autochk missing skipping AUTOCHEK

[gserg]

Поймал трояна, нод32 выдал сообщение о возможном черве nulport A worm и открылся веббраузер, после этого система "повисла". Сделал резет. После появления лого ХР с полосой загрузки появляется синий экран с лого ХР (как при инсталяции) с надписью "autochk missing skipping AUTOCHEK" и происходит перезагрузка ХР и так без конца. Попытки войти в систему через F8 приводят к одному и тому же результату, описанному выше. Хардюк чистил на другом компе и AVG сразу нашёл BackDoor.Generic.9.AOGN и Collected.12.AC. Файлы удалёны. После чистил AVZ, Spyboot, ADaware, HJthis. После чистки результат тот же. Файл autochk.exe в директории windows\system32 есть. Тем не менее система перезагружается снова и снова. Что это, последствия жёсткой перезагрузки или всёже троян, которого не могут поймать антивирусы(пока)?

[akoK]

Насколько я понял, что в любом режиме идет циклическая перезагрузка. В данном случае произошло неправильное лечение(очень похоже из рассказа).

В данном случае могу увы только порекомендовать переустановку....выберите режим востановления(но тогда необходимы будут логи т.к. могут остаться зловреды) или святая команда format с: тогда есть шанс, что система чиста. Но все равно после поднятия системы рекомендую проверить все диски.

AVPTool или cureit!

[gserg]

Насколько я понял, что в любом режиме идет циклическая перезагрузка. В данном случае произошло неправильное лечение(очень похоже из рассказа).

В данном случае могу увы только порекомендовать переустановку....выберите режим востановления(но тогда необходимы будут логи т.к. могут остаться зловреды) или святая команда format с: тогда есть шанс, что система чиста. Но все равно после поднятия системы рекомендую проверить все диски.

AVPTool или cureit!

Nod 32 логи, я их просмотреть не могу, с другой системы не запускается Nod 32 центр(пишет, что нарушена связь с кернелом (нод) и работает только сканер :sm(100): +проверился каспером online результаты тоже в файлах. Как я понял, каспер даже не распознал BackDoor в карантине nod32

i

Уведомление:

Один файлик чист, второй Trojan.Packed.142, только зачем Вы их сюда ложили?

kos.html

kos.html

Изменено 12 июня, 2008 пользователем akoK

[ТроПа]

Что в infected.rar за файлы? подозрение на вирусы? так зачем Вы их на форум в таком случае залили, а не отправили в Вирлаб аналитикам на анализ?

[gserg]

Nod 32 логи, я их просмотреть не могу, с другой системы не запускается Nod 32 центр(пишет, что нарушена связь с кернелом (нод) и работает только сканер :sm(100): +проверился каспером online результаты тоже в файлах. Как я понял, каспер даже не распознал BackDoor в карантине nod32

[deleted]

infected.rar -это файлы c расширениями NQF и NQI карантина NOD32 из папки C:\programm files\eset\infected\

Выложил, чтоб тот, у кого есть NOD32 смог бы поместив эти файлы в папку своего нода и посмотреть что ж всётаки НОД обнаружил и какие файлы инфецированны. А то через NOTEPAD очень уж неудобно смотреть. Извияюсь, что сразу не очень понятно изложил, для чего прикрепил файлы.

kos.html-результаты сканирования kaspersky on-line scanner

Что в infected.rar за файлы? подозрение на вирусы? так зачем Вы их на форум в таком случае залили, а не отправили в Вирлаб аналитикам на анализ?

Я оригинальный архив залили на сайт drweb - от них молчок, теперь оригинальные файлы все поудалены антивирусами.

Подскажите пожалуйста ссылочку на Вирлаб? это не на viruslist?

!

Предупреждение:

Цитирование модераторских тегов запрещено

Изменено 12 июня, 2008 пользователем akoK

[Matias]

Подскажите пожалуйста ссылочку на Вирлаб?

Как и куда можно отправить подозрительные файлы на анализ.

[akoK]

Подскажите пожалуйста ссылочку на Вирлаб? это не на viruslist?

newvirus<at>kaspersky.com - (<at> - это @)

[gserg]

Как и куда можно отправить подозрительные файлы на анализ.

и

akoK

Большое спасибо за ссылочку, буду знать, куда отправлять. Подскажите плиз, стоит ли доставать вирус из карантина, чтобы отправить его по антивирусным сайтам?

Прикрепляю ещё один файл-лог сделанный AVG сразу после установки на другом компе. Можно ещё разок выложить файл карантина NOD32 c расширением NQI (без файла NQF)там перечень файлов которые возможно были затронуты при лечении/инфецировании. Если кто-нибудь смог бы просмотреть этот файл через центр управления NOD32(NOD32 Control Center GUI) то может информации стало бы ещё больше.

history.xml

history.xml

[Matias]

Подскажите плиз, стоит ли доставать вирус из карантина, чтобы отправить его по антивирусным сайтам?

Если файл, который лежит в карантине Нода, не детектируется каким-либо антивирусом, то следует отправить файл в лабораторию этого антивируса. Проверить наличие или отсутствие детекта можно на Virustotal.

Изменено 12 июня, 2008 пользователем Matias

[gserg]

Если файл, который лежит в карантине Нода, не детектируется каким-либо антивирусом, то следует отправить файл в лабораторию этого антивируса. Проверить наличие или отсутствие детекта можно на Virustotal.

То, что лежит в карантине НОДА достать я уже не смогу, поэтому я и выложил их на форум в архиве infected.rar. С помощью этих файлов надеелся получить хоть какую либо информацию. А вот в лабораторию отправлю, они то уж точно должны разобраться.

А вот из карантина AVG я ещё могу сам восстановить один файл из карантина

[akoK]

Ответ пришел

YGBEJ3CA.NQF - Trojan.Win32.Agent.rno

Будет добавлен в следующие базы.

[gserg]

Я вчера отправил на grisoft как и было указано в архиве. Но никакого подтверждения не получил. Когда вы отсылаете файлы на анализ, всегда приходит подтверждение?

Скажите пожалуйста, что значит будет добавлен в следующие базы? Его же антивирусы определяют.

[akoK]

Это ответ от вирлаба ЛК.

Ответы приходят далеко не от всех вендоров.

[gserg]

Сегодня буду пробовать восстановить систему с установочного диска, придворително проверю AVPTool и cureit! . Сейчас вроде припоминаю, что при нажатии F8 и выборе любого меню(например Safe mode) выводился список установленных систем, и почему то у меня есть только один выбор:

Windows XP media Center

[gserg]

Есть несколько добавлений

1. При загрузке ХР нажав F8 появляется всем известное меню. Внизу есть строчка Disable automatic restart on system failure. Выбрав это меню начинается дальнейшая загрузка ХР. После вывода сообщения autochk programm not found. skipping AUTOCHEK и вместо перезагрузки выводится следуюшее сообщение на синем экране:

STOP: c000021a fatal System Error. The session manager Initialization system process terminated unexpectedly with status of 0xc000003a (0x00000000 0x00000000)

The system has been shut down

Кто-нибудь может прокоментировать?

2. Загружается ХР, нажимаю F8 в появившемся меню выбираю Return to OS Choices Menu там предлагается выбор - и только один Windows XP Media Center Edition. Хотя у меня стоит WinXP professional edition SP2

Получил ответ от службы АВГ, говорят, что файлы не запускаемые (The two files from your email are not executable.) И что если там и был BackDoor то такие проблемы с ХР он не мог породить :)

[Matias]

выводится следуюшее сообщение на синем экране:

STOP: c000021a fatal System Error. The session manager Initialization system process terminated unexpectedly with status of 0xc000003a (0x00000000 0x00000000)

The system has been shut down

Ошибки STOP или синий экран смерти.

Изменено 13 июня, 2008 пользователем Matias

[gserg]

akoK

Matias

wise-wistful

Спасибо за вашу помощь! Сегодня сделал Repair с установочного диска и проблема решена. Система работает нормально.

Причиной всётаки считаю НОД так как именно после его сообщения система повисла и после перезагруза ХР не мог найти программу autochk

07.06.2008 22:46:06 AMON file C:\WINDOWS\System32\Drivers\Beep.sys a variant of Win32/Nulprot.A worm quarantined - deleted SG05\Sergei Event occurred on a new file created by the application: E:\ink\22_gui_2.exe. The file was moved to quarantine. You may close this window.

В карантине у нода ещё с десяток файлов из директории C:\WINDOWS\System32\Drivers\

wdica.sys

tdtcp.sys

tdpipe.sys

sfloppy.sys

rdpwd.sys

pdframe.sys

pdrframe.sys

pdreli.sys

pdcomp.sys

pcidump.sys

parvdm.sys

null.sys

ndis.sys

modem.sys

mnmdd.sys

lbrtfdc.sys

i2omgmt.sys

Fips.sys

changer.sys

cdaudio.sys

beep.sys

хотя они физическт находились на своих местах... :)

[ТроПа]

попробуйте все эти файлы добавить в архив под пароль virus и отправьте по адресу newvirus@kaspersky.com аналитикам ЛК они быстрее ответят что это за файлы. Укажите в письме пароль.

Изменено 14 июня, 2008 пользователем wise-wistful

[gserg]

Сами файлы в карантине у нода. Файл карантина отправлю обязательно (такие же, как я выложил в начале)

[gserg]

Нашёл исходный файл, запустив который я получил головной боли на две недели. Файл запакован в архив sound_normalizer_2.47_multilanguage внутри один файл 23 gui 3.exe вот результаты сканирования virustotal

File sound_normalizer_2.47_multilangua received on 06.15.2008 08:55:11 (CET)

Antivirus Version Last Update Result

AhnLab-V3 2008.6.13.1 2008.06.13 -

AntiVir 7.8.0.55 2008.06.14 -

Authentium 5.1.0.4 2008.06.14 -

Avast 4.8.1195.0 2008.06.14 -

AVG 7.5.0.516 2008.06.14 -

BitDefender 7.2 2008.06.15 -

CAT-QuickHeal 9.50 2008.06.14 -

ClamAV 0.92.1 2008.06.15 -

DrWeb 4.44.0.09170 2008.06.14 -

eSafe 7.0.15.0 2008.06.12 -

eTrust-Vet 31.6.5873 2008.06.14 -

Ewido 4.0 2008.06.14 Rootkit.Agent.ajn

F-Prot 4.4.4.56 2008.06.12 -

F-Secure 6.70.13260.0 2008.06.14 Rootkit.Win32.Agent.ajn

Fortinet 3.14.0.0 2008.06.15 -

GData 2.0.7306.1023 2008.06.15 Rootkit.Win32.Agent.ajn

Ikarus T3.1.1.26.0 2008.06.15 Virus.Rootkit.Win32.Agent.ajn

Kaspersky 7.0.0.125 2008.06.15 Rootkit.Win32.Agent.ajn

McAfee 5317 2008.06.13 -

Microsoft 1.3604 2008.06.15 -

NOD32v2 3186 2008.06.13 -

Norman 5.80.02 2008.06.13 -

Panda 9.0.0.4 2008.06.14 -

Prevx1 V2 2008.06.15 Suspicious

Rising 20.48.60.00 2008.06.15 -

Sophos 4.30.0 2008.06.15 -

Sunbelt 3.0.1145.1 2008.06.05 -

Symantec 10 2008.06.15 -

TheHacker 6.2.92.350 2008.06.14 -

VBA32 3.12.6.7 2008.06.14 -

VirusBuster 4.3.26:9 2008.06.12 -

Webwasher-Gateway 6.6.2 2008.06.15 -

Additional information

File size: 2816720 bytes

MD5...: 6ff6c0ac314e20279aac6e3411a75e81

SHA1..: 97928ab04ac6de829944278cb23c2d255094c6ec

SHA256: 46fd4539af03436ac5e2eef0f39709860919dfd07ac038606c76026378a27e75

SHA512: c67f511f4af4c0060e7c880ef316ff47ac75cfc568824cc9226684111563834e

c62ba373b1a7877eddc4b9361c5ff6d3bebba0aad26c457a476a9c15237642b9

PEiD..: -

PEInfo: -

Prevx info: http://info.prevx.com/aboutprogramtext.asp...1961A008A31F6DC

[gserg]

Продолжаю эту тему. Запустил программу RootkitReveal программа нашла 191 несоответсвие, но вот только я не понял, пофиксила или нет. Гляньте пожалуйста в приложеный файл лога

RootkitReveal1606.txt

RootkitReveal1606.txt

[akoK]

E:\My Pictures\Masanja

Что это у Вас куча ехешников в папочке?

[gserg]

Это мультики в виде флэш-файлов, правда когда я сменил антивирус среди них два трояна нашлось, подумал, что ложное срабатывание... залили на вирустотал, там 13 антивирусов нашли заразу в файле. Удалил всю папку.