Блокировка запуска исполняемых файлов.

Printable View

01.08.2009, 21:41
Bugagolick

Вложений: 3

Блокировка запуска исполняемых файлов.

Добрый день. Кратко предистория: переустанавливал знакомому винду, вирусов было немерено. После переустановки погорячился - антивирусом сразу не проверил, autorun.inf на втором локальном диске снести забыл. В результате, кое-что пролезло назад. Внешних проявлений было много - не запускались диспетчер задач и regedit (заблокирован администратором), safe mode не работал, установить антивирус, или скачать AVZ не удавалось, так же не запускались winrar, foxit pdf reader(почему, ума не приложу), еще что-то. В общем, по полной программе - всё щас и не вспомню, да и не суть. По внешним проявлениям было установлено, что основной враг - "win32.sality". После продолжительной битвы с приминением Live Cd от DrWeb, утилиты "remove sality" и Гугла систему таки удалось вылечить. Почти.

Всё еще остался ряд заблокированных программ. Причём схема блокировки изменилась. Если раньше при попытке запуска выводилось окошко сомнительного содержания, то теперь получается, что программа, вроде, начинает запускаться (указатель сменяется на песочные часы), но, тут же, глушится чем-то. Причем переименования/копирования не помогают. Про ветки в реестре, куда можно вписывать нежелательные программы, читал. Не оно. Судя по всему блокируется оно, по хэшу, или как-то так хитро. Беда эта затронула taskmgr.exe, а также, исполняемые файлы и установщик аваста. Никаких новых программ в этот список не попадает. По-крайней мере я смог скачать другую версию аваста и установить её - она работает, без каких-либо нареканий. Не смотря на то, что ставил я его в ту же папку, по-моему даже.

Ну вот, собственно и проблема. Дико извиняюсь за отсутствие логов. Просто дело было к полуночи, уже не успел. :( Логи будут в воскресенье вечером. Но если есть какие-то идеи на данном этапе, я был бы безмерно признателен. Ехать туда в четвертый раз (рассказ растянут по времени на один полностью убитый викэнд), очень не хочется. :blush:
02.08.2009, 21:02
Rene-gad

Сначала лечимся от Салити: [url]http://virusinfo.info/showthread.php?t=15927[/url] , потом - новые логи в студию.
02.08.2009, 22:28
Bugagolick

Так sality же вылечен. Причем именно так, как написано. Только с LiveCd DrWeb'а, но суть то не меняется. Или логи говорят об обратном?

[size="1"][color="#666686"][B][I]Добавлено через 31 секунду[/I][/B][/color][/size]

Все неподдающиеся лечению файлы были просто снесены.
03.08.2009, 01:00
AndreyKa

Дело в том, что вылеченный от вируса exe-файл не всегда остаётся работоспособным, особенно когда лечили несколькими антивирусами :)
В реестре осталась запись драйвера sality.
Закройте все программы.
Запустите AVZ. Выполните скрипт через меню Файл:
[code]
begin
DeleteService('abp470n5');
BC_DeleteSvc('abp470n5');
DeleteFile('C:\WINDOWS\system32\drivers\iqtlhn.sys');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
Установите Adobe Acrobat Reader 9.1 или удалите старый.
Обновите Java.
05.08.2009, 13:16
Bugagolick

Спасибо, сегодня вечером попробую. В прошлый раз меня прервала такая проблема: что-то в определённые часы вешает систему (экран "замерзает" в определённом состоянии, компьютер ни на что не реагирует), и не даёт ей загружаться с теми же симптомами. Вне "часов X" всё нормально, компьютер работает безотказно (явно не железо). Это из-за зловредного драйвера, или что-то ещё упущено?

[size="1"][color="#666686"][B][I]Добавлено через 1 час 36 минут[/I][/B][/color][/size]

Да, причём, что любопытно, перевод часов в биосе ни к чему не приводит.
05.08.2009, 17:32
Bugagolick

Вложений: 1

Скрипт выполнил, логи сделал, только резидентную защиту аваста выключил уже на середине процесса, но, судя по отсутствию взаимных жалоб, на результат это не повлияло. Проблему с повисаниями на сей раз удалось разрешить переводом часов, видимо в прошлый раз со временем не угадал=)
Диспетчер задач не открывается. Симптомы те же.
05.08.2009, 17:36
Rene-gad

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]
begin
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
RebootWindows(true);
end.
[/CODE]
После перезагрузки проинформируйте о состоянии ПК.
05.08.2009, 18:49
Bugagolick

Вложений: 1

Taskmgr - без изменений. Про вторую жалобу сказать могу только, что после "DeleteService('abp470n5');" и т.д. проблема не ушла. Сделать новый лог?

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

Насчёт теории [B]AndreyKa[/B] о порче файлов, md5 taskmgr.exe - 9AA996860CD1D3C2C3018B9B82D1DAA9 .
Могу проверить дома - там винда ставилась с этого же диска, и, так же как и здесь, не обновлялась.

Лог, на всякий случай, сделал.
05.08.2009, 20:16
Rene-gad

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SetAVZPMStatus(True);
RebootWindows(true);
end.
[/CODE]
- Повторите лог по п.2 Диагностики
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL]