-
Junior Member
- Вес репутации
- 58
Вирус выключает компьютер!
Поймал вирус при включенном антивирусе NOD32 и Agnitum Outpost FireWall. При загружке вирус завершает работу приложений антивируса и файервола, не дает запустить таскменеджер, МСконфиг, реестр. При попытке запуска любой из антивирусных утилит включая moto перезагружает компьютер. В данный момент загрузился с резервной копиии Виндовс на том же диске. Подскажите как из резервной копии сделать логи и прислать Вам. Заранее спасибо!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Надо проверить основную при помощи AVPTool
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
Из под резервной системы запустил NOD32 с сегодняшним обновлением. Вирус нашел в папке system32 и убил его. Загрузил систему - все работает, только не запускается FireWall и Nod32. при попытке запустить вручную писал ошибку "Windows не может открыть эту программу, так как это запрещено политикой ограничений программ. За дополнительной информацией обратитесь системному администратору или откройте "Просмотр событий"."
В GPEdit.msc вручную добавил политики и прописал путь в этим приложения, теперь они запускаются. Но пропала в свойствах компьютера вкладка "Восстановление системы".
При попытке в AVZ запусть "Восстановление настроек системы" пишет "Access violation at adress 004E558A in module 'avz.exe'. Read of adress 31300009."
-
вот из этого ключа надо упоминание о Ноде удалить.
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths
Логи AVZ или AVPTool сделайте.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
В реестре исправил, спасибо!
Вот логи:
-
Junior Member
- Вес репутации
- 58
AVPTool поставил на скачку
-
Junior Member
- Вес репутации
- 58
-
Восстановление системы: включено --- надо отключить.
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINSP3\msdfmap.ini:Bps7','');
DeleteFile('C:\WINSP3\msdfmap.ini:Bps7');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINSP3\msdfmap.ini:Bps7', ''));
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), ',,', ','));
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторить лог.
Прислать карантин по Правилам.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
Карантин прислать могу (но он пустой), т.к. вирус я удалил через резервную системиу используя NOD32.