Jump to content
СофтФорум - всё о компьютерах и не только
Sign in to follow this  
699622

Кто знает вирусы, которые прячутся в avi ?

Recommended Posts

В общем, так.

Система на ХР SP3, защищает KIS2011, "все пучком", где-то полгода вообще не лез туда - все работало.

Позавчера скачал какую-то порнуху по локалке, а она плохо идти стала (изображение дергается). Ну значицца решил я обновить видеокодеки, попробовать разные там проигрыватели и тп. Начал с установки k-lite codec 7.2, потом товарищ мне еще накидал пачку проигрывателей и понеслось...

Симптомы: некоторые видеофайлы не отрываются (с одинаковым неуспехом пробовал из нескольких разных плейеров). При этом после попытки открытия видеофайла комп начинает отчаянно тормозить. Пытаюсь зайти из проводника, клацаю правой кнопкой на файле (ну чтобы посмотреть, что там такое за файл, кроме того, что он ави) - все подвисает. Дальше работать невозможно - жму ctrl-alt-del, вылетает обычное меню (ну там "перегрузить", "диспетчер задач" и прочая хрень). При попытке запустить диспетчер задач система виснет наглухо (только резет).

Проверено раз десять (все никак не мог поверить).

При этом, пока данные avi-файлы не трогаю, все работает, как часы (в т.ч. и диспетчер задач - отключает любой процесс).

Вначале думал на новые проигрыватели - деинсталировал все нафиг. Не помогло. Потом снес k-lite codek со всем пакетом - не помогло.

Да, еще раньше пытался и откат системы сделать - все прошло нормально, но не помогло.

Сейчас остался уже только Windows media, но его сносить бессмысленно - винда восстановит предыдущий windows media... Также по этой причине не получается снести пакет кодеков windows media format 11 runtime.

В шоке я не потому, что не отрываются некоторые видеофайлы (кстати, раньше открывались без проблем, хоть и кодеки староватые были). Потрясает то, что я не могу запустить диспетчер задач и просто-напросто закрыть приложение или процесс после обращения к avi-файлам! Причем не ко всем, а только к некоторым.

Реально не понимаю, как наличие/отсутствие какого-то там кодека или плеера может приводить к блокированию диспетчера задач в ХР! Собственно, поэтому и пишу сюда, в "безопасность".

ЗЫ: разумеется, полную проверку каспером делал - все пучком. Конечно, надо сделать, как в правилах - логи АВЗ и прочая, но тут что-то не так!

Если дрянь завелась - то ей пофиг, что я открываю. Не может дрянь привязываться в своих действиях к запуску/открытию/просто_клацу_правой кнопкой на себе какого-то avi файла!!!

Edited by 699622

Share this post


Link to post
Share on other sites

Здравствуйте, сделайте вот такие логи:

Нужен лог RSIT. Как подготовить логи RSIT

+

Cкачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

Подробнее тут

+

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

!!! Перед выполнением сканирования ( это касается всех утилит) отключите ПК от интернет/локальной сети, закройте все программы, включая антивирусное программное обеспечение и firewall, выгрузите драйвера виртуальных приводов.

Edited by Tiare

Share this post


Link to post
Share on other sites

Да, вот еще что важно! Сразу после загрузки вылазит табличка, что типа "microsoft kill utility запустить не удалось". Но при этом все нормально работает, в т.ч. - диспетчер задач (и в нем - обзор идущих процессов и тп). Любые процессы без проблем выключаются и комп нормально работает дальше. НИКАКИХ симптомов заражения не чувствую.

НО! Как только пытаюсь запустить один единственный видеофайл (.avi), система подвисает и подтормаживает. Дальшейшие действия - вызов диспетчера задач или любые другие - ведут к полному зависанию системы, диспетчер задач не действует. Точно также попытка при нормально работающем компе клацнуть правой кнопкой на этом загадочном видеофайле (чтобы посмотреть кодек и тп) приводят к полному зависанию системы (состояние, аналогичное описанному выше).

РСИТ, ЖМЕР и Мальве запускать по каждому поводу - это надо сколько ж лишнего времени иметь! Это занятие на день!

Может это и не зловред вовсе. Обращаюсь к опытным людям, чтобы поделились знаниями - сталкивались ли с таким? что это может быть?

Написал в этой теме, т.к. подвисание компа без возможности запуска диспетчера задач похоже на действия вируса, запуск любого видеофайла (даже без соответствующих кодеков и тп) не должен приводить к таким последствиям!

Знает кто-нибудь чего-нибудь по моей ситуации? Есть предположения, мысли?

Share this post


Link to post
Share on other sites

699622, все, что Вы описываете типично для зараженной системы. Однако, все описания и рассуждения беспредметны до тех пор, пока Вы не сделаете логи и не предоставите их хелперу иначе он просто не сможет Вам помочь.

РСИТ, ЖМЕР и Мальве запускать по каждому поводу - это надо сколько ж лишнего времени иметь! Это занятие на день!
- больше времени потеряли на объяснения и ожидание. Сделайте все, что предписывает Tiare и по результатам логов получите квалифицированную помощь
  • Upvote 1

Share this post


Link to post
Share on other sites
i

Уведомление:


Ввиду подозрения на заражение переношу в раздел лечения.



Логи RSIT и MBAM всё еще ждем от вас .

Не будет логов закрою тему.




Share this post


Link to post
Share on other sites

По полной программе...

1. DrWeb (всю ночь проверял в "безопасном режиме", ничего не нашел, зато исправил hosts так, что опять стала вылезать противная табличка от микрософтов про лицензионность... еще полчаса возни, и табличка пропала).

2. RSIT

продолжение следует...

CureIt.rar

info.rar

log.rar

CureIt.rar

info.rar

log.rar

Share this post


Link to post
Share on other sites

выполнены скрипты AVZ (№3 и №2)

Сразу вопрос: стоит ли выполнить скрипт "Оптимизация - безопасность - блокировать возможность подключения анонимных пользователей"? Дома к инету подключен через роутер, причем есть еще ноут домашний, который как бы тоже в сети, а также с работы приносит жена иногда свой рабочий ноут. Не помешает ли мне такая "оптимизация" в организации локальной домашней сети?

virusinfo_syscure.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

virusinfo_syscheck.zip

Edited by 699622

Share this post


Link to post
Share on other sites

Да, вот табличка про ошибку, которая выскакивает при загрузке винды (не все время, а через раз где-то):

табличка про ошибку при загрузке.JPG

post-55266-0-83582200-1310792243_thumb.j

Share this post


Link to post
Share on other sites

привет

лог Гмер подготавливать не нужно, авз ругается на драйвер от виртуалки

1.Отключите:

Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

beginExecuteRepair(1);ExecuteRepair(6);RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);ExecuteRepair(11);RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится!

2.Подготовьте такой лог

3.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

Share this post


Link to post
Share on other sites

Прикладываю скан того, что Мальме предлагает удалить. По-моему - бред.

И в правом нижнем углу уже выскочило сообщение от Мальме, что он, дескать, предотвратил соединение с "плохим" сервером, ну и адрес цифровой был указан. Переписать не успел, к сожалению. Посмотреть логи не могу, т.к. не закрываю результаты проверки - может таки надо будет удалить то, что Мальме предлагает?

скан Мальме.JPG

post-55266-0-93546600-1310798930_thumb.j

Share this post


Link to post
Share on other sites

кряки удалять/не удалять решайте сами, могут содержать вредоносный код

удалите

HKEY_CURRENT_USER\SOFTWARE\Microsoft\MS Juan (Trojan.Vundo)c:\WINDOWS\cookies.ini (Malware.Trace) -> No action taken.

не вижу запрашиваемого лога uvs

Share this post


Link to post
Share on other sites

Прикладываю скан того, что Мальме предлагает удалить. По-моему - бред.

Прикладываю статью (так, для общего развития) http://www.softboard.ru/topic/51971-типовые-зловреды-и-их-лечение/page__view__findpost__p__290065

И это... просьба небольшая, скриншоты обрезайте пожалуйста, если не затруднит, конечно, а то прокручивать слишком долго приходится.

Share this post


Link to post
Share on other sites

кряки удалять/не удалять решайте сами, могут содержать вредоносный код

Кряки - ладно, а что за

PUM.Hijask.StartMenu ?

Очевидно, что-то от Хайджека?

удалите
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MS Juan (Trojan.Vundo)c:\WINDOWS\cookies.ini (Malware.Trace) -> No action taken.

Сделано.

Share this post


Link to post
Share on other sites

Отключите:

Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

beginExecuteRepair(1);ExecuteRepair(6);RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);ExecuteRepair(11);RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится!

Сделано.

Share this post


Link to post
Share on other sites

не вижу запрашиваемого лога uvs

А это что? Не врубился :blink:

Вот еще лог по поводу блокирования сайта 95.169.190.67

Прикладываю статью (так, для общего развития) http://www.softboard.ru/topic/51971-типовые-зловреды-и-их-лечение/page__view__findpost__p__290065

И это... просьба небольшая, скриншоты обрезайте пожалуйста, если не затруднит, конечно, а то прокручивать слишком долго приходится.

Ок, спасибо. Почитаю.

Скриншоты буду обрезать.

protection-log-2011-07-16.txt

protection-log-2011-07-16.txt

Share this post


Link to post
Share on other sites

Врубился. Наверное, имелся в виду uVS. Скачал версию 3.64, запустил (из-под Касперского - "разрешить исполнение программы, заблокировав опасные операции"), лог прикладываю.

Только там разные логи - я сделал "Файл" => "Сохранить полный образ автозапуска".

STAS-PC_2011-07-16_12-03-35.7z

STAS-PC_2011-07-16_12-03-35.7z

Share this post


Link to post
Share on other sites

для меня ничего интересного

Загрузите утилиту TDSSKiller и запустите её. Дождитесь результатов сканирования. Лог прикрепите

проверьте самочувствие пк и отпишитесь о проблеме

tdsskiller.zip

tdsskiller.zip

Edited by Sfera

Share this post


Link to post
Share on other sites

для меня ничего интересного

Загрузите утилиту TDSSKiller и запустите её. Дождитесь результатов сканирования. Лог прикрепите

проверьте самочувствие пк и отпишитесь о проблеме

Пишет, что все ОК.

Интересно таки, почему табличка выскакивает (выше скриншот выкладывал)?

И еще вопросик: Мальме вместе с КИС2011 можно использовать? Сейчас стоят вместе, Мальме периодически блокирует какие-то сайты, Каспер на нее не ругается... Может так и оставить?

TDSSKiller.2.5.11.0_18.07.2011_00.15.14_log.rar

TDSSKiller.2.5.11.0_18.07.2011_00.15.14_log.rar

Share this post


Link to post
Share on other sites

оставьте..пускай работают в паре

C:\WINDOWS\system32\DRIVERS\vdrv1000.sys на вирустотал проверьте

  • Upvote 1

Share this post


Link to post
Share on other sites

оставьте..пускай работают в паре

ок

C:\WINDOWS\system32\DRIVERS\vdrv1000.sys на вирустотал проверьте

Сдалано:

File name:

vdrv1000.sys

Submission date:

2011-07-19 12:39:29 (UTC)

Current status:

finished

Result:

0/ 42 (0.0%)

И все-так, почему табличка про ошибку выскакивает при загрузке !?!

Share this post


Link to post
Share on other sites
Guest
This topic is now closed to further replies.
Sign in to follow this  

×
×
  • Create New...