Показано с 1 по 19 из 19.

Блокировка антивируса (заявка № 49944)

  1. #1
    Junior Member Репутация
    Регистрация
    16.03.2009
    Адрес
    Уральск, Казахстан
    Сообщений
    92
    Вес репутации
    29

    Exclamation Блокировка антивируса

    У клиентов заблокировался Dr.Web, подумал на Kido, проверил кидокиллером, не помогло. Проверял cureit'ом, в первый раз вырубился свет, не успел дойти до конце, после этого запустил AVZ и HijackThis, AVZ лог не дал почему то (), остальное выкладываю, после проверки еще раз прошелся сureit'ом. Помогите пожалуйста
    ЗЫ, лог Avz выложу вечером или завтра.

    АП: Антивирус ожил, но теперь не запускаются диспетчер задач, msconfig and regedit. Запускаю AVZ, лог будет завтра если потребуется.
    Последний раз редактировалось ГитКЗ; 08.04.2010 в 17:06.

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    266
    >>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
    У вас файловый вирус.
    Запакуйте в архив файл avz.exe с паролем 'virus' и пришлите по этой ссылке http://virusinfo.info/upload_virus.php?tid=49944

  4. #3
    Junior Member Репутация
    Регистрация
    16.03.2009
    Адрес
    Уральск, Казахстан
    Сообщений
    92
    Вес репутации
    29
    DefesT, первоначальный avz.exe я удалил, для повторной проверки скачал новый.

  5. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,582
    Вес репутации
    2916
    Ну и нахватали Вы...

    Пофиксить в HiJack
    Код:
     F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\smss.exe
    O4 - HKLM\..\Run: [shell] C:\WINDOWS\system\rundll32.exe 70134
    O4 - HKLM\..\Run: [servises] C:\WINDOWS\system32\servises.exe
    O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
    O4 - HKCU\..\Run: [servises] C:\WINDOWS\system32\servises.exe
    O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
    O4 - HKLM\..\Policies\Explorer\Run: [Inside] C:\WINDOWS\system32\gread32.exe
    O4 - HKLM\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
    O4 - HKCU\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
    O4 - HKUS\S-1-5-18\..\Run: [servises] C:\WINDOWS\system32\servises.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [servises] C:\WINDOWS\system32\servises.exe (User 'Default user')
    O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe (User 'Default user')
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\gread32.exe','');
     QuarantineFile('C:\WINDOWS\system\rundll32.exe','');
     DelBHO('{B035573A-5F43-4862-A194-87D027C63012}');
     QuarantineFile('C:\WINDOWS\system32\InternetExplorer.dll','');
     QuarantineFile('csrcs.exe','');
     TerminateProcessByName('c:\windows\system32\drivers\smss.exe');
     QuarantineFile('c:\windows\system32\drivers\smss.exe','');
     TerminateProcessByName('c:\windows\system32\servises.exe');
     QuarantineFile('c:\windows\system32\servises.exe','');
     TerminateProcessByName('c:\windows\services.exe');
     QuarantineFile('c:\windows\services.exe','');
     TerminateProcessByName('c:\windows\system32\csrcs.exe');
     QuarantineFile('c:\windows\system32\csrcs.exe','');
     DeleteFile('c:\windows\system32\csrcs.exe');
     DeleteFile('c:\windows\services.exe');
     DeleteFile('c:\windows\system32\servises.exe');
     DeleteFile('c:\windows\system32\drivers\smss.exe');
     DeleteFile('csrcs.exe');
     DeleteFile('C:\WINDOWS\system32\InternetExplorer.dll');
     DeleteFile('C:\WINDOWS\system\rundll32.exe');
     DeleteFile('C:\WINDOWS\system32\gread32.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(13);
    ExecuteRepair(16);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    16.03.2009
    Адрес
    Уральск, Казахстан
    Сообщений
    92
    Вес репутации
    29
    не я нахватал, клиенты

    вот лог, поехал фиксить, завтра выложу результаты.
    Последний раз редактировалось ГитКЗ; 08.04.2010 в 17:05.

  7. #6
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,582
    Вес репутации
    2916
    Новые логи нужны после лечения
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  8. #7
    Junior Member Репутация
    Регистрация
    16.03.2009
    Адрес
    Уральск, Казахстан
    Сообщений
    92
    Вес репутации
    29
    это был как бы первый лог))
    Цитата Сообщение от ГитКЗ Посмотреть сообщение
    ЗЫ, лог Avz выложу вечером или завтра.
    а вот это новые логи после лечения, msconfig и regedit по прежнему не запускаются с руганью: "Приложение не было запущено, поскольку оно некорректно настроено. Повторная установка приложения может решить данную проблему."
    Диспетчер задач не запускается вообще никак. Антивирус работает и обновляется без проблем.

    АП: выслал запрошенный карантин согласно правилам с одним исключением: карантин после первой проверки называется virus1.zip, после второй - virus2.zip
    Соответственно архив avz.zip также выслал по ссылке.

    Большое спасибо за оказанную помощь и внимание
    Последний раз редактировалось ГитКЗ; 08.04.2010 в 17:05.

  9. #8
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,582
    Вес репутации
    2916
    Цитата Сообщение от DefesT Посмотреть сообщение
    Запакуйте в архив файл avz.exe с паролем 'virus' и пришлите по этой ссылке http://virusinfo.info/upload_virus.php?tid=49944
    Цитата Сообщение от thyrex Посмотреть сообщение
    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
    Почему не выполнено ни одно из требований?

    Выполните скрипт в AVZ
    Код:
    begin
    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('c:\windows\explorer.exe','');
     QuarantineFile('c:\windows\system32\ctfmon.exe','');
     QuarantineFile('c:\windows\system32\svchost.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\Toolbar.exe','');
     DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\Toolbar.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(11);
    ExecuteRepair(17);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  10. #9
    Junior Member Репутация
    Регистрация
    16.03.2009
    Адрес
    Уральск, Казахстан
    Сообщений
    92
    Вес репутации
    29
    Цитата Сообщение от thyrex Посмотреть сообщение
    Почему не выполнено ни одно из требований?

    Цитата Сообщение от ГитКЗ Посмотреть сообщение
    АП: выслал запрошенный карантин согласно правилам с одним исключением: карантин после первой проверки называется virus1.zip, после второй - virus2.zip
    Соответственно архив avz.zip также выслал по ссылке.

  11. #10
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,582
    Вес репутации
    2916
    Первый карантин
    csrcs.exe - Packed.Win32.Klone.bj
    В настоящий момент этот файл детектируется. Пожалуйста, обновите антивирусные базы.
    services.exe - Email-Worm.Win32.Joleee.coh
    Детектирование файла будет добавлено в следующее обновление.
    Что с проблемами после выполнения последнего скрипта?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  12. #11
    Junior Member Репутация
    Регистрация
    16.03.2009
    Адрес
    Уральск, Казахстан
    Сообщений
    92
    Вес репутации
    29
    thyrex, базы веба и авз обновил, выполнил скрипт и сделал новую проверку, пара файлов опять попала в карантин. Проблема осталась, похоже не запускаются почти все стандартные виндовые программы из систем32, в том числе блокнот и калькулятор, возможно файлы модифицированы файловым вирусом и хоть вирус удален их работоспособность уже не восстановить? Сейчас думаю загрузиться с диска и проверить свежим cureit'м. Высылаю новые логи и новый карантин.
    Последний раз редактировалось ГитКЗ; 08.04.2010 в 17:05.

  13. #12
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,582
    Вес репутации
    2916
    Дополнение к карантину
    smss.exe - Trojan-Dropper.Win32.Agent.avxa
    Детектирование файла будет добавлено в следующее обновление.
    Вполне возможно, что это последствия файлового вируса (и (или) его лечения)
    Дата и время изменения svchost.exe 13.07.2009 19:11:45

    Попробуйте после загрузки с диска и проверки (если ничего не найдено будет) поменять "запорченные" файлы образцами из папки system32/dllcache. Только не все сразу
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  14. #13
    Junior Member Репутация
    Регистрация
    16.03.2009
    Адрес
    Уральск, Казахстан
    Сообщений
    92
    Вес репутации
    29
    Цитата Сообщение от thyrex Посмотреть сообщение
    Детектирование файла будет добавлено в следующее обновление.
    вот тут вопрос, обновление AVZ или DrWeb?

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    В обновление AVPTool
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Junior Member Репутация
    Регистрация
    16.03.2009
    Адрес
    Уральск, Казахстан
    Сообщений
    92
    Вес репутации
    29
    ситуация неоднозначная, cureit почему то вырубился и лог проверки до меня не дошел, замена файлов из system32/dllcache ничего не дала. Что посоветуете еще?

    АП: нашел бекап винды на диске, кроме ехешников что-нибудь еще надо менять в system32?

    АП2: после замены файлов из бекапа проблемы были почти исправлены за исключением msconfig и regedit. Залез в Управление компьютером-Просмотр событий-Система, и нашел там интересные ошибки:
    Generate Activation Context завершилась не удачно для C:\WINDOWS\system32\Regedit.exe. Соответствующее сообщение об ошибке: Операция успешно завершена.
    Синтаксическая ошибка в манифесте или в файле политики "C:\WINDOWS\system32\Regedit.exe" в строке 16.
    Generate Activation Context завершилась не удачно для C:\WINDOWS\system32\msconfig.exe. Соответствующее сообщение об ошибке: Операция успешно завершена.
    Синтаксическая ошибка в манифесте или в файле политики "C:\WINDOWS\system32\msconfig.exe" в строке 19.
    Generate Activation Context завершилась не удачно для C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe. Соответствующее сообщение об ошибке: Операция успешно завершена.
    Синтаксическая ошибка в манифесте или в файле политики "C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe " в строке 20.
    скопировал файлы из C:\WINDOWS\PCHealth\HelpCtr\Binaries и msconfig запустился. С regedit по прежнему траблы, что-нибудь можно с ним сделать?

    АП3: пока писал этот пост вылезли следующие ошибки:
    Сбой при загрузке драйвера(ов) перезагрузки или запуска системы:
    sptd
    Служба "Службы IPSEC" завершена из-за ошибки
    Не удается найти указанный файл.
    Тип события: Ошибка
    Источник события: sptd
    Категория события: Отсутствует
    Код события: 4
    Дата: 16.07.2009
    Время: 9:51:57
    Пользователь: Н/Д
    Компьютер: MICROSOF-F1289A
    Описание:
    Обнаружена внутренняя ошибка в структуре данных драйвера для .
    Данные:
    0000: 00 00 00 00 01 00 52 00 ......R.
    0008: 00 00 00 00 04 00 04 c0 .......À
    0010: b8 00 00 00 00 00 00 00 ¸.......
    0018: 00 00 00 00 00 00 00 00 ........
    0020: 00 00 00 00 00 00 00 00 ........
    перезагрузился, пока все нормально за исключением regedit'а
    Последний раз редактировалось ГитКЗ; 16.07.2009 в 09:02. Причина: ап
    Мой внутренний мир настолько огромен, что Я давно там заблудился...

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    В AVZ Файл -- Восст системы. -- п.17 отметить и выполнить.
    Я бы еще п.6 добавил.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Junior Member Репутация
    Регистрация
    16.03.2009
    Адрес
    Уральск, Казахстан
    Сообщений
    92
    Вес репутации
    29
    PavelA, редактор не заблокирован был, файл модифицировался вирусом насколько я понимаю, я через поиск нашел все совпадения для regedit.* и заменил из c:\WINDOWS\ServicePackFiles\i386, теперь все работает
    последние рекомендации в этом случае выполнять?

    Добавлено через 12 минут

    спасибо всем за помощь моя эпопея борьбы с этим компом по ходу закончена
    Последний раз редактировалось ГитКЗ; 16.07.2009 в 09:28. Причина: Добавлено
    Мой внутренний мир настолько огромен, что Я давно там заблудился...

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    п.6 выполнить не помешает, потом если что восстановишь ограничения профиля.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,552
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 4
    • Обработано файлов: 33
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\admin\local settings\temporary internet files\content.ie5\a08eh7dw\lo[1].htm - Trojan-Downloader.Win32.Agent.ciiz ( DrWEB: Trojan.DownLoad.38937, BitDefender: Trojan.Generic.2200262 )
      2. c:\windows\services.exe - Email-Worm.Win32.Joleee.coh ( DrWEB: Trojan.Spambot.3531, BitDefender: Backdoor.Bot.102734 )
      3. c:\windows\system32\csrcs.exe - Packed.Win32.Klone.bj ( DrWEB: Win32.HLLW.Autohit.9615, BitDefender: Gen:Trojan.Heur.AutoIT.4q3@by@qTUkO )
      4. c:\windows\system32\drivers\smss.exe - Trojan-Dropper.Win32.Agent.avxa ( DrWEB: Trojan.DownLoad.40394, BitDefender: Gen:Trojan.Heur.GM.0400458880 )
      5. c:\windows\system32\servises.exe - Email-Worm.Win32.Joleee.coi ( DrWEB: Trojan.Spambot.4465, BitDefender: Trojan.Generic.2161179 )


  • Уважаемый(ая) ГитКЗ, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 7
      Последнее сообщение: 30.05.2011, 12:24
    2. Блокировка антивируса и т.д.
      От Jangoa в разделе Помогите!
      Ответов: 24
      Последнее сообщение: 26.11.2010, 00:04
    3. Ответов: 5
      Последнее сообщение: 04.06.2010, 23:53
    4. блокировка антивируса, порнушка
      От stoker в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 06.05.2010, 23:41
    5. Ответов: 1
      Последнее сообщение: 22.10.2008, 00:00

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00682 seconds with 22 queries