Версия для печати темы Нажмите сюда для просмотра этой темы в оригинальном формате

Форум программистов > Программное обеспечение > Чем лечить вирусы

Автор: ida 5.7.2009, 13:22

Работаю под Windows 2000 Pro SP4, в наличии ежедневно обновляющаяся Avira и Outpost. 1 июля ни с того ни с сего начал хрюкать флоппи-дисковод. Времени в тот момент разбираться с хрюканьем не было, поэтому я его просто отключила в Диспетчере устройств. В тот же день Outpost сообщил про процесс SVCHOST, который пытается соединиться с хостом nah77.biz по HTTP протоколу. Процесс добавила в фильтры и успокоилась, но машину на вирусы решила все-таки проверить. Avira нашла TR/Crypt.ZPACK.Gen в корне папки Documents and Settings учетной записи Администратора (под именем file.exe). Файл я удалила и, полагая, что на этом шоу закончилось, забыла про него. 2 июля Avira один раз ругнулась на тот же троян уже в корзине, но я не придала этому значения. Как выяснилось позже - зря  3 июля в ходе каких-то манипуляций с Outpost'ом я снова наткнулась на невразумительный SVCHOST, решила поиском выяснить, не забрался ли в систему посторонний процесс, и обнаружила файл svchost.exe с текущей датой в папке Program Files/Microsoft Common. Удалила его и успокоилась. 4 июля состоялась кульминация шоу. Система загрузилась без рабочего стола и панели задач - только девственный фон. Добравшись через анус до Проводника, я обнаружила, что он не запускается, выдавая ошибку: Не удается найти файл "explorer.exe" (или один из его компонентов). Проверьте правильность указания имени и пути, а также наличие всех необходимых библиотек. Антивирусная проверка нашла TR/PSW.WebMoner.GU в библиотеке msvcrt57.dll (находится в папке system32). Онлайновый антивирус Касперского нашел какой-то вирус в корзине в папках вида Dc<цифры> аж в трех экземплярах. Последовала жесткая чистка корзины, после чего этот вирус больше не обнаруживался. А вот библиотеку просто так не удалишь. Еще одна приятность - загрузить систему в защищенном режиме не удается, при выборе этого режима происходит самопроизвольная перезагрузка где-то в начале процесса. Итог: сутки плясок с бубном, TR/PSW.WebMoner.GU в системе, по-прежнему нет рабочего стола, не запускается Проводник. Вопрос в связи с этим волнует следующий: связано ли повреждение Проводника с зараженной библиотекой? И второй вопрос: как его восстановить? Переустановку винды, яд, убиться о стену не предлагать. Плановая смена системы ожидается, но чуть позже. Сейчас есть более приоритетные задачи.

Автор: BinaryShadow 5.7.2009, 14:29

Гы, пора переходить на окна7, а ты еще на 2000 сидишь. Хотя бы ХР поставь.

Автор: Akina 5.7.2009, 15:34

Восстановление возможно единственным способом - подключением всех ветвей реестра на другой машине и жёсткой чисткой из них всего, что автозагружается. Очень непросто - таких мест порядка 96 или 97 штук, и всё только вручную. Немного упростить себе задачу можно заменой NTUSER.DAT пользователя на дефолтный, взятый из Default user - порядка 30 точек при этом почистится, но всё связанное со станцией всё равно чистить руками. Ребут связан с ошибкой при загрузке какого-то модуля, который сейчас удалён (вирус). Хорошо, если он прописАлся как сервис, но не факт. См. описания очищенных вирусов - вдруг поможет. К сожалению, на оси последний СП, так что восстановление апдейтом поверх не пройдёт. Можно попробовать поставить поверх XP SP 2 той же языковой версии - вероятность поправить дело при этом полядка половины. Но если не поможет - то полученную кашу только под формат.

Автор: ida 5.7.2009, 17:43

Цитата(Akina @ 5.7.2009,  16:34) Восстановление возможно единственным способом - подключением всех ветвей реестра на другой машине и жёсткой чисткой из них всего, что автозагружается. Какой результат это даст? Сейчас результаты такие: найденный вирус в карантине Авиры, никаких других нет (проверила разными антивирусами, в т.ч. с загрузочного диска), но картина не изменилась - защищенный режим, Проводник и Рабочий стол в том же состоянии. Я не улавливаю связи между этим состоянием и библиотекой. Еще пара замечаний: explorer.exe по дате и размеру совпадает с родным (сравнили с другой установкой Win2000), а библиотека msvcrt57 была с текущей датой (на момент обнаружения вируса).

Автор: Akella 5.7.2009, 19:26

Цитата(ida @  5.7.2009,  13:22 ) Не удается найти файл "explorer.exe" (или один из его компонентов). Проверьте правильность указания имени и пути, а также наличие всех необходимых библиотек. У тебя наверное и исполняемые файлы не запускаются? Создай файл resexe.reg со следующим содержанием  Код REGEDIT4       [HKEY_CLASSES_ROOT\.exe]   @="exefile" "Content Type"="application/x-msdownload"     [HKEY_CLASSES_ROOT\.exe\PersistentHandler] @="{098f2470-bae0-11cd-b579-08002b30bfeb}"  И импортируй в реестр. Ну или посмотри что у тебя в соответствующих ключах реестра: в ключе HKEY_CLASSES_ROOT\.exe должно быть: значение по умолчанию: exefile ключ с именем Content Type должен иметь значение application/x-msdownload и т.д.

Автор: ida 5.7.2009, 19:31

Цитата(Akella @ 5.7.2009,  20:26) У тебя наверное и исполняемые файлы не запускаются? Из необходимого запускалось все, кроме Проводника. Запускала: regedit, Firefox, QIP, IE, MS Word, снималку экранов и еще некоторый специфический софт. Никаких проблем. Доступны также Панель управления и прочее, что относится к администрированию машины. Субъективно не работает только Проводник. Да, еще были косяки с подключением-отключением USB-накопителей.

Автор: Akella 5.7.2009, 19:36

Вот ещё http://support.microsoft.com/kb/311446/ru Добавлено через 3 минуты и 14 секунд Цитата(ida @  5.7.2009,  13:22 ) Не удается найти файл "explorer.exe" А сам файл-то существует в папке winnt? Кстати он должен быть только в этой папке.

Автор: ida 5.7.2009, 20:36

Цитата(Akella @ 5.7.2009,  20:36) А сам файл-то существует в папке winnt? Кстати он должен быть только в этой папке. Да. Цитата(ida @ 5.7.2009,  18:43) explorer.exe по дате и размеру совпадает с родным (сравнили с другой установкой Win2000) Проверили еще переменные окружения - там тоже все чисто.

Автор: Akella 5.7.2009, 21:39

Найди все вхождения explorer.exe в реестре. Помню был случай, когда вирус указал explorer.exe в качестве расширения файла. Вспомнить не могу и гугл не выручил. Добавлено через 2 минуты и 39 секунд И на всякий случай восстанови оригинальный файл из дистрибутива: expand explorer.ex_ c:\winnt\explorer.exe Добавлено через 7 минут и 27 секунд Кстати... у тебя дистрибутив есть? Можно установить ОС поверх существующей. Установщик винды после принятия лицензионного сообщения должен найти предыдущую копию ранее установленной винды. В этот момент жмёшь R и устанавливаешь винду пОверх существующей. Все файлы, настройки и т.д., всё сохраниться. Добавлено через 8 минут и 38 секунд И ещё такой вопрос. Ты ручками пробовала запустить Проводник через диспетчер задач? Та же ошибка?

Автор: Akella 5.7.2009, 21:55

Вспомнил!!!   Посмотри в реестре раздел HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options. Обрати внимание, что в разделе Image File Execution Options есть подразделы, так вот, удали оттуда подраздел explorer.exe.

Автор: Akina 5.7.2009, 22:00

Что-то я пропустил, что нормальгная загрузка проходит, пусть и без десктопа... Цитата(ida @  5.7.2009,  18:43 ) Я не улавливаю связи между этим состоянием и библиотекой. Эксплорер в папке есть, но не грузится с ошибкой. Это факт. Вариантов, когда такое может произойти, немного. 1) Имеется где-то файл с именем explorer.exe в каталоге, который находится в "PATH=" раньше, чем %windir%. Вряд ли, но всё-таки проверь... 2) В системе имеется алиас с именем explorer.exe, указывающий на другой исполняемый файл. Маловероятно, но всё-таки проверь... 3) explorer.exe грузит для своей работы чёртову уйму всяких расширений, хелперов и прочей дряни, что-то валится и уносит его за собой. Наиболее вероятная причина. Если есть возможность погрузиться в нормальном режиме, пусть и без рабочего стола, и запустить autoruns или там osam - можно попробовать выправить положение, вычистив лишнее и ссылки на несуществующее. Причём это касается как прямо указываемых файлов, так и косвенно загружаемых по цепочке CLSID-ов, а также зависимых и автозапускаемых служб. Где-то там скорее всего есть ссылка на файл, который содержал вирус. Теперь этого файла нет, попытка загрузить его приводит к ошибке. Но его загрузка помечена флагом критичности. В результате explorer не грузится, давая ошибку. 4) Где-то в реестре или файловой системе обвалены права. Тоже вполне возможно. Загрузиться аналогично предыдущему пункту и запустить filenom или procmon, а затем стартовать explorer и смотреть ошибки. Одно плохо - нормальный лог загрузки эксплорера тянет на десятки тысяч строк, угадишься копать.

Автор: ida 5.7.2009, 23:33

Цитата(Akella @ 5.7.2009,  22:39) И на всякий случай восстанови оригинальный файл из дистрибутива: expand explorer.ex_ c:\winnt\explorer.exe Пробовали подкладывать - никакого эффекта. Цитата(Akella @ 5.7.2009,  22:39) И ещё такой вопрос. Ты ручками пробовала запустить Проводник через диспетчер задач? Та же ошибка? Сэр!....  ну... я же не имбицил  через что только не запускали. Цитата(Akina @ 5.7.2009,  23:00) 1) Имеется где-то файл с именем explorer.exe в каталоге, который находится в "PATH=" раньше, чем %windir%. Вряд ли, но всё-таки проверь... Проверила. Нет. Цитата(Akina @ 5.7.2009,  23:00) 2) В системе имеется алиас с именем explorer.exe, указывающий на другой исполняемый файл. Маловероятно, но всё-таки проверь... А как это сделать? Цитата(Akina @ 5.7.2009,  23:00) 3) explorer.exe грузит для своей работы чёртову уйму всяких расширений, хелперов и прочей дряни, что-то валится и уносит его за собой. Наиболее вероятная причина. Если есть возможность погрузиться в нормальном режиме, пусть и без рабочего стола, и запустить autoruns или там osam - можно попробовать выправить положение, вычистив лишнее и ссылки на несуществующее. Причём это касается как прямо указываемых файлов, так и косвенно загружаемых по цепочке CLSID-ов, а также зависимых и автозапускаемых служб. Где-то там скорее всего есть ссылка на файл, который содержал вирус. Теперь этого файла нет, попытка загрузить его приводит к ошибке. Но его загрузка помечена флагом критичности. В результате explorer не грузится, давая ошибку. а что это за звери и как с ними работать?... и как не вычистить лишние? я же не знаю, что там должно быть и чего не должно. про ссылку на файл пока поняла. Цитата(Akina @ 5.7.2009,  23:00) 4) Где-то в реестре или файловой системе обвалены права. Тоже вполне возможно. Загрузиться аналогично предыдущему пункту и запустить filenom или procmon, а затем стартовать explorer и смотреть ошибки. Одно плохо - нормальный лог загрузки эксплорера тянет на десятки тысяч строк, угадишься копать. Если речь идет о правах файловой системы, то у меня FAT32

Автор: jhonyxakep 6.7.2009, 01:27

Цитата(ida @  5.7.2009,  13:22 ) Еще одна приятность - загрузить систему в защищенном режиме не удается, при выборе этого режима происходит самопроизвольная перезагрузка где-то в начале процесса. Сразу могу сказать что это, и как это лечить: Вирус-червь Sality заражает флешки, и РЕ программы, Проблемы с безопасным режимом можно вылечить утилиткой AntiSality. или Антивирусом Касперского 2009. Вроде другие версии не лечат. Цитата(ida @  5.7.2009,  13:22 ) 3 июля в ходе каких-то манипуляций с Outpost'ом я снова наткнулась на невразумительный SVCHOST, решила поиском выяснить, не забрался ли в систему посторонний процесс, и обнаружила файл svchost.exe с текущей датой в папке Program Files/Microsoft Common. Удалила его и успокоилась Поздравляю, вот так систему и убивают! Svhost всего-лишь запускает службы, внутри себя, но сам службой не является! После такого лутше слить у кого-нибудь основные файлы  Цитата(ida @  5.7.2009,  13:22 ) Переустановку винды, яд, убиться о стену не предлагать. А вариант восстонавления системы? Сама себя восстановит, а документы и программы останутся на месте  Цитата(ida @  5.7.2009,  13:22 ) Антивирусная проверка нашла TR/PSW.WebMoner.GU в библиотеке msvcrt57.dll (находится в папке system32). Онлайновый антивирус Касперского нашел какой-то вирус в корзине в папках вида Dc<цифры> аж в трех экземплярах. Последовала жесткая чистка корзины, после чего этот вирус больше не обнаруживался. А вот библиотеку просто так не удалишь. И лутше не надо  Вообще возьмите на вооружение утилитки типа Autoruns и Process Explorer. Они очень часто помогают, и они бесплатные

Автор: ida 6.7.2009, 11:26

Решила все-таки форматировать системный раздел и устанавливать заново.

Автор: Akella 6.7.2009, 12:44

Цитата(Akella @  5.7.2009,  21:55 ) Посмотри в реестре раздел HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options. Обрати внимание, что в разделе Image File Execution Options есть подразделы, так вот, удали оттуда подраздел explorer.exe. А это сообщение не заметила? Добавлено через 44 секунды Цитата(ida @  6.7.2009,  11:26 ) Решила все-таки форматировать системный раздел и устанавливать заново.    так не интересно.

Автор: ida 6.7.2009, 13:15

Akella, прошу прощения  Вот что мне написали в другом месте: Цитата загляните в ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ если существует папка "explorer.exe" или в какой-либо папке в этом разделе присутствует ключ "Debugger" - удаляйте и саму папку и то, на что указывает ключ (если это критический файл - надо заменить его чистым) Наверняка у вас там кто-то мохнатый поселился. После удаления запускайте експлорер. А вот что получилось: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe ключ Debugger указывает на тот файл svchost.exe, который я удалила (путь совпадает). Итого: - удалив ссылку на svchost.exe в ключе Debugger, получила запускающийся Проводник (и рабочий стол) - защищенный режим по-режнему недоступен Поиски продолжены в направлении библиотеки msvcrt57.dll (находится сейчас в карантине антивируса) На нее нашлись 4 ключа в папках: HKEY_USERS\S-1-5-21-2536523735-691057385-4206410819-1165\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\dll HKEY_CLASSES_ROOT\CLID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

Автор: Akella 6.7.2009, 14:51

Цитата(ida @  6.7.2009,  13:15 ) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe Подраздела explorer.exe не должно быть вообще в в разделе Image File Execution Options\ Добавлено через 6 минут и 45 секунд Цитата(ida @  6.7.2009,  13:15 ) Поиски продолжены в направлении библиотеки msvcrt57.dll  На сколько мне известно, то в случаях, когда винда просит себя активировать по SMS (есть такой вирус), то фигурирует в описаниях симптомов и эта библиотечка.

Автор: ida 6.7.2009, 15:32

Akella, у меня таких просьб не было - все же видимо антивирус помог. Но вопрос в следующем - удалять ключи совсем, или на их месте должно быть что-то полезное? Например, ссылки на другие библиотеки.

Автор: S.A.G. 6.7.2009, 16:35

Цитата(ida @  5.7.2009,  13:22 ) Добравшись через анус до Проводника Вирус жив ли, мертв ли, но сколько опыта, сколько опыта... Цитата(ida @  5.7.2009,  13:22 ) Переустановку винды, яд, убиться о стену не предлагать. Рекомендую почитать камасутру..

Автор: ida 6.7.2009, 16:38

S.A.G., да, аналитики действуют вот так  А программисты - так, как предложил Шэдоу

Автор: S.A.G. 6.7.2009, 16:39

ida, а если серьезно, то зря морочите голову.

Автор: ida 6.7.2009, 16:58

Моя голова сейчас ясна и свежа как никогда  Подобные задачи очень хорошо действуют на нейроны головного мозга

Автор: Akella 6.7.2009, 17:20

Цитата(ida @  6.7.2009,  15:32 ) Но вопрос в следующем - удалять ключи совсем, или на их месте должно быть что-то полезное? Например, ссылки на другие библиотеки.  А нет ли под рукой нормально работающей ОСи?

Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)