Перейти к содержанию
Desperado_Troll

unknown MBR code

Recommended Posts

Desperado_Troll

У знакомых перестал работать NIS, что-то отключает Sonar.

Подключился по TeamViewer посмотреть - TDSSKiller, Dr.Web CureIt! ничего не нашли.

Лог CMER:

GMER 2.1.19115 - http://www.gmer.netRootkit scan 2013-02-28 22:13:53Windows 6.2.9200  x64 \Device\Harddisk0\DR0 -> \Device\0000002b ST1000LM024_HN-M101MBB rev.2AR10002 931.51GBRunning: kvjijbqg.exe; Driver: C:\Users\51FB~1\AppData\Local\Temp\pxloapow.sys---- Kernel code sections - GMER 2.1 ----.text   C:\Windows\System32\win32k.sys!W32pServiceTable        fffff9600019b300 7 bytes [C0, CC, 1B, 01, 00, EE, 9B].text   C:\Windows\System32\win32k.sys!W32pServiceTable + 8    fffff9600019b308 7 bytes [01, A1, E4, FF, 00, F4, E8]---- Devices - GMER 2.1 ----Device  \FileSystem\519C5A9CB88D4CAC \Device\519C5A9CB88D4CAC  fffff8802fca1008---- Threads - GMER 2.1 ----Thread  C:\Windows\system32\csrss.exe [648:672]                fffff960008ca5e8---- Disk sectors - GMER 2.1 ----Disk    \Device\Harddisk0\DR0                                  unknown MBR code---- EOF - GMER 2.1 ----

Похоже буткит.

Прогнал проверку Vba32 AntiRootkit он ничего не нашел, но поснимал какие-то хуки, теперь лог GMER стал таким:

GMER 2.1.19115 - http://www.gmer.netRootkit scan 2013-02-28 23:07:04Windows 6.2.9200  x64 \Device\Harddisk0\DR0 -> \Device\0000002b ST1000LM024_HN-M101MBB rev.2AR10002 931.51GBRunning: kvjijbqg.exe; Driver: C:\Users\51FB~1\AppData\Local\Temp\pxloapow.sys---- Kernel code sections - GMER 2.1 ----.text   C:\Windows\System32\win32k.sys!W32pServiceTable                                                           fffff9600019b300 7 bytes [C0, CC, 1B, 01, 00, EE, 9B].text   C:\Windows\System32\win32k.sys!W32pServiceTable + 8                                                       fffff9600019b308 7 bytes [01, A1, E4, FF, 00, F4, E8]---- User IAT/EAT - GMER 2.1 ----IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!_initterm]                      [8b000045e115ff10] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!malloc]                         [b94820e0c1482045] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!wcschr]                         [ffffffffffff] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!memcpy]                         [1045334820453348] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!_amsg_exit]                     [dfa233b948c12348] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!_XcptFilter]                    [c33b4800002b992d] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!_vsnwprintf]                    [bd058948c1440f48] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!wcsstr]                         [48245c8b48000020] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!wcsrchr]                        [20b6058948d0f748] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!_wcsnicmp]                      [c35d20c483480000] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!free]                           [25ffcccccccccccc] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!memset]                         [cccccccc00004844] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[ntdll.dll!RtlVirtualUnwind]                [ec8148ec8b485508] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[ntdll.dll!RtlLookupFunctionEntry]          [2d0d8d4800000080] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[ntdll.dll!RtlCaptureContext]               [48c715ff000027] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[ntdll.dll!NtOpenFile]                      [2818058b4800] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[ntdll.dll!RtlInitUnicodeString]            [c033454824448948] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[ntdll.dll!NtClose]                         [4c8b485024548d48] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[ntdll.dll!NtCreateFile]                    [48b015ff4824] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[ntdll.dll!RtlAppendUnicodeToString]        [7c83484024448948] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[ntdll.dll!NtFsControlFile]                 [44c7484274004024] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[ntdll.dll!NtQueryAttributesFile]           [8d48000000003824] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[KERNEL32.dll!Sleep]                        [83485340cccccccc] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[WINSTA.dll!WinStationIsSessionRemoteable]  [cb8b480000440315] ---- Devices - GMER 2.1 ----Device  \FileSystem\519C5A9CB88D4CAC \Device\519C5A9CB88D4CAC                                                     fffff8802fca1008---- Threads - GMER 2.1 ----Thread  C:\Windows\system32\csrss.exe [648:672]                                                                   fffff960008ca5e8---- Disk sectors - GMER 2.1 ----Disk    \Device\Harddisk0\DR0                                  unknown MBR code---- EOF - GMER 2.1 ----

Чем можно пролечить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Прогнал проверку Vba32 AntiRootkit он ничего не нашел

Совсем ничего? Можете пристегнуть, пжлст, к теме лог проверки VBA32Arkit (по умолчанию он записывается в %USERPROFILE%\Vba32Arkit)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Вот лог VBA: Vba32ArkitLog.html

---> Copyright © 1993-2009 VirusBlokAda Ltd. All Rights Reserved

ну, это что-то ооочень уж старое.

Скачайте гораздо более свежую версию отсюда -- http://anti-virus.by/en/beta.shtml, сделайте лог сканирования и прикрепите его к теме. Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Desperado_Troll
---> Copyright © 1993-2009 VirusBlokAda Ltd. All Rights Reserved

ну, это что-то ооочень уж старое.

Скачайте гораздо более свежую версию отсюда -- http://anti-virus.by/en/beta.shtml, сделайте лог сканирования и прикрепите его к теме. Спасибо.

При запуске ругается что не поддерживается X64.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

:( Понятно. Это хуже, ибо VBA32Arkit ещё не умеет работать на х64.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Desperado_Troll
:( Понятно. Это хуже, ибо VBA32Arkit ещё не умеет работать на х64.

Чем можно просканировать? Или что нужно сделать - снять дампы какие может?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Чем можно просканировать? Или что нужно сделать - снять дампы какие может?

Помнится, вот этот аркит -- http://xuetr.com/download/XueTr.zip -- должен уметь работать на х64. Запускаете, переходите на вкладку Other, выбираете кнопку Backup MBR и сохраняете дамп MBR на диск. Полученный дамп прикрепите в теме.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
http://xuetr.com/download/XueTr.zip -- должен уметь работать на х64

XueTr.zip - не должен, это старая версия. Новая называется PCHunter - она поддерживает.

http://www.xuetr.com/download/PCHunter_free.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Desperado_Troll
Помнится, вот этот аркит -- http://xuetr.com/download/XueTr.zip -- должен уметь работать на х64. Запускаете, переходите на вкладку Other, выбираете кнопку Backup MBR и сохраняете дамп MBR на диск. Полученный дамп прикрепите в теме.

Тоже не работает.

В GMER скопировал MBR: MBR.zip

XueTr.zip - не должен, это старая версия. Новая называется PCHunter - она поддерживает.

http://www.xuetr.com/download/PCHunter_free.zip

Вот скопировал ей MBR: mbr.zip

MBR.zip

mbr.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Чем можно пролечить?

А лечить и ничего не нужно.

http://ru.wikipedia.org/wiki/%D0%A2%D0%B0%...0%BE%D0%B2_GUID

Вот тут есть информация, которая поможет разобраться в "проблеме" ;)

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Desperado_Troll
А лечить и ничего не нужно.

http://ru.wikipedia.org/wiki/%D0%A2%D0%B0%...0%BE%D0%B2_GUID

Вот тут есть информация, которая поможет разобраться в "проблеме" ;)

Спасибо за разъяснения. Теперь я спокоен за их ПК.

Странное что-то у них с NIS творится, до этого уже отказывала защита, переустановил - все заработало. В этот раз сонар сам отключался, в карантине нашел несколько паразитов, поэтому подумал что могли подцепить заразу, а выходит что наверно просто NIS с Windows 8 не совсем стабильно дружит, или у них такой случай попался. Что ж снесу NIS (Хотя для "блондинок" на мой взгляд самое оно), поставлю Comodo.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
singularity

Я бы так не рисковал блондинкам ставить Comodo ))) Я таким ставлю аваст или forticlient, хотелось бы им поставить комод, но что они с ним делать будут ? телефон мне разорвут, да и заблокируют или удалят чего-нить важное...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      DOCCENT Вопросы по ESET нужно решать через Службу технической поддержки  по адресу:  [email protected] ( при наличие лицензии ) Или при обращении на оф. форум http://forum.esetnod32.ru/ ( наличие\отсутствие лицензии роли не играет ) По удалению: https://www.comss.ru/search/?q=eset+Удаление&x=GUEST Будьте внимательны при работе с ESETUninstaller (  переключите раскладку клавиатуры на английскую ) Выбрать английскую: y  и затем 1 При необходимости повторите процедуру несколько раз до полной уверенности. ------------- P.S. здесь форум всё...
    • sarge
      Могу посоветовать Элитс,  там есть возможность возврата вещей, если они не подошли. Да и ещё в этом магазине сейчас проходит распродажа брендовой мужской обуви https://elyts.ru/catalog/man/obuv/ и верхней одежды, цены на неё прилично снижены.
    • Allexks
      покупаю, но редко, с размерами пока не прогадывала)
    • Karolina
      А я начинаю только. Тут с криптовалютной биржей Binance ознакомилась и решила, что подходит идеально. Торгую и сразу всё получаться начало ! Это здорово. Я рада. Пока неопытная с этим, но в будущем обязательно буду горы сворачивать, уверена
    • DOCCENT
      Здравствуйте. У меня начал косячить мой ЕСЕТ 32 антивирус (перестал обновляться модуль). Решил установить другой такой же. Удалил старый, теперь новый, при установки выдает: "На этом компьютере  уже установлена последняя версия и т.д.", и прекращает установку. Хотя и удалил этот антивирус полностью, после этого почистил диски, реестры двумя программами, естественно перезагрузил. Пробовал ESETUninstaller, этот вообще не хочет работать( окно открывается, и дальше ни каких движений) не понятно почему. Подскажите что делать, получается я старый удалил, а новый не могу установить  
×