12 ответов в этой теме

[justus]

При скане находит файл по пути C:\Program Files\SystemSecurity\Config\ConfigSecurityPolicy.exe и отмечает его как Trojan.Packed2.46120

при попытке нейтрализации выдает cure error

повторный скан снова находит файл и снова не может вылечить его. 

Саму папку не вижу ни в Program Files, ни в Program Files x86, даже при включенном отображении скрытых файлов. 

Что можно предпринять?

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Дождитесь окончания работы сканера Dr. Web или CureIt!, прежде, чем запускать DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист. Так как логи могут иметь большой объём, превышающий ограничения форума, то рекомендуем закачать их на какой-нибудь файлообменник, а на форуме указать ссылку.

2. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];

[Alexander007]

Попробуй в безопасной режиме , повторить еще раз сканером , если не помогли - нужно отчет сусинфо.

[justus]

архив от DrWeb SysInfo - https://drive.google.com/file/d/1Z0MhLsFFBFuoeeta6lH3ML_SuUb3ocXS/view?usp=sharing

[justus]

Попробуй в безопасной режиме , повторить еще раз сканером , если не помогли - нужно отчет сусинфо.

получил такую же ошибку cure error в safe mode

[Alexander007]

 

Попробуй в безопасной режиме , повторить еще раз сканером , если не помогли - нужно отчет сусинфо.

получил такую же ошибку cure error в safe mode

 

Ммм... Потерпите немножечко до понедельника ( Вирусный специалист выходной ) - приходите с утра или кто нибудь из хелперов зайдет... Утилиту скажут.  У вас лизенция Dr.Web Security Space?

Сообщение было изменено Alexander007: 06 Апрель 2024 - 19:43

[justus]

 

 

Попробуй в безопасной режиме , повторить еще раз сканером , если не помогли - нужно отчет сусинфо.

получил такую же ошибку cure error в safe mode

 

Ммм... Потерпите немножечко до понедельника ( Вирусный специалист выходной ) - приходите с утра или кто нибудь из хелперов зайдет... Утилиту скажут.  У вас лизенция Dr.Web Security Space?

 

да, 12 версия.

спасибо, подожду, надеюсь получится вылечить. 

Сообщение было изменено justus: 06 Апрель 2024 - 21:14

[Vvvyg]

justus, сделайте такой лог.

 

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

 

Нажмите кнопку Сканировать.

 

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.

Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[Alexander007]

justus , vvvyg - волнотер (вирусоборец) , можно доверять .

[justus]

 

justus, сделайте такой лог.

 

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

 

Нажмите кнопку Сканировать.

 

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.

Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

 

https://drive.google.com/file/d/1oVt8Xb0RK_B3LOc6aQy3--ebHjLarZka/view?usp=sharing

вот архив с файликами. Скажите если не получается скачать.

[Vvvyg]

Не нужно полностью цитировать сообщения, просто пишите в окне "Быстрый ответ". Можно использовать кнопку "Вставить имя", чтобы пришло оповещение об ответе.

Мелкие файлы не обязательно загружать в облако, нажмите "Полный редактор" под окном ответа, там можно прикрепить вложением.

 

Выделите и скопируйте в буфер обмена следующий код:

Start::
CreateRestorePoint:
CloseProcesses:
Task: {4FFCF417-6FF2-4FA8-A3E6-B11670E8A642} - System32\Tasks\SystemSecurity => C:\Program Files\SystemSecurity\config\ConfigSecurityPolicy.exe [2336663460 2023-06-23] () [File not signed] <==== ATTENTION
Unlock C:\Program Files\SystemSecurity
Virustotal: C:\Program Files\SystemSecurity\config\ConfigSecurityPolicy.exe;C:\Program Files\Google\Libs\WR64.sys
C:\Program Files\SystemSecurity
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен.

[Vvvyg]

Да, и на время исправления отключите антивирус.

[Vvvyg]

вот архив с файликами.

 

Рекомендации в сообщении #11 с поправками, код следующий:

Start::
CreateRestorePoint:
CloseProcesses:
Task: {4FFCF417-6FF2-4FA8-A3E6-B11670E8A642} - System32\Tasks\SystemSecurity => C:\Program Files\SystemSecurity\config\ConfigSecurityPolicy.exe [2336663460 2023-06-23] () [File not signed] <==== ATTENTION
Unlock C:\Program Files\SystemSecurity
Virusscan: C:\Program Files\SystemSecurity\config\ConfigSecurityPolicy.exe;C:\Program Files\Google\Libs\WR64.sys
C:\Program Files\SystemSecurity
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::