Решена Не работают антивирусные программы, вредонос заменяет параметры безопасности программ

Тема в разделе "Лечение компьютерных вирусов", создана пользователем MadMaks, 18 мар 2011.

Статус темы:
Закрыта.
  1. MadMaks
    Оффлайн

    MadMaks Активный пользователь

    Сообщения:
    150
    Симпатии:
    13
    Добрый день всем!


    Что было:
    Изначально стоял NOD (версию и состояние баз не могу сказать)
    Подключен интернет, в основном дети играли игрушки.
    До нового года я видел этот комп, всё было, а порядке.
    На днях винда перестала загружаться.

    Что предпринималось:
    При помощи ERD Commandera удалил более 20 разнообразных вредоносов (предварительно сохранив их себе на память :) )
    ОС стала благополучно загружаться и довольно таки быстро и адекватно работать.
    Но при этом не даёт работать антивирусным программам,
    невозможно запустить антивирусные программы и сканеры.
    Отключил восстановление системы.
    Сеть и интернет не работали,
    Пробовал по сети подключиться к соседнему компу, он даже не пинговался, но интернет трафик явно был.
    Во избежание докачки новых вредоносов из интернета, выдернул сетевой кабель.

    Скачал Kaspersky Rescue Disk 10, выполнил проверку.
    Он нашёл, вылечил или удалил несколько сот вредоносов, лог прилагаю.
    Скачал Dr.Web® LiveUSB, он ни чего нового не нашёл.

    В ОС видимых изменений не произошло.
    Как и вначале не работают антивирусы и сканеры.

    Пробовал запускать:
    AutoRuns, Process Explorer, HiJackThis, Runscanner, ComboFix, GMER, OTC, Anvirrus и много подобных – результат один, при обращении к процессу вредоноса все они снимаются и повторно не запускаются.

    Удалось установить:
    KIS 11.0.2.556
    Ставиться, но на заключительном этапе при попытке запустить GUI сообщает об отсутствии прав.
    Повторный запуск не возможен.

    DrWeb 6.0
    Ставиться, запускается, работает и не падает.
    Но его сканер снимается через считанные секунды после запуска.
    И ещё курсор мыши ежесекундно моргает, переходя в ожидание и обратно.

    MS Essentials2
    Ставится, запускается, но не работает т.к. требуются обновления для начала работы.
    Обновления не скачиваются, соответственно он висит в холостую

    KIS 12.0.0.242
    Поставил ради смеха
    По окончании установки так же не смог запустить GUI, но после перезагрузки ОС запустился, хотя и без сервисной части, соответственно ни обновиться, ни полноценно функционировать не может.

    MBAM
    Ставится, запускается, снимается при попытке сканирования

    CureIt слетает сразу после начала сканирования.
    AVPTool 9 на удивление работает стабильнее 11 версии, которая периодически снимается вредоносом.
    AVPTool не могла удалить Trojan.Win32.PMax.p. после перезагрузки файл вновь восстанавливался.
    Частично удалось избавиться путём отключения прав доступа к папке для всех учётных записей,
    Но откуда он постоянно ставился не понятно.

    Решил попробовать самый банальный способ – подключил винчестер к компу с установленным KIS 2011. Он не нашёл ни единого подозрительного объекта :eek:

    Каков итог:
    Имеется вполне рабочая ОС, наличие интернета больше не рискую проверять.
    Всё бы хорошо, но антивиры то не работают!
    Заметил интересное действие вредоноса – новых заражений файлов не происходит. Флэшку регулярно проверяю на компе с установленным кисом и Essential.
    Все вредоносные действия сводятся к тому, что исполняемые файлы антивирусов после первого запуска получают ограниченные права доступа (Специальный доступ (DPO)), в результате чего не могут повторно запуститься.
    При этом есть права на удаления файла, а на чтение или запись нет :sarcastic:
    Для исправления достаточно установить стандартные права, но действует это до первого запуска.

    В итоге удалось выяснить только то, что зверь маскируется хитрым образом и не даёт к себе прикасаться. Запускается вот так:
    globalroot\device\svchost.exe\svchost.exe


    В общем как то так…

    Есть ли у кого свежие идеи, как извести этого зверя?

    P.S.: Респект автору зверька!!! такого живучего зверя ещё не встречал :D
     

    Вложения:

    • log.txt
      Размер файла:
      16 КБ
      Просмотров:
      9
    • KasperskyRescueDisk10.rar
      Размер файла:
      4,3 КБ
      Просмотров:
      2
    • AVPTool.txt
      Размер файла:
      66 КБ
      Просмотров:
      9
    • Gmer.jpg
      Gmer.jpg
      Размер файла:
      86,3 КБ
      Просмотров:
      17
    • IBProcMam.jpg
      IBProcMam.jpg
      Размер файла:
      90,9 КБ
      Просмотров:
      14
    • KIS 2012.jpg
      KIS 2012.jpg
      Размер файла:
      68,8 КБ
      Просмотров:
      12
    • virusinfo_syscure.zip
      Размер файла:
      19,5 КБ
      Просмотров:
      10
    • virusinfo_syscheck.zip
      Размер файла:
      19,6 КБ
      Просмотров:
      2
    Последнее редактирование: 18 мар 2011
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Логи AVZ повреждены.

    Лог Gmer можно увидеть?
     
  3. MadMaks
    Оффлайн

    MadMaks Активный пользователь

    Сообщения:
    150
    Симпатии:
    13
    Чем богаты :)
    от Gmer есть только скрин, дальше при запуске сканирования он падает.
    так же при создании логов падает и AVPTool.
    AVZ выживает пожалуй только благодаря AVZGuard.


    UP добавил в первый пост virusinfo_syscheck сделанный полиформным AVZ
     
    Последнее редактирование: 18 мар 2011
  4. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.406
    Симпатии:
    1.643
    Добрый день ..!:)

    Скрипт AVZ.
    Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
    Код (Text):

    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('globalroot\device\svchost.exe\svchost.exe');
      QuarantineFile('globalroot\device\svchost.exe\svchost.exe','');
      QuarantineFile('c:\docume~1\admin\locals~1\temp\uxtdqpoc.sys','');
      QuarantineFile('c:\docume~1\admin\locals~1\temp\wgprzmv.exe','');
      QuarantineFile('C:\WINDOWS\System32\Drivers\vbma40ce.SYS','');
      QuarantineFile('C:\WINDOWS\system32\DRIVERS\79036551.sys','');
      QuarantineFile('C:\WINDOWS\system32\DRIVERS\3926958drv.sys','');
      QuarantineFile('j:\autorun.inf','');
      DeleteFile('globalroot\device\svchost.exe\svchost.exe');
      DeleteFile('c:\docume~1\admin\locals~1\temp\uxtdqpoc.sys');
      DeleteFile('c:\docume~1\admin\locals~1\temp\wgprzmv.exe');
      DeleteFile('j:\autorun.inf');
     DeleteService('wgprzmv');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
     
    После всех процедур выполните скрипт
    Код (Text):

    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
     
    В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через этой формы

    Выполните следующие инструкции:Как временно отключить эмуляторы дисков а затем:

    Скачайте GMER по одной из указанных ссылок:
    Gmer со случайным именем, Gmer в zip-архиве (перед применением распаковать в отдельную папку)
    - Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
    Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
    После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
    • Sections
    • IAT/EAT
    • Show all
    Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
    - Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
    После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

    Подготовка стандартных логи соответствии с этими рекомендациями..!:)
     
    1 человеку нравится это.
  5. MadMaks
    Оффлайн

    MadMaks Активный пользователь

    Сообщения:
    150
    Симпатии:
    13
    Скрипты выполнил, отчёт отправил...

    А зверь как сидел так и сидит :D
    Gmer по прежнему падает при запуске сканирования.
    Если не запускать сразу полное сканирование, то он даже даёт посмотреть остальные вкладки, все кроме процессов.
    Если интересно, то могу остальное по скринить

    Диск j это моя флэшка и не буду я с неё autorun.inf удалять, он мне ещё пригодиться :)
     
    Последнее редактирование: 18 мар 2011
  6. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.406
    Симпатии:
    1.643
    Я вас не понимаю ... Вы что, шутишь ... Где логи...?
     
  7. MadMaks
    Оффлайн

    MadMaks Активный пользователь

    Сообщения:
    150
    Симпатии:
    13
    Я тоже не понимаю, внимательно ли вы читаете мои посты...

    Согласно рекондаций логи от AVZ я выложил (только создаются они с ошибками, уже 4 раза пробовал пересоздать),
    лог RSIT выложил,
    лог HijackThis создать не могу так как он падает.

    Сорри, сейчас получилось сделать читаемый лог virusinfo_syscure.
    Прикрепляю к первому посту
     
  8. Sfera
    Оффлайн

    Sfera Куратор обучения Ассоциация VN/VIP VIP

    Сообщения:
    6.327
    Симпатии:
    5.128
    Добрый день. :) Добро пожаловать на safezone.cc.
    Это немного путает хелпера.
    Пожалуйста, повторные логи крепите не в первый пост, а прикрепляйте к своим последующим постам.
    Спасибо за понимание.
     
    1 человеку нравится это.
  9. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.406
    Симпатии:
    1.643
    Ждем результатов...!:)
     
  10. MadMaks
    Оффлайн

    MadMaks Активный пользователь

    Сообщения:
    150
    Симпатии:
    13
    Хорошо, исправлюсь :)
    Ранее, на других форумах практиковалось прикрепление в одном месте, вот я по привычке и леплю туда.
    Хотя действительно лучше в разных постах, так можно проследить динамику
     
    2 пользователям это понравилось.
  11. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.406
    Симпатии:
    1.643
    MadMaks, В ожидании результатов можно сделать сканирование с помощью следующих инструментов:TDSSKiller и KidoKiller..!
     
  12. MadMaks
    Оффлайн

    MadMaks Активный пользователь

    Сообщения:
    150
    Симпатии:
    13
    Точно не Kido потому что у меня тут ни каких похожих на него симптомов.

    В общем опять мимо :(
    KK даже окно не может открыть, и повторно не запускается, значит на верном пути копаем раз зверь её потом блокирует )))
    А TDSS отработала спокойно и повторно запускается без проблем.
     
  13. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.406
    Симпатии:
    1.643
    Как удалить Net-Worm.Win32.Kido (Conficker)


    Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

    1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
    2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
    Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

    Подробнее в "ComboFix. Руководство по применению."
     
    Последнее редактирование: 18 мар 2011
  14. MadMaks
    Оффлайн

    MadMaks Активный пользователь

    Сообщения:
    150
    Симпатии:
    13
    ComboFix снимается не успев открыть ни одно окно

    Про Kido
    других явных проявлений не наблюдается

    +
    Замкнутый круг получается... :(
    Будем подождать...
    Подожду пару дней, авось ЛК добавит в базы детектирование этого зверька, не может же быть, что бы я один с этим столкнулся :unknw:
     
  15. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.406
    Симпатии:
    1.643
  16. MadMaks
    Оффлайн

    MadMaks Активный пользователь

    Сообщения:
    150
    Симпатии:
    13
    (((
    Процес снимается на этапе "чтение объектов"
    и как обычно повторный запуск невозможен из за изменённых прав доступа
     
  17. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    1. переименуйте combofix.exe в svchost.exe и попробуйте еще раз запустить.

    2. Подготовьте такой лог
     
  18. MadMaks
    Оффлайн

    MadMaks Активный пользователь

    Сообщения:
    150
    Симпатии:
    13
    оба варианта не подходят.
    ComboFix только показывает бегущую сроку на этапе распаковки и падает.
    OTL запускается и работает до этапа сканирования, за тем падает и повторно уже не запускается.

    Скачал AVPTool с сегодняшними базами, выполнил полную проверку, пусто. попытался создать отчёт и тут же тулсина благополучно слегла :(
     
    Последнее редактирование: 19 мар 2011
  19. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    ок. Значит будем смотреть в сторону безопасного режима. Работает?

    Если да, то начнем все запускать в обратном порядке... начнем с OTL.
     
  20. MadMaks
    Оффлайн

    MadMaks Активный пользователь

    Сообщения:
    150
    Симпатии:
    13
    Безопасный режим работает.
    Да вот только вредонос и там там сидит, и все те же чудеса и там творятся.
    Он блокирует все приложения которые пытаются получить доступ к его процессу.

    Буду ежедневно скачивать AVPTool с актуальными базами и пробовать найти зверя.
    Дня 3-4 попробую, а там видно будет.
     
Статус темы:
Закрыта.

Поделиться этой страницей