Решена Не работают антивирусные программы, вредонос заменяет параметры безопасности программ

[akok]

Есть еще один вариант развития событий. Запустите AVZ с включенным AVZGuard

После AVZ => AVZGUARD => Запустить приложение как доверенное

Выбирайте gmer и готовьте лог. Таким же путём можно запустить ComboFix.

 

[MadMaks]

Пробовал запускать как доверенные, ни чего не меняется.
AVZ и так запускаю с включенным AVZGuard, как уже писал только это его и спасет при сборе логов.

 

[Сашка]

Как вариант - создайте ещё одну админскую учетную запись и под ней попробуйте сделать логи.

 

[MadMaks]

Скажу более!
Когда понял принцип защиты вредоноса, то попробовал более изысканный и извращённый вариант
Создал админскую учётку (test),создал папку с правом чтения и записи только для test, удалил все права для всех остальных учёток, в том числе системных. Сложил туда все проги для лечения и диогностики и давай пробовать.
В учётку test не заходил, а сидел под уже заражённой, запуская всё через runas и работая с виртуальной клавиатуры можно сказать слетал в космос.
Но и эти ухищрения не помогли. Приложения как снимались так и снимаются.

Хочу найти способ собрать логи с off-line системы. Пока получатся только лог AutoRuns при загрузке с другой винды или HirensCD но в том логе для меня ни чего нового нет

 

[akok]

http://technet.microsoft.com/ru-ru/sysinternals/bb963902 - работает?

 

[MadMaks]

http://technet.microsoft.com/ru-ru/sysinternals/bb963902 - работает?

Пробовал запускать:
AutoRuns, Process Explorer, HiJackThis, Runscanner, ComboFix, GMER, OTC, Anvirrus и много подобных – результат один, при обращении к процессу вредоноса все они снимаются и повторно не запускаются.

Пока получатся только лог AutoRuns при загрузке с другой винды или HirensCD но в том логе для меня ни чего нового нет

.

 

[akok]

Понятно.

Добавлено через 27 минут 24 секунды
Попробуем вернутся к основам.
https://safezone.cc/forum/showthread.php?t=3

 

[MadMaks]

IceSword я тоже пробовал, он зависает на глухо
Лог процессов сейчас выложу, Kernel Module сомневаюсь что получится сделать

 

[akok]

Ну значит будем заходить в дебри
http://soft.oszone.net/program/8729/Universal_Virus_Sniffer_uVS/

 

[MadMaks]

Софтинка для меня новая, не знаю как ей пользоваться.
Попробовал методом тыка, в общем итог один, пару секунд сканирования и она закрывается.

 

[akok]

MadMaks, эта софтина неплохо сканирует и лечит систему из под LiveCD.

Вот нашел готовую инструкцию. Раз свою смогу подготовить только вечером.

 

[MadMaks]

Сделал по инструкции.
Только с кодировкой не понял.

 

[akok]

MadMaks, вечером посмотрю.

 

[akok]

Алгоритм такой. Делаем свежую точку восстановления.

Запускаем UVS (Файл - выполнить скрипт из файла)



После запакуйте содержимое папки ZOO (в папке с UVS) и архив отправьте при помощи этой формы

Повторите лог UVS и попробуйте запустить AVZ.

 

[MadMaks]

не даёт скачать

вы не имеете прав для доступа к этой странице. Это может быть вызвано несколькими причинами:

1. Ваш аккаунт имеет недостаточно прав для доступа к этой странице. Вы пытаетесь редактировать чьё-то сообщение, использовать административные полномочия или прочие опции ограниченного доступа?
2. Вы пытаетесь написать сообщение, но ваш аккаунт отключён администрацией или ожидает активации.

Может в личку тогда уж киньте ссылку, а то как то глупо вот так вот подвиснуть то

 

[akok]

;uVS v3.51 script [http://dsrt.jino-net.ru | http://dsrt.dyndns.org]

zoo %SystemDrive%\TEMP\SVCHOST.EXE
zoo %Sys32%\WINLOGON.EXE
delall %SystemDrive%\TEMP\SVCHOST.EXE
delref E:\AUTORUN.EXE
delall %SystemDrive%\TEMP\005FBA34.EXE
restart

В блокнот сохраните.

 

[MadMaks]

Скрипт выполнил, файл карантина отправил.
Повторил лог. Скоро попробую повторно запустить AVZ и отпишу о результатах

 

[MadMaks]

Запустил AVZ, по моему ни чего не изменилось, процесс как сидел так и сидит.

 

[akok]

;uVS v3.51 script [http://dsrt.jino-net.ru | http://dsrt.dyndns.org]


zoo %Sys32%\WGALOGON.DLL
zoo %Sys32%\DRIVERS\SFDRV01.SYS
zoo %SystemDrive%\PROGRAM FILES\WINRAR\RAREXT.DLL
zoo %SystemDrive%\PROGRAM FILES\K-LITE CODEC PACK\FILTERS\MADFLAC.AX
zoo %Sys32%\LEGITCHECKCONTROL.DLL

Еще один файл анализируется вирлабом.

 

[MadMaks]

Выполнил скрипт.
по прежнему не удаётся выполнить сканирование тем же HJackThis
Архив ZOO отправил