Показано с 1 по 3 из 3.

Может ли вирус препятствовать загрузке системы в Safe Mode?

  1. #1
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    1
    Вес репутации
    60

    Может ли вирус препятствовать загрузке системы в Safe Mode?

    На днях словил жесткий вирус, когда экспериментировал с креками/патчами,
    лазил по асталависте. Обычно все без проблем бывало, т.к. настройки
    MyIE2 запрещали всяческие всплывающие окна, скрипты и т.д.. Ну и ослабил бдительность. Неожиданно всплыло сообщение об оошибке iexplore.exe (который был закрыт в это время), отключился Симантек Антивирус Клиент, резидент СпайБот, автоматическое обновление и виндовый файрвол!) Я сразу полез в Безопасный режим и с прискорбием обнаружил, что система в нем не грузится ("синий экран" с ошибкой ...7B). Пришлось грузиться в нормальном.
    В System32 обнаружились 3 свежесозданных файла: mdelk.exe
    wintems.exe (оба по 71 172байт), текстовый файл с кучей Ай-Пи адресов (увы, не
    сохранил его!). Доступ к экзешникам, ессно, был закрыт по причине их
    использования системой в данный момент -)
    Попытки использования утилит типа CureIt не удавались, т.к. при
    сохранении любого исполняемого файла такого типа на хард, его дата тут
    же менялась на текущую и возникало сообщение что данное приложение не
    является приложением Win32.
    То же происходило и при попытке запустить Симантек или удалить его.
    А при установке любой антивирусной программы происходил сбой в момент
    запуска службы ее монитора. Исполняемые файлы антивирусных программ
    также подменялись на свежеиспеченные)
    Службы автоматического обновления, файрволл - оказались в положении
    "полный даун"), т.е. не просто остановлены, а отключены. Их можно было
    включить, но работали они не более пары минут).
    При поиске по именам экзешников Гугл сообщил мне названия этого
    трояна, но все описываемые методы борьбы не помогали, т.к.
    1) никаких подозрительных процессов видно в системе не было. Список
    процессов смотрел как средствами виндов, так и несколькими независимыми
    программами). Обратил внимание на возникающие и тут же завершающиеся
    процессы со странными именами,
    состоящими из цифр, например 636203.exe. Интуитивно я понимал, что это
    и есть троян, но попытки найти на диске файлы с такими именами не
    увенчались успехом. Процесс mdelk.exe, который необходимо было
    остановить, как писали в форумах, также не был виден нигде!
    2) система не грузилась в безопасном режиме
    Пришлось изучать детальнее то, что выдал Гугл.. Там я прочитал, что
    троян создает "устройство" в системе и прописывается как драйвер устройства с именем Megadrv3.
    Он подгружается раньше любых программ, в том числе системных процессов. При загрузке винды в папке \system32\drivers создается файл srosa.sys, который после помещения в память, стирается или скрывается, а в момент выключения компьютера возникает и помещается в папку drivers. Диспетчер устройств
    показывает его, если отобразить скрытые устройства. Я попытался
    отключить это "устройство", однако после перезагрузки оно оказалось снова включено. Из-под оболочки файл srosa.sys в указанной папке не виден!
    Воспользовавшись тем, что у меня сисстемный раздел отформатирован в
    FAT32, загрузив с компакт-диска командную строку, я далил оба экзешника
    и файл srosa.sys, но и это не помогло. Кстати, из DOS в папке Drivers была видна папка с кучей exe-шников с именами из цифр, размер которых был различным, но часть из них имела тот же размер: 71 172 байт.
    Помогла AVZ - программа, о которой раньше я не знал и узнал благодаря этому форуму! Первый запуск AVZ не удался, т.к. исполняемый файл был перехвачен трояном. Пришлось внутри архива изменить название исполняемого файла (сделал avz1.exe вместо avz.exe). Программа запустилась, но базы не обновлялись (в последний момент возникала "непредвиденная ошибка"), так что сканирование памяти и дисков я пока не стал запускать. Далее, по рекомендации специалиста этого форума, через AVZ выполнил следующий скрипт:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
    QuarantineFile('C:\WINDOWS\system32\drivers\srosa. sys','');
    QuarantineFile('c:\windows\system32\wintems.exe',' ');
    QuarantineFile('c:\windows\system32\drivers\hldrrr .exe','');
    DeleteFile('c:\windows\system32\drivers\hldrrr.exe ');
    DeleteFile('c:\windows\system32\wintems.exe');
    DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys' );
    BC_ImportALL;
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Система перезагрузилась, я снова запустил AVZ, благополучно обновил базы и запустил сканирование памяти и диска. В памяти был найден и
    уничтожен 1 вирус, на диске - ни одного, хотя папка куда я DOSом переложил
    "тела", лежала тут же, рядом. Зато, стали запускаться службы и вполовину работать антивирусные приложения. Симантек, правда, пришлось полностью переустанавливать, причем после его удаления - вручную стереть папку
    программы и из \Common files\, иначе не запускалось обновление и сканер)
    Я удалил из реестра почти всё, где встречалось srosa.sys (одна ветка не удалилась!)
    В безопасном режиме я по-прежнему не могу загрузиться! Думаю, вряд ли это
    связано с вирусом.. Полгода назад у меня здесь сгорела мать GA на 865м
    чипсете, я махнул ее на SiSовскую, не переустанавливая винду. Тогда подфартило: в офисе лежала другая мать на Intel-е (полноразмерный АТХ, поэтому мне не подошла именно она на замену), я тогда на ней загрузился в безопасном режиме, заменил драйверы контроллера жестких дисков на стандартные PCI IDE и потом уже запустил на SiSе - все подхватилось
    и заработало. Возможно, что с того момента у меня безопасный режим и
    перестал работать, просто не надо было им пользоваться и я поэтому не
    знал.
    Хочу выразить огромную благодарность специалистам форума! Работая у клиентов, я частенько блокирую и удаляю вирусы "руками". Но а такой хитроумной системой столкнулся впервые. Уважаемые Модераторы! Вы вправе стереть мое сообщение, ибо оно по сути, принесет конкретную пользу лишь тому кто окажется в похожей ситуации.. Вот только насчет Безопасного режима остались некоторые сомнения. Все-таки, могло ли устройство Megadrv3 остаться в системе? (ведь почему-то не удаляется одна ветка реестра!) На первый взгляд, ответ НЕТ: из DOSа файл srosa.sys не виден больше, в Устройствах также нет этого файла, да и все вобщем-то работает.. Если можно, маленький вопрос: кто подскажет бывали ли случаи когда невозможно было запустить систему в безопасном режиме из-за действия вируса?
    -----------------
    p.s. При поиске файлов размером 71 172 байт в папке Documents and settings\<пользователь>\local settings\temporary internet files\...\ обнаружился файл с расширениеь .jpg. Где-то в описании вируса упоминалось, что червь маскирует себя под файлы png, jpg. Действительно, после ручного переименования расширения эта "картинка" приобретала пиктограмму, аналогичную wintems.exe и mdelk.exe
    Последний раз редактировалось Glucker; 27.01.2008 в 21:07. Причина: дополнение

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Бывали. Можно попробовать использовать AVZ - Файл - Восстановление системы - пункт 10

  4. #3
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,343
    Вес репутации
    76
    Бывали....
    Microsoft Most Valuable Professional in Consumer Security

Похожие темы

  1. Won't boot in normal mode - only safe mode
    От Jkdxc в разделе Malware Removal Service
    Ответов: 1
    Последнее сообщение: 13.05.2010, 14:44
  2. Ответов: 8
    Последнее сообщение: 18.07.2009, 17:31
  3. Не работает safe mode
    От ALP в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 24.01.2009, 14:49
  4. my computer save mode cannot reach safe mode
    От areeve в разделе Malware Removal Service
    Ответов: 3
    Последнее сообщение: 25.11.2008, 16:12
  5. вирус, убил aviru и safe mode
    От s.alexxey в разделе Помогите!
    Ответов: 11
    Последнее сообщение: 10.11.2008, 13:49

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01229 seconds with 17 queries