короче в моем случае вирь лояльно относился к запуску большинства приложений офисного назначения... вобщем то детектил он по ходу не только по имени файла, но и по заголовкам окон (может и еще какие то умения в него заложены я хз - описываю то что запомнилось в процессе разбирательства). полиморфный АВЗ успешно пополнял ряды падших от руки виря... ранее он всегда выручал( тотал, утилиты от sysinternals, gmer и т.д ... все в топку
при попытке запустить неугодное вирю приложение убивалось вместе с приложением еще и spoolsv (диспетчер печати) и оболочка explorer.exe
как удалось выяснить - делал это зло ctfmon.exe.
надеюсь написал правильно т.к. пишу под семеркой, и тут языковая панель как то по другому реализована. а в ХП она запускается эксплорером. не знаю имело ли место самоубийство ctfmon.exe, но его гарантированный запуск обеспечивался запуском процесса explorer.exe, а он как известно перезапускается автоматически т.к. работа без рабочего стола и без панели инструментов - не работа
а... вот че запускалось из системного - msconfig! причем на вкладке автозагрузка были левые 2 записи в автозагрузке (в каком именно разделе - хз msconfig это не показывает
)
но эти пункты были отключены т.е. как бы не запускались по идее при старте системы. отключал ли он сам или что это было вообще я хз
файлы были:
1) [имя пользователя].exe в папке профиля этого пользователя где то глубоко. точный путь не запомнил и это стоило мне минут 10ти поиска по имени файла в профилях
временых файлов тонна, профилей несколько вобщем покурить время было. причем безрезультатно завершался поиск как этого, так и второго файла... wtf?
2) второй файл, который якобы автоматически запускался - многострадальный, популярный среди вирей и незаконный для папки windows - services.exe как и писал выше - файла найти не удалось
более того позднее поиск записей в реестре с именем как первого так и второго файла результатов тоже не дал.
кроме того при повторном запуске msconfig позднее несколько данных двух строк более не значилось в списке.
нет мне не привидилось и не выпало из памяти что я их сам удалил
точно-точно
итак мне нужен был срочно доступ в реестр + средство завершения процессов. process explorer в топке, регедит как и следует заблочен. запустился regworks которым я и искал записи с двумя выше привиденными файлами.
продолжил перебор своего антивирусного арсенала. дошол до утилиты, которая в ход шла очень редко т.к. всегда достаточно было procexp+autoruns+avz
утилита на самом деле прекраснейшая и внимания ей не удиляется лишь изза того, что она несколько сложнее вышеприведённого.
имя ей icesword (желающие кстати уже догадались, что по именам программ можно гуглить?) в ней есть и работа с файлами и работа с реестром и стандартный и очень грамотный секьюрити чекер.
запуск ее был удачным. почему - хз, но у нее есть одно свойство - заголовок окна всегда случайный - чтото наподобии "yeryYWEYr", хотя имя процесса равно имени файла. что спасло icesword неизвестно либо случайный заголовок, либо автор упустил из вида сию утилиту, либо еще чтото.
так же в ней есть мониторинг запуска и завершения процессов. с помощью него я и узнал кто рулил вечеринкой.
как узнал сразу грохнул все три процесса - spoolsv, explorer, ctfmon
внимательный читатель уже понял что все тут же вернулось на место с перезапуском гребаного explorer.exe
но тут вроде понятно - лезим в реестр, отключаем автоматическую перезагрузку оболочки и снова стреляем в троицу
с минуту было тихо и уже руки потянулись искать как бы подчистить за вирем всю его шнягу, но грамотный читатель уже понял почему троица вернулась да?
ага, долбаная служба печати. службы как известно перезапускаются автоматически при вылете...
ну и это тоже укротить можно. отключаю сию пакостную службу и снова стреляю
и вот она... тишина...
но только блин слишком тихо!! кроме картинки рабочего стола нифига не имею) ничего запустить нельзя т.к. некому обработать мои команды win+r, win+e и тому подобные f1-ны. Но тут опять спас icesword, хотя как выяснилось листать, удалять и копировать файлы он умеет, а вот запускать нет
тут пришлось выкручиваться. тут же в этом же ледяном мече лихорадочно ищу любой open\load\save и т.д. file
нахожу, переключаю тип файлов в диалоге открытия в ALL ищу ... самоу удобное будет тотал так ведь?) запускаю его из контекстного меню - выполнить. слава богу он запустился и на ногах стоял уверенно.
теперь у меня под рукой была любая утилита из моего арсенала)
вобщем далее стандартные действия, скан авз показал и исправил перехватчики всякие, но тут не буду акцентировать внимание на лог скана.
перейду к результатам autoruns.
там везде все было чисто - ни левых сервисов, ни драйверов ни-че-го кроме... appinit_dll. если я не ошибаюсь в этом ключе указывается какая дллка стартует при запуске любой программы способной запускаться. утверждать вобщем то не буду.
Но!
Там хранилось совершенно небывалое доселе)))) в первый раз как я туда ткнулся (замечу что ранее автозагрузку полностью не проверял ибо руками с редактором реестра просмотреть все возможные места автозапуска... да ну нафик) там было значение ... внимание ... [имя_одного_из_стандартных_шрифтов].ttf:XYZ
имя шрифта не помню т.к. сразу стало понятно, что тело вируса не в шрифте, да он даже запуститься не может если уж на то пошло! а вирь в альтернативном потоке XYZ у этого файла! имя потока конечно не такое, но тоже равнялось тупо набору символов. причем пока втыкал че к чему - значение appinit_dll менялось как душе угодно - например какой-нить inf файл из папки windows или еще чтото участвующее в системе.
сам механизм запуска вируса-призрака не знаю. видимо один из перехватчиков системных событий был установлен на запуск этого потока из очередного файла при обращении к оному либо еще как... тут уже хз.
вобщем вырублен он был жестко: очистка значения appinit_dll и тут же hard reset (это кнопочкой на системнике в смысле) т.к. при обычном завершении работы все вернулось бы на свои места - это понятно было.
под рукой не было утилит для работы с потоками нтфс кроме как streams.exe от сисинтерналс, но во первых она консольная и разбираться с ней (до этого плотно с ней не работал) не было времени. время шло к 17-00, а делов еще было куча.
поэтому вирус как бы не удален остался, но деактивирован и надеюсь навсегда) система стабильно и в полном обьеме работает.
поставил полный скан антивирусом всегод диска. завтра может вернусь к тому компу и полажу по потокам
хотя думаю скан антивирусом ничего не даст. по крайней мере пока что. возможно позже появятся в базах сигнатуры этой заразы
вобщем весело было
Чат
Фотогалерея
Главная
Страниц: 
Эпидемия Trojan.Winlock (Прочитано 33 036 раз)