-
Junior Member
- Вес репутации
- 49
Вирус блокирует AVZ, AVZ его не детектит
Добрый день.
К сожалению логов исследования системы прислать не могу - зараза блокирует антивирусы. AVZ после запуска работает 2 секунды и закрывается. В скриптовом режиме, и переименованый также не работает.
Вирус подцепил еще летом, но комп все это время стоял в резерве.
Вирус кладет исполняемый файл и autorun.inf в корень диска, и кроме этого, похоже заражает (или подменяет) другие исполняемые файлы.
AVZ не определяет зараженные файлы. Только эвристикой определяет автозапуск.
Экземпляр вируса я отправил разработчикам AVZ.
Посоветуйте, что можно сделать в такой ситуации? Мне ведь даже перестановка системы не поможет - я не могу выкачать весь нужный софт из интернета, а все имеющиеся инсталяторы под подозрением и запускать их нельзя.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Скачайте в отдельную папку:
http://nikkollo.hotbox.ru/kuku.pif
В этой же папке создайте в блокноте текстовый файл с такой строкой:
Сохраните файл, переименуйте его в kuku.bat и запустите.
Если AVZ запустился, сделайте только пункт 2 раздела "Диагностика" правил и приложите здесь virusinfo_syscheck.zip.
(Внимание! В этом режиме AVZ блокирует многие операции на компьютере! Чтобы закрыть AVZ: меню "AVZGuard" - Отключить AVZGuard, затем, через несколько секунд, меню "Файл" - Выход)
-
-
Junior Member
- Вес репутации
- 49
AVZ запустился, лог исследования системы прикладываю.
-
Отключите Восстановление системы.
Отключите интернет.
Выгрузите/отключите антивирус/файрволл.
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('I:\nmvfm.pif','');
QuarantineFile('I:\autorun.inf','');
QuarantineFile('H:\ngra.pif','');
QuarantineFile('H:\autorun.inf','');
QuarantineFile('D:\uryy.exe','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\vqqo.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\CTFMON.EXE','');
QuarantineFile('C:\WINDOWS\System32\rundll32.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\onhslj.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
QuarantineFile('c:\windows\explorer.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\onhslj.sys');
BC_DeleteSvc('amsint32');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\vqqo.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\uryy.exe');
DeleteFile('H:\autorun.inf');
DeleteFile('H:\ngra.pif');
DeleteFile('I:\autorun.inf');
DeleteFile('I:\nmvfm.pif');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Запустите/включите антивирус/файрволл.
Подключите интернет.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Повторите лог virusinfo_syscheck.zip и приложите в теме.
-
-
Junior Member
- Вес репутации
- 49
Сделано. Но AVZ не смог прочитать исполняемые файлы в корнях дисков, в карантин эти файлы не попали.
-
У вас файловый вирус, скриптами в AVZ его не убить.
На здоровом компьютере скачайте Dr.Web LiveCD отсюда:
http://www.freedrweb.com/livecd/
и Kaspersky Virus Removal Tool отсюда:
http://avptool.virusinfo.info/
Запишите образом Dr.Web LiveCD диск CD-RW (например в Nero burning Rom - меню "Рекордер" - "Записать образ").
Загрузите больной компьютер с подготовленоого Dr.Web LiveCD и просканируйте им все диски.
Все что найдется - "лечить", что не лечится - "удалить". Флешку на время сканирования не удаляйте. По окончании сканирования загрузитесь в безопасном режиме и просканируйте все диски Kaspersky Virus Removal Tool.
-
-
Junior Member
- Вес репутации
- 49
Спасибо. Теперь все хорошо
-
Логи новые сделайте для контроля
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 12
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\rundll32.exe - Virus.Win32.Sality.bh ( DrWEB: Win32.Sector.22, BitDefender: Win32.Sality.3, NOD32: Win32/Sality.NBA virus, AVAST4: Win32:Sality )
- f:\\ngra.pif - Virus.Win32.Sality.bh ( DrWEB: Win32.Sector.23, BitDefender: Trojan.SalityStub.A, NOD32: Win32/Sality.NBA virus, AVAST4: Win32:Sality )
- g:\\nmvfm.pif - Virus.Win32.Sality.bh ( DrWEB: Win32.Sector.23, BitDefender: Trojan.SalityStub.A, NOD32: Win32/Sality.NBA virus, AVAST4: Win32:Sality )
-