-
Junior Member
- Вес репутации
- 50
после лечения системы не работают антивирусы по окончании установки
ОС: MS Windows XP SP3
Опишу ситуацию по стадиям:
глубоко извиняюсь за незнание требований VirusInfo заранее! (и до некоторых вещей я просто недодумался, что они могут что-то изменить)
требования я узнал только после того что "снял" и "зажурналил" и ушел
- После загрузки инструментов
система была заражена кучей вирусов (сейчас точные названия не припомню, но один из них Sality)
1) было установлено 2 антивируса (которые не обновляли), Avira AntiVir Personal и Avast!
оба совсем не загружались в память (даже среди запущенных процессов отсутствовали)
возможны только 2 варианта работы с антивирусами: удаление и их установка (но сами они после установки не могут запуститься)
насколько это было возможно лечение проведено бесплатными утилитами AVP Tool и DrWeb Cure IT с последними базами (более они ничего не находят)
про всем известные live-cd я как-то забыл (да и не было диска под рукой)
2) в безопасном режиме ПК не загружается, начинает загружаться список процессов (белым цветом на черном экране) и вылетает в перезагрузку
3) Антивирусная утилита AVZ работала без всяких проблем и ограничений со стороны зловредов
4) HiJackThis не смог скачать и установить (не было возможности на месте выйти в интернет)
5) Восстановление системы отключена через остановку соответствующей службы (что равносильно отключению в свойствах системы)
6) Программу-браузер запускал, только не на время диагностики (не знал во время диагностики о требованиях VirusInfo)
1) После запуска AVZ я создал протокол исследования системы (опять же ссылаюсь на то, что ранее требования VirusInfo были не известны) в двух вариантах (список процессов + DLL и список DLL для каждого процесса)
также провел обычное сканирование с максимальной эвристикой (сохранил лог)
2) Данного события не сделал (без знания требований сам не додумался до этого)
3) Программы HijackThis не было под рукой в нужное время
Отключено
Не выполнил (по причине незнания требований)
Не выполнил (по причине незнания требований)
- Дополнительная информация:
иногда после загрузки ПК пропадают значки в трее (explorer не вылетает)
например вставил флешку, поработал с ней, а потом смотришь, значка безопасного отключения нет
просматривая утилитой последней версии Rootkit Unhooker LE я не нашел никаких скрытых перехватов (все подозрительные файлы проверял при помощи сервиса VirusTotal, и оказалось что они "чистые")
утилита AutoRuns от SysInternals никаких подозрительных файлов в автозагрузке не показала (присматривался к каждой записи)
При установке антивирусов заметил одну важную особенность: сразу после установки и нажатии на клавишу Готово (по окончании установки) происходил запуск bat или cmd скрипта (длился менее секунды, так что разобрать что-то на экране было невозможно)
тем не менее сделал поиск всех этих скриптов в системе, и нашел тот, который выполнялся (странным он мне не показался, хотя выполнялся именно он)
и после выполнения данного скрипта ни один установленный антивирус не мог запуститься (даже службы не могли стартовать, в том числе после перезагрузки)
все скрипты привожу также в архиве (в том числе и тот что выполнялся после установки антивирусов)
как я понял в дальнейшем "сидит" там что-то сильное, что не могут обнаружить бесплатные утилиты и что хорошо себя скрывает
результаты сканирования скриптов и подозрительных файлов, которые бесплатные утилиты с последними базами считали чистыми на VirusTotal
Последний раз редактировалось PADlabs; 22.08.2010 в 19:07.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Внимательно прочитать, аккуратно выполнить (всё-таки желательно)
Архив со скриптами запаролить (пароль virus) и прислать через красную ссылку наверху.
-
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DRIVE\BIN\april2x2.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Сообщение от
thyrex
Выполните скрипт в AVZ
Компьютер перезагрузится.
прислал
плюсом сделал все по правилам, вот логи
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'c:\wuauserv.log');
ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'c:\BITS.log');
QuarantineFile('C:\Documents and Settings\LocalService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\UF1QDVRJ\scanner[1].zip','');
DeleteService('amsint32');
DeleteService('abp470n5');
DeleteFile('C:\WINDOWS\system32\drivers\upokmk.sys');
DeleteFile('C:\DRIVE\BIN\april2x2.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SPREADSHITx');
DeleteFile('C:\Documents and Settings\LocalService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\UF1QDVRJ\scanner[1].zip');
DeleteFileMask('C:\DRIVE', '*.*', true);
DeleteDirectory('C:\DRIVE');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(9);
RebootWindows(true);
end.
Компьютер перезагрузится.
c:\wuauserv.log и c:\BITS.log прикрепите к сообщению
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
свежие логи сделал, указал загрузить, а они после загрузки не добавились в сообщение (интересно они заменили старые или нет)
после выполнения скрипта кис установился без проблем, проблема с антивирусами решилась
ох, беда с этими вложениями...
а что с этими двумя службами? я их в списке служб и не увидел даже
они удалены?
Последний раз редактировалось PADlabs; 22.08.2010 в 22:19.
-
распакуйте файлы из архива и внесите информацию в реестр, запустив их
Последний раз редактировалось polword; 26.08.2010 в 23:05.
-
-
Junior Member
- Вес репутации
- 50
служба BITS так и не появилась в службах
служба Автоматического обновления появилась
-
Скачайте архив и внесите в реестр информацию для службы BITS
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
после лечения появилось побочное действие!
при инфицировании к ПК был подключен принтер штрих-кодов
после лечения он стал печатать с пробелами (некоторые места просто пропускает, общее число такое каким и должно быть, но из-за пробелов расходуется больше ленты)
временно помогает обновление/переустановка драйвера на это устройство (примерно на месяц, потом продолжает печатать с пробелами)
есть предположение, что алгоритм работы винды с драйверами нарушен (пусть не со всеми, но выходит что это так)
Последний раз редактировалось PADlabs; 22.09.2010 в 23:35.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 61
- В ходе лечения вредоносные программы в карантинах не обнаружены
-