Jefferson, 
19 de julho de 2014, 
Eu acredito que já comentei antes, aqui mesmo ou no Buzz, sobre como malware vem bloqueando a execução de antivirus através da corrupção dos descritores de segurança (NTFS) do diretório. Ontem eu esbarrei em um método mais sutil mas igualmente eficaz: aplicar uma diretiva de segurança no Registro que impeça o software de rodar.
É claro que isso só é possivel se o malware estiver rodando com privilégios de administrador, o que é a situação da grande maioria dos usuários no Windows XP e depende de um descuido do usuário no Vista em diante. Coisa muito fácil ocorrer.
Eu já havia eliminado manualmente a infecção da máquina quando esbarrei nesse problema. Se você não remover o malware antes, fazer o que está explicado aqui pode ser perda de tempo.
Sintomas
O ícone do Avast não aparecia na barra de tarefas mas o diretório estava lá, com aparentemente todos os arquivos e acessível para inspeção. Uma checagem com o Autoruns mostrou que o Avast estava configurado para ser executado, mas não rodava.
O HDD do cliente era FAT32, logo o problema dos descritores de segurança NTFS não se aplicava.
Desinstalei o Avast. Toda a desinstalação correu bem exceto por uma estranha mensagem dizendo que regsrv32.exe, no diretório do Avast, não podia ser executado devido a uma diretiva de restrição de software. Fui olhar o diretório e este estava vazio. Até esse ponto eu ainda não havia entendido o que estava ocorrendo.
Por precaução, rodei também o desinstalador completo do Avast. Nenhum erro foi exibido.
Mas depois de reinstalar o Avast o problema persistiu. O programa não rodou após a instalação, mesmo após reiniciar o PC. Nenhuma mensagem de erro era exibida.
Decidi executar manualmente e foi somente então que eu descobri o que estava ocorrendo. Assim que eu tentei rodar AvastUI.exe, foi exibida a mesma mensagem que eu havia visto antes a respeito de regsrv32.exe, mas indicando que desta vez AvastUI.exe é que estava bloqueado por uma diretiva de restrição de software. O diretório inteiro devia estar bloqueado.
“O Windows não pode abrir este programa devido a uma diretiva de restrição de software”
A mensagem também dizia que eu olhasse no log de eventos para mais informações. Eu olhei e não vi nada que parecesse útil.
Executei secpol.msc (é um programa nativo do Windows XP professional) e procurei por uma diretiva bloqueando o Avast. Não achei nada. Pior que isso, secpol.msc dizia “Nenhuma diretiva de restrição de software definida”.
Ou eu estava procurando no lugar errado ou era mais um caso onde o malware consegue fazer algo e esconder isso da GUI do Windows.
A solução
Então eu fui olhar manualmente no Registro. Depois de procurar onde eu supunha que ia achar as diretivas e não achar nada, decidi fazer uma busca por todas as referências a AvastUI.exe. Encontrei algo suspeito em
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths
Veja o conteúdo completo do backup que fiz antes de fazer modificações:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 |
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths] [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{00000001-2352-4E27-0000-A78FA6846795}] "ItemData"="C:\\Arquivos de programas\\Norton Internet Security\\Engine\\21.4.0.13\\NIS.exe" "Description"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{00000001-2352-4E27-0001-A78FA6846795}] "ItemData"="C:\\Arquivos de programas\\Norton Internet Security\\Engine\\21.4.0.13\\symerr.exe" "Description"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{00000080-2352-4E27-0000-A78FA6846795}] "ItemData"="C:\\Arquivos de programas\\AVAST Software\\Avast\\avastui.exe" "Description"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{00000080-2352-4E27-0001-A78FA6846795}] "ItemData"="C:\\Arquivos de programas\\AVAST Software\\Avast\\AvastSvc.exe" "Description"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{00000080-2352-4E27-0002-A78FA6846795}] "ItemData"="C:\\Arquivos de programas\\AVAST Software\\Avast\\AvastEmUpdate.exe" "Description"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{00000080-2352-4E27-0004-A78FA6846795}] "ItemData"="C:\\Arquivos de programas\\AVAST Software\\Avast\\*.exe" "Description"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{dda3f824-d8cb-441b-834d-be2efd2c1a33}] "Description"="" "SaferFlags"=dword:00000000 "ItemData"=hex(2):25,00,48,00,4b,00,45,00,59,00,5f,00,43,00,55,00,52,00,52,00,\ 45,00,4e,00,54,00,5f,00,55,00,53,00,45,00,52,00,5c,00,53,00,6f,00,66,00,74,\ 00,77,00,61,00,72,00,65,00,5c,00,4d,00,69,00,63,00,72,00,6f,00,73,00,6f,00,\ 66,00,74,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,5c,00,43,00,75,\ 00,72,00,72,00,65,00,6e,00,74,00,56,00,65,00,72,00,73,00,69,00,6f,00,6e,00,\ 5c,00,45,00,78,00,70,00,6c,00,6f,00,72,00,65,00,72,00,5c,00,53,00,68,00,65,\ 00,6c,00,6c,00,20,00,46,00,6f,00,6c,00,64,00,65,00,72,00,73,00,5c,00,43,00,\ 61,00,63,00,68,00,65,00,25,00,4f,00,4c,00,4b,00,2a,00,00,00 "LastModified"=hex(b):cc,8a,7d,24,24,84,cb,01 |
Apesar de não haver nenhuma indicação nessa chave de que se tratava de um bloqueio, achei suspeito que existisse referência aos dois antivirus que estavam instalados na máquina (eu já havia desinstalado o Norton por também não estar funcionando). Fiz o backup, apaguei todas as chaves exceto a última (a que não faz referência a nenhum diretório) e reiniciei o PC. Problema resolvido.
Note que uma das chaves faz referência a todos os executáveis do diretório Avast através de coringa (*.exe). Então eu tive sorte de encontrar procurando por AvastUI.exe.
A razão para isso não aparecer em secpol.msc? Eu fiz um pequeno teste aqui e constatei que, para decidir o que bloquear, o Windows somente olha as chaves sob a chave indicada aqui. Mas na hora de listar, ele começa por outra chave onde ele espera encontrar “links” para essas. Como o malware somente cria as mostradas aqui, as diretivas ficam “invisíveis” para a ferramenta nativa.
|
1 |
Texto de Jefferson Ryan - cópias fora de ryan.com.br não são autorizadas. |
Obrigado pelas informações, resolveu o meu problema que tenho o avast pago e nem o suporte deves havia conseguido resolver, apenas me mandaram desinstalar pelo modo de segurança e reinstalar desativando firewall e verificar se o usuário era adm do sistema.
Muito obrigado
Muito bom obrigaduuuuu!
vlw tava com o mesmo problema e ao reinicia o pc ele voltou ao normal. exatamente isso q vc falo só esqueceu de fala pra acha os registros executar>regedit
Resolveu o meu problema com o AVG. Obrigado.
Eu esqueci de registrar que a longa seqüência alfanumérica no último “ItemData” é apenas uma forma codificada da string:
%HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache%OLK*
Se você olhar pelo Regedit, é essa string que você vai ver. Mas o tipo de dado é REG_EXPAND_SZ e por isso quando é exportado para um arquivo .reg, a string é salva assim. A codificação é simples: cada dois bytes correspondem a um caractere ASCII codificado em hexadecimal. “25,00,48,00,4b,00” = “%HK”
muito bom Jefferson…voce é o cara… também consegui liberar meu avast bloqueado com essas dicas de edição do registro.. li diversos post , todos muito confusos, precisando instalar outros programas, etc.. etc…
Cara você é fera, funcionou perfeitamente, obrigadoo!