3 ответов в этой теме

[Smart_D15]

После установки операционки Win 7 со вшитыми обновлениями и лечения host-файла (в автоматическом режиме) несколько раз самопроизвольно отключался SplderGuard. Быстрое сканирование  ничего не выявило. Можно ли посмотреть по логам, в чём причина? Логи: https://disk.yandex.ru/d/fXkSGfbaJzmgUw

Прикрепленные файлы:

•  Окно ДрВеб.jpg   53,43К   0 Скачано раз

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Дождитесь окончания работы сканера Dr. Web или CureIt!, прежде, чем запускать DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист. Так как логи могут иметь большой объём, превышающий ограничения форума, то рекомендуем закачать их на какой-нибудь файлообменник, а на форуме указать ссылку.

2. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];

[B.Chugunov]

Что-то здесь как будто некоторые подробности опущены, что делали с системой.
Вижу вот тут Spider Guard и Engine просто не смогли запуститься после рестарта в 2:32:
2024-Jan-03 02:33:24.862818 [ 1508] [INF] [service] [service_main] !Set SERVICE_RUNNING successfully...Start

2024-Jan-03 02:33:27.624823 [ 1508] [INF] [local-service] Start service 'DrWebEngine' ...

2024-Jan-03 02:33:32.834232 [ 1508] [WRN] [local-service] DrWebEngine is 'Stopped'
В системном журнале видим в этот момент:

03.01.2024 2:33:27
Unable to create RPC server (Недостаточно памяти для завершения операции.)

2024-Jan-03 02:33:42.953449 [ 2572] [WRN] [components] SpIDerGuardG3 state changed: unknown -> failed. Client state is 4294967295, RPC status is The RPC server is unavailable.  (1722)

2024-Jan-03 02:33:42.953449 [ 2572] [WRN] [components] DwEngine state changed: unknown -> failed. RPC status is The RPC server is unavailable.  (1722)
Система была явно чем то сильно нагружена. По логам видно и установку\апдейт хрома и EasyCapture, Firefox тоже что-то ставил в этот промежуток. 
В итоге стартовали только где-то здесь:

2024-Jan-03 02:43:09.059506 [ 2572] [INF] [components] SpIDerGuardG3 state changed: failed -> unknown. Client state is 3, RPC status is The RPC server is too busy to complete this operation.  (1723)

2024-Jan-03 02:43:15.179782 [ 2576] [INF] [components] SpIDerGuardG3 state changed: unknown -> started. Client state is 6, RPC status is The operation completed successfully.  (0)

2024-Jan-03 02:43:15.179782 [ 2576] [INF] [components] DwEngine state changed: failed -> started. RPC status is The operation completed successfully.  (0)

Перед этим был целый каскад перезагрузок с интересными кодами:
03.01.2024 2:28:54

Процесс C:\Windows\system32\winlogon.exe (ADMIN-PC) инициировал действие "Перезапустить" для компьютера ADMIN-PC от имени пользователя ADMIN-PC\Adm по причине: Причина на перечислена Код причины: 0x500ff

03.01.2024 2:31:32

Процесс C:\Windows\SysWOW64\shutdown.exe (ADMIN-PC) инициировал действие "Перезапустить" для компьютера ADMIN-PC от имени пользователя ADMIN-PC\Adm по причине: Причина на перечислена Код причины: 0x800000ff
03.01.2024 2:32:49

Процесс C:\Windows\system32\winlogon.exe (ADMIN-PC) инициировал действие "Перезапустить" для компьютера ADMIN-PC от имени пользователя ADMIN-PC\Adm по причине: Причина на перечислена  Код причины: 0x500ff

 

И судя по всему является это все следствием того, что между делом останавливали превентивную защиту:
2024-Jan-03 02:31:19.542671 [ 3008] [INF] [DPH] set component 'app activity' state: disable
чтобы запустить какой-то активатор Windows Loader 2.2.2 by Daz. И делает он там что-то интересное в системе:
2024-Jan-03 02:31:20  
Windows Loader 2.2.2 by Daz\, cmd: cmd.exe /A /C "cmd.exe /c takeown /f C:\bootwin" 
Windows Loader 2.2.2 by Daz\, cmd: cmd.exe /A /C "icacls C:\bootwin /grant *S-1-1-0:(F)"
Windows Loader 2.2.2 by Daz\, cmd: cmd.exe /A /C "cmd.exe /c takeown /f C:\RHPEV"
Windows Loader 2.2.2 by Daz\, cmd: cmd.exe /A /C "C:\Windows\System32\cscript.exe //nologo C:\Windows\System32\slmgr.vbs -ilc "C:\Asus.XRM-MS""
еще и в бутсек полез
\Windows Loader 2.2.2 by Daz\, cmd: cmd.exe /A /C "C:\bootsect.exe /nt60 SYS /force"
A disk read error occurred BOOTMGR is missing BOOTMGR is compressed Press Ctrl+Alt+Del to restart
Windows Loader 2.2.2 by Daz\, cmd: cmd.exe /A /C "shutdown -r -t 0"

 

 

 

[Dmitry_rus]

Не исключено, что лоадер просит прямой доступ к диску, и получает по рукам от превентивки. Вот и отключали. Это Win 7 не только со вшитыми обновлениями (как утверждает ТС), но и со вшитым активатором... )