» Нет запуска файлов, в именах которых есть regedit cmd и bat

На днях столкнулся с такой проблемой: вызвали "сделать" недолеченный комп.

Windows XP SP2 (после установки SP3 проблема не исчезла).

Жалобы - время от времени неожиданно интернет эксплорер (6.0) вызывает критическую ошибку и закрывается. Чаще всего при открытии 2-3 и более окон, но иногда и 1 окна.
Если панель с сообщением об ошибке не закрывать, окна эксплорера продолжают работать, кроме одного, вызвавшего ошибку. Ошибка появляется на разных старницах и в разное время. Выявить связи с адресом или выполняемой задачей не удалось.
У интернет эксплорера отключены ВСЕ загруженные эддоны, проблема осталась.
После установки IE 7.0 вылеты прекратились.

Вирусов на компе не обнаружено (cureit (aka launch), nod32 и AVZ4 с последними обновлениями ничего не нашли).
Восстановление системы через AVZ не решило проблемы.

! Но дальнейшие разборки выявили странную вещь:

1. Попытка запустить ЛЮБУЮ программу, в имени которой есть следующее:
regedit
cmd
bat
вызывает невыполнение вызванной программы и ЗАКРЫТИЕ приложения, из которого программы вызывались. Т.е. нельзя запустить regedit.exe, regedit.com, iregedit.exe, 1.bat, 1.cmd, totalcmd.exe и просто cmd.exe.
Однако если переименовать regedit.exe в egedit.exe или totalcmd.exe в total.exe - запускается без проблем.
Возможно, что и другие какие то слова проверяются, но я пока не нашел их.

2. Если запускать эти файлы из Пуск-> Выполнить , то ЗАКРЫВАЕТСЯ эксплорер (т.е. схлапывается и перезапускается рабочий стол), если из тотал коммандера - то закрывается Тотал коммандер. Т.е. заметно, что закрывается "родительский" процесс.

Примечание:
1. ЕСЛИ файла с таким именем НЕТ (например, ввел oregedit.exe, а такого файла нет на диске), то закрытия "родителя" не происходит, а выводится стандартное окно об отсутствии файла.
2. Если во время перезапуска закрывшегося рабочего стола успеть запустить regedit.exe (или любой .cmd, .bat - например из тотал коммандера) - файл запускается. Ощущение, что при перезапуске рабочего стола программа-перехватчик не успевает перехватить запуск по имени и regedit запускается.

Найти причины такого поведения я не смог. Кто встречал такое и знает методику лечения?
А то запустить файлы .cmd .bat вообще нереально.

LShark

Попробуем так в avz
Обновить программу avz.exe через меню: Файл-Обновление баз (размер обновления примерно 2.2 Мб)
- В меню программы: AVZPM- "установить драйвер расширенного монитор. процессов"
- Перезагрузиться
- После перезагрузки обязательно отключите антивирус, файервол. Закройте Все программы (кроме avz)
- В меню программы: Файл-Стандартные скрипты - Отметить скрипт №3 -нажать выполнить отмеченные скрипты
- Дождаться окончания (появится сообщение Скрипты выполнены).
- Обязательно перезагрузитесь.
- В папке avz по окончании скрипта появится папка LOG (если этой папки не окажеться, значит вы не распаковывали программу!!!), в ней находится архив virusinfo_syscure.zip (не путать с архивом virusinfo_cure.zip!!!! ).
Этот файл выложить на любом файлообменнике и прислать ссылку

Попробую.

AVZ при проверках выше был с "толкьо что обновленными" базами.

раз делал кинь лог -гляну.

LShark
сканить-то можно чем угодно
И не факт что сигнатура сполняемой заразы занесена в базы...
А не проще проверить в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit и Shell
Уж больно по описанию в Примечании 2 похоже на старт оттуда...

yurkesha
ну дык мы и увидим этот кривой ключик запуска

Тонкости настройки в винлоган я проверил в первую очередь. Так же как и Run, RunOnce, подставы под дебаггеры и другие места запуска в реестре.

В диспетчере программ в процессах ничего неясного, все стандартные приложения. svchost.exe - 5 штук...

В сервисах тоже вроде ничего лишнего...

Чай не первый год замужем А тут так нарвался...


ЗЫ!!! ВАЖНО. Забыл написать - в безопасный режим входит без проблем и там эта проблема отсутствует.
В обычном режиме - Попытка убить все процессы по очереди ни к чему ни привела - проблема осталась даже при практически пустом списке запущенных процессов.

ЗЫЫ. Сейчас доступа к тому компу не имею, потому могу только сказать, "что я СДЕЛАЛ".
Скрипты и файлы смогу сделать позже, не раньше завтра.

Проверяйте дллки, подгруженные в процесс explorer.exe. Как понимаю по поведению, при закрытом или неуспевшем догрузиться эксплорере все отлично.
Лично я столкнулся с подобной проблемой, когда лечил от трояна, умевшего отлавливать вызовы WinAPI (или что там за это ответственно? наверное оно) на запись в реестр. Т.е. он не давал включить настройку "отображать скрытые файлы и папки".

Дллки, подгруженные в эксплорер, можно посмотреть с помощью ProcessExplorer - запускаем, нажимаем ctrl+L, ctrl+D и видим внизу список для выбранного процесса ---> проверяем на подозрительность. Алсо, очень помогут любые HIPS системы. Лично я использовал аутпостовский функционал, но я думаю, можно найти и что-нибудь попроще.

LShark
Ждем ждем поглядеть

Насчет дерева подпроцессов не подумал... Умная мысля приходит опосля... Надо попробовать.

Стоит Аутпост, заблокировано многое, но не все; но нет ничего страшнее, чем скучающая секретарша с безлимитным интернетом. А если просят установить что то, то зачем спрашивать? Надо, млять, устанавливать! Да побольше, побольше!

У аутпоста, есть такие фичи, как контроль за компонентами и важными ключами реестра. Я имел ввиду его вовсе не как фаервол, а как HIPS-систему.

LShark
А нового юзера создать не пробовал? Бывает это исправляет ошибки и глюки. А тут возможно остатки вируса неудаленные. Или зайти под администатором встроенным.

Цитата:

У аутпоста, есть такие фичи, как контроль за компонентами и важными ключами реестра.

Я это и имел ввиду. Но ничего не поможет. Блокировку поставить нельзя - "Ай, у меня не ставится эта фишка! Придите и включите мне ее.", а на запросы она с радостью отвечает всегда "Йэссс! Канэчно разрешить!" А спрашивать, что она ставила - получаешь истинно секретарский ответ "А я и не помню, много чего..."


Цитата:

А нового юзера создать не пробовал?

Под новым юзером проблема сохранилась. Как с эксплорером (с которой все началось), так и с ограничениями по словам.

Плохо то, что неясно, что это. В логах антивируса NOD32 нет ничего, что бы лечилось (а то я мог бы попытаться поискать по имени вируса, вдруг это уже всплывало). И блокировка какая то однобокая. Например, gpedit.msc запускается без проблем.

Такая точно ерунда происходит. Сегодня попробую LiveCD+cureit/ потом напишу что получились

таже хрень..
то-нить победил?

Grom81, была у меня такая ситуация на компе клиента, который Авирой вылечили от вирусов. Ни один антивирь вирусов больше не нашёл, но regedit.exe и regedit32.exe без переименования запускаться отказывались. Помог ComboFix http://www.spyware-ru.com/combofix/ После него всё заработало.


Добавлено:
Да, чтобы не было вопросов - в реестре ветку
Код: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\

Neon2, спасибо огромное за наводку, почитал http://www.combofix.org/
запустил без консоли восстановления (не люблю лишний геморрой), перезагрузка и проблемы нет!!

П.С.
в Реестре предварительно почистил, был дебагер левый (ну и файл левый прибил C:\Program Files\Microsoft Common\svchost.exe

Grom81, рад, что тебе мой совет помог. Почитал тут посты ещё раз и заметил, что до меня никто не написал про проверку политик, а в принципе не мешало бы в таких вот случаях первым делом проверить ветку реестра отвечающую за них.

Код: Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Network]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate]

[оффтоп]И тут этот combofix)))) Такое ощущение, что почти панацея. Наверное тоже воспользуюсь, если что-то такое возникнет.[/оффтоп]

LiveCD+cureit нашел svchost.exe;C:\Program Files\Windows Messenger;Trojan.Proxy.4890;Удален.;
проблема не решилась. Очень не хочется использовать combofix, т.к. хотелось бы знать что конкретно создает проблему но наверное придется....

Nickolay
попробуй то что в моем первом посте написано выполнить.
Брать отсель http://www.z-oleg.com\avz4.zip

вот блин, такая же фигня - правда, каспер вдруг объявил, что у меня "trojan-dropper.win32.agent.aocj", удалил, но поведение системы осталось тем же.
поиск в инете показал, что этот троян только-только занесён в базы каспера и описания пока нет.
пробовал скачать combofix, но он загружается, индикатор прогресса доходит до максимума и всё, программа закрывается. никаких сообщений не выдаётся.
блин, как избавиться?

zhmakE
Мои сообщения в это теме прочитай внимательно и выполни...

zhmakE

Цитата:

пробовал скачать combofix, но он загружается, индикатор прогресса доходит до максимума и всё, программа закрывается. никаких сообщений не выдаётся.

Отрывок из статьи на которую давал ссылку:

Цитата:

Не могу скачать Combofix.

Возможно спайваре блокирует загрузку программы. В этом случае попробуйте использовать другой компьютер для скачивания файла, после чего скопируйте его на инфицированный компьютер.

Добавлено:
Если нет такой возможности, то можно скачать его в виде запароленного архива здесь: http://webfile.ru/3460623. Пароль на архив: 123.

Neon2

Файл СКАЧИВАЕТСЯ, ЗАПУСКАЕТСЯ. при запуске (при запуске уже скачанной программы) выдаёт индикатор прогресса, доходит до конца и исчезает. не оставив никаких следов.
файл переименовывал - та же фигня

Заходим в AVZ4. Меню "Файл" - "Восстановление системы". Отмечаем галочками что нужно восстановить. Дальше и ComboFix должен запуститься. Я обычно до этих операций захожу в обычный Ccleaner и удаляю всё лишнее из автозагрузки. После только начинаю что-либо делать. Правда, есть специализированная мощная утилита "HiJackThis". Но, без навыков ней можно наковырять до полной неработоспособности.

01pump
сделал, лог работы AVZ хранится здесь:

http://narod.ru/disk/8275435000/virusinfo_syscure.zip.html

проблема не исчезла

zhmakE ты пробовал сделать, как я написал выше? Попробуй проверить на трояны. Ссылка на MalwareBytes Anti-malware: http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html?part=dl-10804572&subj=dl&tag=button
Ссылка на последнюю версию Curiet: ftp://ftp.drweb.com/pub/drweb/cureit/20090502153649/cureit.zip

сureit - ничего не нашёл

MalwareBytes - ничего не нашёл, базы скачать не удаётся - ошибку выдаёт. Выключал каспер полностью (может, думал, он мешает), стандартного брандмауэра нет - не помогло. базы не качаются, а с тем, что есть, выдаёт, что всё чисто

zhmakE
Кроме этого:
>> Модифицирован ключ запуска проводника ничего и не видно.
В логах каспера глянь что именно детектит каспер как trojan-dropper.win32.agent.a
Случаем не это c:\program files\prio\prio_svc.exe ?