34 ответов в этой теме

[victor321]

Всех приветствую!

 

Симптомы такие:

 

При первом запуске CureIt нашел ряд вирусов (аттачка cureit1st.jpg)

 

Сейчас CureIt ничего подозрительного не находит

 

не устанавливается ни один антивирус, в т.ч. Dr.Web

 

сканирование в режиме safe mode или при подключении как диск к другому компу тоже не находит вирусы (сканировалось разными антивирусами)

 

windows-обновления не работают

 

ряд файлов не удается создать в т.ч. в режиме safe mode (системные - gpt.ini, wscript.exe... либо файлы с названием исполняемых файлов антивирусов, processexplorer и т.д.). Файлы не создаются с ошибкой Access Denied ни в какой папке

 

Прикрепленные файлы:

•  cureit1st.jpg   208,54К   0 Скачано раз
•  hijackthis.log   8,85К   8 Скачано раз
•  drwebsysinfo.zip   6,42Мб   6 Скачано раз
•  cureit.rar   4,05Мб   4 Скачано раз

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
• В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

[v.martyanov]

Зоопарк какой!

[Nenya Amo]

victor321, зверинец тот ещё, в топку 

[pig]

Вот это:

O4 - HKLM\..\Run: [svchost] C:\Windows\svchost.exe

что такое и зачем?

[victor321]

Вот это:

O4 - HKLM\..\Run: [svchost] C:\Windows\svchost.exe

что такое и зачем?

 

 

ветку реестра зачистил, перезагрузился, все без изменений

файла svchost.exe по указанному пути небыло

 

Может есть еще какие-то идеи?

[Lvenok]

ИМХО возможно через групповые политики, SRP и т.п. запрещены многие действия. Либо ковыряться в настройках и реестре, либо если вообще все с этим плохо по возможности поставить винду с нуля, особенно, если Вы не продвинутый пользователь можете на подводные камни натыкаться и нежданчики потом часто, а откуда это искать причину очень долго.

[victor321]

ИМХО возможно через групповые политики, SRP и т.п. запрещены многие действия. Либо ковыряться в настройках и реестре, либо если вообще все с этим плохо по возможности поставить винду с нуля, особенно, если Вы не продвинутый пользователь можете на подводные камни натыкаться и нежданчики потом часто, а откуда это искать причину очень долго.

 

локальные политики не работают по причине блокировки gpt.ini чем-то, там вообще пустые папки C:\Windows\SysWOW64\GroupPolicy* C:\Windows\System32\GroupPolicy*

 

доменные политики - дефолтовые, но и они не отрабатывают

 

если смотреть в реестре software restriction policy - все чисто и на уровне пользователя и на уровне компьютера

 

file screening файлового сервера тоже пустые

 

но какой-то процесс блокирует некий перечень файлов и ни один антивирус его не может найти

[v.martyanov]

Пора заюзать старый-добрый RKU и GMER? Винда какая? Какая битность?

[victor321]

Пора заюзать старый-добрый RKU и GMER? Винда какая? Какая битность?

 

 

windows 2012 r2 64 bit

[IMAX_3D]

Попробуйте проверить права доступа к папке TEMP. Бывает перезаписывают на RO и меняют владельца.

[victor321]

Пора заюзать старый-добрый RKU и GMER? Винда какая? Какая битность?

 

GMER нашел 4 подозрительные службы (printspooler, google update, ...), службы были отключены и удалены

Последний скан GMER - в аттачке

 

Проблема осталась

Прикрепленные файлы:

•  gmer.log   35,19К   8 Скачано раз

[victor321]

Попробуйте проверить права доступа к папке TEMP. Бывает перезаписывают на RO и меняют владельца.

 

все папки temp удалил - и в профиле пользователя и в c:\windows

 

эффекта ноль

[ast]

www.xuetr.com - скачать PCHunter1.51

Examination -> Hide safe items -> Generate examination report -> Export examination report

Лог прицепите сюда

[victor321]

 

www.xuetr.com - скачать PCHunter1.51

Examination -> Hide safe items -> Generate examination report -> Export examination report

Лог прицепите сюда

 

 

В аттаче результаты сканирования. Спасибо!

 

Еще одно уточнение - все проверки-сканы делаю в Safe Mode

Прикрепленные файлы:

•  pchunter.txt   48,25К   6 Скачано раз

[Dmitry_rus]

все проверки-сканы делаю в Safe Mode

...что не есть хорошо, т.к. в логах в этом случае может быть отражена не вся информация. В safe mode, как вам должно быть известно, стартуют далеко не все сервисы. В случае тяжелого заражения, действительно, первый скан и лечение в безопасном режиме могут иметь какой-то смысл, но потом все логи надо снимать в обычном режиме, если система в нем хоть как-то работоспособна.

[victor321]

 

все проверки-сканы делаю в Safe Mode

...что не есть хорошо, т.к. в логах в этом случае может быть отражена не вся информация. В safe mode, как вам должно быть известно, стартуют далеко не все сервисы. В случае тяжелого заражения, действительно, первый скан и лечение в безопасном режиме могут иметь какой-то смысл, но потом все логи надо снимать в обычном режиме, если система в нем хоть как-то работоспособна.

 

 

Вирус активен в Safe Mode, зачем усложнять и сканировать в обычном режиме?

 

В том-то и дело что он где-то закопался в самых базовых сервисах-процессах

Сообщение было изменено victor321: 03 Август 2017 - 20:11

[ast]

т.е. на данный момент если запустить cmd.exe и выполнить

cd %temp%

echo aaa > dwengine.exe

echo aaa > procexp.exe

echo aaa > filemon.exe

echo aaa > wscript.exe

 

ни один файл создать не получится? ни под юзером, ни под админом

 

А если создать произвольный файл и через PCHunter-а (раздел File) его переименовать в "запрещенное" имя, получится?

И получится ли скопировать c:\windows\system32\wscript.exe в другое место, с другим именем

[victor321]

 

т.е. на данный момент если запустить cmd.exe и выполнить

cd %temp%

echo aaa > dwengine.exe

echo aaa > procexp.exe

echo aaa > filemon.exe

echo aaa > wscript.exe

 

ни один файл создать не получится? ни под юзером, ни под админом

 

А если создать произвольный файл и через PCHunter-а (раздел File) его переименовать в "запрещенное" имя, получится?

И получится ли скопировать c:\windows\system32\wscript.exe в другое место, с другим именем

 

 

filemon.exe - создается, остальные - нет, ну и есть еще ряд блокируемых файлов (результаты в аттачке)

 

По поводу второй части вопроса

произвольный файл можно создать в explorer-е даже и переименовать в "запрещенное" имя

после переименования, файл перестанет запускаться с ошибкой access denied 5

 

 

c:\windows\system32\wscript.exe я уже удалил, можно взять с другой машины, под другим именем будет запускаться

cureit работает c рандомным именем

procexp - тоже, переименовываю, тогда запускается

 

но дистрибутивы антивирусов не проставить

Прикрепленные файлы:

•  cmd.jpg   54,62К   0 Скачано раз

Сообщение было изменено victor321: 04 Август 2017 - 13:16

[ast]

Похоже какой-то косяк в PCHunter-е. Минифильтры в отчет не попадают. Повторите еще раз:

 

PCHunter1.51

Examination:  Items to be detected - оставить только Kernel -> Generate examination report -> Export examination report