• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Не работают антивирусные программы, вредонос заменяет параметры безопасности программ

Статус
В этой теме нельзя размещать новые ответы.

akok

Команда форума
Администратор
Сообщения
19,291
Реакции
13,320
Баллы
2,203
MadMaks, архив не получил. В этом скрипте я только карантинил.
 

MadMaks

Активный пользователь
Сообщения
150
Реакции
13
Баллы
408
какой конкретно архив и куда выложить?
Я уже путаюсь от количества логов и архивов :)
 

akok

Команда форума
Администратор
Сообщения
19,291
Реакции
13,320
Баллы
2,203
Я о папке ZOO после последнего скрипта.
 

MadMaks

Активный пользователь
Сообщения
150
Реакции
13
Баллы
408
В прошлый раз тут было 4 файла, но что бы не путаться я их удалил.
Сейчас выполнил ещё раз скрип, получил только один файл

[INFO]Не нужно карантины прикреплять к теме.[/INFO]
 

akok

Команда форума
Администратор
Сообщения
19,291
Реакции
13,320
Баллы
2,203
Стоп, диски H и F откуда появились?
 

MadMaks

Активный пользователь
Сообщения
150
Реакции
13
Баллы
408
Я подключал винчестер с заражённой системой к своему компьютеру.
Буквы дисков могут отличаться, потому что один раз я делал логи из под ХР а второй раз из под Семёрки
 

akok

Команда форума
Администратор
Сообщения
19,291
Реакции
13,320
Баллы
2,203
Это для основной системы
Код:
;uVS v3.51 script [http://dsrt.jino-net.ru | http://dsrt.dyndns.org]


delall %Sys32%\DRIVERS\VBMA40CE.SYS
Ну и продублирую в AVZ
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
  QuarantineFile('C:\WINDOWS\System32\Drivers\vbma40ce.SYS','');
  DeleteFile('C:\WINDOWS\System32\Drivers\vbma40ce.SYS');
 BC_ImportALL;
  ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте при помощи этой формы

Добавлено через 1 минуту 25 секунд
Больше мне не к чему придраться.
 

MadMaks

Активный пользователь
Сообщения
150
Реакции
13
Баллы
408
1. Не понял этого
Это для основной системы
я запускаю uVS только из под своей винды.

2. А смысл скрипта и карантина для AVZ если uVS удалит файл?
просто хочется понять смысл

3. после работы uVS пользовательская винда стала выпадать в ошибку
Не удаётся запустить Windows из-за испорченного или отсутствующего файла
windows\system32\config\system

:)

Вот что говорит Chkdsk
Проверка файловой системы на H:

Проверка файлов (этап 1 из 3)...
Обработано файловых записей: 103648.

Проверка файлов завершена.
Обработано больших файловых записей: 105.

Обработано поврежденных файловых записей: 0.

Обработано записей дополнительных атрибутов: 0.

Обработано записей повторного анализа: 2.

Проверка индексов (этап 2 из 3)...
Элемент vbma40ce.sys индекса $I30 в файле 0x1f указывает на неиспользуемый файл 0x10498.
Удаление элемента vbma40ce.sys из индекса $I30 файла 31.
Обработано записей индекса: 114354.

Проверка индексов завершена.


Проверка дескрипторов безопасности (этап 3 из 3)...
Обработано файловых SD/SID: 103648.

Очистка от неиспользуемых индексных записей 108 в индексе $SII файла 0x9.
Очистка от неиспользуемых индексных записей 108 в индексе $SDH файла 0x9.
Очистка 108 неиспользованных дескрипторов безопасности.
Проверка дескрипторов безопасности завершена.
Обработано файлов данных: 5354.

CHKDSK проверяет журнал USN..
Обработано байтов USN: 1266760.

Завершена проверка журнала USN
Windows проверила файловую систему. Ошибок не обнаружено.

Подниму винду и продолжим :training1:

Добавлено через 27 минут 48 секунд
Похоже это и был зверёк наш!!! :eek:
Долго же он нас мучал :D

Во всяком случае теперь все сканеры благополучно запускаются, а этот "зверь - отладчик" благополучно отчалил...
Код:
Virtual Bus for Microsoft ACPI-Compliant System
Path: C:\WINDOWS\system32\drivers\vbma40ce.sys
 

akok

Команда форума
Администратор
Сообщения
19,291
Реакции
13,320
Баллы
2,203
А смысл скрипта и карантина для AVZ если uVS удалит файл?
просто хочется понять смысл
Дублирование, вы могли запускать UVS при помощи LiveCD.

Добавлено через 3 минуты 20 секунд
MadMaks, самое интересное, что вирлабы так и не дали ответ о файле.
 

MadMaks

Активный пользователь
Сообщения
150
Реакции
13
Баллы
408
самое интересное, что вирлабы так и не дали ответ о файле
А мне после 2 попыток удалось ЛК уговорить:)
vbma40ce.sys - Rootkit.Win32.Agent.bmpe

Детектирование файла будет добавлено в следующее обновление.
Добавлено через 7 минут 19 секунд
На эту минуту в базах ещё нет детекта :(
http://www.securelist.com/ru/descriptions/10112041/Rootkit.Win32.Agent.bmpe
 

akok

Команда форума
Администратор
Сообщения
19,291
Реакции
13,320
Баллы
2,203
Еще проблемы наблюдаются?
 

MadMaks

Активный пользователь
Сообщения
150
Реакции
13
Баллы
408
Нет, теперь всё запускается и работает.
Для самоуспокоения поставил KIS он запускается и работает нормально,
хотя пока в упор не видит вредоноса в том файле.

Буду ждать обновления баз, потому что вчера заметил странное явление на своём компе
Выполнял uVS со своего основного компа подключив проблемный винчестер.
Работал из под ХР с КИСом 2011.
Перезагрузил свой комп и зашёл в Seven с установленным KIS 2012
увидел уведомление КИСа о неком драйвере procexp141.sys
Я конечно же выбрал "поместить в карантин"
Дак вот нет такого файла в карантине, нет и подробных логов об этом файле. Всё что нашёл
22.03.2011 13:57:44 Неизвестная программа Программа помещена в группу Доверенные

И сегодня утром увидел оповещение о том что найдено вредоносное ПО, нажал нейтрализовать, и тишина.
В 2012 GUI ещё сильно глючит, так что не знаю на кого и грешить, то ли ложное срабатывание, то ли ругнулся на мой какой софт,
то ли увидел не спрятанный в архив с паролем виручсоек из тех что я собираю себе на память с таких компов...
 

akok

Команда форума
Администратор
Сообщения
19,291
Реакции
13,320
Баллы
2,203

MadMaks

Активный пользователь
Сообщения
150
Реакции
13
Баллы
408
Да я не тороплюсь, подожду конечно.
По поводу этих алертов не сильно переживаю, всегда могу загрузиться в ХР а там стоит полноценный KIS 2011.
Да и симптомом у меня то нет ни каких, так что скорее всего заторможенное срабатывание, на что то моё.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу