Перейти к содержимому


Фото
- - - - -

Подозрение на вирус и не устанавливается DrWeb - нужен хелп


  • Please log in to reply
34 ответов в этой теме

#1 victor321

victor321

    Newbie

  • Posters
  • 15 Сообщений:

Отправлено 02 Август 2017 - 10:55

Всех приветствую!

 

Симптомы такие:
 
При первом запуске CureIt нашел ряд вирусов (аттачка cureit1st.jpg)
 
Сейчас CureIt ничего подозрительного не находит
 
не устанавливается ни один антивирус, в т.ч. Dr.Web
 
сканирование в режиме safe mode или при подключении как диск к другому компу тоже не находит вирусы (сканировалось разными антивирусами)
 
windows-обновления не работают
 
ряд файлов не удается создать в т.ч. в режиме safe mode (системные - gpt.ini, wscript.exe... либо файлы с названием исполняемых файлов антивирусов, processexplorer и т.д.). Файлы не создаются с ошибкой Access Denied ни в какой папке
 

Прикрепленные файлы:



#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 2 457 Сообщений:

Отправлено 02 Август 2017 - 10:55

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

  • Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
  • В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
  • Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
  • Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.



#3 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 231 Сообщений:

Отправлено 02 Август 2017 - 11:22

Зоопарк какой!


Личный сайт по Энкодерам - http://vmartyanov.ru/


#4 Nenya Amo

Nenya Amo

    Advanced Member

  • Posters
  • 608 Сообщений:

Отправлено 02 Август 2017 - 11:36

victor321, зверинец тот ещё, в топку  O_o



#5 pig

pig

    Бредогенератор

  • Helpers
  • 10 365 Сообщений:

Отправлено 02 Август 2017 - 13:24

Вот это:
O4 - HKLM\..\Run: [svchost] C:\Windows\svchost.exe
что такое и зачем?
Почтовый сервер Eserv тоже работает с Dr.Web

#6 victor321

victor321

    Newbie

  • Posters
  • 15 Сообщений:

Отправлено 02 Август 2017 - 13:44

Вот это:

O4 - HKLM\..\Run: [svchost] C:\Windows\svchost.exe
что такое и зачем?

 

 

ветку реестра зачистил, перезагрузился, все без изменений

файла svchost.exe по указанному пути небыло

 

Может есть еще какие-то идеи?



#7 Lvenok

Lvenok

    Poster

  • Posters
  • 1 507 Сообщений:

Отправлено 02 Август 2017 - 14:02

ИМХО возможно через групповые политики, SRP и т.п. запрещены многие действия. Либо ковыряться в настройках и реестре, либо если вообще все с этим плохо по возможности поставить винду с нуля, особенно, если Вы не продвинутый пользователь можете на подводные камни натыкаться и нежданчики потом часто, а откуда это искать причину очень долго.



#8 victor321

victor321

    Newbie

  • Posters
  • 15 Сообщений:

Отправлено 02 Август 2017 - 14:14

ИМХО возможно через групповые политики, SRP и т.п. запрещены многие действия. Либо ковыряться в настройках и реестре, либо если вообще все с этим плохо по возможности поставить винду с нуля, особенно, если Вы не продвинутый пользователь можете на подводные камни натыкаться и нежданчики потом часто, а откуда это искать причину очень долго.

 

локальные политики не работают по причине блокировки gpt.ini чем-то, там вообще пустые папки C:\Windows\SysWOW64\GroupPolicy* C:\Windows\System32\GroupPolicy*

 

доменные политики - дефолтовые, но и они не отрабатывают

 

если смотреть в реестре software restriction policy - все чисто и на уровне пользователя и на уровне компьютера

 

file screening файлового сервера тоже пустые

 

но какой-то процесс блокирует некий перечень файлов и ни один антивирус его не может найти



#9 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 231 Сообщений:

Отправлено 02 Август 2017 - 15:31

Пора заюзать старый-добрый RKU и GMER? Винда какая? Какая битность?


Личный сайт по Энкодерам - http://vmartyanov.ru/


#10 victor321

victor321

    Newbie

  • Posters
  • 15 Сообщений:

Отправлено 02 Август 2017 - 16:27

Пора заюзать старый-добрый RKU и GMER? Винда какая? Какая битность?

 

 

windows 2012 r2 64 bit



#11 IMAX_3D

IMAX_3D

    Member

  • Posters
  • 253 Сообщений:

Отправлено 02 Август 2017 - 16:35

Попробуйте проверить права доступа к папке TEMP. Бывает перезаписывают на RO и меняют владельца.



#12 victor321

victor321

    Newbie

  • Posters
  • 15 Сообщений:

Отправлено 02 Август 2017 - 19:05

Пора заюзать старый-добрый RKU и GMER? Винда какая? Какая битность?

 

GMER нашел 4 подозрительные службы (printspooler, google update, ...), службы были отключены и удалены

Последний скан GMER - в аттачке

 

Проблема осталась

Прикрепленные файлы:

  • Прикрепленный файл  gmer.log   35,19К   8 Скачано раз


#13 victor321

victor321

    Newbie

  • Posters
  • 15 Сообщений:

Отправлено 02 Август 2017 - 19:08

Попробуйте проверить права доступа к папке TEMP. Бывает перезаписывают на RO и меняют владельца.

 

все папки temp удалил - и в профиле пользователя и в c:\windows

 

эффекта ноль



#14 ast

ast

    Newbie

  • Virus Analysts
  • 77 Сообщений:

Отправлено 03 Август 2017 - 10:42

www.xuetr.com - скачать PCHunter1.51
Examination -> Hide safe items -> Generate examination report -> Export examination report
Лог прицепите сюда


#15 victor321

victor321

    Newbie

  • Posters
  • 15 Сообщений:

Отправлено 03 Август 2017 - 13:21

 

www.xuetr.com - скачать PCHunter1.51
Examination -> Hide safe items -> Generate examination report -> Export examination report
Лог прицепите сюда

 

 

В аттаче результаты сканирования. Спасибо!

 

Еще одно уточнение - все проверки-сканы делаю в Safe Mode

Прикрепленные файлы:



#16 Dmitry_rus

Dmitry_rus

    Massive Poster

  • Helpers
  • 2 536 Сообщений:

Отправлено 03 Август 2017 - 19:44

все проверки-сканы делаю в Safe Mode
...что не есть хорошо, т.к. в логах в этом случае может быть отражена не вся информация. В safe mode, как вам должно быть известно, стартуют далеко не все сервисы. В случае тяжелого заражения, действительно, первый скан и лечение в безопасном режиме могут иметь какой-то смысл, но потом все логи надо снимать в обычном режиме, если система в нем хоть как-то работоспособна.

#17 victor321

victor321

    Newbie

  • Posters
  • 15 Сообщений:

Отправлено 03 Август 2017 - 20:10

 

все проверки-сканы делаю в Safe Mode
...что не есть хорошо, т.к. в логах в этом случае может быть отражена не вся информация. В safe mode, как вам должно быть известно, стартуют далеко не все сервисы. В случае тяжелого заражения, действительно, первый скан и лечение в безопасном режиме могут иметь какой-то смысл, но потом все логи надо снимать в обычном режиме, если система в нем хоть как-то работоспособна.

 

 

Вирус активен в Safe Mode, зачем усложнять и сканировать в обычном режиме?

 

В том-то и дело что он где-то закопался в самых базовых сервисах-процессах


Сообщение было изменено victor321: 03 Август 2017 - 20:11


#18 ast

ast

    Newbie

  • Virus Analysts
  • 77 Сообщений:

Отправлено 04 Август 2017 - 12:20

т.е. на данный момент если запустить cmd.exe и выполнить
cd %temp%
echo aaa > dwengine.exe
echo aaa > procexp.exe
echo aaa > filemon.exe
echo aaa > wscript.exe
 
ни один файл создать не получится? ни под юзером, ни под админом
 
А если создать произвольный файл и через PCHunter-а (раздел File) его переименовать в "запрещенное" имя, получится?
И получится ли скопировать c:\windows\system32\wscript.exe в другое место, с другим именем


#19 victor321

victor321

    Newbie

  • Posters
  • 15 Сообщений:

Отправлено 04 Август 2017 - 13:13

 

т.е. на данный момент если запустить cmd.exe и выполнить
cd %temp%
echo aaa > dwengine.exe
echo aaa > procexp.exe
echo aaa > filemon.exe
echo aaa > wscript.exe
 
ни один файл создать не получится? ни под юзером, ни под админом
 
А если создать произвольный файл и через PCHunter-а (раздел File) его переименовать в "запрещенное" имя, получится?
И получится ли скопировать c:\windows\system32\wscript.exe в другое место, с другим именем

 

 

filemon.exe - создается, остальные - нет, ну и есть еще ряд блокируемых файлов (результаты в аттачке)

 

По поводу второй части вопроса

произвольный файл можно создать в explorer-е даже и переименовать в "запрещенное" имя

после переименования, файл перестанет запускаться с ошибкой access denied 5

 

 

c:\windows\system32\wscript.exe я уже удалил, можно взять с другой машины, под другим именем будет запускаться

cureit работает c рандомным именем

procexp - тоже, переименовываю, тогда запускается

 

но дистрибутивы антивирусов не проставить

Прикрепленные файлы:

  • Прикрепленный файл  cmd.jpg   54,62К   0 Скачано раз

Сообщение было изменено victor321: 04 Август 2017 - 13:16


#20 ast

ast

    Newbie

  • Virus Analysts
  • 77 Сообщений:

Отправлено 04 Август 2017 - 17:03

Похоже какой-то косяк в PCHunter-е. Минифильтры в отчет не попадают. Повторите еще раз:

 

PCHunter1.51
Examination:  Items to be detected - оставить только Kernel -> Generate examination report -> Export examination report



Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых