не удается победить зверя, который не позволяет запустить практически никакие антивирусы.. логи приложил - прошу помощи!
Printable View
не удается победить зверя, который не позволяет запустить практически никакие антивирусы.. логи приложил - прошу помощи!
Уважаемый(ая) [B]maniacs[/B], спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Отключите временно встроенный антивирус ("Защитник") - у него ложное срабатывание на компоненты используемой далее программы.
Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url].
сделал.
что делать с архивом store не разобрался
[QUOTE=maniacs;1518086]что делать с архивом store не разобрался[/QUOTE]
Ничего, это оверкопипастинг:?
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):[code];uVS v4.11.3 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\INSTITUTE OF INFORMATIONAL TECHNOLOGIES\CERTIFICATE AUTHORITY-1.3\END USER\WEB\NPEUSIGNCP.DLL
zoo %SystemRoot%\BITLOCKER.EXE
addsgn A5BA24CB072B1C3A86D170BB64C85A8E15C2FF06C1D1DF300E3DA31191367D04A8DF93FA159DD54ADA0B4CC8029D8805B455AC4B5352B41D5882E57E922DE2DF 8 Trojan.Win32.Starter.anxm [Kaspersky] 7
chklst
delvir
deltsk WIZARD.EXE
deltsk PERMISSIONS.INI
dirzooex %SystemRoot%\SYSWOW64\RADIANCE
dirzooex %SystemRoot%\SYSWOW64\RADIANCE\ALPHA
deldir %SystemRoot%\SYSWOW64\RADIANCE
apply
deltmp
czoo
restart
[/code]
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
приложил.
[QUOTE=Vvvyg;1518089]В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.[/QUOTE]
Это не сделали.
Что с проблемой?
Скачайте [URL="https://www.tweaking.com/files/setups/tweaking.com_windows_repair_aio.zip"]Windows Repair (All In One)[/URL], распакуйте, запустите, "Jump To Repairs", "Open Repairs", отметьте пункты:
[B]01 "Reset Registry Permissions[/B]
[B]02 "Reset File Permissions[/B]
[B]03 "Reset Service Permissions[/B]
[b]25 "Restore Important Windows Services"[/b]
[b]26 "Set Windows Services To Default Startup"[/b]
и нажмите "[B]Start Repairs[/B]".
После перезагрузки сделайте новые логи Farbar Recovery Scan Tool.
не приложился файл - добавил
проблема на месте - не дает запустить никакой антивирус - cureit блокирует, установка аваста тоже вылетает.
windows repair не дает распаковать файл repairs_presets\Malware Cleanup Repairs.ini но программа вроде работает, хоть и долго
после выполнения приложу логи
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
после всех манипуляций вроде как все по прежнему
Если карантин по какой-то причине не грузится по назначению, т. е. по ссылке "Прислать запрошенный карантин" - не надо его крепить к сообщению, там вирусы и Вы их на форуме в общий доступ выложите >:(
rdp wrapper сами устанавливали?
Есть под рукой WinPE загрузочный диск или флэшка? Именно не установочный, а где Windows с внешнего носителя грузится?
Или сделайте [URL="https://www.hirensbootcd.org/"]Hiren’s BootCD PE[/URL]
rdp wrapper сам устанавливал
сервак находится удаленно - и очень сложно к нему ехать будет, но как крайний случай - образ создам.
Боюсь, только оффлайн лечение поможет.
Пока попробуйте эту утилиту, не вылечит автоматически, но, возможно, даст полезную информацию.
Скачайте и запустите TDSSKiller: [url]http://support.kaspersky.ru/viruses/disinfection/5350[/url].
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)
файл приложил.
подскажете дальнейшие офлайн действия с образом?
Кое что удалится:[QUOTE]20:32:56.0247 0x1d2c HKLM\SYSTEM\ControlSet001\services\SecurityHealthService - will be deleted on reboot
20:32:56.0297 0x1d2c C:\Windows\system32\SecurityHealthService.exe - will be deleted on reboot
20:32:56.0297 0x1d2c SecurityHealthService ( HiddenFile.Multi.Generic ) - User select action: Delete[/QUOTE]
После перезагрузки станет проще, вероятно.
Загрузитесь с WinPE, запустите UVS (start.exe), выберите каталог Windows для анализа автозапуска вашей системы на HDD/SSD. Внимание, по умолчанию выбрана загруженная с WinPE, что бесполезно для анализа.
Используйте диалог выбора каталога Windows (выбрать из дерева каталогов системную папку)? затем - "Запустить под текущим пользователем".
В главном меню программы выберите пункт: Файл - сохранить полный образ автозапуска. По запросу программы сохраните файл образа автозапуска на съемный диск для последующей загрузки во вложения к теме. Файл образа автозапуска автоматически будет упакован в архив с расширением .7z, прикрепите его к своему следующему сообщению, либо выложите на облачном сервисе и дайте ссылку.