Перейти к содержанию

Система глючит


ROMIK

Рекомендуемые сообщения

Ребят посмотрите машинку.

Симптомы:

1-перестал работать поиск, не через f3 ни через пуск. Вместо панели поиска пусто.

2-при открытии поиска через пуск или f3 иногда падает explorer

3-виснет Internet Explorer

4-стабильно падает GetSystemInfo (отчет не просите), один раз упал КИС 2011

5-перестал открыватся windows media player

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено пользователем ROMIK
Ссылка на комментарий
Поделиться на другие сайты

сделайте лог утилитой из этой статьи.

http://support.kaspersky.ru/faq/?qid=208639606

лог из корня диска С приложите

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
SetServiceStart('rk_remover-boot', 4);
StopService('rk_remover-boot');
StopService('BootScreen');
QuarantineFile('C:\WINDOWS\system32\Irida.bak','');
QuarantineFile('C:\PROGRA~1\Imikimi\Imikimi Plugin 0.5.1\imikimi_activex_plugin.ocx','');
QuarantineFile(':\WINDOWS\system32\srrstr.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\rk_remover.sys','');
QuarantineFile('C:\WINDOWS\SystemRoot\System32\drivers\vidstub.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\rk_remover.sys');
DeleteFile('C:\WINDOWS\system32\Irida.bak');
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
DeleteService('rk_remover-boot');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\system32\drivers\rk_remover.sys');
BC_DeleteSvc('rk_remover-boot');
BC_Activate;
ExecuteRepair(6);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteRepair(8);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R3 - URLSearchHook: (no name) - {f592709f-ff4a-4862-b659-4afabda56312} - (no file)

 

Рекомендуется удалить ПО, которое может конфликтовать

с установленным Kaspersky Internet Security:

- F-Secure Online Tools.

Если данные программы были ранее удалены некорректно,

можно воспользоваться специализированными утилитами

по очистке их следов с сайтов производителей данного ПО.

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (загрузить обновление MBAM).

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

 

Сделайте новые логи по правилам.

Изменено пользователем Roman_Five
Ссылка на комментарий
Поделиться на другие сайты

Лог TDSS

 

F-Secure Online Tools никогда не ставил, более того кроме каспера на компе ни чего не стояло.

Скрипт выполнил

TDSSKiller.2.4.12.0_28.12.2010_22.30.02_log.txt

Изменено пользователем ROMIK
Ссылка на комментарий
Поделиться на другие сайты

Лог TDSS

 

F-Secure Online Tools

 

по tdss - чисто.

 

ставили. в логах видно. скрипт для удаления.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{BDBDE413-7B1C-4C68-A8FF-C5B2B4090876}');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

 

лог MBAM и новые логи?

Ссылка на комментарий
Поделиться на другие сайты

Каспер 2 раза падал на ровном месте.

Скрипт удаления F-Secure выполнил.

Логи AVZ и MBAM будут завтра вечером.

Пока изменений нет.

А на что подозрение ?

Ссылка на комментарий
Поделиться на другие сайты

до лога утилиты TDSS собственно на TDSS и было :)

ждём, что скажет вирлаб. карантин отправили?

 

Привет :friends:

В HijackThis пофиксил. Malwarebytes проверяет, как проверит выложу. А также выложу отчет AVZ.

По карантину :

 

bcqr00003.dat,

bcqr00004.dat,

imikimi_activex_plugin.ocx,

Irida.bak

 

Вредоносный код в файлах не обнаружен.

 

rk_remover.sys

 

Файл в процессе обработки.

 

А можно во время проверки Malwarebytes сделать логи AVZ ?

Изменено пользователем ROMIK
Ссылка на комментарий
Поделиться на другие сайты

не желательно

 

Хороша. Буду ждать Malwarebytes,а потом все логи приложу.

 

Вот логи. И на всякий случай лог гмер.

 

Скажите вердикт Файл в процессе обработки значит что его будет проверять аналитик ? И стоит ли мне ждать отчета о результате ?

лог.log

mbam_log_2010_12_29__20_54_31_.txt

virusinfo_syscure.zip

virusinfo_syscure.zip

virusinfo_syscheck.zip

Изменено пользователем ROMIK
Ссылка на комментарий
Поделиться на другие сайты

значит что его будет проверять аналитик ? И стоит ли мне ждать отчета о результате ?

да и да

 

удалите в MBAM:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oreans32 (Rootkit.Agent) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{1408E208-2AC1-42D3-9F10-78A5B36E05AC} (Trojan.BHO) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} (Adware.MyCentria) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\44 (Malware.Trace) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\HiSoft\CrackDownloader (CrackTool.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\spydetector (Rogue.SpywareProcessDetector) -> No action taken.

 

c:\WINDOWS\system32\drivers\oreans32.sys (Rootkit.Agent) -> No action taken.

c:\documents and settings\all users.windows\application data\kaspersky lab\Sandbox\KLSB2\Device\harddiskvolume1\documents and settings\777\рабочий стол\новая папка\A0026159.ocx (Trojan.Agent) -> No action taken.

c:\documents and settings\all users.windows\application data\kaspersky lab\Sandbox\KLSB2\Device\harddiskvolume1\documents and settings\777\рабочий стол\новая папка\replaceicon.ocx (Trojan.Agent) -> No action taken.

c:\documents and settings\all users.windows\application data\kaspersky lab\Sandbox\KLSB2\Device\harddiskvolume1\documents and settings\777\рабочий стол\новая папка\Ri.ocx (Trojan.Agent) -> No action taken.

c:\documents and settings\all users.windows\application data\kaspersky lab\Sandbox\KLSB2\Device\harddiskvolume1\documents and settings\777\рабочий стол\новая папка\ymsg12encrypt.dll (Trojan.Agent.Gen) -> No action taken.

c:\program files\kirillka.ru snow\kirillka.ru snow.exe (Trojan.Downloader) -> No action taken.

 

d:\system volume information\_restore{659c7a18-7b4f-4c4e-875e-8773eaf8f6a9}\RP44\A0017606.exe (Trojan.Dropper) -> No action taken.

 

c:\WINDOWS\system32\system32.exe (Backdoor.Bot) -> No action taken.

новый лог MBAM приложите.

проверьте на virustotal.com

c:\program files\Luxand\glamourizer\lglib3.dll (Malware.Packer.Gen) -> No action taken.
d:\Игры\worms armageddon\wormsconfig.exe (Spyware.Passwords) -> No action taken.

Изменено пользователем Roman_Five
Ссылка на комментарий
Поделиться на другие сайты

да и да

проверьте на virustotal.com

c:\program files\Luxand\glamourizer\lglib3.dll (Malware.Packer.Gen) -> No action taken.
d:\Игры\worms armageddon\wormsconfig.exe (Spyware.Passwords) -> No action taken.

 

d:\Игры\worms armageddon\wormsconfig.exe (Spyware.Passwords) -чист

 

c:\program files\Luxand\glamourizer\lglib3.dll (Malware.Packer.Gen) - вот

 

MBAM проверяет заново, проверит тогда удалю.

Изменено пользователем ROMIK
Ссылка на комментарий
Поделиться на другие сайты

После того, как закончит MBAM!

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\System Volume Information\_restore{659C7A18-7B4F-4C4E-875E-8773EAF8F6A9}\RP47\A0024040.pif','');
QuarantineFile('c:\program files\Luxand\glamourizer\lglib3.dll',' ');
DeleteFile('C:\System Volume Information\_restore{659C7A18-7B4F-4C4E-875E-8773EAF8F6A9}\RP47\A0024040.pif');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

 

что вообще с симптомами?

Симптомы:

1-перестал работать поиск, не через f3 ни через пуск. Вместо панели поиска пусто.

2-при открытии поиска через пуск или f3 иногда падает explorer

3-виснет Internet Explorer

4-стабильно падает GetSystemInfo (отчет не просите), один раз упал КИС 2011

5-перестал открыватся windows media player

Изменено пользователем Roman_Five
Ссылка на комментарий
Поделиться на другие сайты

что вообще с симптомами?

Все по старому.

Каспер стал падать с пугающей частотой.

WMP так и не открывается.

Поиска нет.

GetSystemInfo вроде не падает.

 

Вот что творится с Internet Explorer при его открытии: (скрин) потом он зависает намертво и через некоторое время сам вырубается :)

post-7265-1293651426_thumb.jpg

Изменено пользователем ROMIK
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • yare4kaa
      От yare4kaa
      Здравствуйте, был в рейсе и не чистил пк от вирусов, заразился много фигней, нужна помощь специалистов.
      Логи ниже CollectionLog-2024.11.25-18.32.zip
    • Gillox
      От Gillox
      При игре в Тарков, а так же просто использовании пк без нагрузки время от времени крашется система. Думаю, подцепил майнер. Выдает синие экраны, либо пк просто перезагружается с черным экраном. Коды ошибок: 
      Memory_Management System Thread Exception not handled System Service Exception (Что вызвало проблему: Ntfs.sys) Kernel_Mode Heap Corruption CollectionLog-2024.11.04-18.56.zip
       
      Так же перестала работать панель уведомлений справа (при открытии она полностью пустая без значков и тут же закрывается) и комбинация win+shift+s перестает работать после первого использования после перезапуска пк.
    • Pomka.
      От Pomka.
      короче простым клубням тут не место ?
    • MiStr
      От MiStr
      То, над чем мы так долго работали; то, о чём вы не раз спрашивали; то, что теперь будет постоянно обновляться и публиковаться — текущий рейтинг фан-клубовцев. Наконец мы решили все организационные и технологические вопросы, получили и агрегировали данные по программам, участвующим в рейтинговой системе мотивации фан-клубовцев, и теперь готовы ежемесячно публиковать текущий рейтинг. Всё это для того, чтобы каждый фан-клубовец видел, на каком месте он находится в данный момент, мог оценить свои шансы на попадание в список приглашённых на празднование очередного дня рождения фан-клуба, зарядить себя мотивацией и с новыми силами продолжить участвовать в многочисленных программах, за активность в которых начисляются клабы.
       
      Рейтинг фан-клубовцев по состоянию на 03.02.2019 (Ник / количество клабов):
       
       
      Внимание! Опубликованные данные носят текущий информационный характер и не являются окончательным результатом. Публикация рейтинга не означает, что подсчитаны абсолютно все активности, в которых участвовал фан-клубовец до даты публикации рейтинга, поскольку информация об участии фан-клубовцев в программах поступает к нам с задержкой от нескольких дней до нескольких месяцев.
       
      Напоминаем, что согласно правилам рейтинговой системы, любые вопросы, связанные с начислением клабов, принимаются в течение 30 дней с момента обновления рейтинга участника. По истечении этого срока количество начисленных клабов не пересматривается. Поэтому если у вас возникли вопросы по начислению клабов, то отправьте письмо мне с копией Elly. В письме сообщите, какой размер вашего рейтинга должен быть и приложите соответствующие расчёты. Письма без конкретных расчётов или содержащие неконкретную информацию вида "Мне кажется, у меня должно быть немного больше" рассматриваться не будут.
    • KL FC Bot
      От KL FC Bot
      Чем раньше действия злоумышленников попадут в сферу внимания защитных решений и экспертов, тем эффективнее получится минимизировать, а то и вовсе предотвратить ущерб. Поэтому, работая над новыми правилами детектирования для нашей SIEM-системы KUMA (Kaspersky Unified Monitoring and Analysis Platform), мы уделяем особое внимание выявлению активности хакеров на самом начальном этапе атаки — то есть на этапе сбора информации о защищаемой инфраструктуре. То есть к действиям, относящимся к тактике Discovery по классификации Enterprise Matrix MITRE ATT&CK Knowledge Base.
      В последнее время все чаще внимание атакующих привлекает инфраструктура контейнеризации, в которой нередко находят достаточно опасные уязвимости. Например, в нашем майском отчете об эксплойтах и уязвимостях описывается уязвимость CVE-2024-21626, эксплуатация которой позволяет совершить побег из контейнера. Поэтому в обновлении KUMA SIEM за третий квартал 2024 года среди правил для выявления нетипичного поведения, которое может свидетельствовать об активности злоумышленников на этапе первичного сбора данных, мы добавили правила детектирования, которые ловят попытки сбора данных об используемой инфраструктуре контейнеризации, а также следы различных попыток манипуляций с самой системой контейнеризации.
      Сделано это было с помощью детектирующих правил R231, R433 и R434, которые уже доступны пользователям KUMA SIEM через систему обновления правил. В частности, они служат для детектирования и корреляции следующих событий:
      доступ к учетным данным внутри контейнера; запуск контейнера на неконтейнерной системе; запуск контейнера с избыточными правами; запуск контейнера с доступом к ресурсам хоста; сбор информации о контейнерах с помощью стандартных инструментов; поиск слабых мест в контейнерах с помощью стандартных инструментов; поиск уязвимостей безопасности в контейнерах с помощью специальных утилит. С учетом вышеописанного обновления сейчас на платформе доступно более 659 правил, из них 525 правил с непосредственно детектирующей логикой.
      Мы продолжаем ориентироваться на Enterprise Matrix MITRE ATT&CK Knowledge Base, которая сегодня включает в себя 201 технику, 424 подтехники и тысячи процедур. На данный момент наше решение покрывает 344 техники и подтехники MITRE ATT&CK.
      Кроме того, мы доработали множество старых правил путем исправления или корректировки условий, например, для снижения количества ложных срабатываний (false-positives).
       
      View the full article
×
×
  • Создать...