Desperado_Troll

unknown MBR code

В этой теме 13 сообщений

У знакомых перестал работать NIS, что-то отключает Sonar.

Подключился по TeamViewer посмотреть - TDSSKiller, Dr.Web CureIt! ничего не нашли.

Лог CMER:

GMER 2.1.19115 - http://www.gmer.netRootkit scan 2013-02-28 22:13:53Windows 6.2.9200  x64 \Device\Harddisk0\DR0 -> \Device\0000002b ST1000LM024_HN-M101MBB rev.2AR10002 931.51GBRunning: kvjijbqg.exe; Driver: C:\Users\51FB~1\AppData\Local\Temp\pxloapow.sys---- Kernel code sections - GMER 2.1 ----.text   C:\Windows\System32\win32k.sys!W32pServiceTable        fffff9600019b300 7 bytes [C0, CC, 1B, 01, 00, EE, 9B].text   C:\Windows\System32\win32k.sys!W32pServiceTable + 8    fffff9600019b308 7 bytes [01, A1, E4, FF, 00, F4, E8]---- Devices - GMER 2.1 ----Device  \FileSystem\519C5A9CB88D4CAC \Device\519C5A9CB88D4CAC  fffff8802fca1008---- Threads - GMER 2.1 ----Thread  C:\Windows\system32\csrss.exe [648:672]                fffff960008ca5e8---- Disk sectors - GMER 2.1 ----Disk    \Device\Harddisk0\DR0                                  unknown MBR code---- EOF - GMER 2.1 ----

Похоже буткит.

Прогнал проверку Vba32 AntiRootkit он ничего не нашел, но поснимал какие-то хуки, теперь лог GMER стал таким:

GMER 2.1.19115 - http://www.gmer.netRootkit scan 2013-02-28 23:07:04Windows 6.2.9200  x64 \Device\Harddisk0\DR0 -> \Device\0000002b ST1000LM024_HN-M101MBB rev.2AR10002 931.51GBRunning: kvjijbqg.exe; Driver: C:\Users\51FB~1\AppData\Local\Temp\pxloapow.sys---- Kernel code sections - GMER 2.1 ----.text   C:\Windows\System32\win32k.sys!W32pServiceTable                                                           fffff9600019b300 7 bytes [C0, CC, 1B, 01, 00, EE, 9B].text   C:\Windows\System32\win32k.sys!W32pServiceTable + 8                                                       fffff9600019b308 7 bytes [01, A1, E4, FF, 00, F4, E8]---- User IAT/EAT - GMER 2.1 ----IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!_initterm]                      [8b000045e115ff10] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!malloc]                         [b94820e0c1482045] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!wcschr]                         [ffffffffffff] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!memcpy]                         [1045334820453348] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!_amsg_exit]                     [dfa233b948c12348] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!_XcptFilter]                    [c33b4800002b992d] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!_vsnwprintf]                    [bd058948c1440f48] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!wcsstr]                         [48245c8b48000020] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!wcsrchr]                        [20b6058948d0f748] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!_wcsnicmp]                      [c35d20c483480000] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!free]                           [25ffcccccccccccc] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[msvcrt.dll!memset]                         [cccccccc00004844] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[ntdll.dll!RtlVirtualUnwind]                [ec8148ec8b485508] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[ntdll.dll!RtlLookupFunctionEntry]          [2d0d8d4800000080] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[ntdll.dll!RtlCaptureContext]               [48c715ff000027] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[ntdll.dll!NtOpenFile]                      [2818058b4800] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[ntdll.dll!RtlInitUnicodeString]            [c033454824448948] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[ntdll.dll!NtClose]                         [4c8b485024548d48] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[ntdll.dll!NtCreateFile]                    [48b015ff4824] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[ntdll.dll!RtlAppendUnicodeToString]        [7c83484024448948] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[ntdll.dll!NtFsControlFile]                 [44c7484274004024] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[ntdll.dll!NtQueryAttributesFile]           [8d48000000003824] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[KERNEL32.dll!Sleep]                        [83485340cccccccc] IAT     C:\Windows\Explorer.EXE[2304] @ C:\Windows\System32\drprov.dll[WINSTA.dll!WinStationIsSessionRemoteable]  [cb8b480000440315] ---- Devices - GMER 2.1 ----Device  \FileSystem\519C5A9CB88D4CAC \Device\519C5A9CB88D4CAC                                                     fffff8802fca1008---- Threads - GMER 2.1 ----Thread  C:\Windows\system32\csrss.exe [648:672]                                                                   fffff960008ca5e8---- Disk sectors - GMER 2.1 ----Disk    \Device\Harddisk0\DR0                                  unknown MBR code---- EOF - GMER 2.1 ----

Чем можно пролечить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Прогнал проверку Vba32 AntiRootkit он ничего не нашел

Совсем ничего? Можете пристегнуть, пжлст, к теме лог проверки VBA32Arkit (по умолчанию он записывается в %USERPROFILE%\Vba32Arkit)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вот лог VBA: Vba32ArkitLog.html

---> Copyright © 1993-2009 VirusBlokAda Ltd. All Rights Reserved

ну, это что-то ооочень уж старое.

Скачайте гораздо более свежую версию отсюда -- http://anti-virus.by/en/beta.shtml, сделайте лог сканирования и прикрепите его к теме. Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
---> Copyright © 1993-2009 VirusBlokAda Ltd. All Rights Reserved

ну, это что-то ооочень уж старое.

Скачайте гораздо более свежую версию отсюда -- http://anti-virus.by/en/beta.shtml, сделайте лог сканирования и прикрепите его к теме. Спасибо.

При запуске ругается что не поддерживается X64.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

:( Понятно. Это хуже, ибо VBA32Arkit ещё не умеет работать на х64.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
:( Понятно. Это хуже, ибо VBA32Arkit ещё не умеет работать на х64.

Чем можно просканировать? Или что нужно сделать - снять дампы какие может?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Чем можно просканировать? Или что нужно сделать - снять дампы какие может?

Помнится, вот этот аркит -- http://xuetr.com/download/XueTr.zip -- должен уметь работать на х64. Запускаете, переходите на вкладку Other, выбираете кнопку Backup MBR и сохраняете дамп MBR на диск. Полученный дамп прикрепите в теме.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
http://xuetr.com/download/XueTr.zip -- должен уметь работать на х64

XueTr.zip - не должен, это старая версия. Новая называется PCHunter - она поддерживает.

http://www.xuetr.com/download/PCHunter_free.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Помнится, вот этот аркит -- http://xuetr.com/download/XueTr.zip -- должен уметь работать на х64. Запускаете, переходите на вкладку Other, выбираете кнопку Backup MBR и сохраняете дамп MBR на диск. Полученный дамп прикрепите в теме.

Тоже не работает.

В GMER скопировал MBR: MBR.zip

XueTr.zip - не должен, это старая версия. Новая называется PCHunter - она поддерживает.

http://www.xuetr.com/download/PCHunter_free.zip

Вот скопировал ей MBR: mbr.zip

MBR.zip

mbr.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Чем можно пролечить?

А лечить и ничего не нужно.

http://ru.wikipedia.org/wiki/%D0%A2%D0%B0%...0%BE%D0%B2_GUID

Вот тут есть информация, которая поможет разобраться в "проблеме" ;)

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А лечить и ничего не нужно.

http://ru.wikipedia.org/wiki/%D0%A2%D0%B0%...0%BE%D0%B2_GUID

Вот тут есть информация, которая поможет разобраться в "проблеме" ;)

Спасибо за разъяснения. Теперь я спокоен за их ПК.

Странное что-то у них с NIS творится, до этого уже отказывала защита, переустановил - все заработало. В этот раз сонар сам отключался, в карантине нашел несколько паразитов, поэтому подумал что могли подцепить заразу, а выходит что наверно просто NIS с Windows 8 не совсем стабильно дружит, или у них такой случай попался. Что ж снесу NIS (Хотя для "блондинок" на мой взгляд самое оно), поставлю Comodo.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я бы так не рисковал блондинкам ставить Comodo ))) Я таким ставлю аваст или forticlient, хотелось бы им поставить комод, но что они с ним делать будут ? телефон мне разорвут, да и заблокируют или удалят чего-нить важное...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS