Jump to content
СофтФорум - всё о компьютерах и не только

autochk missing skipping AUTOCHEK


Recommended Posts

Поймал трояна, нод32 выдал сообщение о возможном черве nulport A worm и открылся веббраузер, после этого система "повисла". Сделал резет. После появления лого ХР с полосой загрузки появляется синий экран с лого ХР (как при инсталяции) с надписью "autochk missing skipping AUTOCHEK" и происходит перезагрузка ХР и так без конца. Попытки войти в систему через F8 приводят к одному и тому же результату, описанному выше. Хардюк чистил на другом компе и AVG сразу нашёл BackDoor.Generic.9.AOGN и Collected.12.AC. Файлы удалёны. После чистил AVZ, Spyboot, ADaware, HJthis. После чистки результат тот же. Файл autochk.exe в директории windows\system32 есть. Тем не менее система перезагружается снова и снова. Что это, последствия жёсткой перезагрузки или всёже троян, которого не могут поймать антивирусы(пока)?

Link to comment
Share on other sites

Насколько я понял, что в любом режиме идет циклическая перезагрузка. В данном случае произошло неправильное лечение(очень похоже из рассказа).

В данном случае могу увы только порекомендовать переустановку....выберите режим востановления(но тогда необходимы будут логи т.к. могут остаться зловреды) или святая команда format с: тогда есть шанс, что система чиста. Но все равно после поднятия системы рекомендую проверить все диски.

AVPTool или cureit!

Link to comment
Share on other sites

Насколько я понял, что в любом режиме идет циклическая перезагрузка. В данном случае произошло неправильное лечение(очень похоже из рассказа).

В данном случае могу увы только порекомендовать переустановку....выберите режим востановления(но тогда необходимы будут логи т.к. могут остаться зловреды) или святая команда format с: тогда есть шанс, что система чиста. Но все равно после поднятия системы рекомендую проверить все диски.

AVPTool или cureit!

Nod 32 логи, я их просмотреть не могу, с другой системы не запускается Nod 32 центр(пишет, что нарушена связь с кернелом (нод) и работает только сканер :sm(100): +проверился каспером online результаты тоже в файлах. Как я понял, каспер даже не распознал BackDoor в карантине nod32

i

Уведомление:

Один файлик чист, второй Trojan.Packed.142, только зачем Вы их сюда ложили?

kos.html

kos.html

Edited by akoK
Link to comment
Share on other sites

Nod 32 логи, я их просмотреть не могу, с другой системы не запускается Nod 32 центр(пишет, что нарушена связь с кернелом (нод) и работает только сканер :sm(100): +проверился каспером online результаты тоже в файлах. Как я понял, каспер даже не распознал BackDoor в карантине nod32

[deleted]

infected.rar -это файлы c расширениями NQF и NQI карантина NOD32 из папки C:\programm files\eset\infected\

Выложил, чтоб тот, у кого есть NOD32 смог бы поместив эти файлы в папку своего нода и посмотреть что ж всётаки НОД обнаружил и какие файлы инфецированны. А то через NOTEPAD очень уж неудобно смотреть. Извияюсь, что сразу не очень понятно изложил, для чего прикрепил файлы.

kos.html-результаты сканирования kaspersky on-line scanner

Что в infected.rar за файлы? подозрение на вирусы? так зачем Вы их на форум в таком случае залили, а не отправили в Вирлаб аналитикам на анализ?

Я оригинальный архив залили на сайт drweb - от них молчок, теперь оригинальные файлы все поудалены антивирусами.

Подскажите пожалуйста ссылочку на Вирлаб? это не на viruslist?

!

Предупреждение:

Цитирование модераторских тегов запрещено

Edited by akoK
Link to comment
Share on other sites

Подскажите пожалуйста ссылочку на Вирлаб? это не на viruslist?

newvirus<at>kaspersky.com - (<at> - это @)

Link to comment
Share on other sites

и

akoK

Большое спасибо за ссылочку, буду знать, куда отправлять. Подскажите плиз, стоит ли доставать вирус из карантина, чтобы отправить его по антивирусным сайтам?

Прикрепляю ещё один файл-лог сделанный AVG сразу после установки на другом компе. Можно ещё разок выложить файл карантина NOD32 c расширением NQI (без файла NQF)там перечень файлов которые возможно были затронуты при лечении/инфецировании. Если кто-нибудь смог бы просмотреть этот файл через центр управления NOD32(NOD32 Control Center GUI) то может информации стало бы ещё больше.

history.xml

history.xml

Link to comment
Share on other sites

Подскажите плиз, стоит ли доставать вирус из карантина, чтобы отправить его по антивирусным сайтам?

Если файл, который лежит в карантине Нода, не детектируется каким-либо антивирусом, то следует отправить файл в лабораторию этого антивируса. Проверить наличие или отсутствие детекта можно на Virustotal.

Edited by Matias
Link to comment
Share on other sites

Если файл, который лежит в карантине Нода, не детектируется каким-либо антивирусом, то следует отправить файл в лабораторию этого антивируса. Проверить наличие или отсутствие детекта можно на Virustotal.

То, что лежит в карантине НОДА достать я уже не смогу, поэтому я и выложил их на форум в архиве infected.rar. С помощью этих файлов надеелся получить хоть какую либо информацию. А вот в лабораторию отправлю, они то уж точно должны разобраться.

А вот из карантина AVG я ещё могу сам восстановить один файл из карантина

Link to comment
Share on other sites

Я вчера отправил на grisoft как и было указано в архиве. Но никакого подтверждения не получил. Когда вы отсылаете файлы на анализ, всегда приходит подтверждение?

Скажите пожалуйста, что значит будет добавлен в следующие базы? Его же антивирусы определяют.

Link to comment
Share on other sites

Сегодня буду пробовать восстановить систему с установочного диска, придворително проверю AVPTool и cureit! . Сейчас вроде припоминаю, что при нажатии F8 и выборе любого меню(например Safe mode) выводился список установленных систем, и почему то у меня есть только один выбор:

Windows XP media Center

Link to comment
Share on other sites

Есть несколько добавлений

1. При загрузке ХР нажав F8 появляется всем известное меню. Внизу есть строчка Disable automatic restart on system failure. Выбрав это меню начинается дальнейшая загрузка ХР. После вывода сообщения autochk programm not found. skipping AUTOCHEK и вместо перезагрузки выводится следуюшее сообщение на синем экране:

STOP: c000021a fatal System Error. The session manager Initialization system process terminated unexpectedly with status of 0xc000003a (0x00000000 0x00000000)

The system has been shut down

Кто-нибудь может прокоментировать?

2. Загружается ХР, нажимаю F8 в появившемся меню выбираю Return to OS Choices Menu там предлагается выбор - и только один Windows XP Media Center Edition. Хотя у меня стоит WinXP professional edition SP2

Получил ответ от службы АВГ, говорят, что файлы не запускаемые (The two files from your email are not executable.) И что если там и был BackDoor то такие проблемы с ХР он не мог породить :)

Link to comment
Share on other sites

выводится следуюшее сообщение на синем экране:

STOP: c000021a fatal System Error. The session manager Initialization system process terminated unexpectedly with status of 0xc000003a (0x00000000 0x00000000)

The system has been shut down

Ошибки STOP или синий экран смерти.

Edited by Matias
Link to comment
Share on other sites

akoK

Matias

wise-wistful

Спасибо за вашу помощь! Сегодня сделал Repair с установочного диска и проблема решена. Система работает нормально.

Причиной всётаки считаю НОД так как именно после его сообщения система повисла и после перезагруза ХР не мог найти программу autochk

07.06.2008 22:46:06 AMON file C:\WINDOWS\System32\Drivers\Beep.sys a variant of Win32/Nulprot.A worm quarantined - deleted SG05\Sergei Event occurred on a new file created by the application: E:\ink\22_gui_2.exe. The file was moved to quarantine. You may close this window.

В карантине у нода ещё с десяток файлов из директории C:\WINDOWS\System32\Drivers\

wdica.sys

tdtcp.sys

tdpipe.sys

sfloppy.sys

rdpwd.sys

pdframe.sys

pdrframe.sys

pdreli.sys

pdcomp.sys

pcidump.sys

parvdm.sys

null.sys

ndis.sys

modem.sys

mnmdd.sys

lbrtfdc.sys

i2omgmt.sys

Fips.sys

changer.sys

cdaudio.sys

beep.sys

хотя они физическт находились на своих местах... :)

Link to comment
Share on other sites

попробуйте все эти файлы добавить в архив под пароль virus и отправьте по адресу newvirus@kaspersky.com аналитикам ЛК они быстрее ответят что это за файлы. Укажите в письме пароль.

Edited by wise-wistful
Link to comment
Share on other sites

Нашёл исходный файл, запустив который я получил головной боли на две недели. Файл запакован в архив sound_normalizer_2.47_multilanguage внутри один файл 23 gui 3.exe вот результаты сканирования virustotal

File sound_normalizer_2.47_multilangua received on 06.15.2008 08:55:11 (CET)

Antivirus Version Last Update Result

AhnLab-V3 2008.6.13.1 2008.06.13 -

AntiVir 7.8.0.55 2008.06.14 -

Authentium 5.1.0.4 2008.06.14 -

Avast 4.8.1195.0 2008.06.14 -

AVG 7.5.0.516 2008.06.14 -

BitDefender 7.2 2008.06.15 -

CAT-QuickHeal 9.50 2008.06.14 -

ClamAV 0.92.1 2008.06.15 -

DrWeb 4.44.0.09170 2008.06.14 -

eSafe 7.0.15.0 2008.06.12 -

eTrust-Vet 31.6.5873 2008.06.14 -

Ewido 4.0 2008.06.14 Rootkit.Agent.ajn

F-Prot 4.4.4.56 2008.06.12 -

F-Secure 6.70.13260.0 2008.06.14 Rootkit.Win32.Agent.ajn

Fortinet 3.14.0.0 2008.06.15 -

GData 2.0.7306.1023 2008.06.15 Rootkit.Win32.Agent.ajn

Ikarus T3.1.1.26.0 2008.06.15 Virus.Rootkit.Win32.Agent.ajn

Kaspersky 7.0.0.125 2008.06.15 Rootkit.Win32.Agent.ajn

McAfee 5317 2008.06.13 -

Microsoft 1.3604 2008.06.15 -

NOD32v2 3186 2008.06.13 -

Norman 5.80.02 2008.06.13 -

Panda 9.0.0.4 2008.06.14 -

Prevx1 V2 2008.06.15 Suspicious

Rising 20.48.60.00 2008.06.15 -

Sophos 4.30.0 2008.06.15 -

Sunbelt 3.0.1145.1 2008.06.05 -

Symantec 10 2008.06.15 -

TheHacker 6.2.92.350 2008.06.14 -

VBA32 3.12.6.7 2008.06.14 -

VirusBuster 4.3.26:9 2008.06.12 -

Webwasher-Gateway 6.6.2 2008.06.15 -

Additional information

File size: 2816720 bytes

MD5...: 6ff6c0ac314e20279aac6e3411a75e81

SHA1..: 97928ab04ac6de829944278cb23c2d255094c6ec

SHA256: 46fd4539af03436ac5e2eef0f39709860919dfd07ac038606c76026378a27e75

SHA512: c67f511f4af4c0060e7c880ef316ff47ac75cfc568824cc9226684111563834e

c62ba373b1a7877eddc4b9361c5ff6d3bebba0aad26c457a476a9c15237642b9

PEiD..: -

PEInfo: -

Prevx info: http://info.prevx.com/aboutprogramtext.asp...1961A008A31F6DC

Link to comment
Share on other sites

Продолжаю эту тему. Запустил программу RootkitReveal программа нашла 191 несоответсвие, но вот только я не понял, пофиксила или нет. Гляньте пожалуйста в приложеный файл лога

RootkitReveal1606.txt

RootkitReveal1606.txt

Link to comment
Share on other sites

Это мультики в виде флэш-файлов, правда когда я сменил антивирус среди них два трояна нашлось, подумал, что ложное срабатывание... залили на вирустотал, там 13 антивирусов нашли заразу в файле. Удалил всю папку.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...