Блокировка антивируса

Printable View

14.07.2009, 13:54
ГитКЗ

Блокировка антивируса

У клиентов заблокировался Dr.Web, подумал на Kido, проверил кидокиллером, не помогло. Проверял cureit'ом, в первый раз вырубился свет, не успел дойти до конце, после этого запустил AVZ и HijackThis, AVZ лог не дал почему то (:O), остальное выкладываю, после проверки еще раз прошелся сureit'ом. Помогите пожалуйста:)
ЗЫ, лог Avz выложу вечером или завтра.

АП: Антивирус ожил, но теперь не запускаются диспетчер задач, msconfig and regedit. Запускаю AVZ, лог будет завтра если потребуется.
14.07.2009, 15:05
DefesT

[QUOTE]>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных[/QUOTE]
У вас [URL="http://virusinfo.info/showthread.php?t=15927"]файловый вирус[/URL].
Запакуйте в архив файл [B]avz.exe[/B] с паролем '[I]virus[/I]' и пришлите по этой ссылке [url]http://virusinfo.info/upload_virus.php?tid=49944[/url]
14.07.2009, 15:12
ГитКЗ

[B]DefesT[/B], первоначальный avz.exe я удалил, для повторной проверки скачал новый.
14.07.2009, 15:24
thyrex

Ну и нахватали Вы...

Пофиксить в HiJack
[code] F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\smss.exe
O4 - HKLM\..\Run: [shell] C:\WINDOWS\system\rundll32.exe 70134
O4 - HKLM\..\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKCU\..\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
O4 - HKLM\..\Policies\Explorer\Run: [Inside] C:\WINDOWS\system32\gread32.exe
O4 - HKLM\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKCU\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKUS\S-1-5-18\..\Run: [servises] C:\WINDOWS\system32\servises.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [servises] C:\WINDOWS\system32\servises.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe (User 'Default user') [/code]

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\gread32.exe','');
QuarantineFile('C:\WINDOWS\system\rundll32.exe','');
DelBHO('{B035573A-5F43-4862-A194-87D027C63012}');
QuarantineFile('C:\WINDOWS\system32\InternetExplorer.dll','');
QuarantineFile('csrcs.exe','');
TerminateProcessByName('c:\windows\system32\drivers\smss.exe');
QuarantineFile('c:\windows\system32\drivers\smss.exe','');
TerminateProcessByName('c:\windows\system32\servises.exe');
QuarantineFile('c:\windows\system32\servises.exe','');
TerminateProcessByName('c:\windows\services.exe');
QuarantineFile('c:\windows\services.exe','');
TerminateProcessByName('c:\windows\system32\csrcs.exe');
QuarantineFile('c:\windows\system32\csrcs.exe','');
DeleteFile('c:\windows\system32\csrcs.exe');
DeleteFile('c:\windows\services.exe');
DeleteFile('c:\windows\system32\servises.exe');
DeleteFile('c:\windows\system32\drivers\smss.exe');
DeleteFile('csrcs.exe');
DeleteFile('C:\WINDOWS\system32\InternetExplorer.dll');
DeleteFile('C:\WINDOWS\system\rundll32.exe');
DeleteFile('C:\WINDOWS\system32\gread32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
ExecuteRepair(16);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
14.07.2009, 15:59
ГитКЗ

не я нахватал, клиенты:)

вот лог, поехал фиксить, завтра выложу результаты.
14.07.2009, 16:18
thyrex

Новые логи нужны [B][COLOR="Red"]после лечения[/COLOR][/B]
14.07.2009, 18:07
ГитКЗ

это был как бы первый лог))
[QUOTE=ГитКЗ;431710]ЗЫ, лог Avz выложу вечером или завтра.[/QUOTE]

а вот это новые логи после лечения, msconfig и regedit по прежнему не запускаются с руганью: "Приложение не было запущено, поскольку оно некорректно настроено. Повторная установка приложения может решить данную проблему."
Диспетчер задач не запускается вообще никак. Антивирус работает и обновляется без проблем.

АП: выслал запрошенный карантин согласно правилам с одним исключением: карантин после первой проверки называется virus1.zip, после второй - virus2.zip
Соответственно архив avz.zip также выслал по ссылке.

Большое спасибо за оказанную помощь и внимание:)
14.07.2009, 18:22
thyrex

[QUOTE='DefesT;431748']Запакуйте в архив файл avz.exe с паролем 'virus' и пришлите по этой ссылке [url]http://virusinfo.info/upload_virus.php?tid=49944[/url][/QUOTE]

[QUOTE='thyrex;431761']Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы[/QUOTE]Почему не выполнено ни одно из требований?

Выполните скрипт в AVZ
[code]begin

SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\explorer.exe','');
QuarantineFile('c:\windows\system32\ctfmon.exe','');
QuarantineFile('c:\windows\system32\svchost.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\Toolbar.exe','');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\Toolbar.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
15.07.2009, 09:20
ГитКЗ

[QUOTE='thyrex;431870']Почему не выполнено ни одно из требований?[/QUOTE]

[QUOTE='ГитКЗ;431861']АП: выслал запрошенный карантин согласно правилам с одним исключением: карантин после первой проверки называется virus1.zip, после второй - virus2.zip
Соответственно архив avz.zip также выслал по ссылке.[/QUOTE]
:)
15.07.2009, 11:57
thyrex

Первый карантин
[QUOTE]csrcs.exe - [B]Packed.Win32.Klone.bj[/B]
В настоящий момент этот файл детектируется. Пожалуйста, обновите антивирусные базы.
services.exe - [B]Email-Worm.Win32.Joleee.coh[/B]
Детектирование файла будет добавлено в следующее обновление.[/QUOTE]
Что с проблемами после выполнения последнего скрипта?
15.07.2009, 15:18
ГитКЗ

[B]thyrex[/B], базы веба и авз обновил, выполнил скрипт и сделал новую проверку, пара файлов опять попала в карантин. Проблема осталась, похоже не запускаются почти все стандартные виндовые программы из систем32, в том числе блокнот и калькулятор, возможно файлы модифицированы файловым вирусом и хоть вирус удален их работоспособность уже не восстановить? Сейчас думаю загрузиться с диска и проверить свежим cureit'м. Высылаю новые логи и новый карантин.
15.07.2009, 15:38
thyrex

Дополнение к карантину
[QUOTE]smss.exe - [B]Trojan-Dropper.Win32.Agent.avxa[/B]
Детектирование файла будет добавлено в следующее обновление.[/QUOTE]

Вполне возможно, что это последствия файлового вируса (и (или) его лечения)
Дата и время изменения [B]svchost.exe[/B] [U]13.07.2009 19:11:45[/U]

Попробуйте после загрузки с диска и проверки (если ничего не найдено будет) поменять "запорченные" файлы образцами из папки system32/dllcache. Только не все сразу ;)
15.07.2009, 16:24
ГитКЗ

[QUOTE='thyrex;432412']Детектирование файла будет добавлено в следующее обновление.[/QUOTE]
вот тут вопрос, обновление AVZ или DrWeb?
15.07.2009, 17:18
PavelA

В обновление AVPTool
16.07.2009, 08:19
ГитКЗ

ситуация неоднозначная, cureit почему то вырубился и лог проверки до меня не дошел, замена файлов из system32/dllcache ничего не дала. Что посоветуете еще?

АП: нашел бекап винды на диске, кроме ехешников что-нибудь еще надо менять в system32?

АП2: после замены файлов из бекапа проблемы были почти исправлены за исключением msconfig и regedit. Залез в Управление компьютером-Просмотр событий-Система, и нашел там интересные ошибки:
[QUOTE]Generate Activation Context завершилась не удачно для C:\WINDOWS\system32\Regedit.exe. Соответствующее сообщение об ошибке: Операция успешно завершена.[/QUOTE]
[QUOTE]Синтаксическая ошибка в манифесте или в файле политики "C:\WINDOWS\system32\Regedit.exe" в строке 16.[/QUOTE]
[QUOTE]Generate Activation Context завершилась не удачно для C:\WINDOWS\system32\msconfig.exe. Соответствующее сообщение об ошибке: Операция успешно завершена.
[/QUOTE]
[QUOTE]Синтаксическая ошибка в манифесте или в файле политики "C:\WINDOWS\system32\msconfig.exe" в строке 19.[/QUOTE]
[QUOTE]Generate Activation Context завершилась не удачно для C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe. Соответствующее сообщение об ошибке: Операция успешно завершена.[/QUOTE]
[QUOTE]Синтаксическая ошибка в манифесте или в файле политики "C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" в строке 20.[/QUOTE]
скопировал файлы из C:\WINDOWS\PCHealth\HelpCtr\Binaries и msconfig запустился. С regedit по прежнему траблы, что-нибудь можно с ним сделать?

АП3: пока писал этот пост вылезли следующие ошибки:
[QUOTE]Сбой при загрузке драйвера(ов) перезагрузки или запуска системы:
sptd[/QUOTE]
[QUOTE]Служба "Службы IPSEC" завершена из-за ошибки
Не удается найти указанный файл.[/QUOTE]
[QUOTE]Тип события: Ошибка
Источник события: sptd
Категория события: Отсутствует
Код события: 4
Дата: 16.07.2009
Время: 9:51:57
Пользователь: Н/Д
Компьютер: MICROSOF-F1289A
Описание:
Обнаружена внутренняя ошибка в структуре данных драйвера для .
Данные:
0000: 00 00 00 00 01 00 52 00 ......R.
0008: 00 00 00 00 04 00 04 c0 .......À
0010: b8 00 00 00 00 00 00 00 ¸.......
0018: 00 00 00 00 00 00 00 00 ........
0020: 00 00 00 00 00 00 00 00 ........
[/QUOTE]
перезагрузился, пока все нормально за исключением regedit'а
16.07.2009, 09:12
PavelA

В AVZ Файл -- Восст системы. -- п.17 отметить и выполнить.
Я бы еще п.6 добавил.
16.07.2009, 09:28
ГитКЗ

[B]PavelA[/B], редактор не заблокирован был, файл модифицировался вирусом насколько я понимаю, я через поиск нашел все совпадения для regedit.* и заменил из c:\WINDOWS\ServicePackFiles\i386, теперь все работает:)
последние рекомендации в этом случае выполнять?

[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]

спасибо всем за помощь:) моя эпопея борьбы с этим компом по ходу закончена:)
16.07.2009, 09:35
PavelA

п.6 выполнить не помешает, потом если что восстановишь ограничения профиля.
17.07.2009, 09:35
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]33[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\admin\local settings\temporary internet files\content.ie5\a08eh7dw\lo[1].htm - [B]Trojan-Downloader.Win32.Agent.ciiz[/B] ( DrWEB: Trojan.DownLoad.38937, BitDefender: Trojan.Generic.2200262 )[*] c:\windows\services.exe - [B]Email-Worm.Win32.Joleee.coh[/B] ( DrWEB: Trojan.Spambot.3531, BitDefender: Backdoor.Bot.102734 )[*] c:\windows\system32\csrcs.exe - [B]Packed.Win32.Klone.bj[/B] ( DrWEB: Win32.HLLW.Autohit.9615, BitDefender: Gen:Trojan.Heur.AutoIT.4q3@by@qTUkO )[*] c:\windows\system32\drivers\smss.exe - [B]Trojan-Dropper.Win32.Agent.avxa[/B] ( DrWEB: Trojan.DownLoad.40394, BitDefender: Gen:Trojan.Heur.GM.0400458880 )[*] c:\windows\system32\servises.exe - [B]Email-Worm.Win32.Joleee.coi[/B] ( DrWEB: Trojan.Spambot.4465, BitDefender: Trojan.Generic.2161179 )[/LIST][/LIST]