Desperado_Troll

unknown MBR code

В этой теме 13 сообщений

У знакомых перестал работать NIS, что-то отключает Sonar.

Подключился по TeamViewer посмотреть - TDSSKiller, Dr.Web CureIt! ничего не нашли.

Лог CMER:

GMER 2.1.19115 - http://www.gmer.netRootkit scan 2013-02-28 22:13:53Windows 6.2.9200  x64 \Device\Harddisk0\DR0 -> \Device\0000002b ST1000LM024_HN-M101MBB rev.2AR10002 931.51GBRunning: kvjijbqg.exe; Driver: C:\Users\51FB~1\AppData\Local\Temp\pxloapow.sys---- Kernel code sections - GMER 2.1 ----.text   C:\Windows\System32\win32k.sys!W32pServiceTable        fffff9600019b300 7 bytes [C0, CC, 1B, 01, 00, EE, 9B].text   C:\Windows\System32\win32k.sys!W32pServiceTable + 8    fffff9600019b308 7 bytes [01, A1, E4, FF, 00, F4, E8]---- Devices - GMER 2.1 ----Device  \FileSystem\519C5A9CB88D4CAC \Device\519C5A9CB88D4CAC  fffff8802fca1008---- Threads - GMER 2.1 ----Thread  C:\Windows\system32\csrss.exe [648:672]                fffff960008ca5e8---- Disk sectors - GMER 2.1 ----Disk    \Device\Harddisk0\DR0                                  unknown MBR code---- EOF - GMER 2.1 ----

Похоже буткит.

Прогнал проверку Vba32 AntiRootkit он ничего не нашел, но поснимал какие-то хуки, теперь лог GMER стал таким:

GMER 2.1.19115 - http://www.gmer.netRootkit scan 2013-02-28 23:07:04Windows 6.2.9200  x64 \Device\Harddisk0\DR0 -> \Device\0000002b ST1000LM024_HN-M101MBB rev.2AR10002 931.51GBRunning: kvjijbqg.exe; Driver: C:\Users\51FB~1\AppData\Local\Temp\pxloapow.sys---- Kernel code sections - GMER 2.1 ----.text   C:\Windows\System32\win32k.sys!W32pServiceTable                                                           fffff9600019b300 7 bytes [C0, CC, 1B, 01, 00, EE, 9B].text   C:\Windows\System32\win32k.sys!W32pServiceTable + 8                                                       fffff9600019b308 7 bytes [01, A1, E4, FF, 00, F4, E8]---- User IAT/EAT - GMER 2.1 ----IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!_initterm]                      [8b000045e115ff10] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!malloc]                         [b94820e0c1482045] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!wcschr]                         [ffffffffffff] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!memcpy]                         [1045334820453348] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!_amsg_exit]                     [dfa233b948c12348] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!_XcptFilter]                    [c33b4800002b992d] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!_vsnwprintf]                    [bd058948c1440f48] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!wcsstr]                         [48245c8b48000020] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!wcsrchr]                        [20b6058948d0f748] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!_wcsnicmp]                      [c35d20c483480000] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!free]                           [25ffcccccccccccc] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!memset]                         [cccccccc00004844] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[ntdll.dll!RtlVirtualUnwind]                [ec8148ec8b485508] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[ntdll.dll!RtlLookupFunctionEntry]          [2d0d8d4800000080] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[ntdll.dll!RtlCaptureContext]               [48c715ff000027] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[ntdll.dll!NtOpenFile]                      [2818058b4800] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[ntdll.dll!RtlInitUnicodeString]            [c033454824448948] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[ntdll.dll!NtClose]                         [4c8b485024548d48] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[ntdll.dll!NtCreateFile]                    [48b015ff4824] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[ntdll.dll!RtlAppendUnicodeToString]        [7c83484024448948] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[ntdll.dll!NtFsControlFile]                 [44c7484274004024] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[ntdll.dll!NtQueryAttributesFile]           [8d48000000003824] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[KERNEL32.dll!Sleep]                        [83485340cccccccc] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[WINSTA.dll!WinStationIsSessionRemoteable]  [cb8b480000440315] ---- Devices - GMER 2.1 ----Device  \FileSystem\519C5A9CB88D4CAC \Device\519C5A9CB88D4CAC                                                     fffff8802fca1008---- Threads - GMER 2.1 ----Thread  C:\Windows\system32\csrss.exe [648:672]                                                                   fffff960008ca5e8---- Disk sectors - GMER 2.1 ----Disk    \Device\Harddisk0\DR0                                  unknown MBR code---- EOF - GMER 2.1 ----

Чем можно пролечить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Прогнал проверку Vba32 AntiRootkit он ничего не нашел

Совсем ничего? Можете пристегнуть, пжлст, к теме лог проверки VBA32Arkit (по умолчанию он записывается в %USERPROFILE%\Vba32Arkit)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вот лог VBA: Vba32ArkitLog.html

---> Copyright © 1993-2009 VirusBlokAda Ltd. All Rights Reserved

ну, это что-то ооочень уж старое.

Скачайте гораздо более свежую версию отсюда -- http://anti-virus.by/en/beta.shtml, сделайте лог сканирования и прикрепите его к теме. Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
---> Copyright © 1993-2009 VirusBlokAda Ltd. All Rights Reserved

ну, это что-то ооочень уж старое.

Скачайте гораздо более свежую версию отсюда -- http://anti-virus.by/en/beta.shtml, сделайте лог сканирования и прикрепите его к теме. Спасибо.

При запуске ругается что не поддерживается X64.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

:( Понятно. Это хуже, ибо VBA32Arkit ещё не умеет работать на х64.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
:( Понятно. Это хуже, ибо VBA32Arkit ещё не умеет работать на х64.

Чем можно просканировать? Или что нужно сделать - снять дампы какие может?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Чем можно просканировать? Или что нужно сделать - снять дампы какие может?

Помнится, вот этот аркит -- http://xuetr.com/download/XueTr.zip -- должен уметь работать на х64. Запускаете, переходите на вкладку Other, выбираете кнопку Backup MBR и сохраняете дамп MBR на диск. Полученный дамп прикрепите в теме.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
http://xuetr.com/download/XueTr.zip -- должен уметь работать на х64

XueTr.zip - не должен, это старая версия. Новая называется PCHunter - она поддерживает.

http://www.xuetr.com/download/PCHunter_free.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Помнится, вот этот аркит -- http://xuetr.com/download/XueTr.zip -- должен уметь работать на х64. Запускаете, переходите на вкладку Other, выбираете кнопку Backup MBR и сохраняете дамп MBR на диск. Полученный дамп прикрепите в теме.

Тоже не работает.

В GMER скопировал MBR: MBR.zip

XueTr.zip - не должен, это старая версия. Новая называется PCHunter - она поддерживает.

http://www.xuetr.com/download/PCHunter_free.zip

Вот скопировал ей MBR: mbr.zip

MBR.zip

mbr.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Чем можно пролечить?

А лечить и ничего не нужно.

http://ru.wikipedia.org/wiki/%D0%A2%D0%B0%...0%BE%D0%B2_GUID

Вот тут есть информация, которая поможет разобраться в "проблеме" ;)

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А лечить и ничего не нужно.

http://ru.wikipedia.org/wiki/%D0%A2%D0%B0%...0%BE%D0%B2_GUID

Вот тут есть информация, которая поможет разобраться в "проблеме" ;)

Спасибо за разъяснения. Теперь я спокоен за их ПК.

Странное что-то у них с NIS творится, до этого уже отказывала защита, переустановил - все заработало. В этот раз сонар сам отключался, в карантине нашел несколько паразитов, поэтому подумал что могли подцепить заразу, а выходит что наверно просто NIS с Windows 8 не совсем стабильно дружит, или у них такой случай попался. Что ж снесу NIS (Хотя для "блондинок" на мой взгляд самое оно), поставлю Comodo.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я бы так не рисковал блондинкам ставить Comodo ))) Я таким ставлю аваст или forticlient, хотелось бы им поставить комод, но что они с ним делать будут ? телефон мне разорвут, да и заблокируют или удалят чего-нить важное...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Ego Dekker
      Антивирусы были обновлены до версии 11.2.49.
    • PR55.RP55
      При попытке выполнить  в uVS:  "Открыть в браузере отчёт" 404 - Запрашиваемая страница не найдена. https://www.virustotal.com/latest-report.html?resource=bdaa128de70313feb65469a1b1518fd048734f54 При том, что SHA файла есть: https://www.virustotal.com/ru/file/fce6b3c60fd50d2d12f6379da5734380dc888931860e68f6e3ae2bb0c54582ac/analysis/ И так для всех файлов.  
    • РинРин
      Вспомнилась серия из сериала Черное зеркало - там, где парнишка решил почистить ноут от вирусни, скачал и запустил утилиту-чистильщика, а вместе с ней скачалась прога, которая незаметно снимала на него компромат. Ну и потом, естественно, парнишка очень сильно попал). Я не особо впечатлительная и наивная, но с тех пор у меня вебка заклеена стикером XDDD
    • San
      Я вот сейчас тоже столкнулся с подобной проблемой. Кредит к сожалению, давать мне почему-то отказываются. Поэтому для себя лично я решил, что лучше будет взять деньги под залог автомобиля, потому как в худшем случае, я потеряю только свое транспортное средство, а не квартиру или что-то еще более важное. Нашел неплохие условия в Москве на сайте https://lombard-capital.ru/uslugi/dengi-pod-zalog-avto/ .  Кто-нибудь пользовался их услугами?
       
    • Harlison
      Кстати по сути вы говорите про те же материалы, из которых делают балконы разные, как тут под ключ кстати по адекватной цене https://salamander.com.ua/production/osteklenie-lodzhij-i-balkonov/balkon-pod-klyuch/ . В итоге суть в чём, можете попробовать с ними связать напрямую и предложить быть спонсорами такой то идеи, для создания удобства граждан. Или через горсовет и сразу предлагать, где можно их сделать, чтобы те всё оплатили.
      Если взялись, так делайте!