Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Резидентный вирус? (http://forum.oszone.net/showthread.php?t=167916)

Chung 19-02-2010 19:58 1351386
Резидентный вирус?
 
Доброго времени суток всем.
Возникла такая проблема: при запуске CuriIt на последнем этапе быстрой проверки машина начинает жаловаться на память, пишет:

Инструкция по адресу 0х7с9012b4 обратилась к памяти по адресу 0х575с3а43. Память не может быть read.
Safe Mode не спасает. С Boot Live CD CureIt с грузится, но ничего не видит. Очень похоже на резидентный вирус в памяти. Можно ли его как-то отловить или придётся-таки сносить винду?

iskander-k 19-02-2010 20:03 1351395
Выложите логи в соответствии с этими инструкциями.


• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

При удалении в МБАМ - смотрите что удаляете.

Chung 19-02-2010 20:47 1351428
Пасип за корректный ответ. Сканер шерстит. Прога загрузилась без сбоев захода через три. Двух зверей, похоже, уже нашел. Посмотрим, что в логе будет. Удачи

Chung 19-02-2010 21:14 1351453
Malwarebytes' Anti-Malware 1.44
Версия базы данных: 3510
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

19.02.2010 22:50:42
mbam-log-2010-02-19 (22-50-37).txt

Тип проверки: Быстрая
Проверено объектов: 150987
Прошло времени: 12 minute(s), 58 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 1
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 5
Заражено файлов: 11

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_CLASSES_ROOT\CLSID\{8e8e8f8a-8fcc-88ce-bcb8-b8fd8e88888a} (Malware.Packer) -> No action taken.

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
(Вредоносные программы не обнаружены)

Заражено папок:
C:\Program Files\FieryAds (Adware.Adware.FearAds) -> No action taken.
C:\Program Files\System32 (Backdoor.Bifrose) -> No action taken.
C:\Program Files\System32\Redist (Backdoor.Bifrose) -> No action taken.
C:\Program Files\System32\Redist\MS (Backdoor.Bifrose) -> No action taken.
C:\Program Files\System32\Redist\MS\System (Backdoor.Bifrose) -> No action taken.

Заражено файлов:
C:\WINDOWS.1\system32\CDClose.dll (Malware.Packer) -> No action taken.
C:\Program Files\System32\hpdd_reg.bat (Backdoor.Bifrose) -> No action taken.
C:\Program Files\System32\Redist\MS\System\asycfilt.dll (Backdoor.Bifrose) -> No action taken.
C:\Program Files\System32\Redist\MS\System\comcat.dll (Backdoor.Bifrose) -> No action taken.
C:\Program Files\System32\Redist\MS\System\mfc42.dll (Backdoor.Bifrose) -> No action taken.
C:\Program Files\System32\Redist\MS\System\msvcirt.dll (Backdoor.Bifrose) -> No action taken.
C:\Program Files\System32\Redist\MS\System\msvcp60.dll (Backdoor.Bifrose) -> No action taken.
C:\Program Files\System32\Redist\MS\System\msvcrt.dll (Backdoor.Bifrose) -> No action taken.
C:\Program Files\System32\Redist\MS\System\oleaut32.dll (Backdoor.Bifrose) -> No action taken.
C:\Program Files\System32\Redist\MS\System\olepro32.dll (Backdoor.Bifrose) -> No action taken.
C:\Program Files\System32\Redist\MS\System\stdole2.tlb (Backdoor.Bifrose) -> No action taken.

iskander-k 19-02-2010 21:17 1351458
Логи тоже нужны.

Выложите логи в соответствии с этими инструкциями.

Chung 21-02-2010 00:16 1352288
Вложений: 2
Доброго времени суток.
AVZ ничего не видит. А CureIt выдаёт вот такой бред. В логе пишет информацию об удалённых точках восстановления. Но самое интересное в другом. Сбой всегда идёт на одном и том же месте: C:\WINDOWS1\ system32\drivers\ и - далее первый драйвер по списку. Его можно временно переместить, утиля споткнётся на следующем драйвере в алфавитном порядке. И выключится, предложив полкупку лицензионки. Ошибку памяти выдаёт всё ту же. AVZ, кстати, из всех дров отметила только spdb. А CureIt не может проверить папку drivers даже в выборочном режиме, буксует так же, как и при быстром сканировании. MBAM найдёт всё что угодно, только не то, на чём сбиваеся Вебер. Короче, "ничего нет", а антивирус выбивает...
Можно, конечно, всё снести и поставить заново, но интересно, что это за зверь и как с ним бороться.
С уважением

Chung 21-02-2010 01:22 1352336
Вложений: 1
Лог MBAM

thyrex 21-02-2010 11:25 1352457
Обновите базы AVZ и сделайте новые логи

Chung 22-02-2010 22:40 1353606
Решено переустановкой и чисткой компа :) Всем спасибо :)

Drongo 22-02-2010 22:58 1353618
Тема закрыта ввиду отсутствия логов и решением переустановки системы. Для открытия темы топикстартер может обратиться в РМ, для всех остальных - создавайте новую тему с учетом правил


Время: 16:26.

Время: 16:26.
© OSzone.net 2001-