Vír tvariaci sa ako Anti-Malavare program

[7777]

Včera som si z kurzu priniesol materiali, umiestnil som ich do sanboxu avastu, no po spustení sa mi počítač nakazil divným vírom. Tento vír sa tváril ako Anti-Malavare program a vyťažil Procesor, Pamäť, Disk, Sieť, GPU na 100%. Spotreba energie sa zvýšila na Veľmi vysoká. Process sa nedal vypnúť, zakaždým vypísalo prístup zamiernutí. Nakoniec som pomocou Windows Defendra dal možnosť "začať odznova". Tesne po skončení procesu mi systém šiel normálne, po prekopírovaní matrialov sa mi spustil najprv znova Anti-Malavare porgram z rovnakým vyťažením, tentoraz som ho ale dokázal vypnúť. Potom sa spustil skype zo rovnakým vyťažením, rovno som ho odinštalova. Problém je že sa mi rovnako spustí process správca úloh, ktorý vyťažuje rovnako systém ale po zhruba troch minútách sa prepne do normálu. Mám systém windows 10 64 bit. V prílohe posielam logy z FRst 64 a RSIT 64. Prosím o kontrolu logov, a informáciu ako by som mohol vyliečiť súbory materiali.

[Rudy]

Zdravím!
Spusťte tuto utilitu:

Ulozte na plochu AdwCleaner https://malwarebytes.com/adwcleaner/ nebo http://www.bleepingcomputer.com/download/adwcleaner/

ukoncete vsechny programy
odsouhlaste licencni podmiky (EULA) klikem na Souhlasim
kliknete pravym na ikonu AdwCleaneru a vyberte Spustit jako spravce (v pripade Win XP spustte obycejne dvojklikem)
kliknete na Skenovat nyni (Scan now), pote na Cisteni a opravy (Clean and Repair)
po restartu na Vas vyskoci log (pripadne jej najdete v C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt), jehoz obsah zkopirujte do pristi odpovedi

[7777]

Ani jeden s programov, nič nenašiel. Pred chvíľou sa spustil process "prerušenie systému" zasa 100% vyťaženie systému ale po troch minútach bol zasa preč.

[Rudy]

OK. Otevřte poznámkový blok a zkopírujte do něj:

Start

CloseProcesses:
C:\ProgramData\DP45977C.lfl

EmptyTemp:
End

Uložte na plochu jako fixlist.txt. Spusťte znovu FRST a klikněte na >Fix<. Po skončení akce se objeví log, který sem zkopírujte.

[7777]

Log je v prílohe.

[Rudy]

Smazáno. Nastala nějaká změna?

[7777]

Bohužiaľ nie, vír je stále aktívny. Zablokoval mi dokonca cmd prikazy.

[Rudy]

OK. Ještě uděláme sken AVPTool: http://www.viry.cz/forum/viewtopic.php?f=29&t=58179 . Utilitu stáhněte, spusťte, nechte pracovat a po skončení akce smažte vše, co najde.

[7777]

Spustil som ale program nenašiel ani jeden vír. Vír mi zablokoval cmd príkazový riadok.

[Rudy]

Takže je PC čisté.

1. Jak se ten Anti-Malware program jmenuje?
2. Pokud půjde odinstalovat, proveďte a pokud ne, zkuste obnovu systému k datu, kdy korketně fungoval.

V logu jsem nic podobného nenašel.

[7777]

Prepačte, že som sa dlho neozval. Ďakujem za všetku pomoc, čo som tu dostal. Vír, ktorý som dostal mi zablokoval celý bios. A tak som musel zavolať odborníka. Reštartoval bios a musel sa reinštalovať celý systém, musol som zmazať aj part d: lebo vír čo som si priniesol napada všetky exe súbory. Odborník mi maximálne povedal, nech neprenášam súbory pomocou usb disku. Zároveň mi povedal že šlo o 20 rokov starý vír,CIH, presnejšie o jeho modernejšiu modifikaciu.

https://en.wikipedia.org/wiki/CIH_(computer_virus)


V škole sa tento prejavoval len že odpájal klávesnicu,mysleli sme že ide o hw poruchu, žiadny bios ale nezablokoval. Vír prešiel Avastom, WinDefendorm, neskoršie som skúšal aj avg, not32. Samozrejme že pred tým som odinštaloval predošlí, antivírusové programy ale nič nenašli. Poradíte mi nejako by sa dalo proti takému brániť, zo školy si musím nosiť učebné materiali a testovacie súbory. Dokončujem si vysokú školu. V súčastnosti mám nainštalovaní Avast i WinDefender, pretože podľa technika zo školy, vraj sa tie anti-víry nebijú. Súbory sú pdf učebné materiali a súbory save cisco-packet tracer. Mám dojem ale že proti CIH sú neúčinné, neviete mi poradiť nejaký účinný čo by fungoval proti Cih a podobným neplechám?

[Rudy]

CIH je souborvý vir, ne který již nejsou současné antiviry stavěny. Vyskytuje se ve 2 verích. Jedna přepisuje bios pouze 26.4. a ta druhá každého 26. v roce. Obojí má za následek nemožnost nastartování PC. Staré antiviry ho našly a přepsané souobry vyčistily. Operační systém samotný virus obvykle nepoškodil. CIH jsem naposledy viděl někdy před rokem 2000.

[7777]

Ja mám ale nový pc, bios je už UEFI. Dá sa nejako avastu a podobným antivírovým spoločnostiam nahlásiť modifikácia tohto víru??? Je nejaká účinnejšia obrana?

[Rudy]

AV společnosti mají tech podporu. Na ni lze nahlásit cokoliv, co se týká jejich produktů. Pochybuji ale, že tento virus budou zařazovat do databáze v době, kdy už je min 15let po smrti. Je mi záhadou, odkud jste ho mohl chytit. Vir se šířil v době, kdy většina lidí neměla vůbec internet, takže přes zavirované diskety, případně CD. Osobně bych nečekal, že se někde ještě objeví.

Tach podpora Avast: https://www.avast.com/cs-cz/contacts .