цитата:

В биосе против него стояла надпись [None].

А если в биосе выставить [Auto]

LogachevAnd
Советую поменять шлейф не важно SATA или IDE так как у тебя видимая причина того что в биосе не определяется устройство.
И как bvas тебе ответил поставь в режим auto затем выставляй первым чтение с Cd-rom потом f10 и сохранить "y" и все должно заработать...

Подскажите, после запуска системы минут через 15 слетает DVD привод а затем летит проводник и рабочий стол. После восстановления все повторяется снова.
Это вирус или что-то с системой. У меня стоит Vista.

Lemkes

Цитата:

слетает DVD привод

Это как понять?

а пробовал сканировать на вирусы???

DVD просто исчезает из мой компьютер, а затем проводник и с рабочего стола все исчезает.

Lemkes
Выполните http://forum.ru-board.com/topic.cgi?forum=2&topic=4022&start=20#14

Lemkes
А по букве через выполнить тоже не заходит?
В командере тоже не видно?
Если так, то однозначно вирусня и посмотрите в реестре что у вас стоит в run возмодно прописался еще и туда

Появилась проблема, при запуске вылетают с ошибкой проги регмон и файлмон, причем процмон работает и позволяет мониторить и реестр и файлы, но все-же у меня возникли некоторые подозрения. И их подогрел GMER, показав кучу скрытых процессов, при попытке убить которые получается синька или перезагрузка. В целом комп работает стабильно, никаких подозрительных вещей.
http://s45.radikal.ru/i107/1003/51/5572f34ca0ff.png

neemestniii
Цитата:

у меня возникли некоторые подозрения

выполнить проверку с лив-сд религия не позволяет?. :)

TheBarmaley
Сейчас думаю, каким лайв сиди посоветуете? Просто инет гпрс и качать долго и накладно.
Пока просканил доктором вэбом в безопасном, ничего не находит, но и gmer в безопасном никаких скрытых процессов не видит.

neemestniii

Цитата:

http://s45.radikal.ru/i107/1003/51/5572f34ca0ff.png

А с нормальными кодовыми таблицами посмотреть процессы не пробовал?

Цитата:

А с нормальными кодовыми таблицами посмотреть процессы не пробовал?

Все нормальные процессы имеют нормальные названия, а те что на скрине, вот такие.
Скачал сейчас GMER 1.0.15.15281 так он сразу комп перезагружает
STOP: 0x00000019 (0x00000020, 0x8ab47000, 0x8ab47828, 0x1b050000)

*** ntoskrnl.exe - Address 0x804f9f33 base at 0x804d7000 DateStamp 0x4802516a
еще попытка и
STOP: 0x00000019 (0x00000020, 0x893f9000, 0x893f9828, 0x1b050000)

*** ntoskrnl.exe - Address 0x804f9f33 base at 0x804d7000 DateStamp 0x4802516a
А тот который работает - версии 1.0.11.11390
Качаю лайв сиди от докора вэба, но 80 мегабайт это на несколько часов..

Добавлено:
Скачал DrWeb LiveCD, он начал проверять все подрят и графический режим не заработал.
Сколько времени может занять проверка 750 гигов, причем я гляжу он исо образы подмонтирует и проверяет. У меня тап есть кое что, доктор вэб считает вирусами, этот лайв сиди не удалит это?
Перед доктором вэбом еще комбофикс попробовал - вылетает с синим экраном и AVZ который ничего кроме доктора вэба, пунтосвитчера, слай контроля, и флай тв не нашел, да нашел еще он майлбомб, но ничего с ними сделать не предложил.

Камрады, если у кого-то возникают проблемы, которые не удалось решить стандартными средствами - создана специальная тема для помощи в этих случаях. Прошу обращать внимание на правила по оказанию помощи - они пока в первом сообщении темы, но скоро будут оформлены в шапку. Будем рады Вам помочь!

HDD
Внеси в шапку плз.

neemestniii
Цитата:

каким лайв сиди посоветуете?

я бы взял от каспера..
но, смотрю, ты уже вебом чистишь.. в принципе - без разницы, примерно баш на баш..
Цитата:

инет гпрс и качать долго и накладно

неужели у тя нету какого-нить корефана с быстрым анлимом???
взял бы пивка, сходил к другану.. там делов-то на полчаса (вместе с базами если).. :)
Цитата:

просканил доктором вэбом в безопасном, ничего не находит

если глиста "умная", она и в сейф-моде не найдётся.. а вот с лив-сд - это уже намного надёжнее..

TheBarmaley
neemestniii
LiveCD от DrWeb или Rescue Disc от Kaspersky Lab. Образ диска нужно скачать на здоровом компьютере, для Rescue Disc от Kaspersky Lab необходимо самостоятельно обновить базы, как описано здесь, после чего образ записать на чистый диск, а затем загрузиться с него на заражённой машине.

Добавлено:
В защищённом режиме некоторые драйвера (AVPTool) не подгрузятся, в итого сканирование не будет достаточно глубоким. Так что
Цитата:

сли глиста "умная", она и в сейф-моде не найдётся

- это верно.

gjf

Цитата:

Внеси в шапку плз.

Добавил.

Цитата:

LiveCD от DrWeb или Rescue Disc от Kaspersky Lab. Образ диска нужно скачать на здоровом компьютере, для Rescue Disc от Kaspersky Lab необходимо самостоятельно обновить базы, как описано здесь, после чего образ записать на чистый диск, а затем загрузиться с него на заражённой машине.

Это всё есть в шапке.