Просмотр полной версии : Блокируется запуск AVZ
Kalashnikov
14.11.2009, 20:36
Проявилось заражение при попытке запустить Nero. Программа не запускалась. Попытка скачать с сайта свежую версию AVZ блокировалась. Блокируется обновление баз Dr.Web v 5.0 . Запустить AVZ в безопасном режиме не удается. Все что удалось это запустить в безопасном режиме AVPTool и в обычном режиме HijackThis
Никита Соловьев
14.11.2009, 20:51
Все что удалось это запустить в безопасном режиме AVPToolОткрывайте вкладку "Ручное лечение", соберите информацию о системе и прикрепите файл avptool_syscheck.zip к новому сообщению + сделайте лог GMER (ссылка у меня в подписи)
Kalashnikov
14.11.2009, 21:07
лог GMER выполнить в обычном режиме не удается. Программа запускается и
y7lf7ik.exe - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства
snifer67
14.11.2009, 21:11
Скачайте SDFix (http://downloads.andymanchesta.com/RemovalTools/SDFix.exe), загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь (http://www.saule-spb.ru/library/sdfix.html)
Никита Соловьев
14.11.2009, 21:18
+snifer67
В логе ничего плохого не видно
лог GMER выполнить в обычном режиме не удаетсяПопробуйте сделать в безопасном
Полную проверку AVPTool выполняли? Результаты есть?
Попробуйте запустить этот (http://ifolder.ru/13623748) AVZ в нормальном режиме
Kalashnikov
14.11.2009, 22:00
GMER в безопасном режиме тоже запускается на пару секунд и y7lf7ik.exe - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства. Пробовал переименовать и запустить - результат нулевой.
Новый вариант AVZ - 2 попытки запустить результат
Внутренняя ошибка на сервере. Код ошибки: 20091114912140a85321ce0a6d598d6e
и
Внутренняя ошибка на сервере. Код ошибки: 20091114d6dba3338b8b514c3e3a8ebb
Полную проверку AVPTool выполнял, результат был но к сожалению после окончания проверки выходит меню и после того как я нажал Да - он деинсталировался. Были заражены pdf-ки и частично запомнил файл **shebok.old
Возможно имеем в наличии только последствия, но блокирование продолжается.
Alex_Goodwin
14.11.2009, 22:07
попробуйте http://support.kaspersky.ru/viruses/solutions?qid=208636943
Kalashnikov
14.11.2009, 22:23
Скачайте SDFix (http://downloads.andymanchesta.com/RemovalTools/SDFix.exe), загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь (http://www.saule-spb.ru/library/sdfix.html)
Сделал. Файл прикрепил
Никита Соловьев
14.11.2009, 22:24
Изменения последовали? Вы можете запустить утилиты?
Kalashnikov
14.11.2009, 22:40
попробуйте http://support.kaspersky.ru/viruses/solutions?qid=208636943
Пытаюсь зайти в одну из тем. Новое окно открывается но страница та же. Не дает перехода, все время сижу на прежней странице.
Добавлено через 1 минуту
Изменения последовали? Вы можете запустить утилиты?
В обычном режиме запускать утилиты не получается. Попробую в безопасном.
Добавлено через 11 минут
В безопасном режиме AVZ и GMER не запускаются. Однократно появилось окно сообщений с "крокозяблями" в тексте и кнопкой ОК. Нажал ОК. Повторно при загрузке окно не появляется.
Никита Соловьев
14.11.2009, 22:42
Хорошо.
Утилита, которую советовал Alex_Goodwin находится во вложении ниже, при необходимости переименуйте ее
Kalashnikov
14.11.2009, 23:24
Утилиту запускал в общем счете 4 раза. Каждый раз фиксит одинаковое количество - в безопасном 7-56 в обычном 26-208. Повторный запуск утилиты показывает что все чисто. После окончания работы утилиты пробовал запустить AVZ и GMER - не запускаются.
Добавлено через 3 минуты
Есть изменения !! Запустился переименованный AVZ но кодировка сбита полностью. Не могу запустить скрипты. Не могли бы выложить картинки или сказать как по счету выбрать нужные меню
Kalashnikov
14.11.2009, 23:55
Полученные скрипты
Пофиксить в HiJack
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O4 - S-1-5-18 Startup: is-FD41G.lnk = C:\Virus Removal Tool\is-FD41G\startup.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: is-OHMBE.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: is-FD41G.lnk = C:\Virus Removal Tool\is-FD41G\startup.exe (User 'Default user')
O4 - .DEFAULT Startup: is-OHMBE.lnk = ? (User 'Default user')
O4 - Startup: is-FD41G.lnk = C:\Virus Removal Tool\is-FD41G\startup.exe
O4 - Startup: is-OHMBE.lnk = ?Сделайте такой лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Проверьтесь http://www.secureblog.info/articles/597.html
Kalashnikov
15.11.2009, 01:32
Согласно списка - пофиксил. ComboFixs выполнил - лог прилагается. Утилитой проверил - все чисто. GMER в обычном режиме запускается но вываливается в прежнюю ошибку.
Kalashnikov
15.11.2009, 03:03
Текущие логи по правилам.
Пофиксить в HiJack
O2 - BHO: Pick-a-Proxy Toolbar - {A6790AA5-1213-4567-A46D-0FDAC4EA90EB} - (no file)
O3 - Toolbar: Pick-a-Proxy Toolbar - {A6790AA5-1213-4567-A46D-0FDAC4EA90EB} - (no file)
C:\WINDOWS\System32\userinit.exe пришлите согласно Приложения 2 правил
Утилитой проверил - все чистоЭта утилита?
http://www.secureblog.info/articles/597.html
Если да, тогда c:\windows\System32\DRIVERS\ATAPI.SYS замените на чистый с дистрибутива http://virusinfo.info/showthread.php?t=51654
GMER в обычном режиме запускается но вываливается в прежнюю ошибку.DrWeb, Outpost отключали? Если нет, отключите перед созданием лога. Дополнительно снимите метку с Devices
Kalashnikov
15.11.2009, 20:26
Пофиксил. Перезагрузил.
virus.zip - отправил
atapi.sys заменил из чистого дистрибутива
GMER запускается работает пару секунд и вываливается в ошибку. Оутпост выгружен и Dr.Web отключен.
Лог ComboFix еще раз сделайте
Kalashnikov
15.11.2009, 21:41
Сделано.
atapi.sys заменил из чистого дистрибутиваИ в нем по-прежнему зараза
Попробуйте запустить утилиту (http://www.secureblog.info/articles/597.html) со следующими ключами: "TDSSKiller.exe -l C:\log.txt -v -o C:\dump.dmp"
Созданные файлы log.txt и dump.dmp приложите к посту.
Kalashnikov
15.11.2009, 23:10
Сделано.
Kalashnikov
15.11.2009, 23:13
Сделано. Файл с расширением dmp не прикрепляется запаковал его в zip. atapi.sy_ брал с диска SP3 а не с зараженного компьютера.
У Вас сложный случай, требующий проверки нескольких моментов. Поэтому вооружитесь терпением и выполните следующие действия. Делать по пунктам. В самом начале - отключить интернет и все антивирусы/файерволы, и не включать, пока это не будет разрешено!
1. Выполните скрипт AVZ: (http://virusinfo.info/showthread.php?t=7239)
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
QuarantineFile('%WinDir%\*.tmp', 'Возможно Kates');
QuarantineFile('c:\windows\System32\DRIVERS\ATAPI. SYS', 'Возможно TDL3');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Система перезагрузится.
2. Скачайте вот эту утилиту (http://www.esagelab.com/files/bootkit_remover.rar). Распакуйте её в отдельную папку. Сохраните текст ниже как cleanup.bat в ту же папку, где находится скачанная Вами утилита (в Блокноте вставьте текст, затем Файл - Сохранить как - Выберите 'Тип файла: все файлы' и 'Имя файла: cleanup.bat'. Не забудьте сохраниться именно в ту папку, где находится утилита!).
start /wait remover.exe dump \\.\PhysicalDrive0 mbr.bin
remover.exe fix \\.\PhysicalDrive0
Запустите cleanup.bat. Запускать с правами администратора.
По окончании в папке появится файл mbr.bin. Скопируйте его в папку AVZ/Quarantine. Перезагрузите систему.
3. Скачайте вот эту утилиту (http://www.secureblog.info/files/TDSSKiller.rar) и распакуйте в отдельную папку. Сохраните текст ниже как start.bat в ту же папку, где находится скачанная Вами утилита (в Блокноте вставьте текст, затем Файл - Сохранить как - Выберите 'Тип файла: все файлы' и 'Имя файла: start.bat'. Не забудьте сохраниться именно в ту папку, где находится утилита!).
start /wait TDSSKiller.exe -o C:\dump.dmp
TDSSKiller.exe -l C:\log.txt -v
Запустите start.bat. Запускать с правами администратора.
Перезагрузите систему.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину. (http://virusinfo.info/showthread.php?t=10025)
- Подключите ПК к интернету/локальной сети
- Заархивируйте папку AVZ/Quarantine в zip-архив с паролем 'infected' (без кавычек) и пришлите по красной ссылке вверху темы "Прислать карантин".
- Прикрепите файлы C:\dump.dmp и C:\log.txt к новому сообщению в этой ветке.
Kalashnikov
16.11.2009, 23:22
Все пункты выполнил. После выполнения 2 пункта и перезагрузки система обнаружила новое устройство. Не успел посмотреть что же это было. Файлы созданный TDSKiller упакованы в архив без пароля.
Файлы созданные bootkit_remover упакованы в архив Quarantine с паролем infected
По красной ссылке пришлите!
Хорошо, а где карантин самого AVZ? Пришлите его согласно Правил (Приложение 3) (http://virusinfo.info/pravila.html).
Kalashnikov
17.11.2009, 00:19
Тысячу извинений. Отправил по ссылке красной 2 архива. virus с паролем virus и Quarantine с infected
После беседы с "подрастающим поколением" складывается мнение что этот вирус связан с сайтом одноклассники. Пришло письмо что есть сообщение, зашли на сайт но новое сообщение не открывалось, а по краю окна моргала надпись ****** сообщение. Что то такое.
Спасибо. Подождём ответ аналитиков.
Kalashnikov
17.11.2009, 00:55
Спасибо за терпение и участие в проблеме. Будем ждать.:)
Дополнительно. Впервые за все время лечения сейчас Оутпост поймал таких зверей
Имя: BZub
Тип: Trojan
Описание:
A malicious program that has a hidden harmful routine to exploit system vulnerabilities.
Ключи реестра:
HKEY_LOCAL_MACHINE\software\Microsoft\windows\curr entversion\Control Panel\load
и
Имя: BiFrost
Тип: Backdoor
Описание:
Gives someone else access to your computer by bypassing the normal authentication procedures.
Ключи реестра:
HKEY_USERS\S-1-5-21-484763869-1606980848-839522115-1003\software\Wget
Вы вначале логи AVPTool приводили. А вообще сканирование с помощью свежей AVPTool выполняли?
Kalashnikov
17.11.2009, 22:24
Да сканировал. Сегодня проверил снова, остался старый карантин и новый звереныш.
обнаружено: троянская программа Trojan-PSW.Win32.Kates.t Файл: C:\Qoobox\Quarantine\C\WINDOWS\xbshebo.old.vir
и
обнаружено: троянская программа Trojan-PSW.Win32.Kates.t Файл: C:\System Volume Information\_restore{AB6DC5CD-F8C7-46B0-9AB4-807E9D469D95}\RP1\A0000044.OLD
Это не новый зверёныш, это - копия в точках восстановления. Нестрашно, раз Вы отключили восстановление системы.
AVZ по-прежнему не запускается? Если нет, попробуйте полиморфный AVZ (http://gjf.hotbox.ru/monk.pif) md5: 2091925798b7909e010e3f7e328c5f0d
Kalashnikov
17.11.2009, 23:10
AVZ запускается нормально, причем не переименнованный. GMER не запускается. Вчера после выполнения всего указанного в сообщении 24 он не запускался но выходили что не открывается какой то файл, то сегодня как и прежде начинает работать и затем вываливается в ошибку.
Делайте полный комплект логов AVZ по правилам.
Kalashnikov
17.11.2009, 23:33
Выполнил. Что заметил. Отключал через AVZ автозапуск со всех носителей. При нынешней проверке снова показывает что автозапуск разрешен.
Давайте вот как попробуем.
1. Пофиксите в HiJackThis: (http://virusinfo.info/showthread.php?t=4491)
O2 - BHO: Pick-a-Proxy Toolbar - {A6790AA5-1213-4567-A46D-0FDAC4EA90EB} - (no file)
O9 - Extra button: (no name) - DctMapping - (no file)
2. Выполните скрипт AVZ: (http://virusinfo.info/showthread.php?t=7239)
procedure ScanKates(Name: String);
var Str: String;
Info: String;
begin
if RegKeyParamExists('HKLM','Software\Microsoft\Windo ws NT\CurrentVersion\Drivers32',Name)
then
begin
Str:= RegKeyStrParamRead('HKLM','Software\Microsoft\Wind ows NT\CurrentVersion\Drivers32', Name);
Info:= 'Найден параметр ' + Name + ', связанный с ' + Str;
AddToLog(Info);
if Pos(' ', Str)<>0 then Str:= Copy(Str, 1, Pos(' ', Str)-1);
QuarantineFile(Str,'Kates');
DeleteFile(Str);
RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Drivers32',Name);
end;
end;
procedure KillKates;
var i: integer;
begin
ScanKates('aux');
for i := 0 to 99 do ScanKates('aux'+IntToStr(i));
ScanKates('midi');
for i := 0 to 99 do ScanKates('midi'+IntToStr(i));
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
KillKates;
StopService('RegMonitorEx');
StopService('mnmdd2k');
QuarantineFile('C:\WINDOWS\System32\Drivers\mondrv .sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\mnmdd2 k.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\mnmdd2k.sy s');
DeleteFile('C:\WINDOWS\System32\Drivers\mondrv.sys ');
SaveLog(GetAVZDirectory+''kates.log');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('RegMonitorEx');
BC_DeleteSvc('mnmdd2k');
BC_Activate;
RebootWindows(true);
end.
Система перезагрузится. Сразу, не давая системе загрузится самой, используйте LiveCD. Его можно скачать тут: LiveCD от DrWeb (ftp://ftp.drweb.com/pub/drweb/livecd/minDrWebLiveCD-5.0.0.iso) или Rescue Disc от Kaspersky Lab (http://devbuilds.kaspersky-labs.com/devbuilds/RescueDisk/kav_rescue_2008.iso). Рекомендуется сделать это и записать LiveCD заранее на заведомо незаражённой машине.
3. После загрузки с LiveCD скопируйте куда-нибудь следующие файлы с заражённой системы:
C:\WINDOWS\system32\DRIVERS\parport.sys
C:\WINDOWS\system32\drivers\ATAPI.SYS
После этого перезапишите эти файлы незаражёнными версиями с LiveCD.
4. Загрузите систему как обычно. Повторите логи. Попробуйте сделать лог Gmer.
5. Пришлите карантин и скопированные файлы согласно Правил (Приложение 3) (http://virusinfo.info/pravila.html).
6. Прикрепите новые логи, а также файл kates.log из папки AVZ к новому сообщению в этой ветке.
Kalashnikov
20.11.2009, 20:30
Все выполнено.
Карантин отправил.
GMER не работает.
snifer67
21.11.2009, 12:16
Выполните скрипт в avz
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\p7q6xivg.exe','');
DeleteFile('C:\p7q6xivg.exe');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новый лог ComboFix
Kalashnikov
21.11.2009, 22:14
Комбо Фикс полностью не прошел, хотя как сказать :) Сперва выпала ошибка при исполнении PEV.cfxxe. Затем я успел заметить что утилита удалила файл начинающийся на р, затем перезагрузка и синий экран. Ошибка 0х0000007B (0xF78A2524... Сравнил drivers с незараженным компьютером, добавил pciide.sys и удалил pfc.sys pccsmcfd.sys :) Это я наверно виртуальный привод прихлопнул :)
Все загрузилось и заработал GMER. так что выкладываю логи AVZ до последнего "лечения" а GMER после. ComboFix повторить?
Карантин выслал.
Kalashnikov
21.11.2009, 22:36
Лог КомбоФикс
Kalashnikov
24.11.2009, 22:47
Постоянно стал ругаться Dr.Web на подозрение на вирус BATCH. Это на скрипты так реагирует?
GMER снова перестал работать >:(
Kalashnikov
25.11.2009, 00:24
Удалось запустить GMER. Новый лог с каким то зверенышем.
Это скорее ложное срабатывание.
CyberHelper
26.11.2009, 00:50
Статистика проведенного лечения:
Получено карантинов: 5
Обработано файлов: 11
В ходе лечения вредоносные программы в карантинах не обнаружены
vBulletin® v4.2.5, Copyright ©2000-2025, Jelsoft Enterprises Ltd. Перевод: zCarot