Перейти к содержанию
Desperado_Troll

unknown MBR code

Автор Desperado_Troll, в Помощь

Recommended Posts

Desperado_Troll    11

Desperado_Troll
Опубликовано

У знакомых перестал работать NIS, что-то отключает Sonar.

Подключился по TeamViewer посмотреть - TDSSKiller, Dr.Web CureIt! ничего не нашли.

Лог CMER:

GMER 2.1.19115 - http://www.gmer.netRootkit scan 2013-02-28 22:13:53Windows 6.2.9200  x64 \Device\Harddisk0\DR0 -> \Device\0000002b ST1000LM024_HN-M101MBB rev.2AR10002 931.51GBRunning: kvjijbqg.exe; Driver: C:\Users\51FB~1\AppData\Local\Temp\pxloapow.sys---- Kernel code sections - GMER 2.1 ----.text   C:\Windows\System32\win32k.sys!W32pServiceTable        fffff9600019b300 7 bytes [C0, CC, 1B, 01, 00, EE, 9B].text   C:\Windows\System32\win32k.sys!W32pServiceTable + 8    fffff9600019b308 7 bytes [01, A1, E4, FF, 00, F4, E8]---- Devices - GMER 2.1 ----Device  \FileSystem\519C5A9CB88D4CAC \Device\519C5A9CB88D4CAC  fffff8802fca1008---- Threads - GMER 2.1 ----Thread  C:\Windows\system32\csrss.exe [648:672]                fffff960008ca5e8---- Disk sectors - GMER 2.1 ----Disk    \Device\Harddisk0\DR0                                  unknown MBR code---- EOF - GMER 2.1 ----

Похоже буткит.

Прогнал проверку Vba32 AntiRootkit он ничего не нашел, но поснимал какие-то хуки, теперь лог GMER стал таким:

GMER 2.1.19115 - http://www.gmer.netRootkit scan 2013-02-28 23:07:04Windows 6.2.9200  x64 \Device\Harddisk0\DR0 -> \Device\0000002b ST1000LM024_HN-M101MBB rev.2AR10002 931.51GBRunning: kvjijbqg.exe; Driver: C:\Users\51FB~1\AppData\Local\Temp\pxloapow.sys---- Kernel code sections - GMER 2.1 ----.text   C:\Windows\System32\win32k.sys!W32pServiceTable                                                           fffff9600019b300 7 bytes [C0, CC, 1B, 01, 00, EE, 9B].text   C:\Windows\System32\win32k.sys!W32pServiceTable + 8                                                       fffff9600019b308 7 bytes [01, A1, E4, FF, 00, F4, E8]---- User IAT/EAT - GMER 2.1 ----IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!_initterm]                      [8b000045e115ff10] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!malloc]                         [b94820e0c1482045] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!wcschr]                         [ffffffffffff] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!memcpy]                         [1045334820453348] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!_amsg_exit]                     [dfa233b948c12348] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!_XcptFilter]                    [c33b4800002b992d] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!_vsnwprintf]                    [bd058948c1440f48] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!wcsstr]                         [48245c8b48000020] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!wcsrchr]                        [20b6058948d0f748] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!_wcsnicmp]                      [c35d20c483480000] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!free]                           [25ffcccccccccccc] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!memset]                         [cccccccc00004844] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[ntdll.dll!RtlVirtualUnwind]                [ec8148ec8b485508] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[ntdll.dll!RtlLookupFunctionEntry]          [2d0d8d4800000080] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[ntdll.dll!RtlCaptureContext]               [48c715ff000027] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[ntdll.dll!NtOpenFile]                      [2818058b4800] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[ntdll.dll!RtlInitUnicodeString]            [c033454824448948] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[ntdll.dll!NtClose]                         [4c8b485024548d48] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[ntdll.dll!NtCreateFile]                    [48b015ff4824] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[ntdll.dll!RtlAppendUnicodeToString]        [7c83484024448948] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[ntdll.dll!NtFsControlFile]                 [44c7484274004024] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[ntdll.dll!NtQueryAttributesFile]           [8d48000000003824] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[KERNEL32.dll!Sleep]                        [83485340cccccccc] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[WINSTA.dll!WinStationIsSessionRemoteable]  [cb8b480000440315] ---- Devices - GMER 2.1 ----Device  \FileSystem\519C5A9CB88D4CAC \Device\519C5A9CB88D4CAC                                                     fffff8802fca1008---- Threads - GMER 2.1 ----Thread  C:\Windows\system32\csrss.exe [648:672]                                                                   fffff960008ca5e8---- Disk sectors - GMER 2.1 ----Disk    \Device\Harddisk0\DR0                                  unknown MBR code---- EOF - GMER 2.1 ----

Чем можно пролечить?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

K_Mikhail    807

K_Mikhail
Опубликовано
Прогнал проверку Vba32 AntiRootkit он ничего не нашел

Совсем ничего? Можете пристегнуть, пжлст, к теме лог проверки VBA32Arkit (по умолчанию он записывается в %USERPROFILE%\Vba32Arkit)?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

K_Mikhail    807

K_Mikhail
Опубликовано
Вот лог VBA: Vba32ArkitLog.html

---> Copyright © 1993-2009 VirusBlokAda Ltd. All Rights Reserved

ну, это что-то ооочень уж старое.

Скачайте гораздо более свежую версию отсюда -- http://anti-virus.by/en/beta.shtml, сделайте лог сканирования и прикрепите его к теме. Спасибо.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Desperado_Troll    11

Desperado_Troll
Опубликовано
---> Copyright © 1993-2009 VirusBlokAda Ltd. All Rights Reserved

ну, это что-то ооочень уж старое.

Скачайте гораздо более свежую версию отсюда -- http://anti-virus.by/en/beta.shtml, сделайте лог сканирования и прикрепите его к теме. Спасибо.

При запуске ругается что не поддерживается X64.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

K_Mikhail    807

K_Mikhail
Опубликовано

:( Понятно. Это хуже, ибо VBA32Arkit ещё не умеет работать на х64.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Desperado_Troll    11

Desperado_Troll
Опубликовано
:( Понятно. Это хуже, ибо VBA32Arkit ещё не умеет работать на х64.

Чем можно просканировать? Или что нужно сделать - снять дампы какие может?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

K_Mikhail    807

K_Mikhail
Опубликовано
Чем можно просканировать? Или что нужно сделать - снять дампы какие может?

Помнится, вот этот аркит -- http://xuetr.com/download/XueTr.zip -- должен уметь работать на х64. Запускаете, переходите на вкладку Other, выбираете кнопку Backup MBR и сохраняете дамп MBR на диск. Полученный дамп прикрепите в теме.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

alamor    69

alamor
Опубликовано
http://xuetr.com/download/XueTr.zip -- должен уметь работать на х64

XueTr.zip - не должен, это старая версия. Новая называется PCHunter - она поддерживает.

http://www.xuetr.com/download/PCHunter_free.zip

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Desperado_Troll    11

Desperado_Troll
Опубликовано
Помнится, вот этот аркит -- http://xuetr.com/download/XueTr.zip -- должен уметь работать на х64. Запускаете, переходите на вкладку Other, выбираете кнопку Backup MBR и сохраняете дамп MBR на диск. Полученный дамп прикрепите в теме.

Тоже не работает.

В GMER скопировал MBR: MBR.zip

XueTr.zip - не должен, это старая версия. Новая называется PCHunter - она поддерживает.

http://www.xuetr.com/download/PCHunter_free.zip

Вот скопировал ей MBR: mbr.zip

MBR.zip

mbr.zip

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

vaber    350

vaber
Опубликовано
Чем можно пролечить?

А лечить и ничего не нужно.

http://ru.wikipedia.org/wiki/%D0%A2%D0%B0%...0%BE%D0%B2_GUID

Вот тут есть информация, которая поможет разобраться в "проблеме" ;)

  • Upvote 10

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Desperado_Troll    11

Desperado_Troll
Опубликовано
А лечить и ничего не нужно.

http://ru.wikipedia.org/wiki/%D0%A2%D0%B0%...0%BE%D0%B2_GUID

Вот тут есть информация, которая поможет разобраться в "проблеме" ;)

Спасибо за разъяснения. Теперь я спокоен за их ПК.

Странное что-то у них с NIS творится, до этого уже отказывала защита, переустановил - все заработало. В этот раз сонар сам отключался, в карантине нашел несколько паразитов, поэтому подумал что могли подцепить заразу, а выходит что наверно просто NIS с Windows 8 не совсем стабильно дружит, или у них такой случай попался. Что ж снесу NIS (Хотя для "блондинок" на мой взгляд самое оно), поставлю Comodo.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

singularity    10

singularity
Опубликовано

Я бы так не рисковал блондинкам ставить Comodo ))) Я таким ставлю аваст или forticlient, хотелось бы им поставить комод, но что они с ним делать будут ? телефон мне разорвут, да и заблокируют или удалят чего-нить важное...

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Помощь

  • Сообщения

    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      прогресс теперь графически отображается на плашке окна, проценты в заголовке больше не нужны, убрано все лишнее что влияло на производительность. Если нет реестра это проблема и с ней надо разбираться, а если есть то он подключен и анализируется.
        что значит поиском по эцп? по имени подписавшего файл или по сертификату или по хэшу сертификата.
        В прошлых версиях оно выводилось в 2х кодировках последовательно, что просто забивало лог мусором,  причем в разных системах правильная кодировка своя я опрометчиво решил, что нашел способ выбирать правильную, но оказывается в 7ке все не так как в младших и старших системах, придется для нее прописывать кодировку отдельно.
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      + uVS v4.99.0v x64 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS] В прошлых версиях - всё читается нормально.
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      1. По поводу реестра - важнее, что было найдено. Если реестра\копии нет... 2. Проценты те, что были в прошлых версиях при массовой проверке на V.T. https://forum.esetnod32.ru/bitrix/components/bitrix/forum.interface/show_file.php?fid=129963&width=500&height=500 3. Например есть файл подписанный некой ЭЦП. но... данного файла пока нет на V.T. т.е. o В контекстное меню добавлен поиск по имени объекта на Яндекс и Google. искать не только по имени объекта -  но открывать сразу две страницы - одну с точным поиском по имени. другую с точным поиском по ЭЦП.  
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      Это нормально, реестр для псевдопользователя "All users" бывает редко, для чего системе он нужен, я не разбирался еще, но он бывает, теперь при отсутствии пользовательского реестра выдается такое сообщение, как и в случае если реестр поврежден.
      Т.е. в этом случае сообщение можно смело игнорировать.
        о каких % речь?
        Подробнее, что именно искать и зачем?
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      + Я не вижу % при массовой проверке файлов на V.T. o В контекстное меню добавлен поиск по имени объекта на Яндекс и Google. Я бы добавил поиск по ЭЦП
×