Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Malwarebytes' Anti-Malware что-то не даёт запускаться (http://forum.oszone.net/showthread.php?t=132339)

byaka 18-02-2009 08:33 1041954

Malwarebytes' Anti-Malware что-то не даёт запускаться
 
При запуске Malwarebytes' Anti-Malware перезагружается рабочий стол, исчезает картинка ярлыка и при последующем запуске пишет, что путь заблокирован. Запускал через безопасный режим - все ок, вирусов не обнаружено. Что ему мешает? Иногда avast кричит, что обнаружен малваре в пути c:\windows\sistem32\x .

iskander-k 18-02-2009 08:50 1041962

byaka, Выложите логи в соответствии с этими инструкциями.

Pili 18-02-2009 09:47 1041989

byaka, c:\windows\sуstem32\x - это должен быть от Net-Worm.Win32. Kido
Предварительно отключите автозапуск со съемных носителей, включите брандмауэр windows и уберите в исключениях брандмауэра общий доступ к файлам и принтерам. Отключите компьютер от сети и проверьте систему с помощью KidoKiller_v3.2 (желательно в безопасном режиме). Рекомендую дополнительно почитать здесь. Если проблема не решится:

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска.
После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.
Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.
Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь (на русском)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Скачайте DDS и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, скопируйте текст из файлов DDS.txt и Attach.txt в сообщение или запакуйте файлы и вложите в сообщение.

byaka 18-02-2009 14:50 1042280

Вложений: 1
прикрепил логи согласно 1-го ответа

byaka 18-02-2009 15:16 1042309

Цитата:

Цитата Pili
проверьте систему с помощью KidoKiller_v3.2 (желательно в безопасном режиме) »

Ничего утилита не обнаружила

Pili 18-02-2009 15:39 1042336

byaka, по логам AVZ и hijackthis ничего плохого, c:\windows\sуstem32\x ещё обнаруживается? Попробуйте выполнить рекомендации поста 3.

byaka 19-02-2009 07:49 1042882

Вложений: 1
Цитата:

Цитата Pili
Попробуйте выполнить рекомендации поста 3. »

только утилита Gmer нашла вирус. Прикрепляю лог.

Цитата:

Цитата Pili
по логам AVZ и hijackthis ничего плохого »

Когда выполнялся 3й скрипт - avz ругался на подмену файлов красным шрифтом

akok 19-02-2009 10:08 1042959

А где все остальное?

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\WINDOWS\system32\jwsros.dll');
 DeleteService('dwicks', );
 BC_ImportDeletedList;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

byaka 19-02-2009 12:13 1043065

Вложений: 3
Цитата:

Цитата akok
А где все остальное? »

Прикрепил. ComboFix запустился только в безопасном режиме. С рабочего стола к нему так же был запрёщён доступ, как и к Malwarebytes' Anti-Malware, причем блокировка начиналась ещё в процессе закачивания утилиты. Скачивал в 3 приёма, через перезагрузку.

Цитата:

Цитата akok
Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". »

Скрипт запустил. Гадость нашлась. Комп перезагрузился. Запустил опять этот скрипт - опять таже гадость. Почему не удаляется? Прикрепляю лог avz_log

PS. Если что-то делаю не так - не ругайтесь :)

akok 19-02-2009 13:21 1043127

Давайте так:
Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
Код:

:Processes
explorer.exe

:Services
FXDRV
dwicks
:Files
C:\khs
C:\WINDOWS\system32\jwsros.dll
c:\windows\sуstem32\x
C:\xhapvu.exe
:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

И попробуйте ComboFix запустить. И подготовьте еще один лог gmer и DDS

byaka 20-02-2009 04:34 1043707

Вложений: 5
Цитата:

Цитата akok
Давайте так: »

Логи отправляю. ComboFix запускается только из безопасного режима.

Pili 20-02-2009 08:45 1043756

Цитата:

Цитата Pili
Предварительно отключите автозапуск со съемных носителей, включите брандмауэр windows и уберите в исключениях брандмауэра общий доступ к файлам и принтерам. »

Сделали?
Цитата:

Цитата Pili
Рекомендую дополнительно почитать здесь. »

Рекомендации описанные здесь выполняли? Утилиту wwdc использовали? Также там есть ссылки на заплатки и другие утилиты.
По видимому рекомендации были проигнорированы, т.к.
Код:

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

И OtmoveIt удалил вредоносную службу, но вы снова заразились, если бы выполнили рекомендации, то зловред был бы удален ещё скриптом из поста 8
Пока вы не выполните рекомендации по защите, лечение бесполезно (компьютер будет заражаться из сети снова)

Деинсталлируйте или Dr.Web или avast и оставьте один антивирус, в Spybot S&D отключите teatimer или также временно деинсталлируйте Spybot S&D
Запустите GMER, нажмите справа от вкладки Rootkit/Malware клавишу >>>, выберите вкладку Files. Появится аналог проводника. Найдите файл
Код:

C:\WINDOWS\system32\jwsros.dll
Нажмите Copy и скопируйте файл в отдельную папку, например C:\virus, далее нажмите Deletе для удаления файла и подтвердите удаление.
Нажмите справа от вкладки Rootkit/Malware клавишу >>>, Выберите вкладку Sevices найдите
Код:

dwicks
пр.кн.мыши - delete или, если будет недоступно, выберите disable и после перезагрузки запустите gmer и выберите - delete

Файл SysUtils.exe поищите на диске, можно с помощью AVZ или FAR, проверьте на virustotal.com, если зловред - перенесите в др. папку и запакуйте.
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение
Код:

File::
C:\WINDOWS\system32\jwsros.dll
c:\windows\sуstem32\x
Driver::
dwicks

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5298:TCP"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1f2a43eb-f3c0-11dc-bae5-00016cba8a71}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b23ab61e-6410-11dc-ba1f-00016cba8a71}]
[-HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\dwicks]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dwicks]
[-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\dwicks]

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe



Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Повторите лог gmer и DDS, а также скачайте GetSystemInfo (GSI) здесь или здесь, запустите, укажите с помощью обзора папку для сохранения протокола, полученный файл протокола в архиве прикрепите к сообщению.

byaka 20-02-2009 12:49 1043923

Цитата:

Цитата Pili
По видимому рекомендации были проигнорированы »

Прошелся ещё раз по рекомендациям, нашел пару упущений :) Всё повторил и с лечения по 8-му посту зловред был убит. Окончательно. Как Вы и написали. Всё теперь запускается, всё летает.

Всем Огромное Спасибо!!! И за терпение, и за разжевывание. :oszone:

Pili 20-02-2009 13:11 1043934

byaka, пожалуйста )
Скрипт combofix ещё сделайте из поста 12, там дополнительно ещё убивается мусор :)
Цитата:

8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Советую отключить неиспользуемые службы и настроить безопасность.
По службам можно почитать здесь, дополнительно по безопасности Windows XP можно почитать здесь, если что не нужно, скажите, можно будет отключить скриптом.

Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, не использовать Internet Explorer или отключить в нем ActiveX, использовать DropMyRights см. здесь и здесь или SanboxIE, пользоваться браузером Opera или Firefox c плагином NoScript и AdBlock Plus
Регулярно устанавливаете обновления - http://windowsupdate.microsoft.com и обновляйте антивирусные базы
По проблемам и вопросам, связанным с защитой ПК, советую посетить раздел Защита компьютерных систем

Советую прочитать
Безопасный Интернет. Универсальная защита для Windows ME - Vista,
Базовая концепция системы безопасности ОС Windows семейства NT
Вы можете оказать помощь в сборе и пополнении базы чистых файлов AVZ

byaka 20-02-2009 13:53 1043986

Вложений: 1
Цитата:

Цитата Pili
Скрипт combofix ещё сделайте из поста 12 »

Прикрепил.

Pili 20-02-2009 14:36 1044021

byaka, да, всё чисто. По отключения служб и настройкам безопасности вы ничего не написали по
Цитата:

Цитата Pili
если что не нужно, скажите, можно будет отключить скриптом. »

Если не скриптом. то можете настроить через реестр или групповую политику.
Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u
Запустите OTMoveIt3 и нажмите “CleanUp!”
Рекомендую в дальнейшем не отключать встроенный брандмауэр windows, а в случае использования стороннего файервола, грамотно прописывать правила для входящих и исходящих соединений.
Чистого вам интернета!

byaka 21-02-2009 06:03 1044625

Цитата:

Цитата Pili
По отключения служб и настройкам безопасности вы ничего не написали »

Да сходу и не могу сказать, что нужно а что нет. Этот комп на работе, раньше был в сети. Расшарен был максимально, даже в тех местах, про которые нормальный человек и думать не будет. :) Наверное кроме службы автообновления и времени ничего не нужно. В сеть выхожу через адсл либо через гпрс с помощью блютуз.

Цитата:

Цитата Pili
Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u
Запустите OTMoveIt3 и нажмите “CleanUp!” »

А это обязательно? Места они на диске много не занимают :)

Цитата:

Цитата Pili
Рекомендую в дальнейшем не отключать встроенный брандмауэр windows »

Я им пользоваться совсем не умею - он либо всё пропускает, либо блокирует наглухо

Pili 21-02-2009 09:57 1044685

Цитата:

Цитата byaka
Да сходу и не могу сказать, что нужно а что нет. Этот комп на работе, раньше был в сети»

Наиболее небезопасные службы и административный доступ к дискам уже отключены, т.е. безопасность системы в среднем настроена чуть выше, чем у остальных, появляющихся в этом разделе. Рекомендую ещё отключить доступ анонимного пользователя, скрипт AVZ
Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
end.

Цитата:

Цитата byaka
А это обязательно? Места они на диске много не занимают »

Не обязательно, но зачем вам мусор на компьютере? Если периодически хотите проверять систему, можете это делать с помощью CureIT, AVPTool, MBAM или другими антивирусами.
Цитата:

Цитата byaka
Я им пользоваться совсем не умею - он либо всё пропускает, либо блокирует наглухо »

Настройка брандмауэра Windows
По сторонним firewall читайте документацию, также выше была ссылка на раздел Защита компьютерных систем, в котором вы можете обсудить интересующие вас вопросы защиты.


Время: 17:07.

Время: 17:07.
© OSzone.net 2001-