• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Не работают антивирусные программы, вредонос заменяет параметры безопасности программ

Статус
В этой теме нельзя размещать новые ответы.

akok

Команда форума
Администратор
Сообщения
19,319
Реакции
13,335
Баллы
2,203
Есть еще один вариант развития событий. Запустите AVZ с включенным AVZGuard

После AVZ => AVZGUARD => Запустить приложение как доверенное

Выбирайте gmer и готовьте лог. Таким же путём можно запустить ComboFix.
 

MadMaks

Активный пользователь
Сообщения
150
Реакции
13
Баллы
408
Пробовал запускать как доверенные, ни чего не меняется.
AVZ и так запускаю с включенным AVZGuard, как уже писал только это его и спасет при сборе логов.
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
Как вариант - создайте ещё одну админскую учетную запись и под ней попробуйте сделать логи.
 

MadMaks

Активный пользователь
Сообщения
150
Реакции
13
Баллы
408
Скажу более! :)
Когда понял принцип защиты вредоноса, то попробовал более изысканный и извращённый вариант
Создал админскую учётку (test),создал папку с правом чтения и записи только для test, удалил все права для всех остальных учёток, в том числе системных. Сложил туда все проги для лечения и диогностики и давай пробовать.
В учётку test не заходил, а сидел под уже заражённой, запуская всё через runas и работая с виртуальной клавиатуры :D можно сказать слетал в космос.
Но и эти ухищрения не помогли. Приложения как снимались так и снимаются.

Хочу найти способ собрать логи с off-line системы. Пока получатся только лог AutoRuns при загрузке с другой винды или HirensCD но в том логе для меня ни чего нового нет
 
Последнее редактирование:

MadMaks

Активный пользователь
Сообщения
150
Реакции
13
Баллы
408
Пробовал запускать:
AutoRuns, Process Explorer, HiJackThis, Runscanner, ComboFix, GMER, OTC, Anvirrus и много подобных – результат один, при обращении к процессу вредоноса все они снимаются и повторно не запускаются.
Пока получатся только лог AutoRuns при загрузке с другой винды или HirensCD но в том логе для меня ни чего нового нет
.
 

MadMaks

Активный пользователь
Сообщения
150
Реакции
13
Баллы
408
IceSword я тоже пробовал, он зависает на глухо :(
Лог процессов сейчас выложу, Kernel Module сомневаюсь что получится сделать
 

MadMaks

Активный пользователь
Сообщения
150
Реакции
13
Баллы
408
Софтинка для меня новая, не знаю как ей пользоваться.
Попробовал методом тыка, в общем итог один, пару секунд сканирования и она закрывается.
 

akok

Команда форума
Администратор
Сообщения
19,319
Реакции
13,335
Баллы
2,203
MadMaks, эта софтина неплохо сканирует и лечит систему из под LiveCD.

Вот нашел готовую инструкцию. Раз свою смогу подготовить только вечером.
 

MadMaks

Активный пользователь
Сообщения
150
Реакции
13
Баллы
408
Сделал по инструкции.
Только с кодировкой не понял.
 

Вложения

  • 150.1 KB Просмотры: 7

akok

Команда форума
Администратор
Сообщения
19,319
Реакции
13,335
Баллы
2,203
MadMaks, вечером посмотрю.
 

akok

Команда форума
Администратор
Сообщения
19,319
Реакции
13,335
Баллы
2,203
Алгоритм такой. Делаем свежую точку восстановления.

Запускаем UVS (Файл - выполнить скрипт из файла)

Посмотреть вложение 4418

После запакуйте содержимое папки ZOO (в папке с UVS) и архив отправьте при помощи этой формы

Повторите лог UVS и попробуйте запустить AVZ.
 

MadMaks

Активный пользователь
Сообщения
150
Реакции
13
Баллы
408
не даёт скачать
вы не имеете прав для доступа к этой странице. Это может быть вызвано несколькими причинами:

1. Ваш аккаунт имеет недостаточно прав для доступа к этой странице. Вы пытаетесь редактировать чьё-то сообщение, использовать административные полномочия или прочие опции ограниченного доступа?
2. Вы пытаетесь написать сообщение, но ваш аккаунт отключён администрацией или ожидает активации.

Может в личку тогда уж киньте ссылку, а то как то глупо вот так вот подвиснуть то :)
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
19,319
Реакции
13,335
Баллы
2,203
Код:
;uVS v3.51 script [http://dsrt.jino-net.ru | http://dsrt.dyndns.org]

zoo %SystemDrive%\TEMP\SVCHOST.EXE
zoo %Sys32%\WINLOGON.EXE
delall %SystemDrive%\TEMP\SVCHOST.EXE
delref E:\AUTORUN.EXE
delall %SystemDrive%\TEMP\005FBA34.EXE
restart
В блокнот сохраните.
 

MadMaks

Активный пользователь
Сообщения
150
Реакции
13
Баллы
408
Скрипт выполнил, файл карантина отправил.
Повторил лог. Скоро попробую повторно запустить AVZ и отпишу о результатах
 

Вложения

  • 146.8 KB Просмотры: 3

MadMaks

Активный пользователь
Сообщения
150
Реакции
13
Баллы
408
Запустил AVZ, по моему ни чего не изменилось, процесс как сидел так и сидит.
 

akok

Команда форума
Администратор
Сообщения
19,319
Реакции
13,335
Баллы
2,203
Код:
;uVS v3.51 script [http://dsrt.jino-net.ru | http://dsrt.dyndns.org]


zoo %Sys32%\WGALOGON.DLL
zoo %Sys32%\DRIVERS\SFDRV01.SYS
zoo %SystemDrive%\PROGRAM FILES\WINRAR\RAREXT.DLL
zoo %SystemDrive%\PROGRAM FILES\K-LITE CODEC PACK\FILTERS\MADFLAC.AX
zoo %Sys32%\LEGITCHECKCONTROL.DLL
Еще один файл анализируется вирлабом.
 

MadMaks

Активный пользователь
Сообщения
150
Реакции
13
Баллы
408
Выполнил скрипт.
по прежнему не удаётся выполнить сканирование тем же HJackThis
Архив ZOO отправил
 

Вложения

Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу