Подозрение на активное заражение vs. баги CRYSTAL

[-=Kirill Strelets=-]

Здравствуйте! В общем дело такое: при попытке сделать любую из проверок(полная проверка, уязвимости и т.д) через минуту сканирования вылетает BSOD. К сожалению, не успел его сфотографировать и почему-то дампа не создалось(нету его в папке minidump). Я уже два месяца сижу без проверок компьютера, а в ЛК так и не создали спасительный патч, это не нормально и я считаю, что в новой версии CRYSTAL этой ошибки быть не должно, тем более уже TR. Ах да, я не отрицаю, что возможно у меня поселился зловред.

Сведения о системе:

Раскрывающийся текст:

 

<<< Общие сведения о системе >>>

> Материнская плата : ASUSTeK Computer Inc. X55SV

> Микропроцессор : Intel GM965

> Процессор : Intel Core 2 Duo Mobile T7500 @ 2200 МГц

> Физическая память : 2048 Мб (2 x 1024 DDR2-SDRAM )

> Видеоадаптер : NVIDIA GeForce 9500M GS

> Жёсткий диск : Hitachi (160 Гб)

> DVD-Rom Drive : TSSTcorp CDDVDW TS-L632H ATA Device

> Тип монитора : AUO - 15 дюймов

> Сетевая карта : MV88SE614x PCIe to SATA2 controller Yukon 88E8055 PCIe Gigabit Ethernet Controller

> Сетевая карта : Wireless WiFi Link 4965AGN

> Oперационная система : Windows Vista Home Basic Домашний выпуск 6.00.6002 Service Pack 2

> DirectX : Версия 11.00

> Windows Performance Index : 4.7

 

Логи AVZ и Hijack This:

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

 

P.S. Забыл сказать: версия антивируса - Kaspersky CRYSTAL 9.0.0.199, лицензионная.

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\SoftwareDistribution\Download\Install\WGAER_M.exe','');
QuarantineFile('lvupdtio.sys','');
QuarantineFile('C:\Windows\system32\DRIVERS\94209657.sys','');
QuarantineFile('C:\Windows\system32\DRIVERS\gmer.sys','');
QuarantineFile('C:\Program Files\MediaCoder\SysInfo.sys','');
QuarantineFile('C:\Windows\system32\drivers\blbdrive.sys','');
QuarantineFile('C:\Windows\System32\Drivers\dump_iaStor.sys','');
QuarantineFile('C:\Windows\system32\drivers\anf0100.sys','');
QuarantineFile('C:\Users\A8F3~1\AppData\Local\Temp\esihdrv.sys','');
BC_QrFile('C:\Windows\SoftwareDistribution\Download\Install\WGAER_M.exe');
BC_QrFile('lvupdtio.sys');
BC_QrFile('C:\Windows\system32\DRIVERS\94209657.sys');
BC_QrFile('C:\Windows\system32\DRIVERS\gmer.sys');
BC_QrFile('C:\Program Files\MediaCoder\SysInfo.sys');
BC_QrFile('C:\Windows\system32\drivers\blbdrive.sys');
BC_QrFile('C:\Windows\System32\Drivers\dump_iaStor.sys');
BC_QrFile('C:\Windows\system32\drivers\anf0100.sys');
BC_QrFile('C:\Users\A8F3~1\AppData\Local\Temp\esihdrv.sys');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

Если размер карантина превышает 1,5 мегабайта, отправьте карантин по электронной почте на адрес "newvirus@kaspersky.com".

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: (no name) - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (загрузить обновление MBAM).

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Нажмите "Remove Selected/Удалить выделенное". Внимание: проверьте то, что удаляете! Если не уверены - не удаляйте.

Полученный лог прикрепите к сообщению.

 

----

убрал из скрипта BC_ImportQuarantineList;

Изменено 8 октября, 2010 пользователем Roman_Five

[-=Kirill Strelets=-]

Готово. Архив карантина весил где-то ~2.5MB, поэтому отправил через newvirus@kaspersky.com. Пришёл ответ, но...где дрова, которые были в карантине?Их не стали анализировать?

Раскрывающийся текст:

От: <newvirus@kaspersky.com>

Кому: <kirillstrelets@mail.ru>

Дата: Пт 08 Окт 2010 07:36:12

Тема: Re: virus [KLAN-86754471]

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

 

Alawar_Wrapper_Protected_Games_UniCrack+KeyFinder_by_[TLG]Mysterio.exe

 

Вредоносный код в файле не обнаружен.

 

b950c.msi

 

Файл в процессе обработки.

 

С уважением, Лаборатория Касперского

 

123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1

Тел./факс: + 7 (495) 797 8700

http://www.kaspersky.ru http://www.viruslist.ru

 

 

Hello,

 

This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst.

 

Alawar_Wrapper_Protected_Games_UniCrack+KeyFinder_by_[TLG]Mysterio.exe

 

No malicious code was found in this file.

 

b950c.msi

 

This file is in process.

 

Best Regards, Kaspersky Lab

 

10/1, 1st Volokolamsky Proezd, Moscow, 123060, Russia

Tel./Fax: + 7 (495) 797 8700

http://www.kaspersky.com http://www.viruslist.com

 

>> From: kirillstrelets@mail.ru

>> Sent: 08.10.2010 3:33:03

>> To: newvirus@kaspersky.com

>> Subject: virus

>>

>> Подозрение на активное заражение. Вот файл карантина AVZ,

>> проверьте пожалуйста и ответьте, нужно для форума!

>> Пароль на архив: virus

 

 

 

Вот лог MBAM (он написал, что заражено 5 обьектов, но я удалять ничего пока не стал, чтобы проблем потом не было):

mbam_log_2010_10_08__17_06_24_.txt

[Roman_Five]

похоже, Вы отправили карантин с первых логов.

очистим карантин. выполните скрипт:

begin
ClearQuarantine;
DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
end.

затем выполните скрипты avz из этого сообщения (1 и 2)

отправьте карантин по почте.

 

В логе MBAM:

удалите C:\Users\$Кирилл$Агент 007.KIRILL-STRELETS\Desktop\Бывший рабочий стол\warcrack\Warhammer_keygen.exe (Trojan.Agent.CK)

 

ошибку BSODa так и не сфотографировали?

[-=Kirill Strelets=-]

похоже, Вы отправили карантин с первых логов.

очистим карантин. выполните скрипт:

///

затем выполните скрипты avz ///

отправьте карантин по почте.

 

В логе MBAM:

удалите C:\Users\$Кирилл$Агент 007.KIRILL-STRELETS\Desktop\Бывший рабочий стол\warcrack\Warhammer_keygen.exe (Trojan.Agent.CK)

 

ошибку BSODa так и не сфотографировали?

Всё почистил, выполнил скрипты, отправил по почте. Нет, не сфотографировал, попробую воспроизвести BSOD, запустив любую проверку.

 

BSOD сфотографировал, проблема в volsnap.sys.

P.S. каспер перед этим успел найти уязвимость в AdobeReader, хотя он обновлён.

 

Пришёл ответ на карантин:

Раскрывающийся текст:

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

 

 

 

С уважением, Лаборатория Касперского

 

123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1

Тел./факс: + 7 (495) 797 8700

http://www.kaspersky.ru http://www.viruslist.ru

 

 

Hello,

 

This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst.

 

 

 

Best Regards, Kaspersky Lab

 

10/1, 1st Volokolamsky Proezd, Moscow, 123060, Russia

Tel./Fax: + 7 (495) 797 8700

http://www.kaspersky.com http://www.viruslist.com

 

 

>> From: kirillstrelets@mail.ru

>> Sent: 08.10.2010 16:13:09

>> To: newvirus@kaspersky.com

>> Subject: virus

>>

>> Подозрение на активное заражение. Вот файл карантина AVZ,

>> проверьте пожалуйста и ответьте, нужно для форума!

>> Пароль на архив: virus

 

[Roman_Five]

BSOD сфотографировал, проблема в volsnap.sys.

 

обратитесь в техподдержку и/или откройте новую тему в помощи по продуктам с указанием номера BSOD и сбойного драйвера.

 

 

Пришёл ответ на карантин:

карантин ушёл не пустой? сколько файлов в него попало?

[-=Kirill Strelets=-]

обратитесь в техподдержку и/или откройте новую тему в помощи по продуктам с указанием номера BSOD и сбойного драйвера.

 

 

 

карантин ушёл не пустой? сколько файлов в него попало?

Хорошо, напишу в ТП.

В карантине было и есть 9 файлов.

[-=Kirill Strelets=-]

Оказывается, проблема была в установленном ASUS Data Security Manager, которая была для меня очень удобна . Удалил её и BSoD'а больше нет.