Перейти к содержимому


Фото
- - - - -

не устанавливаются антивирусы

вирус помощь

  • Закрыто Тема закрыта
48 ответов в этой теме

#1 Румата

Румата

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 05 Май 2019 - 21:02

                Здравствуйте, началось со скачивания ребенком некой игры с Steam вылезла системная ошибка AppModule.exe точка входа не найдена , покопавшись в интернете попробовав несколько способов ее устранения ( обновил дрова видеокарты, обновил фраемворк, обновил c++) заподозрил вирус.                                              Хотел проверить онлайн ком на вирусы и тут опасения подтвердили , на сайты доктор веб касперский есет вирус тотал зайти не смог не пустило, хотя вообще в интернет пускало, пробовал разн способыми скачать различн утилиты, наконец смог скачать утилиту F-SecureOnlineScanner.exe   она даже запустилась и нашла 5 угроз полечил (касперских утилита вообще не запускалась и не выдавала ошибки, после этого смог зайти на сайт касперского, есет доктор веб, однако скачаная   пробная версия Security Space не установилась (ошибка 16) как впрочем и касперский с эсетом зато куреит установился и даже полечил, (утилиты от касперского даже не запустились, утилита есет полечила нашла кучу угроз но проблему это не решило,)лог куреита прилагаю, лог сведений собраных вашей утилитой тоже, помогите запустить антивирус  (вот еще заметил владельцем папки програм файл и диска С (системного) являться  TrustedInstaller и изменить я это не могу пишет нет доступа...)Прикрепленный файл  cureit.log   4,69Мб   1 Скачано раз            Прикрепленный файл  CHEGIVARA-ПК_Chegivara_050519_101342.zip   8,82Мб   4 Скачано раз       Прикрепленный файл  hijackthis.log   5,53К   5 Скачано раз  Не куреит не утилита от есет уже не видят ни каких угроз но антивирус я так поставить и не смог

 

 



#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 2 675 Сообщений:

Отправлено 05 Май 2019 - 21:02

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

  • Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
  • В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
  • Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
  • Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.



#3 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 640 Сообщений:

Отправлено 06 Май 2019 - 08:48

ESET-у не хватило прав. Запускали точно от админа? Каталог "C:\Program Files\ESET" существует?

MSI (s) (A4:14) [01:13:58:613]: Product: ESET Security -- Ошибка 1303. У программы установки недостаточно прав для доступа к этому каталогу: C:\Program Files\ESET\ESET Security.  Продолжение установки невозможно.  Войдите в систему в качестве администратора или обратитесь к системному администратору.

MSI (c) (74:68) [01:13:58:606]: Creating MSIHANDLE (2282) of type 790531 for thread 3176
MSI (c) (74:68) [01:13:58:606]: Closing MSIHANDLE (2282) of type 790531 for thread 3176
Ошибка 1303. У программы установки недостаточно прав для доступа к этому каталогу: C:\Program Files\ESET\ESET Security.  Продолжение установки невозможно.  Войдите в систему в качестве администратора или обратитесь к системному администратору.

Нужны логи тем SysInfo, ссылка на который в ответе робота.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#4 Румата

Румата

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 06 Май 2019 - 16:37

ESET-у не хватило прав. Запускали точно от админа? Каталог "C:\Program Files\ESET" существует?

MSI (s) (A4:14) [01:13:58:613]: Product: ESET Security -- Ошибка 1303. У программы установки недостаточно прав для доступа к этому каталогу: C:\Program Files\ESET\ESET Security.  Продолжение установки невозможно.  Войдите в систему в качестве администратора или обратитесь к системному администратору.

MSI (c) (74:68) [01:13:58:606]: Creating MSIHANDLE (2282) of type 790531 for thread 3176
MSI (c) (74:68) [01:13:58:606]: Closing MSIHANDLE (2282) of type 790531 for thread 3176
Ошибка 1303. У программы установки недостаточно прав для доступа к этому каталогу: C:\Program Files\ESET\ESET Security.  Продолжение установки невозможно.  Войдите в систему в качестве администратора или обратитесь к системному администратору.

Нужны логи тем SysInfo, ссылка на который в ответе робота

Логи вот этой утилиты ? dwsysinfo.exe дк в первом посте архив зип или речь идет о другой утилите,

Папки есет нет нигде на компьютере  опять скачал ESET запустил от имени администратора опять ошибка



#5 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 899 Сообщений:

Отправлено 06 Май 2019 - 16:52

>Логи вот этой утилиты ? dwsysinfo.exe дк в первом посте архив зип или речь идет о другой утилите,

 

Есть две версии данной утилиты. Нужны логи именно той, что скачивается по ссылке из сообщения робота.



#6 Румата

Румата

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 07 Май 2019 - 12:41

https://drive.google.com/file/d/15jOGRVHVeNZBgn2vrMVdbloG7LgGrULS/view?usp=sharingсвежий лог утилита скачана из сообщения робота



#7 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 640 Сообщений:

Отправлено 07 Май 2019 - 18:42

От ESET остались следы:
 
<item sid="HKLM" key="System\ControlSet001\Services\ESETCleanersDriver" value="ImagePath" data="\??\C:\Windows\system32\Drivers\ESETCleanersDriver.sys" />
<item sid="HKLM" key="System\ControlSet002\Services\ESETCleanersDriver" value="ImagePath" data="\??\C:\Windows\system32\Drivers\ESETCleanersDriver.sys" />

<file path="C:\Windows\system32\Drivers\ESETCleanersDriver.sys" size="170280" links="1" ctime="05.05.2019 01:14:30.315" atime="05.05.2019 01:14:30.315" wtime="05.05.2019 01:14:30.315" buildtime="23.10.2014 12:59:21.000">
	<attrib archive="true" value="20" />
	<hash sha1="fba2568ad00568c36f6c83e9423ff548fd447348" sha256="c78477093374ba57ddddc8f25e67397126af03700513d24128bda5c8ea8cff1a" />
	<arkstatus file="db_cert_white_list, signed, pe64, driver" cert="signed" cloud="unknown" type="unknown" />
	<verinfo company="ESET" descr="ESET Cleaners Driver" origname="ESETCleanersDriver.sys" version="1.1.0.0" product_name="ESET Cleaners Driver" product_version="1.1.0.0" file_version_ls="0" file_version_ms="65537" product_version_ls="0" product_version_ms="65537" />
	<certinfo timestamp="23.10.2014 13:04:11.000">
		<item subject="C=SK|ST=Slovakia|L=Bratislava|O=ESET, spol. s r.o.|OU=Digital ID Class 3 - Microsoft Software Validation v2|CN=ESET, spol. s r.o." issuer="C=US|O=VeriSign, Inc.|OU=VeriSign Trust Network|OU=Terms of use at https://www.verisign.com/rpa (c)10|CN=VeriSign Class 3 Code Signing 2010 CA" thumbprint="65afaa515036c38c9ec28248c453fb0f6b1e7094" sn="1fe3de40019f833aff5d55b998d712a8" from="07.05.2013 03:00:00.000" to="06.07.2016 02:59:59.000" />
		<item subject="C=US|O=VeriSign, Inc.|OU=VeriSign Trust Network|OU=Terms of use at https://www.verisign.com/rpa (c)10|CN=VeriSign Class 3 Code Signing 2010 CA" issuer="C=US|O=VeriSign, Inc.|OU=VeriSign Trust Network|OU=(c) 2006 VeriSign, Inc. - For authorized use only|CN=VeriSign Class 3 Public Primary Certification Authority - G5" thumbprint="495847a93187cfb8c71f840cb7b41497ad95c64f" sn="5200e5aa2556fc1a86ed96c9d44b33c7" from="08.02.2010 03:00:00.000" to="08.02.2020 02:59:59.000" />
		<item subject="C=US|O=VeriSign, Inc.|OU=VeriSign Trust Network|OU=(c) 2006 VeriSign, Inc. - For authorized use only|CN=VeriSign Class 3 Public Primary Certification Authority - G5" issuer="C=US|O=VeriSign, Inc.|OU=VeriSign Trust Network|OU=(c) 2006 VeriSign, Inc. - For authorized use only|CN=VeriSign Class 3 Public Primary Certification Authority - G5" thumbprint="4eb6d578499b1ccf5f581ead56be3d9b6744a5e5" sn="18dad19e267de8bb4a2158cdcc6b3b4a" from="08.11.2006 03:00:00.000" to="17.07.2036 02:59:59.000" />
	</certinfo>
</file>
Надо пройтись их ремувером и удалить остатки.

По поводу ошибкок установки АВ: после очистки от хвостов ESET-а выполните из cmd от админа:

dir /q /A "%ALLUSERSPROFILE%"
dir /q /A "%PROGRAMFILES%"

icacls "%ALLUSERSPROFILE%\Doctor Web"
icacls "%PROGRAMFILES%\ESET"

И покажите вывод.

Сообщение было изменено RomaNNN: 07 Май 2019 - 18:43

Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#8 Румата

Румата

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 07 Май 2019 - 22:37

Прикрепленный файл  cкриныCMD.jpg   188,81К   0 Скачано раз   ремувер есета ничего не нашел, смд выполнил скрины приложил, пока антивирус переустанавливать не пробовал после этих процедур можно пробовать установить ?      вот свежий лог сисинфо скачаной из сообщения робота https://drive.google.com/file/d/17ZFy4ktJft_4AXcsrkt8-U-RE2r3Yt5H/view?usp=sharing



#9 pig

pig

    Бредогенератор

  • Helpers
  • 10 640 Сообщений:

Отправлено 08 Май 2019 - 00:42

Картинки нечитаемые :(
Лучше вывод не на экран, а в файл:
dir /q /A "%ALLUSERSPROFILE%" >>c:\dirlist.txt
и так далее.
И готовый файл сюда.
Почтовый сервер Eserv тоже работает с Dr.Web

#10 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 640 Сообщений:

Отправлено 08 Май 2019 - 01:46

Да, интересно. Это последствия вируса, залочены не только ESET и Doctor Web, там каталоги для многих антивирусов есть. Заражение произошло 26 апреля в 19:42.

 

1) Судя по этому времени, Вам тут же Вам поставили RDP, поэтому злоумышленник до сих пор имеет доступ к Вашему компьютеру.

<file path="C:\Program Files\RDP Wrapper\rdpwrap.dll" size="116736" links="1" ctime="26.04.2019 19:43:16.383" atime="26.04.2019 19:43:16.383" wtime="26.04.2019 19:43:16.384" buildtime="10.12.2014 23:17:30.000">
	<attrib hidden="true" system="true" archive="true" value="26" />
	<hash sha1="b3892eef846c044a2b0785d54a432b3e93a968c8" sha256="798af20db39280f90a1d35f2ac2c1d62124d1f5218a2a0fa29d87a13340bd3e4" />
	<arkstatus file="unsigned, pe64, dll" cert="unsigned" cloud="unknown" type="unknown" />
	<verinfo company="Stas'M Corp." descr="Terminal Services Wrapper Library" origname="rdpwrap.dll" version="1.5.0.0" product_name="RDP Host Support" product_version="1.5.0.0" file_version_ls="0" file_version_ms="65541" product_version_ls="0" product_version_ms="65541" />
</file>
<key hive="HKLM" name="SOFTWARE\Wow6432Node\Microsoft\SystemCertificates" subkeys="13" values="0" lastwrite="26.04.2019">
	<key name="Remote Desktop" subkeys="3" values="0" lastwrite="26.04.2019 19:43:30.101">
		<key name="Certificates" subkeys="1" values="0" lastwrite="26.04.2019 19:43:30.102">
			<key name="4AA616EDB38B88A88921A453C7CBF16B1864287E" subkeys="0" values="1" lastwrite="26.04.2019 19:43:30.102">

Необходимо удалить RDP Wrapper. Просто удалить каталог нельзя (он плотно прописан в систему), поэтому надо скачать архив:

https://github.com/stascorp/rdpwrap/releases/download/v1.6.2/RDPWrap-v1.6.2.zip

 

Распаковать его и выполнить uninstall.bat с правами администратора.

 

Еще вижу активный TeamViewer, если не Вы его устанавливали, тоже удалите (он должен удалиться штатно через список установленных программ).

 

2) Далее: в реестре запрещено куча защитного софта:

 

 

<key hive="HKLM" name="SOFTWARE\Microsoft\SystemCertificates" subkeys="13" values="0" lastwrite="26.04.2019 19:43:30.099">

    <key name="Disallowed" subkeys="3" values="0" lastwrite="14.07.2009 07:49:06.169">
        <key name="Certificates" subkeys="27" values="0" lastwrite="08.02.2015 22:28:51.289">

 

<key hive="HKLM" name="SOFTWARE\Wow6432Node\Microsoft\SystemCertificates" subkeys="13" values="0" lastwrite="26.04.2019 19:43:30.099">
    <key name="Disallowed" subkeys="3" values="0" lastwrite="14.07.2009 07:49:06.169">
        <key name="Certificates" subkeys="27" values="0" lastwrite="08.02.2015 22:28:51.289">

 

Все ключи из:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\SystemCertificates\Disallowed\Certificates

 

надо удалить.

 

3) Видно еще следы:

C:\Windows\svchost.exe

C:\Windows\boy.exe

C:\ProgramData\lsass.exe

C:\ProgramData\lsass2.exe

C:\ProgramData\script.exe

C:\ProgramData\kz.exe

C:\ProgramData\olly.exe

 

 

Они нулевого размера, так что, видимо, тоже заглушки чтобы просто было невозможно установить софт для защиты/отладки/лечения.

Вам надо проверить каталоги:

C:\Windows\

C:\ProgramData\

C:\Program Files\

C:\Program Files (x86)\

На предмет файлов и каталогов, созданных 26.04.2019 19:43 (их видно в выводе команды "dir /q /A") и удалить (например, командами rmdir для каталогов и del для файлов)

 

После этого всего поставьте Dr.Web Security Space (хотя бы пробный период) и сообщите, что получилось.


Сообщение было изменено RomaNNN: 08 Май 2019 - 09:43

Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#11 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 640 Сообщений:

Отправлено 08 Май 2019 - 01:54

Сама малвара:

https://www.virustotal.com/gui/file/d05dd85b845a5cd0f632e70c5c4a52e851d3b912a83f9e3ca298df590446cb0e/detection

 

Занятный образец


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#12 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 640 Сообщений:

Отправлено 08 Май 2019 - 13:25

Ну и вот еще всякие следы:

<key hive="HKLM" name="SYSTEM\CurrentControlSet\Control\SafeBoot" subkeys="2" values="1" lastwrite="14.07.2009 07:49:01.536">
	<key name="Network" subkeys="115" values="0" lastwrite="05.05.2019 01:14:33.326">
		<key name="RManService" subkeys="0" values="0" lastwrite="26.04.2019 19:42:19.328" />

<key hive="HKLM" name="SYSTEM\CurrentControlSet\Services" subkeys="475" values="0" lastwrite="07.05.2019 10:34:05.456">
	<key name="SharedAccess" subkeys="4" values="11" lastwrite="11.01.2018 18:27:10.860">
		<key name="Defaults" subkeys="1" values="0" lastwrite="14.07.2009 07:49:01.630">
			<key name="FirewallPolicy" subkeys="4" values="4" lastwrite="14.07.2009 07:54:41.502">
				<key name="FirewallRules" subkeys="0" values="301" lastwrite="08.02.2015 22:31:31.395">
					<item name="{342DCEEA-4B77-4A36-BB99-0F34470257E5}" type="sz" size="156" value="v2.10|Action=Block|Active=TRUE|Dir=In|Protocol=6|RA4=61.130.8.22|Name=HTTP10|" />
					<item name="{76059BC8-3451-4287-B887-117A1C85595D}" type="sz" size="182" value="v2.10|Action=Block|Active=TRUE|Dir=In|Protocol=6|RA4=195.22.26.1-195.22.26.255|Name=HTTP5|" />
					<item name="{CE317575-F072-4D84-B898-B29954A069B2}" type="sz" size="158" value="v2.10|Action=Block|Active=TRUE|Dir=In|Protocol=6|RA4=176.57.70.81|Name=HTTP15|" />
					<item name="{323E8DA4-D515-489B-9512-334ACA1DEDF4}" type="sz" size="162" value="v2.10|Action=Block|Active=TRUE|Dir=Out|Protocol=6|RA4=210.108.146.96|Name=HTTP9|" />
					<item name="{494358F2-AFD0-4531-B7C6-747C022338EB}" type="sz" size="192" value="v2.10|Action=Block|Active=TRUE|Dir=Out|Protocol=6|RA4=163.171.140.1-163.171.140.255|Name=HTTP3|" />
					<item name="{53F0D4E8-F020-449D-AE6B-6E0F698AD54E}" type="sz" size="184" value="v2.10|Action=Block|Active=TRUE|Dir=Out|Protocol=6|RA4=59.124.90.1-59.124.90.255|Name=HTTP7|" />
					<item name="{5F9D7908-5FDB-4B25-9938-DD4D6ED8854C}" type="sz" size="180" value="v2.10|Action=Block|Active=TRUE|Dir=Out|Protocol=6|RA4=61.216.5.1-61.216.5.255|Name=HTTP1|" />
					<item name="{9F7B8FC2-5312-4499-A23A-8273DCF9C879}" type="sz" size="158" value="v2.10|Action=Block|Active=TRUE|Dir=Out|Protocol=6|RA4=61.130.8.22|Name=HTTP11|" />
					<item name="{186CE42C-D10C-4B97-A1E3-E88A399315AF}" type="sz" size="160" value="v2.10|Action=Block|Active=TRUE|Dir=Out|Protocol=6|RA4=176.57.70.81|Name=HTTP15|" />
					<item name="{3A55EC2C-E3E2-4D90-886E-ECC80FD686FA}" type="sz" size="160" value="v2.10|Action=Block|Active=TRUE|Dir=In|Protocol=6|RA4=210.108.146.96|Name=HTTP8|" />
					<item name="{47373BB8-C0BD-44FC-87D9-6EF8449A3B23}" type="sz" size="192" value="v2.10|Action=Block|Active=TRUE|Dir=Out|Protocol=6|RA4=160.153.246.1-160.153.246.255|Name=HTTP4|" />
					<item name="{F84B1561-D26B-4B3C-874A-AA4DF55EA88C}" type="sz" size="190" value="v2.10|Action=Block|Active=TRUE|Dir=In|Protocol=6|RA4=163.171.140.1-163.171.140.255|Name=HTTP3|" />
					<item name="{8C88FC27-BCFA-4EAA-97A8-94A14557957D}" type="sz" size="182" value="v2.10|Action=Block|Active=TRUE|Dir=In|Protocol=6|RA4=59.124.90.1-59.124.90.255|Name=HTTP7|" />
					<item name="{ADD63F67-0F15-4857-9D6F-ECC9E6116255}" type="sz" size="192" value="v2.10|Action=Block|Active=TRUE|Dir=Out|Protocol=6|RA4=118.184.176.1-118.184.176.255|Name=HTTP2|" />
					<item name="{89D39C60-4619-4ECF-80BD-52F5DD044BB7}" type="sz" size="190" value="v2.10|Action=Block|Active=TRUE|Dir=In|Protocol=6|RA4=118.184.176.1-118.184.176.255|Name=HTTP2|" />
					<item name="{C98E421E-FA36-421B-BB8E-C5DAF0BF8C38}" type="sz" size="190" value="v2.10|Action=Block|Active=TRUE|Dir=In|Protocol=6|RA4=160.153.246.1-160.153.246.255|Name=HTTP4|" />
					<item name="{DB1BC91F-A618-4025-ACB0-AFBC078AD3F9}" type="sz" size="188" value="v2.10|Action=Block|Active=TRUE|Dir=Out|Protocol=6|RA4=59.125.179.1-59.125.179.255|Name=HTTP6|" />
					<item name="{081F2463-116D-4491-BBE8-08A48674A2B7}" type="sz" size="186" value="v2.10|Action=Block|Active=TRUE|Dir=In|Protocol=6|RA4=59.125.179.1-59.125.179.255|Name=HTTP6|" />
					<item name="{4122A27A-62FF-4874-8BC6-22E07E239261}" type="sz" size="178" value="v2.10|Action=Block|Active=TRUE|Dir=In|Protocol=6|RA4=61.216.5.1-61.216.5.255|Name=HTTP1|" />
					<item name="{1EB4795E-2B1C-4360-A350-584D3984C85E}" type="sz" size="184" value="v2.10|Action=Block|Active=TRUE|Dir=Out|Protocol=6|RA4=195.22.26.1-195.22.26.248|Name=HTTP5|" />

Надо Вам почистить правила фаервола, а то трой чего-только не на добавлял.

 

Проводим детальный анализ файлов для добавления в базы.


Сообщение было изменено RomaNNN: 08 Май 2019 - 13:27

Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#13 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 640 Сообщений:

Отправлено 08 Май 2019 - 13:46

Вредоносное расширение в хроме:

<item id="aapocclcgogkmnckokdopfmhonfmgoek" sid="S-1-5-21-2056555664-1868680028-1159007618-1000" user="Chegivara" location_type="file" location_path="C:\Users\Chegivara\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences" arkstatus="malware_modification" />

Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#14 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 640 Сообщений:

Отправлено 08 Май 2019 - 18:08

Накатал скрипт на коленке, чтобы вручную не искать и не мучиться с удалением таких каталогов и файлов.

 

Прикрепленный файл  acl_unlock.zip   811байт   5 Скачано раз

 

Распакуйте куда-нибудь, например на диск c:\, так чтобы получилось c:\acl_unlock.ps1. После этого откройте cmd с правами администратора и выполните:

powershell -ExecutionPolicy ByPass -File "c:\acl_unlock.ps1" >c:\acl_unlock.log

После выполнения прикрепите сюда файл c:\acl_unlock.log, посмотрим что нашлось и удалилось. Если все пройдет хорошо, потом можно устанавливать антивирус.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#15 SergSG

SergSG

    The Master

  • Posters
  • 11 984 Сообщений:

Отправлено 08 Май 2019 - 18:39

Да, интересно. Это последствия вируса, залочены не только ESET и Doctor Web, там каталоги для многих антивирусов есть. Заражение произошло 26 апреля в 19:42.
 
1) Судя по этому времени, Вам тут же Вам поставили RDP, поэтому злоумышленник до сих пор имеет доступ к Вашему компьютеру.

Надо же, какая интересная игруха со стима скачалась.  :huh: 

 

Может проще переустановить винду на чистую? Пока там еще не все данные ушли на сторону или не пошифровалось всё?



#16 Румата

Румата

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 08 Май 2019 - 18:44

1. Первую ветку реестров нашел удалил. во второй ветке конечной папки не оказалось

2. Врапер деинсталировал

3.Скрипт сакачал смд выполнил лог вотПрикрепленный файл  acl_unlock.log   6,29К   4 Скачано раз                СПС за скрипт

4.Теамвивер устанавливал я давно - удалил на всякий

5. Правила фаервола ??(( он у меня вообще есть, почитаю в инете...как его настраивать ...

6. Вредоносное расширение в хроме ? Хромом не пользуюсь основной броузер мазила, что с ним делать удалить ? от греха подальше

7.Прикрепленный файл  dirlist.txt   6,75К   2 Скачано раз

8. Теперь можно пробовать установить  антивир  я правильно понял ?



#17 Румата

Румата

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 08 Май 2019 - 18:48

Надо же, какая интересная игруха со стима скачалась.

 

Может проще переустановить винду на чистую?

Судя по дате это не игруха (( да если не установит антивирус тоже думаю прийдет переустанавливать а так не хотелось



#18 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 640 Сообщений:

Отправлено 08 Май 2019 - 18:51

Судя по логу, нашел и убил нужные каталоги и файлы. Видимо, каталог "Doctor Web" и еще некоторые Вы сами прибили.

 

Да, попробуйте установить.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#19 Румата

Румата

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 08 Май 2019 - 19:25

Борода Спей секюритти не установился как и раньше ошибка 16, при установки там первая графа типа создание точки отката статус сразу ошибка, потом воторой этап и сразу вылетает ошибка 16 если есть еще идеи  как установить антивирус или виндовс в топку


Сообщение было изменено Румата: 08 Май 2019 - 19:26


#20 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 640 Сообщений:

Отправлено 08 Май 2019 - 19:28

То есть сейчас каталога "%ALLUSERSPROFILE%\Doctor Web" нет, но антивирус все равно не ставится с ошибкой 16? Проверьте вручную этот каталог.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.



Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых