Avz обнаружен отладчик системного процесса
К этому моменту это уже не вопрос а констатация.
Запустил AVZ, обновил, стал включать все пимпы для проверки. При попытке включить AVZGuard - ошибка, не может без объяснений. Драйвер расширеного мониторинга процессов тоже не устанавливается.
В принципе, ясно, что система заражена и вирус препятствует лечению. Но я прежде не замечал, чтобы вирус блокировал AVZ.
Включил систему в SafeMode, запустил DrWebCureit. Уже один червяк обнаружен.
вчера для интереса решил обновить AVZ4 и о чудо! взял да и обновился, хотя долгое время не мог обновиться и выдавал такую ошибку (см.выше), интересно в чём же было дело? возможно внешка была загружена, хотя.
Да ладно AVZ Guard не запускается Когда пошла волна WinLocker'ов(ХОРОШИХ WinLocker'ов) которые блокировали практически все, натыкался на такие экземпляры которые как только видели AVZ(стоило только заити в папку с AVZ), дык вирь сразу орал АХТУНГ. АХТУНГ. АХТУНГ э МИНЭН. и сразу рубил все процессы и вырубал машину, дабы не дай бог AVZ его не вылечил. Боятся AVZ'дa, боятся значит уважают
Программа при запуске проверки или запуске скрипта вообще зависает (система Win7 x64) и в наушниках какие то постарение пикане появляется (у меня USB наушники)
Здравствуйте,так-как эта тема озаглавленна"Об AVZ" мне наверное сюда.
в антивирусе KIS2010 версия 9.0.0.736 ,наколько я понял эта утилита встроенна, при входе в "поддержку"\"трассировки" есть подзаголовок : "Выполнить скрипт AVZ" ,что наверное обусловленно тем,что сама утилита каким-то образом интегрированна в антивирус, утилите был автоматически присвоенн статус "слабые ограничения" при её первом запуске, при повторном запуске присвоенно "доверенные",GuardAVZ не запустился ,код ошибки :C0000061 , результат попытки ниже
Имя события проблемы: APPCRASH
Имя приложения: avz.exe
Версия приложения: 4.32.0.0
Отметка времени приложения: 2a425e19
Имя модуля с ошибкой: ntdll.dll
Версия модуля с ошибкой: 6.1.7600.16385
Отметка времени модуля с ошибкой: 4a5bdb3b
Код исключения: c0000005
Смещение исключения: 00032421
Версия ОС: 6.1.7600.2.0.0.256.1
Код языка: 1049
Дополнительные сведения 1: e8ad
Дополнительные сведения 2: e8adce1c2b9e7be834b4063ac3c53863
Дополнительные сведения 3: e8ad
Дополнительные сведения 4: e8adce1c2b9e7be834b4063ac3c53863
Мне пока ещё не ясна суть скопированных выше кодов,я лишь постарался изложить наиболее полную информацию по теме.
Ээээ. Так то Олег Зайцев, родитель AVZ, работает в лаборатории касперского как я знал. Поэтому интеграция в каспер вполне понятна. А вот то что блокирует, дык и собака за своим же хвостом гоняться любит. просто не стоит на этом болезненно заострять внимание. Каспер много любит делать невероятно-непонятного, главное уметь с ним общаться, и иногда прощать
Спасибо за комментарий, теперь мне известен родитель AVZ,информация мною изложенна для ознакомления,и возможного предупреждения вопросов по схожей тематике,при использовании продуктов лаборатории Касперского и попытке использования AVZ
Исполняемый файл рассылается в качестве вложения, находящегося в zip архиве. Вариантов имени может быть несколько, например your_documents.exe. Размер - 26 кб.
Текст письма собирается из имеющихся в теле письма строк-заготовок, вот несколько примеров для семейства червей Scano:
"Привет! Ты сегодня мне позвонишь. Я уже не могу ждать! Пока думаешь посмотри програмку которую тебе прислала, ну как? правда здорово?"
или
"Hi, how are you? What are your plans today? If you have time, please come o
ver, and don't forget to check the program attached. Bye!"
Идея таких писем проста - убедить пользователя извлечь исполняемый файл из архива и запустить его.
В момент запуска червь копирует себя в папку WINDOWS под именем csrss.exe (не следует путать его с одноименным системным файлом, который размещается в System32). Созданный файл запускается, а исходный завершает свою работу. В свою очередь процесс csrss.exe выполняет следующие операции:
1. Выполняет команду «svchost WINDOWS\csrss.exe»
2. Выполняет команду «services WINDOWS\csrss.exe»
После этого процесс csrss.exe завершает свою работу. Запуск при помощи svchost и services применяется для маскировки факта присутствия кода червя в памяти. В процессе работы червь проявляет функциональность Trojan-Downloader, пытаясь выполнить загрузку посторонних программ.
Для автозапуска червь регистрирует себя в качестве отладчика процесса explorer.exe, что детектируется эвристической проверкой системы AVZ:
Опасно - отладчик процесса "explorer.exe" = "C:\WINDOWS\csrss.exe"
Удаление файла csrss.exe приведет к исчезновению рабочего стола после перезагрузки ввиду того, что процесс explorer.exe не сможет запуститься (подробности см. После лечения вируса исчез рабочий стол ).
Удаление вручную:
1. Закрыть все программы кроме AVZ, активировать AVZ Guard
2. Удалить файл WINDOWS\csrss.exe (не путать с системным файлом WINDOWS\SYSTEM32\csrss.exe !!) при помощи отложенного удаления
3. Выполнить «Файл/Восстановление системы», там отметить пункт «Удаление отладчиков системных процессов» и нажать «Выполнить отмеченные операции»
4. Перезагрузиться не выходя из AVZ и не выключая AVZ Guard
Восстановление системы - это особая функция AVZ, которая позволяет восстановить ряд системных настроек, поврежденных вредоносными программами.
Микропрограммы восстановления системы хранятся в антивирусной базе и обновляются по мере необходимости.
Рекомендация: применять восстановление системы необходимо только в ситуации, когда имеется точное понимание того, что оно требуется и иных путей устранения проблемы (в частности - путем запуска мастера поиска и устранения проблем ) нет. Перед его применением настоятельно рекомендуется сделать резервную копию или точку отката системы. Важно отметить, что запуск некоторых операций восстановления на серверных операционных системах
На заметку: операции восстановления системы записывают данные автоматического резервного копирования в виде файлов формата REG в каталоге Backup рабочей папки AVZ.
Показания к применению: При нажатии кнопки "Поиск" в IE идет обращение к какому-то постороннему сайту
Данная микропрограмма восстанавливает настройки рабочего стола. Восстановление подразумевает удаление всех активных элементов ActiveDesctop, обоев, снятие блокировок на меню, отвечающее за настройки рабочего стола.
Показания к применению: Исчезли закладки настройки рабочего стола в окне "Свойства:экран", на рабочем столе отображаются посторонние надписи или рисунки
Windows предусматривает механизм ограничений действий пользователя, называемый Policies. Этой технологией пользуются многие вредоносные программы, поскольку настройки хранятся в реестре и их несложно создавать или модифицировать.
Возможные риски: у операционных систем различных версий существуют политики по умолчанию, и сброс политик на некие стандартные значения не всегда оптимален. Для исправления часто изменяемых вредоносными проблемами политик следует применять безопасный в плане возможных сбоев системы мастер поиска и устранения проблем
Данная микропрограмма сбрасывает ряд настроек проводника на стандартные (сбрасываются в первую очередь настройки, изменяемые вредоносными программами).
Возможные риски: минимальны, наиболее характерные для вредоносных программ повреждения настроек находит и исправляет мастер поиска и устранения проблем .
Показания к применению: AVZ обнаруживает неопознанные отладчики системных процессов, возникают проблемы с запуском системных компонент, в частности после перезагрузки исчезает рабочий стол.
Возможные риски: минимальны, возможно нарушение работы программ, использующих отладчик для легитимных целей (например, подмена стандартного диспетчера задач)
Некоторые вредоносные программы, в частности червь Bagle, повреждают настройки загрузки системы в защищенном режиме. Данная микропрограмма восстанавливает настройки загрузки в защищенном режиме.
Показания к применению: Компьютер не загружается в защищенном режиме (SafeMode). Применять данную микропрограмму следует только в случае проблем с загрузкой в защищенном режиме .
Возможные риски: высокие, так как восстановление типовой конфигурации не гарантирует исправление SafeMode. В плене безопасности мастер поиска и устранения проблем находит и исправляет конкретные поврежденные записи настройки SafeMode
Блокировка диспетчера задач применяется вредоносными программами для защиты процессов от обнаружения и удаления. Соответственно выполнение данной микропрограммы снимает блокировку.
Утилита HijackThis хранит в реестре ряд своих настроек, в частности - список исключений. Поэтому для маскировки от HijackThis вредоносной программе достаточно зарегистрировать свои исполняемые файлы в списке исключений. В настоящий момент известен ряд вредоносных программ, использующих данную уязвимость. Микропрограмма AVZ выполняет очистку списка исключений утилиты HijackThis
Показания к применению: Подозрения на то, что утилита HijackThis отображает не всю информацию о системе.
Очистка файла Hosts сводится к поиску файла Hosts, удалению из него всех значащих строк и добавлению стандартной строки "127.0.0.1 localhost".
Показания к применению: Подозрения на то, файл Hosts изменен вредоносной программой. Типичные симптомы - блокировка обновления антивирусных программ. Проконтролировать содержимое файла Hosts можно при помощи менеджера Hosts файла, встроенного в AVZ.
Выполняет анализ настроек SPI и в случае обнаружения ошибок производит автоматическое исправление найденных ошибок. Данную микропрограмму можно запускать повторно неограниченное количество раз. После выполнения данной микропрограммы рекомендуется перезагрузить компьютер. Обратите внимание ! Данную микропрограмму нельзя запускать из терминальной сессии
Обратите внимание ! Применять сброс настроек нужно только в случае необходимости при наличие неустранимых проблем с доступом в Интернет после удаления вредоносных программ !
Показания к применению: После удаления вредоносной программы пропал доступ в Интернет и выполнение микропрограммы "14. Автоматическое исправление настроек SPl/LSP" не дает результата.
Показания к применению: В ходе загрузки системы не запускается проводник, но запуск explorer.exe вручную возможен.
Выполняет резервное копирование настроек SPI/LSP, после чего уничтожает их и создает по эталону, который хранится в базе.
Обратите внимание ! Применять сброс настроек нужно только в случае необходимости при наличие неустранимых проблем с доступом в Интернет после удаления вредоносных программ ! Применять данную операцию только в случае необходимости, в случае, когда другие методы восстановления SPI не помогли !
Показания к применению: Данная операция нередко помогает в случае, когда после заражения Flash-вирусом в проводнике не открываются диски
Показания к применению: Данная операция помогает в случае, если некоторые сайты заблокированы при помощи некорректных статических маршрутов.
Возможные риски: средние. Важно отметить, что для работы некоторых сервисов у ряда Интернет-провайдеров статические маршруты могут быть необходимы и после выполнения подобного удаления их придется восстанавливать согласно инструкции на сайте Интернет-провайдера.
Заменяет в настройке всех сетевых адаптеров DNS сервера на публичные DNS от Google. Помогает в случае, если троянская программа подменила DNS на свои.
Возможные риски: средние. Следует учесть, что не все провайдеры позволяют использовать DNS, отличный от их собственного.
Для выполнения восстановления необходимо отметить один или несколько пунктов и нажать кнопку "Выполнить отмеченные операции". Нажатие кнопки "ОК" закрывает окно.
Восстановление бесполезно, если в системе работает троянская программа, выполняющая подобные перенастройки - необходимо сначала удалить вредоносную программу, а затем восстанавливать настройки системы
Для устранения следов большинства Hijacker необходимо выполнить три микропрограммы - "Сброс настроек поиска Internet Explorer на стандартные", "Восстановление стартовой страницы Internet Explorer", "Сброс настроек префиксов протоколов Internet Explorer на стандартные"
Любую из микропрограмм можно выполнять несколько раз подряд без значимого ущерба для системы. Исключения - "5.Восстановление настроек рабочего стола" (работа этой микропрограммы сбросит все настройки рабочего стола и придется заново выбирать раскраску рабочего стола и обои) и "10. Восстановление настроек загрузки в SafeMode" (данная микропрограмма пересоздает ключи реестра, отвечающие за загрузку в безопасном режиме), а также 15 и 18 (сброс и пересоздание настроек SPI).
Продолжая начатый некогда цикл, посвященный AVZ , хочу поделится с Вами еще рядом знаний по возможностям этой замечательной утилиты.
Сегодня речь пойдет о средствах восстановления системы, которые зачастую могут спасти Вам компьютеру жизнь после заражения вирусами и прочими ужасами жизни, а так же решить ряд системных проблем, возникающих в следствии тех или иных ошибок.
Полезно будет всякому.
Вводная
Перед тем как приступить, традиционно, хочу предложить Вам два формата материала, а именно: видеоформат или текстовый. Видео вот:
Ну, а текстовый ниже. Смотрите сами какой вариант Вам ближе.
Восстановление системы - это особая функция AVZ, которая позволяет восстановить ( реабилитировать) ряд системных настроек, поврежденных вредоносными программами.
Послесловие
Надо сказать, что работает оно на ура и избавляет от ряда лишних телодвижений. Так сказать, все под рукой, быстро, просто и эффективно.
Спасибо за внимание ;)
Белов Андрей (Sonikelf) Заметки Сис.Админа [Sonikelf's Project's] Космодамианская наб., 32-34 Россия, Москва (916) 174-8226
Восстановление системы - это особая функция AVZ, которая позволяет восстановить ряд системных настроек, поврежденных вредоносными программами.
Общее описание функционала программы
Что это же это за средства восстановления? Это набор микропрограмм и скриптов, которые помогают вернуть в рабочее состояние те или иные функции системы. Какие например? Ну, скажем, вернуть заблокированный диспетчер задач или редактор реестра, очистить файл hosts или сбросить настройки IE. В общем даю целиком и с описанием (взято из справки AVZ дабы не изобретать велосипед):
Полезно, не правда ли?
Теперь о том как пользоваться.
Если AVZ не запускается тогда переименуйте avz.exe в 22.exe
3. В окне программы выберите «Локальный диск (С:)
Установите галочки как на картинке.
После установки всех галочек как на картинках, нажимаем кнопку ПУСК и ждем окончания проверки.
По завершении сканирования зайдите в меню «Файл — Восстановление системы». 4. Отметьте 4, 19, 13-ый пункты и нажмите кнопку «Выполнить отмеченные операции». 5. Подтвердите выполнение операции и закройте программу.
И после этого перезагрузите компьютер.
Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Если после запуска AVZ - выскакивает окошко на пару секунд и потом пропадает и AVZ не работает.
Загрузка запуск, использование
Собственно все просто.
- Качаем отсюда (или откуда-нибудь еще) антивирусную утилиту AVZ .
- Распаковываем архив с ней куда-нибудь куда Вам удобно
- Следуем в папку куда мы распаковали программу и запускаем там avz.exe .
- В окне программы выбираем "Файл " - " Восстановление системы" .
- Отмечаем галочками нужные пункты и давим в кнопочку " Выполнить отмеченные операции ".
- Ждем и наслаждаемся результатом.
Вот такие вот дела.
Внимание . :
Читайте также: