Антивирусные программы не могут удалить троянский вирус Nail.exe

[senior]

почитайте там: http://virusinfo.info/showthread.php?p=52961#post52961 - 31 пост

Благодарю! Прочитал. Систематизировал. Хочу применить. Но не знаю как отключить рабочий стол на время лечения?

Alart
#31
Воспользовался рекомендацией RiC`а:

1. Берем Диспетчер задач Windows (таск манагер) (Alt+Ctrl+Del)
2. выбираем в процессах Explorer.exe, говорим - "Завершить процесс",

3. только вместо DrWeb запустил для лечения AVZ,

У RiC'a 3 и 4 пункты звучали так:
3. запускаем из Диспетчер задач Windows (таск манагера) DrWeb (Файл - Выполнить),
4. лечимся на время лечения рабочий стол должен отсутствовать???

4. потом изменил в реестре запись "explorer.exe c:\windows\nail.exe" на "explorer.exe",
5. перегрузился

nail больше не появился.
Hijack не запускал так как не знаю что надо было бы фиксить. Но проблема вроде бы исчезла и без этого.
Спасибо всем кто откликнулся, персонально Ric`у.

[Sanja]

Вобщем плохо что кав скачать невышло Ж) Иначе гемора было бы в 5 раз меньше ж)

[senior]

Вобщем плохо что кав скачать невышло Ж) Иначе гемора было бы в 5 раз меньше ж)

Попытаюсь, однако, ещё раз, если это так важно! Не мог же я вообще без антивирусника остаться. Поэтому и скачал Avist! Кстати, объём скачанных файлов достаточно большой KAV - 12,4 KB и KIS - 12,9 KB, т.е. очевидно они полные. Здесь дело в чём-то другом
Проверил, что советовал AKR на форуме http://forum.kaspersky.com/index.php...=12213&hl=wksi по поводу "Установщика Windows". Он оказался у меня "свеженький" Windows 3.1 (2). Потом добавил на "всякий пожарный" "Windows Skript 5.6" и "Средства поддержки пакета обновления 2 (SP2) для Windows XP".
Теперь я во все оружии и могу заново решать "сложные" задачи
Раньше я продуктами Лаборатории Касперского не пользовался (только слышал о них разные, зачастую "полярные" мнения. Поэтому решил своё мнение "заиметь"), поэтому полная ДЕИНСТАЛЯЦИЯ "следов" предыдущих версий тут тоже не причём.
А что же?

[Sanja]

Чудеса Ж) с норм размером файла - какую ошибку инсталлер выдает?

Эту? http://virusinfo.info/attachment.php...4&d=1144674045

Тады битый... иначе - надо смотреть Ж) уже спортивный интерес.

[senior]

Чудеса Ж) с норм размером файла - какую ошибку инсталлер выдает?

Эту? http://virusinfo.info/attachment.php...4&d=1144674045

Точно! Только сперва, прерывая процесс установки, эту:
http://virusinfo.info/attachment.php...3&d=1144673574
а потом уже ту:
http://virusinfo.info/attachment.php...4&d=1144674045

Всё точно также "плохо" начинается как и у AKR'a:
http://forum.kaspersky.com/index.php...=12213&hl=wksi
Но он попробовал переименовать файлы и у него всё же получилось поставить антивир на ПК.

[senior]

В AVZ меню Файл - "Отложенное удаление файла" последовательно удалите файлы:
c:\windows\system32\drpmon.dll
C:\WINDOWS\Nail.exe
C:\WINDOWS\rftfpxu.exe
C:\WINDOWS\xvpmirsmv.exe
Перезагрузите компьютер.
Ставте KAV, проверяйте весь компьютер.
Если останутся проблемы или будут сомнения делайте логи, начиная с 11-го пункта правил.

Сделал как Вы рекомендовали, кроме установки KAV (пока не получается). Из четырёх рекомендованных к удалению файлов удалось удалить без следа только один
C:\WINDOWS\xvpmirsmv.exe
У остальных трёх, несмотря на все ухищрения, как у Змея Горыныча головы через время отрастают вновь:
c:\windows\system32\drpmon.dll
C:\WINDOWS\Nail.exe
C:\WINDOWS\rftfpxu.exe

[Зайцев Олег]

Сделал как Вы рекомендовали, кроме установки KAV (пока не получается). Из четырёх рекомендованных к удалению файлов удалось удалить без следа только один
C:\WINDOWS\xvpmirsmv.exe
У остальных трёх, несмотря на все ухищрения, как у Змея Горыныча головы через время отрастают вновь:
c:\windows\system32\drpmon.dll
C:\WINDOWS\Nail.exe
C:\WINDOWS\rftfpxu.exe

А если так:
1. Закрыть все программы, запустить AVZ
2. Включить AVZ Guard
3. поубивать эти четыре файла отложенным удалением
4. Перезагрузиться не выходя из AVZ и не выключая AVZ Guard
Может помочь ... если после перезагрузки найдутся следы от AVZ guard, то нужно прибить найденный "драйвер устройства" ... фокус в том, что без AVZGuard nail.exe бить бесполезно (см. http://z-oleg.com/secur/advice/adv1102.php)

[senior]

... если после перезагрузки найдутся следы от AVZ guard, то нужно прибить найденный "драйвер устройства" ... фокус в том, что без AVZGuard nail.exe бить бесполезно (см. http://z-oleg.com/secur/advice/adv1102.php)

Пробовал в точности пройти предложенный Вами путь и уже неоднократно. При этом отключал восстановление системы и связь с интернетом. Включал AVZGuard, но "остановить процесс nail.exe " как рекомендуют на ссылке http://z-oleg.com/secur/advice/adv1102.php невозможно, поскольку его там нет. Вначале действительно nail.exe пропадает, а потом возрождается вновь. И как оказалось вместе со своими собратьями.

А вот последнее продложение я не понял. Уточните пожалуста, что Вы имели ввиду "под следами от AVZGuard". Где их можно увидеть?

[Зайцев Олег]

Пробовал в точности пройти предложенный Вами путь и уже неоднократно. При этом отключал восстановление системы и связь с интернетом. Включал AVZGuard, но "остановить процесс nail.exe " как рекомендуют на ссылке http://z-oleg.com/secur/advice/adv1102.php невозможно, поскольку его там нет. Вначале действительно nail.exe пропадает, а потом возрождается вновь. И как оказалось вместе со своими собратьями.

А вот последнее продложение я не понял. Уточните пожалуста, что Вы имели ввиду "под следами от AVZGuard". Где их можно увидеть?

Следы AVZGuard сами проявляются - система ругается, что драйвер не найден в ходе загрузки. Если предложенный алгоритм не помогает, я советую еще раз снять логи, так сказать текущее состояние дел ... И еще вопрос - восстановление системы перед удалением файлов отключалось (в правилах прописано, как его отключить)

[RiC]

Скачайте NailFix, распакуйте архив Nailfix.zip в отдельный каталог, запустите nailfix.cmd после перезагрузитесь и повторити логи начиная с п.11 правил.

[senior]

Следы AVZGuard сами проявляются - система ругается, что драйвер не найден в ходе загрузки. Если предложенный алгоритм не помогает, я советую еще раз снять логи, так сказать текущее состояние дел ... И еще вопрос - восстановление системы перед удалением файлов отключалось (в правилах прописано, как его отключить)

Действительно очень похожее на это явление наблюдалось. После перезагрузки с включённым AVZGuard и ВЫключенной системой восстановления Windows выбрасывал сообщение, что не может найти файл
C:\WINDOWS\Nail.exe. Но, правда, недолго он его "искал". Всего пару перезагрузок в рабочем порядке и он тут как тут

[senior]

Скачайте NailFix, распакуйте архив Nailfix.zip в отдельный каталог, запустите nailfix.cmd после перезагрузитесь и повторити логи начиная с п.11 правил.

Всё сделал в точности как просили. Логи повторил и прикладываю ниже.

[Зайцев Олег]

Всё сделал в точности как просили. Логи повторил и прикладываю ниже.

Вот эти файлы нужно прислать для анализа:
c:\windows\system32\ffmwkxc.exe
C:\WINDOWS\system32\crc32.dll
C:\WINDOWS\FotkiContext23.dll
C:\Program Files\Acceleration Software\Anti-Virus\dsshell0.dll

[kps]

"На всякий пожарный" буду благодарен, если "расшифруете" термин "звери".

Под словом "звери" я имел ввиду вредоносные программы вообще, а не какой-то отдельный вид. Виды вредоносных программ описаны тут: http://virusinfo.info/showthread.php?t=1430.

[Sanja]

Точно! Только сперва, прерывая процесс установки, эту:
http://virusinfo.info/attachment.php...3&d=1144673574
а потом уже ту:
http://virusinfo.info/attachment.php...4&d=1144674045

Всё точно также "плохо" начинается как и у AKR'a:
http://forum.kaspersky.com/index.php...=12213&hl=wksi
Но он попробовал переименовать файлы и у него всё же получилось поставить антивир на ПК.

А скажика размер инсталлера в байтах чтоб я сравнил.. здается мне что 1 раз скачивая он побился на прокси и теперь прокси из кеша выдает огрызок.

[Sanja]

А что это за чудо драйвер?

sptd Работает \SystemRoot\System32\Drivers\sptd.sys Boot Bus Extender

[Sanja]

Давайте с конца начнем:
1. Запускаем HijackTthis
2. запускаем AVZ+AVZGuard
3. убиваем Explorere.exe
4. в HijackThis ставим галочки на
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O4 - HKLM\..\Run: [bqkplvf] C:\WINDOWS\system32\ffmwkxc.exe r
O4 - Global Startup: hpoddt01.exe.lnk = ?
5. Жмем Fix It
6. Нажимаем ресет

Смотрим...

[senior]

Вот эти файлы нужно прислать для анализа:
c:\windows\system32\ffmwkxc.exe
C:\WINDOWS\system32\crc32.dll
C:\WINDOWS\FotkiContext23.dll
C:\Program Files\Acceleration Software\Anti-Virus\dsshell0.dll

В карантин были добавлены только эти 2 файла:
C:\WINDOWS\system32\crc32.dll
C:\WINDOWS\FotkiContext23.dll

2 других в карантин добавить не возможно (сделал 2 попытки) и в при просмотре карантина мною замечены не были:
c:\windows\system32\ffmwkxc.exe
C:\Program Files\Acceleration Software\Anti-Virus\dsshell0.dll

Добавленные файлы заархивировал и выслал для анализа.

[senior]

Под словом "звери" я имел ввиду вредоносные программы вообще, а не какой-то отдельный вид. Виды вредоносных программ описаны тут: http://virusinfo.info/showthread.php?t=1430.

Ага, теперь понятно! Хотя звери, по своей сути, добрые существа Здесь скорее подходит термин "нелюди" , отвлекающие нормальных людей от дел насущных и крадущих у них драгоценное время, которое можно было бы посвятить созиданию или просто погулять с собачкой на свежем воздухе... Большущее Вам спасибо за эту ценную и подробную информацию и за сам сайт Олега Зайцева "Информационная безопасность", а раз проинформирован - значит ПРЕДУПРЕЖДЁН от нелепых ошибок!

[senior]

А скажика размер инсталлера в байтах чтоб я сравнил.. здается мне что 1 раз скачивая он побился на прокси и теперь прокси из кеша выдает огрызок.

kav6.ru.msi - 12390 Kb
kis6.ru.msi - 12947 Kb