Решена Не работают антивирусные программы, вредонос заменяет параметры безопасности программ
- Автор темы MadMaks
- Дата начала
- Статус
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Это для основной системы
Ну и продублирую в AVZ
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.
Полученный архив отправьте при помощи этой формы
Добавлено через 1 минуту 25 секунд
Больше мне не к чему придраться.
Код:
;uVS v3.51 script [http://dsrt.jino-net.ru | http://dsrt.dyndns.org]
delall %Sys32%\DRIVERS\VBMA40CE.SYSНу и продублирую в AVZ
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\Drivers\vbma40ce.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\vbma40ce.SYS');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.Полученный архив отправьте при помощи этой формы
Добавлено через 1 минуту 25 секунд
Больше мне не к чему придраться.
1. Не понял этого
2. А смысл скрипта и карантина для AVZ если uVS удалит файл?
просто хочется понять смысл
3. после работы uVS пользовательская винда стала выпадать в ошибку
Не удаётся запустить Windows из-за испорченного или отсутствующего файла
windows\system32\config\system
Вот что говорит Chkdsk
Подниму винду и продолжим :training1:
Добавлено через 27 минут 48 секунд
Похоже это и был зверёк наш!!!
Долго же он нас мучал
Во всяком случае теперь все сканеры благополучно запускаются, а этот "зверь - отладчик" благополучно отчалил...
я запускаю uVS только из под своей винды.
2. А смысл скрипта и карантина для AVZ если uVS удалит файл?
просто хочется понять смысл
3. после работы uVS пользовательская винда стала выпадать в ошибку
Не удаётся запустить Windows из-за испорченного или отсутствующего файла
windows\system32\config\system
Вот что говорит Chkdsk
Проверка файловой системы на H:
Проверка файлов (этап 1 из 3)...
Обработано файловых записей: 103648.
Проверка файлов завершена.
Обработано больших файловых записей: 105.
Обработано поврежденных файловых записей: 0.
Обработано записей дополнительных атрибутов: 0.
Обработано записей повторного анализа: 2.
Проверка индексов (этап 2 из 3)...
Элемент vbma40ce.sys индекса $I30 в файле 0x1f указывает на неиспользуемый файл 0x10498.
Удаление элемента vbma40ce.sys из индекса $I30 файла 31.
Обработано записей индекса: 114354.
Проверка индексов завершена.
Проверка дескрипторов безопасности (этап 3 из 3)...
Обработано файловых SD/SID: 103648.
Очистка от неиспользуемых индексных записей 108 в индексе $SII файла 0x9.
Очистка от неиспользуемых индексных записей 108 в индексе $SDH файла 0x9.
Очистка 108 неиспользованных дескрипторов безопасности.
Проверка дескрипторов безопасности завершена.
Обработано файлов данных: 5354.
CHKDSK проверяет журнал USN..
Обработано байтов USN: 1266760.
Завершена проверка журнала USN
Windows проверила файловую систему. Ошибок не обнаружено.
Проверка файлов (этап 1 из 3)...
Обработано файловых записей: 103648.
Проверка файлов завершена.
Обработано больших файловых записей: 105.
Обработано поврежденных файловых записей: 0.
Обработано записей дополнительных атрибутов: 0.
Обработано записей повторного анализа: 2.
Проверка индексов (этап 2 из 3)...
Элемент vbma40ce.sys индекса $I30 в файле 0x1f указывает на неиспользуемый файл 0x10498.
Удаление элемента vbma40ce.sys из индекса $I30 файла 31.
Обработано записей индекса: 114354.
Проверка индексов завершена.
Проверка дескрипторов безопасности (этап 3 из 3)...
Обработано файловых SD/SID: 103648.
Очистка от неиспользуемых индексных записей 108 в индексе $SII файла 0x9.
Очистка от неиспользуемых индексных записей 108 в индексе $SDH файла 0x9.
Очистка 108 неиспользованных дескрипторов безопасности.
Проверка дескрипторов безопасности завершена.
Обработано файлов данных: 5354.
CHKDSK проверяет журнал USN..
Обработано байтов USN: 1266760.
Завершена проверка журнала USN
Windows проверила файловую систему. Ошибок не обнаружено.
Подниму винду и продолжим :training1:
Добавлено через 27 минут 48 секунд
Похоже это и был зверёк наш!!!
Долго же он нас мучал
Во всяком случае теперь все сканеры благополучно запускаются, а этот "зверь - отладчик" благополучно отчалил...
Код:
Virtual Bus for Microsoft ACPI-Compliant System
Path: C:\WINDOWS\system32\drivers\vbma40ce.sys- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Дублирование, вы могли запускать UVS при помощи LiveCD.
Добавлено через 3 минуты 20 секунд
MadMaks, самое интересное, что вирлабы так и не дали ответ о файле.
А мне после 2 попыток удалось ЛК уговорить
Добавлено через 7 минут 19 секунд
На эту минуту в базах ещё нет детекта
http://www.securelist.com/ru/descriptions/10112041/Rootkit.Win32.Agent.bmpe
Нет, теперь всё запускается и работает.
Для самоуспокоения поставил KIS он запускается и работает нормально,
хотя пока в упор не видит вредоноса в том файле.
Буду ждать обновления баз, потому что вчера заметил странное явление на своём компе
Выполнял uVS со своего основного компа подключив проблемный винчестер.
Работал из под ХР с КИСом 2011.
Перезагрузил свой комп и зашёл в Seven с установленным KIS 2012
увидел уведомление КИСа о неком драйвере procexp141.sys
Я конечно же выбрал "поместить в карантин"
Дак вот нет такого файла в карантине, нет и подробных логов об этом файле. Всё что нашёл
22.03.2011 13:57:44 Неизвестная программа Программа помещена в группу Доверенные
И сегодня утром увидел оповещение о том что найдено вредоносное ПО, нажал нейтрализовать, и тишина.
В 2012 GUI ещё сильно глючит, так что не знаю на кого и грешить, то ли ложное срабатывание, то ли ругнулся на мой какой софт,
то ли увидел не спрятанный в архив с паролем виручсоек из тех что я собираю себе на память с таких компов...
Для самоуспокоения поставил KIS он запускается и работает нормально,
хотя пока в упор не видит вредоноса в том файле.
Буду ждать обновления баз, потому что вчера заметил странное явление на своём компе
Выполнял uVS со своего основного компа подключив проблемный винчестер.
Работал из под ХР с КИСом 2011.
Перезагрузил свой комп и зашёл в Seven с установленным KIS 2012
увидел уведомление КИСа о неком драйвере procexp141.sys
Я конечно же выбрал "поместить в карантин"
Дак вот нет такого файла в карантине, нет и подробных логов об этом файле. Всё что нашёл
22.03.2011 13:57:44 Неизвестная программа Программа помещена в группу Доверенные
И сегодня утром увидел оповещение о том что найдено вредоносное ПО, нажал нейтрализовать, и тишина.
В 2012 GUI ещё сильно глючит, так что не знаю на кого и грешить, то ли ложное срабатывание, то ли ругнулся на мой какой софт,
то ли увидел не спрятанный в архив с паролем виручсоек из тех что я собираю себе на память с таких компов...
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
похоже от Handle.
Поставьте предыдущую версию KIS, будет проще. Добавление в базы вредоноса может происходить в течении суток. Наберитесь терпения.
После лечения не забудьте очистить точки восстановления
Да я не тороплюсь, подожду конечно.
По поводу этих алертов не сильно переживаю, всегда могу загрузиться в ХР а там стоит полноценный KIS 2011.
Да и симптомом у меня то нет ни каких, так что скорее всего заторможенное срабатывание, на что то моё.
По поводу этих алертов не сильно переживаю, всегда могу загрузиться в ХР а там стоит полноценный KIS 2011.
Да и симптомом у меня то нет ни каких, так что скорее всего заторможенное срабатывание, на что то моё.
- Статус
Похожие темы
- Закрыта
