Антивирусные программы не могут удалить троянский вирус Nail.exe

[QUOTE=Shu_b]почитайте там: [url]http://virusinfo.info/showthread.php?p=52961#post52961[/url] - 31 пост[/QUOTE]

Благодарю! Прочитал. Систематизировал. Хочу применить. Но не знаю как отключить рабочий стол на время лечения?

[COLOR="Blue"][B]Alart[/B][/COLOR]
#31
Воспользовался рекомендацией[COLOR="#0000ff"][B] RiC`а[/B][/COLOR]:

1. Берем [COLOR="Purple"]Диспетчер задач Windows[/COLOR] (таск манагер) (Alt+Ctrl+Del)
2. выбираем в процессах Explorer.exe, говорим - "Завершить процесс",

3. [COLOR="Magenta"]только вместо [COLOR="DarkRed"][B]DrWeb[/B][/COLOR] [/COLOR]запустил для лечения [COLOR="Green"][B]AVZ[/B][/COLOR],

У [COLOR="Blue"][B]RiC'a[/B][/COLOR] 3 и 4 пункты звучали так:
3. запускаем из Диспетчер задач Windows (таск манагера) DrWeb (Файл - Выполнить),
4. лечимся [COLOR="#ff00ff"]на время лечения рабочий стол должен отсутствовать???[/COLOR]

4. потом изменил в реестре запись [COLOR="Plum"][COLOR="DarkOrchid"]"explorer.exe c:\windows\nail.exe"[/COLOR][/COLOR] на [COLOR="Blue"]"explorer.exe", [/COLOR]
5. перегрузился

nail больше не появился.
Hijack не запускал так как не знаю что надо было бы фиксить. Но проблема вроде бы исчезла и без этого.
Спасибо всем кто откликнулся, персонально Ric`у.

Вобщем плохо что кав скачать невышло Ж) Иначе гемора было бы в 5 раз меньше ж)

[QUOTE=Sanja]Вобщем плохо что кав скачать невышло Ж) Иначе гемора было бы в 5 раз меньше ж)[/QUOTE]

Попытаюсь, однако, ещё раз, если это так важно! Не мог же я вообще без антивирусника остаться. Поэтому и скачал [COLOR="Blue"][B]Avist![/B][/COLOR] Кстати, объём скачанных файлов достаточно большой KAV - 12,4 KB и KIS - 12,9 KB, т.е. очевидно они полные. Здесь дело в чём-то другом:?
Проверил, что советовал [COLOR="Blue"][B]AKR [/B][/COLOR] на форуме [url]http://forum.kaspersky.com/index.php?showtopic=12213&hl=wksi[/url] по поводу [COLOR="#008000"][B]"Установщика Windows"[/B][/COLOR]. Он оказался у меня "свеженький" [COLOR="Green"][B]Windows 3.1 (2)[/B][/COLOR]. Потом добавил на "всякий пожарный" [COLOR="Green"][B][B]"Windows Skript 5.6" [/B][/B][/COLOR]и [COLOR="#008000"][B]"Средства поддержки пакета обновления 2 (SP2) для Windows XP"[/B][/COLOR].
Теперь я во все оружии и могу заново решать "сложные" задачи:)
Раньше я продуктами Лаборатории Касперского не пользовался (только слышал о них разные, зачастую "полярные" мнения. Поэтому решил своё мнение "заиметь"), поэтому полная [COLOR="Green"][B]ДЕИНСТАЛЯЦИЯ[/B][/COLOR] "следов" предыдущих версий тут тоже не причём.
А что же?

Чудеса Ж) с норм размером файла - какую ошибку инсталлер выдает?

Эту? [url]http://virusinfo.info/attachment.php?attachmentid=2004&d=1144674045[/url]

Тады битый... иначе - надо смотреть Ж) уже спортивный интерес.

[QUOTE=Sanja]Чудеса Ж) с норм размером файла - какую ошибку инсталлер выдает?

Эту? [url]http://virusinfo.info/attachment.php?attachmentid=2004&d=1144674045[/url][/QUOTE]

Точно! Только сперва, прерывая процесс установки, эту:
[url]http://virusinfo.info/attachment.php?attachmentid=2003&d=1144673574[/url]
а потом уже ту:
[url]http://virusinfo.info/attachment.php?attachmentid=2004&d=1144674045[/url]

Всё точно также "плохо" начинается как и у [COLOR="Blue"][B]AKR'a[/B][/COLOR]:
[url]http://forum.kaspersky.com/index.php?showtopic=12213&hl=wksi[/url]
Но он попробовал переименовать файлы и у него всё же получилось поставить антивир на ПК.

[QUOTE=AndreyKa]В AVZ меню Файл - "Отложенное удаление файла" последовательно удалите файлы:
c:\windows\system32\drpmon.dll
C:\WINDOWS\Nail.exe
C:\WINDOWS\rftfpxu.exe
C:\WINDOWS\xvpmirsmv.exe
Перезагрузите компьютер.
Ставте KAV, проверяйте весь компьютер.
Если останутся проблемы или будут сомнения делайте логи, начиная с 11-го пункта правил.[/QUOTE]

Сделал как Вы рекомендовали, кроме установки KAV (пока не получается). Из четырёх рекомендованных к удалению файлов удалось удалить без следа только один
[B][COLOR="DarkGreen"][COLOR="DarkGreen"]C:\WINDOWS\xvpmirsmv.exe [/COLOR][/COLOR][/B]
У остальных трёх, несмотря на все ухищрения, как у Змея Горыныча головы через время отрастают вновь:
[COLOR="Magenta"][B]c:\windows\system32\drpmon.dll[/B][/COLOR]
[COLOR="#ff00ff"][B]C:\WINDOWS\Nail.exe[/B][/COLOR]
[COLOR="#ff00ff"][B]C:\WINDOWS\rftfpxu.exe[/B][/COLOR]

[quote=senior]Сделал как Вы рекомендовали, кроме установки KAV (пока не получается). Из четырёх рекомендованных к удалению файлов удалось удалить без следа только один
[B][COLOR=darkgreen][COLOR=darkgreen]C:\WINDOWS\xvpmirsmv.exe [/COLOR][/COLOR][/B]
У остальных трёх, несмотря на все ухищрения, как у Змея Горыныча головы через время отрастают вновь:
[COLOR=magenta][B]c:\windows\system32\drpmon.dll[/B][/COLOR]
[COLOR=#ff00ff][B]C:\WINDOWS\Nail.exe[/B][/COLOR]
[COLOR=#ff00ff][B]C:\WINDOWS\rftfpxu.exe[/B][/COLOR][/quote]
А если так:
1. Закрыть все программы, запустить AVZ
2. Включить AVZ Guard
3. поубивать эти четыре файла отложенным удалением
4. Перезагрузиться не выходя из AVZ и не выключая AVZ Guard
Может помочь ... если после перезагрузки найдутся следы от AVZ guard, то нужно прибить найденный "драйвер устройства" ... фокус в том, что без AVZGuard nail.exe бить бесполезно (см. [URL="http://z-oleg.com/secur/advice/adv1102.php"]http://z-oleg.com/secur/advice/adv1102.php[/URL])

[QUOTE=Зайцев Олег] ... если после перезагрузки найдутся следы от AVZ guard, то нужно прибить найденный "драйвер устройства" ... фокус в том, что без AVZGuard nail.exe бить бесполезно (см. [URL="http://z-oleg.com/secur/advice/adv1102.php"]http://z-oleg.com/secur/advice/adv1102.php[/URL])[/QUOTE]

Пробовал в точности пройти предложенный Вами путь и уже неоднократно. При этом отключал восстановление системы и связь с интернетом. Включал AVZGuard, но "остановить процесс [COLOR="Magenta"][B]nail.exe [/B][/COLOR]" как рекомендуют на ссылке [url]http://z-oleg.com/secur/advice/adv1102.php[/url] невозможно, поскольку его там нет. Вначале действительно [COLOR="Teal"][COLOR="#ff00ff"][B]nail.exe[/B][/COLOR][/COLOR] пропадает, а потом возрождается вновь. И как оказалось вместе со своими собратьями.

А вот последнее продложение я не понял. Уточните пожалуста, что Вы имели ввиду [COLOR="Teal"][I][B]"под следами от AVZGuard"[/B][/I][/COLOR]. Где их можно увидеть?

[QUOTE=senior]Пробовал в точности пройти предложенный Вами путь и уже неоднократно. При этом отключал восстановление системы и связь с интернетом. Включал AVZGuard, но "остановить процесс [COLOR="Magenta"][B]nail.exe [/B][/COLOR]" как рекомендуют на ссылке [url]http://z-oleg.com/secur/advice/adv1102.php[/url] невозможно, поскольку его там нет. Вначале действительно [COLOR="Teal"][COLOR="#ff00ff"][B]nail.exe[/B][/COLOR][/COLOR] пропадает, а потом возрождается вновь. И как оказалось вместе со своими собратьями.

А вот последнее продложение я не понял. Уточните пожалуста, что Вы имели ввиду [COLOR="Teal"][I][B]"под следами от AVZGuard"[/B][/I][/COLOR]. Где их можно увидеть?[/QUOTE]
Следы AVZGuard сами проявляются - система ругается, что драйвер не найден в ходе загрузки. Если предложенный алгоритм не помогает, я советую еще раз снять логи, так сказать текущее состояние дел ... И еще вопрос - восстановление системы перед удалением файлов отключалось (в правилах прописано, как его отключить)

Скачайте [url=http://www.noidea.us/easyfile/file.php?download=20050515010747824]NailFix[/url], распакуйте архив Nailfix.zip в отдельный каталог, запустите nailfix.cmd после перезагрузитесь и повторити логи начиная с п.11 правил.

[QUOTE=Зайцев Олег]Следы AVZGuard сами проявляются - система ругается, что драйвер не найден в ходе загрузки. Если предложенный алгоритм не помогает, я советую еще раз снять логи, так сказать текущее состояние дел ... И еще вопрос - восстановление системы перед удалением файлов отключалось (в правилах прописано, как его отключить)[/QUOTE]

Действительно очень похожее на это явление наблюдалось. После перезагрузки с [COLOR="Green"]включённым AVZGuard[/COLOR] и [COLOR="MediumTurquoise"][B]ВЫключенной системой восстановления[/B][/COLOR] Windows выбрасывал сообщение, что не может найти файл
C:\WINDOWS\Nail.exe. Но, правда, недолго он его "искал". Всего пару перезагрузок в рабочем порядке и он тут как тут:)

[QUOTE=RiC]Скачайте [url=http://www.noidea.us/easyfile/file.php?download=20050515010747824]NailFix[/url], распакуйте архив Nailfix.zip в отдельный каталог, запустите nailfix.cmd после перезагрузитесь и повторити логи начиная с п.11 правил.[/QUOTE]

Всё сделал в точности как просили. Логи повторил и прикладываю ниже.

[QUOTE=senior]Всё сделал в точности как просили. Логи повторил и прикладываю ниже.[/QUOTE]
Вот эти файлы нужно прислать для анализа:
c:\windows\system32\ffmwkxc.exe
C:\WINDOWS\system32\crc32.dll
C:\WINDOWS\FotkiContext23.dll
C:\Program Files\Acceleration Software\Anti-Virus\dsshell0.dll

[QUOTE=senior]"На всякий пожарный" буду благодарен, если "расшифруете" термин "звери".:)[/QUOTE]
Под словом "звери" я имел ввиду вредоносные программы вообще, а не какой-то отдельный вид. Виды вредоносных программ описаны тут: [url]http://virusinfo.info/showthread.php?t=1430[/url].

[QUOTE=senior]Точно! Только сперва, прерывая процесс установки, эту:
[url]http://virusinfo.info/attachment.php?attachmentid=2003&d=1144673574[/url]
а потом уже ту:
[url]http://virusinfo.info/attachment.php?attachmentid=2004&d=1144674045[/url]

Всё точно также "плохо" начинается как и у [COLOR="Blue"][B]AKR'a[/B][/COLOR]:
[url]http://forum.kaspersky.com/index.php?showtopic=12213&hl=wksi[/url]
Но он попробовал переименовать файлы и у него всё же получилось поставить антивир на ПК.[/QUOTE]

А скажика размер инсталлера в байтах чтоб я сравнил.. здается мне что 1 раз скачивая он побился на прокси и теперь прокси из кеша выдает огрызок.

А что это за чудо драйвер?

sptd Работает \SystemRoot\System32\Drivers\sptd.sys Boot Bus Extender

Давайте с конца начнем:
1. Запускаем HijackTthis
2. запускаем AVZ+AVZGuard
3. убиваем Explorere.exe
4. в HijackThis ставим галочки на
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O4 - HKLM\..\Run: [bqkplvf] C:\WINDOWS\system32\ffmwkxc.exe r
O4 - Global Startup: hpoddt01.exe.lnk = ?
5. Жмем Fix It
6. Нажимаем ресет

Смотрим...

[QUOTE=Зайцев Олег]Вот эти файлы нужно прислать для анализа:
c:\windows\system32\ffmwkxc.exe
C:\WINDOWS\system32\crc32.dll
C:\WINDOWS\FotkiContext23.dll
C:\Program Files\Acceleration Software\Anti-Virus\dsshell0.dll[/QUOTE]


В карантин были добавлены только эти 2 файла:
[B][COLOR="Teal"]C:\WINDOWS\system32\crc32.dll
C:\WINDOWS\FotkiContext23.dll[/COLOR][/B]

2 других в карантин добавить не возможно (сделал 2 попытки) и в при просмотре карантина мною замечены не были:
[B][COLOR="Magenta"]c:\windows\system32\ffmwkxc.exe
C:\Program Files\Acceleration Software\Anti-Virus\dsshell0.dll[/COLOR][/B]

Добавленные файлы заархивировал и выслал для анализа.

[QUOTE=kps]Под словом "звери" я имел ввиду вредоносные программы вообще, а не какой-то отдельный вид. Виды вредоносных программ описаны тут: [url]http://virusinfo.info/showthread.php?t=1430[/url].[/QUOTE]

Ага, теперь понятно! Хотя звери, по своей сути, добрые существа ;) Здесь скорее подходит термин [COLOR="DarkRed"][I]"нелюди" [/I][/COLOR], отвлекающие нормальных людей от дел насущных и крадущих у них драгоценное время, которое можно было бы посвятить созиданию или просто погулять с собачкой на свежем воздухе... Большущее Вам спасибо за эту ценную и подробную информацию и за сам сайт [B][COLOR="Blue"]Олега Зайцева [/COLOR][/B][COLOR="DarkGreen"]"Информационная безопасность"[/COLOR], а раз проинформирован - значит ПРЕДУПРЕЖДЁН от нелепых ошибок!

[QUOTE=Sanja]А скажика размер инсталлера в байтах чтоб я сравнил.. здается мне что 1 раз скачивая он побился на прокси и теперь прокси из кеша выдает огрызок.[/QUOTE]

kav6.ru.msi - 12390 Kb
kis6.ru.msi - 12947 Kb