Решена Не работают антивирусные программы, вредонос заменяет параметры безопасности программ

[MadMaks]

Добрый день всем!


Что было:
Изначально стоял NOD (версию и состояние баз не могу сказать)
Подключен интернет, в основном дети играли игрушки.
До нового года я видел этот комп, всё было, а порядке.
На днях винда перестала загружаться.

Что предпринималось:
При помощи ERD Commandera удалил более 20 разнообразных вредоносов (предварительно сохранив их себе на память )
ОС стала благополучно загружаться и довольно таки быстро и адекватно работать.
Но при этом не даёт работать антивирусным программам,
невозможно запустить антивирусные программы и сканеры.
Отключил восстановление системы.
Сеть и интернет не работали,
Пробовал по сети подключиться к соседнему компу, он даже не пинговался, но интернет трафик явно был.
Во избежание докачки новых вредоносов из интернета, выдернул сетевой кабель.

Скачал Kaspersky Rescue Disk 10, выполнил проверку.
Он нашёл, вылечил или удалил несколько сот вредоносов, лог прилагаю.
Скачал Dr.Web® LiveUSB, он ни чего нового не нашёл.

В ОС видимых изменений не произошло.
Как и вначале не работают антивирусы и сканеры.

Пробовал запускать:
AutoRuns, Process Explorer, HiJackThis, Runscanner, ComboFix, GMER, OTC, Anvirrus и много подобных – результат один, при обращении к процессу вредоноса все они снимаются и повторно не запускаются.

Удалось установить:
KIS 11.0.2.556
Ставиться, но на заключительном этапе при попытке запустить GUI сообщает об отсутствии прав.
Повторный запуск не возможен.

DrWeb 6.0
Ставиться, запускается, работает и не падает.
Но его сканер снимается через считанные секунды после запуска.
И ещё курсор мыши ежесекундно моргает, переходя в ожидание и обратно.

MS Essentials2
Ставится, запускается, но не работает т.к. требуются обновления для начала работы.
Обновления не скачиваются, соответственно он висит в холостую

KIS 12.0.0.242
Поставил ради смеха
По окончании установки так же не смог запустить GUI, но после перезагрузки ОС запустился, хотя и без сервисной части, соответственно ни обновиться, ни полноценно функционировать не может.

MBAM
Ставится, запускается, снимается при попытке сканирования

CureIt слетает сразу после начала сканирования.
AVPTool 9 на удивление работает стабильнее 11 версии, которая периодически снимается вредоносом.
AVPTool не могла удалить Trojan.Win32.PMax.p. после перезагрузки файл вновь восстанавливался.
Частично удалось избавиться путём отключения прав доступа к папке для всех учётных записей,
Но откуда он постоянно ставился не понятно.

Решил попробовать самый банальный способ – подключил винчестер к компу с установленным KIS 2011. Он не нашёл ни единого подозрительного объекта

Каков итог:
Имеется вполне рабочая ОС, наличие интернета больше не рискую проверять.
Всё бы хорошо, но антивиры то не работают!
Заметил интересное действие вредоноса – новых заражений файлов не происходит. Флэшку регулярно проверяю на компе с установленным кисом и Essential.
Все вредоносные действия сводятся к тому, что исполняемые файлы антивирусов после первого запуска получают ограниченные права доступа (Специальный доступ (DPO)), в результате чего не могут повторно запуститься.
При этом есть права на удаления файла, а на чтение или запись нет :sarcastic:
Для исправления достаточно установить стандартные права, но действует это до первого запуска.

В итоге удалось выяснить только то, что зверь маскируется хитрым образом и не даёт к себе прикасаться. Запускается вот так:
globalroot\device\svchost.exe\svchost.exe


В общем как то так…

Есть ли у кого свежие идеи, как извести этого зверя?

P.S.: Респект автору зверька!!! такого живучего зверя ещё не встречал

 

[akok]

Логи AVZ повреждены.

Лог Gmer можно увидеть?

 

[MadMaks]

Чем богаты
от Gmer есть только скрин, дальше при запуске сканирования он падает.
так же при создании логов падает и AVPTool.
AVZ выживает пожалуй только благодаря AVZGuard.


UP добавил в первый пост virusinfo_syscheck сделанный полиформным AVZ

 

[icotonev]

Добрый день ..!

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('globalroot\device\svchost.exe\svchost.exe');
  QuarantineFile('globalroot\device\svchost.exe\svchost.exe','');
  QuarantineFile('c:\docume~1\admin\locals~1\temp\uxtdqpoc.sys','');
  QuarantineFile('c:\docume~1\admin\locals~1\temp\wgprzmv.exe','');
  QuarantineFile('C:\WINDOWS\System32\Drivers\vbma40ce.SYS','');
  QuarantineFile('C:\WINDOWS\system32\DRIVERS\79036551.sys','');
  QuarantineFile('C:\WINDOWS\system32\DRIVERS\3926958drv.sys','');
  QuarantineFile('j:\autorun.inf','');
  DeleteFile('globalroot\device\svchost.exe\svchost.exe');
  DeleteFile('c:\docume~1\admin\locals~1\temp\uxtdqpoc.sys');
  DeleteFile('c:\docume~1\admin\locals~1\temp\wgprzmv.exe');
  DeleteFile('j:\autorun.inf');
 DeleteService('wgprzmv');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через этой формы

Выполните следующие инструкции:Как временно отключить эмуляторы дисков а затем:

Скачайте GMER по одной из указанных ссылок:
Gmer со случайным именем, Gmer в zip-архиве (перед применением распаковать в отдельную папку)
- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Подготовка стандартных логи соответствии с этими рекомендациями..!

 

[MadMaks]

Скрипты выполнил, отчёт отправил...

А зверь как сидел так и сидит
Gmer по прежнему падает при запуске сканирования.
Если не запускать сразу полное сканирование, то он даже даёт посмотреть остальные вкладки, все кроме процессов.
Если интересно, то могу остальное по скринить

Диск j это моя флэшка и не буду я с неё autorun.inf удалять, он мне ещё пригодиться

 

[icotonev]

Я вас не понимаю ... Вы что, шутишь ... Где логи...?

 

[MadMaks]

Я тоже не понимаю, внимательно ли вы читаете мои посты...

Согласно рекондаций логи от AVZ я выложил (только создаются они с ошибками, уже 4 раза пробовал пересоздать),
лог RSIT выложил,
лог HijackThis создать не могу так как он падает.

Сорри, сейчас получилось сделать читаемый лог virusinfo_syscure.
Прикрепляю к первому посту

 

[Sfera]

Добрый день. Добро пожаловать на safezone.cc.

Прикрепляю к первому посту

Это немного путает хелпера.
Пожалуйста, повторные логи крепите не в первый пост, а прикрепляйте к своим последующим постам.
Спасибо за понимание.

 

[icotonev]

Файлы в процессе обработки.

Ждем результатов...!

 

[MadMaks]

Пожалуйста, повторные логи крепите не в первый пост, а прикрепляйте к своим последующим постам.
Спасибо за понимание.

Хорошо, исправлюсь
Ранее, на других форумах практиковалось прикрепление в одном месте, вот я по привычке и леплю туда.
Хотя действительно лучше в разных постах, так можно проследить динамику

 

[icotonev]

MadMaks, В ожидании результатов можно сделать сканирование с помощью следующих инструментов:TDSSKiller и KidoKiller..!

 

[MadMaks]

Точно не Kido потому что у меня тут ни каких похожих на него симптомов.

В общем опять мимо
KK даже окно не может открыть, и повторно не запускается, значит на верном пути копаем раз зверь её потом блокирует )))
А TDSS отработала спокойно и повторно запускается без проблем.

 

[icotonev]

Как удалить Net-Worm.Win32.Kido (Conficker)


Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

 

[MadMaks]

Я тоже не понимаю, внимательно ли вы читаете мои посты...

Пробовал запускать:
AutoRuns, Process Explorer, HiJackThis, Runscanner, ComboFix, GMER, OTC, Anvirrus и много подобных – результат один, при обращении к процессу вредоноса все они снимаются и повторно не запускаются.

ComboFix снимается не успев открыть ни одно окно

Про Kido

Червь копирует свой исполняемый файл в системный каталог Windows со случайным именем вида:

%System%\<rnd>.dll, где <rnd> - случайная последовательность символов.

Все вредоносные действия сводятся к тому, что исполняемые файлы антивирусов после первого запуска получают ограниченные права доступа

других явных проявлений не наблюдается

+

KK даже окно не может открыть, и повторно не запускается

Замкнутый круг получается...
Будем подождать...
Подожду пару дней, авось ЛК добавит в базы детектирование этого зверька, не может же быть, что бы я один с этим столкнулся :unknw:

 

[icotonev]

Сделать этот лог..:Как подготовить лог помощи OSAM (Online Solutions Autorun Manager)

 

[MadMaks]

(((
Процес снимается на этапе "чтение объектов"
и как обычно повторный запуск невозможен из за изменённых прав доступа

 

[akok]

1. переименуйте combofix.exe в svchost.exe и попробуйте еще раз запустить.

2. Подготовьте такой лог

 

[MadMaks]

оба варианта не подходят.
ComboFix только показывает бегущую сроку на этапе распаковки и падает.
OTL запускается и работает до этапа сканирования, за тем падает и повторно уже не запускается.

Скачал AVPTool с сегодняшними базами, выполнил полную проверку, пусто. попытался создать отчёт и тут же тулсина благополучно слегла

 

[akok]

ок. Значит будем смотреть в сторону безопасного режима. Работает?

Если да, то начнем все запускать в обратном порядке... начнем с OTL.

 

[MadMaks]

Безопасный режим работает.
Да вот только вредонос и там там сидит, и все те же чудеса и там творятся.
Он блокирует все приложения которые пытаются получить доступ к его процессу.

Буду ежедневно скачивать AVPTool с актуальными базами и пробовать найти зверя.
Дня 3-4 попробую, а там видно будет.