Перейти к содержанию
Правила раздела

Странное поведение системы.

Steel Rain

От Steel Rain
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Steel Rain Продвинутый

Steel Rain

Опубликовано
Опубликовано (изменено)

Всем доброго времени суток.

 

Ситуация следующая. Ноутбук, операционка Win XP Prof SP3, установлен KAV. Практически сразу после авторизации в системе появляется сообщения вида: Инструкция по адресу "0х..." обратилась к памяти по адресу "0х00000000". Память не может быть "writen". Каждый раз ошибки возникают в разных приложениях. Чаще всего wscntfy.exe, explorer.exe, dwwin.exe. Затем каспер выдает сообщение вида: Обнаружено: потенциально опасное ПО Invider далее указания на разные процессы, но чаще всего C:\windows\system32\svchost.exe, внедриться пытается, как правило, в dwwin.exе. Далее система продолжает работу, но периодически появляются сообщения о крахе того или иного приложения. Так же после 5-10 минут не удается ничего запустить, сразу вываливается критическая ошибка.

При полной проверке каспер обнаружил Trojan.Win32.Buzus.hymv, Trojan.Win32.Jorik.Buterat.cl, Hoax.Win32.ArchSMS.icvk. AVZ ничего не находит. Пробовал проверить на Kido утилитой KK, пусто (вроде маскировался он под svсhost похожим образом). Все остальное запустить не удалось (ComboFix, GMER, HiJack и т.п.) вылетают через несколько секунд после запуска с критической ошибкой. В SafeMode грузиться нормально, подобных проблем не наблюдается. Удалось запустить HiJack.

Вот чувствую бесовское, а доказать не могу... :)

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Изменено пользователем Steel Rain
Ссылка на комментарий
Поделиться на другие сайты
snifer67 Ветеран

snifer67

Опубликовано
Опубликовано (изменено)

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\lopquicosub.dat','');
DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\lopquicosub.dat');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SENS\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(RegKeyStrParamRead('HKCU','Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders','Desktop')+'\avz_quarantine.zip');
end.

Карантин сохранится на рабочем столе.

Карантин отправьте на newvirus@kaspersky.com

Сделайте новые логи

Изменено пользователем snifer67
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Steel Rain Продвинутый

Steel Rain

Опубликовано
  • Автор
Опубликовано (изменено)

Кажется вылечилось. Ошибка обращения к памяти не выскакивает после входа в систему и сообщение о внедрении в другой процесс тоже. HiJack запустился. Пройдусь ещё разок AVZ и каспером.

 

Сейчас в процессе проверки обнаружился Exploit.Java.CVE-2010-4452.a

 

Новые логи:

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено пользователем Steel Rain
Ссылка на комментарий
Поделиться на другие сайты
Steel Rain Продвинутый

Steel Rain

Опубликовано
  • Автор
Опубликовано (изменено)

При втором проходе нашел Hoax.Win32.ArchSMS.icvk

Похоже система все ещё заражена, хотя явных признаков нет. Что посоветуете?

Изменено пользователем Steel Rain
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
При втором проходе нашел Hoax.Win32.ArchSMS.icvk

Похоже система все ещё заражена, хотя явных признаков нет. Что посоветуете?

Программы класса hoax не очень опасны статья http://www.securelist.com/ru/descriptions/...32.ArchSMS.icyk

Ссылка на комментарий
Поделиться на другие сайты
Steel Rain Продвинутый

Steel Rain

Опубликовано
  • Автор
Опубликовано (изменено)

Меня настораживает не что именно он находит, а то что при каждом проходе что то находит.

Господа, гляньте логи пожалуйста. Есть там что нибудь подозрительное?

Изменено пользователем Steel Rain
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\DOWNLO~1\hwti850.ocx','');
QuarantineFile('C:\Program Files\Messenger\msmsgs.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\dgderdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\adiusbae.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\adildr.sys','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\MEMORY\S-v-6-2009\PeAcE.exe','');
DeleteFile('C:\MEMORY\S-v-6-2009\PeAcE.exe');
DeleteFile('D:\autorun.inf');
DelCLSID('67XOR2B0-3GMC-89VV-JIJ1-24KL2R3251431');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Проверьте наличие файла

C:\Program Files\Messenger\msmsgs.exe

если его нет, пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

 

После проведённого лечения рекомендуется:

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

Сделайте новые логи по правилам.

+

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы.

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

+

сделайте отчёт GSI

http://forum.kasperskyclub.ru/index.php?sh...ost&p=55906

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Steel Rain Продвинутый

Steel Rain

Опубликовано
  • Автор
Опубликовано (изменено)

Из вирусной лаборатории пока ответа нет ни по первому ни по второму запросу. C:\Program Files\Messenger\msmsgs.exe отсутствует. Anti-Malware кое что нашел.

D:\autorun.inf удалять не стал, в нем ничего криминального, это автонастройка WiFi, записал на диск восстановления. Да и по первому запросу ответ пришел:

 

autorun.inf,

bcqr00001.dat,

bcqr00002.dat

 

Вредоносный код в файлах не обнаружен.

 

lopquicosub.dat

 

Файл в процессе обработки.

 

отчёт GSI

http://www.getsysteminfo.com/read.php?file...7bb6a04ccf82e97

 

P.S. сейчас при проверке касперским с обновленными базами обнаружен Packed.Win32.Krap.hc Откуда оно берется то?!

GetSystemInfo_CHASER_Hamster_2011_07_27_11_30_39.zip

mbam_log_2011_07_27__11_01_23_.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено пользователем Steel Rain
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

Удалите в MBAM ТОЛЬКО следующие объекты:

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR (Trojan.Downloader) -> No action taken.

Зараженные файлы:
C:\Documents and Settings\Hamster\Application Data\netprotocol.exe (Trojan.Agent) -> No action taken.
E:\DiskC\Documents and Settings\Hamster\Application Data\FieryAds\FieryAdsUninstall.exe (Adware.FieryAds) -> No action taken.

После удаления откройте лог и прикрепите его к сообщению.

 

кейгены - на своё усмотрение.

 

сейчас при проверке касперским с обновленными базами обнаружен Packed.Win32.Krap.hc

где обнаружен?

 

Kerio WinRoute Firewall ранее стоял?

  • Не согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Steel Rain Продвинутый

Steel Rain

Опубликовано
  • Автор
Опубликовано (изменено)

С MBAM я поторопился и удалил все, ну и закрыл его, так понимаю теперь что бы лог сделать нужно снова полную проверку запустить.

Packed.Win32.Krap.hc обнаружен в System Volume Information

От Kerio установлен VPN client и консоль администирования

Изменено пользователем Steel Rain
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
С MBAM я поторопился

деинсталлируйте MBAM

 

обнаружен в System Volume Information

очистите точки восстановления системы

 

От Kerio установлен VPN client и консоль администирования

это необходимо? драйвер от данного ПО является потенциально несовместимым с продуктами LK

 

в остальном всё чисто, если Вы прислушались к данным рекомендациям:

После проведённого лечения рекомендуется:

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

Ссылка на комментарий
Поделиться на другие сайты
Dimitri Продвинутый

Dimitri

Опубликовано
Опубликовано
Всем доброго времени суток.

 

Ситуация следующая. Ноутбук, операционка Win XP Prof SP3, установлен KAV. Практически сразу после авторизации в системе появляется сообщения вида: Инструкция по адресу "0х..." обратилась к памяти по адресу "0х00000000". Память не может быть "writen". Каждый раз ошибки возникают в разных приложениях. Чаще всего wscntfy.exe, explorer.exe, dwwin.exe. Затем каспер выдает сообщение вида: Обнаружено: потенциально опасное ПО Invider далее указания на разные процессы, но чаще всего C:\windows\system32\svchost.exe, внедриться пытается, как правило, в dwwin.exе. Далее система продолжает работу, но периодически появляются сообщения о крахе того или иного приложения. Так же после 5-10 минут не удается ничего запустить, сразу вываливается критическая ошибка.

При полной проверке каспер обнаружил Trojan.Win32.Buzus.hymv, Trojan.Win32.Jorik.Buterat.cl, Hoax.Win32.ArchSMS.icvk. AVZ ничего не находит. Пробовал проверить на Kido утилитой KK, пусто (вроде маскировался он под svсhost похожим образом). Все остальное запустить не удалось (ComboFix, GMER, HiJack и т.п.) вылетают через несколько секунд после запуска с критической ошибкой. В SafeMode грузиться нормально, подобных проблем не наблюдается. Удалось запустить HiJack.

Вот чувствую бесовское, а доказать не могу... :)

 

Способ №1.

 

Отключить службу «Предотвращение выполнения данных» (Data execution prevention), которая осуществляет контроль доступа к памяти. Для ее отключения необходимо внести небольшие коррективы в файл boot.ini. Файл размещен в корне диска, на котором установлена операционная система. Для доступа к нему, откройте «Мой компьютер» и в адресной строке сверху введите %systemdrive%\Boot.ini и нажмите Enter. Или же другим способом: «Пуск» -> «Выполнить» -> %systemdrive%\Boot.ini -> ОК. Есть еще третий способ доступа к файлу boot.ini: «Пуск» -> «Панель управления» -> «Система» -> «Дополнительно» -> «Загрузка и восстановление: Параметры» -> «Правка».

 

Открыв файл, найдите параметр «/noexecute=optin» и замените слово optin на alwaysoff. Т.е. параметр должен иметь вид «/noexecute=alwaysoff». После этого сохраните файл (Файл -> Сохранить) и перезагрузите компьютер.

 

Есть, правда, одно «но» - файл boot.ini может быть защищен от записи и откажется сохраняться. Поэтому необходимо открыть системный диск (по умолчанию С), выбрать в верхнем меню пункт «Сервис» -> «Свойства папки» -> «Вид» и, прокрутив ползунок до самого низа, поставить галочку напротив пункта «Показывать скрытые файлы и папки». После этого вы сможете увидеть файл boot.ini. Щелкните по нему правой кнопкой мыши и выберите «Свойства», после чего снимите галочку напротив пункта «Только чтение». Теперь можно вносить в файл любые коррективы и сохранять без проблем.

 

Способ №2.

 

Причиной ошибки может быть также некорректно установленная библиотека ole32.dll. Некоторые программы при установке/удалении могут повредить ключи в реестре, относящиеся к этой библиотеке. Для переустановки библиотеки, нажмите «Пуск» -> «Выполнить» и введите команду «regsvr32 %SystemRoot%\system32\ole32.dll» (без кавычек), после чего нажмите ОК и перезагрузите компьютер.

 

Способ №3.

 

Можно также попробовать отключить в операционной системе Windows все сообщения об ошибках, и об ошибке «Память не может быть read» в том числе. Для этого отправляемся по следующему пути: «Пуск» -> «Панель управления» -> «Система» -> «Дополнительно» -> «Отчет об ошибках» и ставим галочку напротив пункта «Отключить отчет об ошибках», убрав при этом галочку напротив «Но уведомлять о критических ошибках». Перезагружаем компьютер.

 

Вот, в принципе, наиболее действенные способы. Если в вашем случае решить проблему ни одним из этих способов не удалось, попробуйте отключить компьютер на некоторое время от шнура питания (выключить из розетки), дав оперативной памяти полностью обнулиться. Если не помогло – попробуйте на время заменить планку оперативной памяти или переустановить Windows (кстати, сборка ZverCD также может быть виной этой ошибки).

 

Строгое предупреждение от модератора ТроПа
Пожалуйста, воздержитесь в дальнейшем от подобной помощи. Нужно бороться с вредоносным ПО, а не с симмтомами его наличия в системе.
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Steel Rain Продвинутый

Steel Rain

Опубликовано
  • Автор
Опубликовано (изменено)
Отключить службу «Предотвращение выполнения данных» (Data execution prevention), которая осуществляет контроль доступа к памяти.

 

Можно также попробовать отключить в операционной системе Windows все сообщения об ошибках, и об ошибке «Память не может быть read» в том числе.

 

Т.е. вы предлагаете не устранять проблему, а отключить сообщения об ошибках? :)

 

snifer67 Roman_Five спасибо за помощь.

Изменено пользователем Steel Rain
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Dimitri Продвинутый

Dimitri

Опубликовано
Опубликовано

Строгое предупреждение от модератора C. Tantin
Выбирайте, пожалуйста, выражения.

Устное предупреждение за нарушение пп. 6, 17 правил форума

  • Не согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Bercolitt
      Странное поведение при заходе на mail.yandex через Google Chrome.
      От Bercolitt
      Если попытаться зайти в свой почтовый ящик mail.yandex через аккаунт с неправильным паролем, форма входа в аккаунт начинает быстро моргаться не реагируя на команды управление. Такое впечатление, что идет подбор пароля в автоматическом режиме. После перезагрузки закладки браузера,  учетная запись  ящика  блокируется.
      Если в приложении Kaspersky Password Manager с одним почтовым сервером связаны несколько учетных записей, то выбрать конкретную учетную запись для переходла не получается. Видишь одну учетную запись, а улетает совсем по другой.
    • para87
      проверка системы
      От para87
      Я заметил что  включаешь комп играешь работаешь  ну и т.д и после там часа или 2 не помню точно не могу открыть Kaspersky Plus нажимаю на иконку где часы и не чего не происходит тоже самое и на ярлык тоже не хочет открываться.  Помогает перезагрузка пк сразу открывается работает нормально. Я удалил Каспера утилитой  kavremover и заново поставил обновил провел полную проверку не чего не нашёл.  Пока все хорошо.  Просканировал еще FRST64 вот лог. Посмотрите может я зря беспокоюсь и это все ерунда.
      CollectionLog-2025.02.21-16.59.zip Addition.txt FRST.txt
    • KeshaKost
      Система мониторинга событий информационной безопасности
      От KeshaKost
      Добрый день. На работе поставили задачу "Осуществить настройку правил системы мониторинга событий информационной безопасности путем внесения в правила корреляции событий следующих индикаторов компрометации (sha256, sha1, md5)" и дальше список хешей. Подскажите пожалуйста, как реализовать данную задачу, да этого никогда с таким не сталкивался.
    • Elly
      Кроссворд о рейтинговой системе мотивации Клуба. Правила
      От Elly
      Друзья!
       
      Рейтинговой системе мотивации посвящён целый раздел на форуме. Мы предлагаем вам поучаствовать в викторине, основанной на кроссворде, чтобы лучше узнать особенности этой системы, её преимущества и основные положения. В ходе викторины участникам необходимо будет предварительно разгадать кроссворд и ответить на вопросы о том, какая буква в правильно разгаданном кроссворде должна находиться на соответствующем месте (обозначенном следующим образом: клетка закрашена красным, на ней в кружке красная цифра), а также составить из этих букв одно слово.

       
      Кроссворд о рейтинговой системе клуба (форумный в Word).docx
      Кроссворд.pdf
       
      НАГРАЖДЕНИЕ
      Без ошибок — 1 000 баллов Одна ошибка — 800 баллов Две ошибки — 600 баллов Баллами можно оплатить лицензии и сувениры в магазине Клуба. 
       
      ПРАВИЛА ПРОВЕДЕНИЯ

      Викторина проводится до 20:00 20 февраля 2025 года (время московское).
      Правильные ответы будут опубликованы не позднее 10 дней с момента окончания викторины. Публичное обсуждение вопросов и ответов викторины запрещено. Итоги будут подведены в течение десяти дней с момента публикации правильных ответов. Баллы будут начислены в течение двадцати дней с момента опубликования итогов викторины.

      Все вопросы, связанные с корректностью проведения викторины, необходимо отправлять пользователю @Mrak(пользователей @Машуня и @Elly включать в копию адресатов) через систему личных сообщений с подробным описанием ситуации. Ответ будет дан коллегиальным решением организаторов викторины и дальнейшего обсуждения не предполагает.
      Вопросы по начислению баллов направлять пользователю @Elly через систему личных сообщений.

      Вопросы по викторине принимаются только через личные сообщения в течение срока проведения викторины и не позднее трёх дней после публикации ответов (время московское). Ответы направляются представителем от организаторов викторины через личные сообщения в рамках созданной переписки.

      Администрация, официально уведомив, может в любой момент внести изменения в правила викторины, перезапустить или вовсе прекратить её проведение, а также отказать участнику в получении приза, применить иные меры (вплоть до блокировки аккаунта) в случае выявления фактов его недобросовестного участия в ней и/или нарушения правил викторины, передачи ответов на викторину иным участникам. При ответе на вопросы викторины запрещается использовать анонимайзеры и другие технические средства для намеренного сокрытия реального IP-адреса.

      Вопросы по начислению баллов, принимаются в течение 30 дней с момента подведения итогов викторины. Викторина является собственностью клуба «Лаборатории Касперского», её использование на сторонних ресурсах без разрешения администрации клуба запрещено.

      Участие в викторине означает безоговорочное согласие с настоящими правилами. Для перехода к вопросам викторины нажмите ЗДЕСЬ.
    • Олег Н
      Появляются странные файлы и папки на рабочем столе
      От Олег Н
      Здравствуйте.
      С 26.12.2024 стали появляться странные файлы и папки на рабочем столе. Антивирус угрозы в них не видит. Помогите разобраться, пожалуйста, что это?
       
      Desktop.rar
×
×
  • Создать...