37 ответов в этой теме

[Mandry]

После лечения свежим Cure It! вирусов (их было несколько - уже не могу вспомнить какие именно).
Один из них http://www.virustotal.com/ru/analisis/cc94...2ff7-1263278307
Сейчас свежие и CureIt и AVZ на компе ничего не находят.

Проблема заключается в том что при запуске компа ниодин исполняемый файл не запускается - выскакивает окно "<Полный путь имя файла> Отказано в доступе".
Рееестр, коммандная строка и прочие радости жизни были недоступны.
При рестарте в защищённом режиме с поддержкой коммандной строки - коммандняа строка запускалась и сразу исчезала.

Хоть какойто доступ к системе смог получить только таким извартом -
Запустился с ЛивСД : убрал в реестре блокировку реестра и переименовал cmd.exe в explorer.exe.
После рестарта вместо експлорера естественно запустился cmd
Из него запустить чтолибо не получается - история таже самая - Отказанов в доступе.
Загрузился с ЛивСД с него же с помощью ReNew добавил админа.
Прегрузился уже под новым админом.

При запуске программ - Отказано в доступе.
Все служебные msc загружаются.
Получилось запускать любые проги в том числе и regedit
через runas /user:Admin regedit.exe
Вот это мне и не понятно. Дело в том что именно под этим пользователем я и вошёл в систему.
Почемуже тогда через runas запускаются все проги а простым запуском нет?

Вот это я читал.

В [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths] почистил
В [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\<какое-то число>\Paths] тоже.

вобщем всё что описано по данной ссылке сделал.

Пробовал ещё plstfix.exe.
Прошерстил все политики и группы текущего пользователя админа.
Идеи как у меня так и в инете закончились.

Не могу понять что мешает нормальному запуску программ.

Сообщение было изменено Mandry: 15 Январь 2010 - 12:14

[Borka]

Попробуйте:
1. Удалить всю ветку Safer
2. Посмотрите, нет ли чего интересного в HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
3. Давайте логи по правилам.

[Mandry]

CureIt запустить не получается - я могу запускать программы только через runas. А кура сами знаете как запускается - распаковывается и запускает др екзешники которым "Отказано в доступе".
От двух других сканеров логи вот.

[Mandry]

Забыл написать коментарий по тому что увидел Хайджек.

1. Радмин - это нормально.

2. O20 - AppInit_DLLs: C:\WINDOWS\Help\recycle.chm:fF+IEA
тут сидел один из винлоков убитый курой (когда грузился с лив сд)

Прикрепленные файлы:

•  hijackthis_log.rar   2,36К   41 Скачано раз
•  RkU_log.rar   2,93К   55 Скачано раз

[Borka]

2. O20 - AppInit_DLLs: C:\WINDOWS\Help\recycle.chm:fF+IEA
тут сидел один из винлоков убитый курой (когда грузился с лив сд)

Почему не пофиксили? Пофиксите и посмотрите, не восстанавливаются ли записи:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,C:\WINDOWS\system32\sdra64.exe,
O4 - Startup: setup_9.0.0.722_09.12.2009_17-57.lnk = ?
O20 - AppInit_DLLs: C:\WINDOWS\Help\recycle.chm:fF+IEA

Похоже, суслик жив.

Сообщение было изменено Borka: 15 Январь 2010 - 15:51
добавлено

[Mandry]

Похоже, суслик жив.

Нет - суслик мёртв (то были просто остатки в реестре). Вот лог после фикса.

Прикрепленные файлы:

•  hijackthis_log.rar   2,28К   45 Скачано раз

[Borka]

Похоже, суслик жив.

Нет - суслик мёртв (то были просто остатки в реестре). Вот лог после фикса.

Мне вот это не нравится:

==============================================
>Stealth

Unknown thread object [ ETHREAD 0x848AA500 ] TID: 856
Address: 0x848705F0
Size: 592

И вот это:
Driver: C:\WINDOWS\system32\DRIVERS\58602861.sys
Address: 0xF233F000
Size: 5373952 bytes
вот это:
Driver: 58602862.sys
Address: 0xF766C000
Size: 53248 bytes
и вот это:
Driver: C:\WINDOWS\system32\DRIVERS\5860286.sys
Address: 0xF2ACA000
Size: 331776 bytes

Проверьте их на ВирусТотал и давайте-ка ВСЕ логи по правилам.

[pig]

А это не драйвера от AVPTool?

[Borka]

А это не драйвера от AVPTool?

А я знаю? ЕМНИП, там нет stealth...

[Mandry]

Мне вот это не нравится:

==============================================


>Stealth

Unknown thread object [ ETHREAD 0x848AA500 ] TID: 856
Address: 0x848705F0
Size: 592

Я не знаю что мне с этим делать.

И вот это:


Driver: C:\WINDOWS\system32\DRIVERS\58602861.sys
Address: 0xF233F000
Size: 5373952 bytes
вот это:
Driver: 58602862.sys
Address: 0xF766C000
Size: 53248 bytes
и вот это:
Driver: C:\WINDOWS\system32\DRIVERS\5860286.sys
Address: 0xF2ACA000
Size: 331776 bytes

Там ещё и 58602862.sys был - всех пропустил через вирус тотал - полный ноль.

Проверьте их на ВирусТотал и давайте-ка ВСЕ логи по правилам.

Сделал последние. Прилагаю.

Прикрепленные файлы:

•  hijackthis_log.rar   2,65К   40 Скачано раз
•  RkU_log.rar   2,9К   74 Скачано раз

[Borka]

И вот это:
Driver: C:\WINDOWS\system32\DRIVERS\58602861.sys
Address: 0xF233F000
Size: 5373952 bytes
вот это:
Driver: 58602862.sys
Address: 0xF766C000
Size: 53248 bytes
и вот это:
Driver: C:\WINDOWS\system32\DRIVERS\5860286.sys
Address: 0xF2ACA000
Size: 331776 bytes

Там ещё и 58602862.sys был - всех пропустил через вирус тотал - полный ноль.

Посмотрите свойства этих файлов. Если это от каспера - удаляйте.

Проверьте их на ВирусТотал и давайте-ка ВСЕ логи по правилам.

Сделал последние. Прилагаю.

А КуреИта? И на всякий случай - Гмера.

[Mandry]

Посмотрите свойства этих файлов. Если это от каспера - удаляйте.

Да касперсике - убил.

А КуреИта?

см. пост №3

я его могу запустить только изпод лив сд. Делать?

И на всякий случай - Гмера.

Сделал. Приложил.

Прикрепленные файлы:

•  gmer_log.rar   1,58К   42 Скачано раз

[Borka]

Ничего не понял... Вы файлы удалили, а они все равно в логе РкУ? Или лог ДО удаления?
Повторите лог РкУ ПОСЛЕ удаления дров от каспера.
Редактор реестра запускается? Диспетчер задач?

[Mandry]

Ничего не понял... Вы файлы удалили, а они все равно в логе РкУ? Или лог ДО удаления?
Повторите лог РкУ ПОСЛЕ удаления дров от каспера.

да рку -до удаления. Что было запрошено то я и сделал.

После удаления только лог Гмера причём между ним и последними логами Хайджека и РкУ только:

1.стандартная перезагрузка через диспетчер

2.запуск с лив сд - копирование 3-х файлов 5860286*.sys на флешку

3.рестарт на больную винду

4.собственно удаление файлов 5860286*.sys

Редактор реестра запускается? Диспетчер задач?

Диспетчер задач работает.

Рееестр запускаю через runas.

Ещё раз описываю текущую ситуацию:

1.Если запускать со штатным explorer.exe то сделать в системе ничего невозможно кроме открытия диспетчера по Ctrl+Alt+Del. Попытка запуска любого приложения различными способами приводит к выводу окна "Отказано в доступе".

2.Я заменил explorer.exe на cmd.exe переименованный в explorer.exe. При старте такой системы запускается этот explorer.exe(в девичестве cmd.exe).

Из него я делаю:

e:

cd far2

far

Far 2.0 благополучно запускается.

из него обычным способом ничего запустить нельзя - получаю всё тоже "Отказано в доступе". Но можно запустить любое приложение через runas.

Например, редактор реестра я запускаю runas /user:Andry regedit.

Отсюда же из фара обычным способом запускаются *.msc, т.е. имею доступ ко всем настройкам винды.

[Borka]

Первые два пункта из http://forum.drweb.com/index.php?showtopic...st&p=369581 делали?

[Mandry]

да. но по второму пункту я не уверен - потому что я раньше с этой веткой никогда не сталкивался.
Поврехностное сравнение с веткой из живой системы ничего подозрительного не дало.

[Borka]

да. но по второму пункту я не уверен - потому что я раньше с этой веткой никогда не сталкивался.
Поврехностное сравнение с веткой из живой системы ничего подозрительного не дало.

Давайте ветки сюда.

[Alexey_P]

В [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths] почистил
В [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\<какое-то число>\Paths] тоже.

- В HKEY_CURRENT_USER те же ключи тоже посмотрите.

[Mandry]

Давайте ветки сюда.

А почему "ветки"? Она же одна. Вот она. 

2 Alexey_P : Paths почищен по всему реестру.

Прикрепленные файлы:

•  ifeo.rar   4К   21 Скачано раз

[Borka]

Идей нет.