-
Junior Member
- Вес репутации
- 56
Блокировка антивируса
У клиентов заблокировался Dr.Web, подумал на Kido, проверил кидокиллером, не помогло. Проверял cureit'ом, в первый раз вырубился свет, не успел дойти до конце, после этого запустил AVZ и HijackThis, AVZ лог не дал почему то (), остальное выкладываю, после проверки еще раз прошелся сureit'ом. Помогите пожалуйста
ЗЫ, лог Avz выложу вечером или завтра.
АП: Антивирус ожил, но теперь не запускаются диспетчер задач, msconfig and regedit. Запускаю AVZ, лог будет завтра если потребуется.
Последний раз редактировалось ГитКЗ; 08.04.2010 в 17:06.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
У вас файловый вирус.
Запакуйте в архив файл avz.exe с паролем 'virus' и пришлите по этой ссылке http://virusinfo.info/upload_virus.php?tid=49944
-
-
Junior Member
- Вес репутации
- 56
DefesT, первоначальный avz.exe я удалил, для повторной проверки скачал новый.
-
Ну и нахватали Вы...
Пофиксить в HiJack
Код:
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\smss.exe
O4 - HKLM\..\Run: [shell] C:\WINDOWS\system\rundll32.exe 70134
O4 - HKLM\..\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKCU\..\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
O4 - HKLM\..\Policies\Explorer\Run: [Inside] C:\WINDOWS\system32\gread32.exe
O4 - HKLM\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKCU\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKUS\S-1-5-18\..\Run: [servises] C:\WINDOWS\system32\servises.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [servises] C:\WINDOWS\system32\servises.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe (User 'Default user')
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\gread32.exe','');
QuarantineFile('C:\WINDOWS\system\rundll32.exe','');
DelBHO('{B035573A-5F43-4862-A194-87D027C63012}');
QuarantineFile('C:\WINDOWS\system32\InternetExplorer.dll','');
QuarantineFile('csrcs.exe','');
TerminateProcessByName('c:\windows\system32\drivers\smss.exe');
QuarantineFile('c:\windows\system32\drivers\smss.exe','');
TerminateProcessByName('c:\windows\system32\servises.exe');
QuarantineFile('c:\windows\system32\servises.exe','');
TerminateProcessByName('c:\windows\services.exe');
QuarantineFile('c:\windows\services.exe','');
TerminateProcessByName('c:\windows\system32\csrcs.exe');
QuarantineFile('c:\windows\system32\csrcs.exe','');
DeleteFile('c:\windows\system32\csrcs.exe');
DeleteFile('c:\windows\services.exe');
DeleteFile('c:\windows\system32\servises.exe');
DeleteFile('c:\windows\system32\drivers\smss.exe');
DeleteFile('csrcs.exe');
DeleteFile('C:\WINDOWS\system32\InternetExplorer.dll');
DeleteFile('C:\WINDOWS\system\rundll32.exe');
DeleteFile('C:\WINDOWS\system32\gread32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
ExecuteRepair(16);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 56
не я нахватал, клиенты
вот лог, поехал фиксить, завтра выложу результаты.
Последний раз редактировалось ГитКЗ; 08.04.2010 в 17:05.
-
Новые логи нужны после лечения
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 56
это был как бы первый лог))
Сообщение от
ГитКЗ
ЗЫ, лог Avz выложу вечером или завтра.
а вот это новые логи после лечения, msconfig и regedit по прежнему не запускаются с руганью: "Приложение не было запущено, поскольку оно некорректно настроено. Повторная установка приложения может решить данную проблему."
Диспетчер задач не запускается вообще никак. Антивирус работает и обновляется без проблем.
АП: выслал запрошенный карантин согласно правилам с одним исключением: карантин после первой проверки называется virus1.zip, после второй - virus2.zip
Соответственно архив avz.zip также выслал по ссылке.
Большое спасибо за оказанную помощь и внимание
Последний раз редактировалось ГитКЗ; 08.04.2010 в 17:05.
-
Сообщение от
DefesT
Сообщение от
thyrex
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Почему не выполнено ни одно из требований?
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\explorer.exe','');
QuarantineFile('c:\windows\system32\ctfmon.exe','');
QuarantineFile('c:\windows\system32\svchost.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\Toolbar.exe','');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\Toolbar.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 56
Сообщение от
thyrex
Почему не выполнено ни одно из требований?
Сообщение от
ГитКЗ
АП: выслал запрошенный карантин согласно правилам с одним исключением: карантин после первой проверки называется virus1.zip, после второй - virus2.zip
Соответственно архив avz.zip также выслал по ссылке.
-
Первый карантин
csrcs.exe -
Packed.Win32.Klone.bj
В настоящий момент этот файл детектируется. Пожалуйста, обновите антивирусные базы.
services.exe -
Email-Worm.Win32.Joleee.coh
Детектирование файла будет добавлено в следующее обновление.
Что с проблемами после выполнения последнего скрипта?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 56
thyrex, базы веба и авз обновил, выполнил скрипт и сделал новую проверку, пара файлов опять попала в карантин. Проблема осталась, похоже не запускаются почти все стандартные виндовые программы из систем32, в том числе блокнот и калькулятор, возможно файлы модифицированы файловым вирусом и хоть вирус удален их работоспособность уже не восстановить? Сейчас думаю загрузиться с диска и проверить свежим cureit'м. Высылаю новые логи и новый карантин.
Последний раз редактировалось ГитКЗ; 08.04.2010 в 17:05.
-
Дополнение к карантину
smss.exe -
Trojan-Dropper.Win32.Agent.avxa
Детектирование файла будет добавлено в следующее обновление.
Вполне возможно, что это последствия файлового вируса (и (или) его лечения)
Дата и время изменения svchost.exe 13.07.2009 19:11:45
Попробуйте после загрузки с диска и проверки (если ничего не найдено будет) поменять "запорченные" файлы образцами из папки system32/dllcache. Только не все сразу
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 56
Сообщение от
thyrex
Детектирование файла будет добавлено в следующее обновление.
вот тут вопрос, обновление AVZ или DrWeb?
-
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 56
ситуация неоднозначная, cureit почему то вырубился и лог проверки до меня не дошел, замена файлов из system32/dllcache ничего не дала. Что посоветуете еще?
АП: нашел бекап винды на диске, кроме ехешников что-нибудь еще надо менять в system32?
АП2: после замены файлов из бекапа проблемы были почти исправлены за исключением msconfig и regedit. Залез в Управление компьютером-Просмотр событий-Система, и нашел там интересные ошибки:
Generate Activation Context завершилась не удачно для C:\WINDOWS\system32\Regedit.exe. Соответствующее сообщение об ошибке: Операция успешно завершена.
Синтаксическая ошибка в манифесте или в файле политики "C:\WINDOWS\system32\Regedit.exe" в строке 16.
Generate Activation Context завершилась не удачно для C:\WINDOWS\system32\msconfig.exe. Соответствующее сообщение об ошибке: Операция успешно завершена.
Синтаксическая ошибка в манифесте или в файле политики "C:\WINDOWS\system32\msconfig.exe" в строке 19.
Generate Activation Context завершилась не удачно для C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe. Соответствующее сообщение об ошибке: Операция успешно завершена.
Синтаксическая ошибка в манифесте или в файле политики "C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe " в строке 20.
скопировал файлы из C:\WINDOWS\PCHealth\HelpCtr\Binaries и msconfig запустился. С regedit по прежнему траблы, что-нибудь можно с ним сделать?
АП3: пока писал этот пост вылезли следующие ошибки:
Сбой при загрузке драйвера(ов) перезагрузки или запуска системы:
sptd
Служба "Службы IPSEC" завершена из-за ошибки
Не удается найти указанный файл.
Тип события: Ошибка
Источник события: sptd
Категория события: Отсутствует
Код события: 4
Дата: 16.07.2009
Время: 9:51:57
Пользователь: Н/Д
Компьютер: MICROSOF-F1289A
Описание:
Обнаружена внутренняя ошибка в структуре данных драйвера для .
Данные:
0000: 00 00 00 00 01 00 52 00 ......R.
0008: 00 00 00 00 04 00 04 c0 .......À
0010: b8 00 00 00 00 00 00 00 ¸.......
0018: 00 00 00 00 00 00 00 00 ........
0020: 00 00 00 00 00 00 00 00 ........
перезагрузился, пока все нормально за исключением regedit'а
Последний раз редактировалось ГитКЗ; 16.07.2009 в 09:02.
Причина: ап
Мой внутренний мир настолько огромен, что Я давно там заблудился...
-
В AVZ Файл -- Восст системы. -- п.17 отметить и выполнить.
Я бы еще п.6 добавил.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 56
PavelA, редактор не заблокирован был, файл модифицировался вирусом насколько я понимаю, я через поиск нашел все совпадения для regedit.* и заменил из c:\WINDOWS\ServicePackFiles\i386, теперь все работает
последние рекомендации в этом случае выполнять?
Добавлено через 12 минут
спасибо всем за помощь моя эпопея борьбы с этим компом по ходу закончена
Последний раз редактировалось ГитКЗ; 16.07.2009 в 09:28.
Причина: Добавлено
Мой внутренний мир настолько огромен, что Я давно там заблудился...
-
п.6 выполнить не помешает, потом если что восстановишь ограничения профиля.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 33
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\admin\local settings\temporary internet files\content.ie5\a08eh7dw\lo[1].htm - Trojan-Downloader.Win32.Agent.ciiz ( DrWEB: Trojan.DownLoad.38937, BitDefender: Trojan.Generic.2200262 )
- c:\windows\services.exe - Email-Worm.Win32.Joleee.coh ( DrWEB: Trojan.Spambot.3531, BitDefender: Backdoor.Bot.102734 )
- c:\windows\system32\csrcs.exe - Packed.Win32.Klone.bj ( DrWEB: Win32.HLLW.Autohit.9615, BitDefender: Gen:Trojan.Heur.AutoIT.4q3@by@qTUkO )
- c:\windows\system32\drivers\smss.exe - Trojan-Dropper.Win32.Agent.avxa ( DrWEB: Trojan.DownLoad.40394, BitDefender: Gen:Trojan.Heur.GM.0400458880 )
- c:\windows\system32\servises.exe - Email-Worm.Win32.Joleee.coi ( DrWEB: Trojan.Spambot.4465, BitDefender: Trojan.Generic.2161179 )
-