Добрый день! На ПК был установлен DrWeb Security Space, который однажды "пропал". Сканер KVRT обнаружил и вылечил майнер, однако теперь при установке DrWeb появляется "Ошибка 46" и антивирус не устанавливается.
Printable View
Добрый день! На ПК был установлен DrWeb Security Space, который однажды "пропал". Сканер KVRT обнаружил и вылечил майнер, однако теперь при установке DrWeb появляется "Ошибка 46" и антивирус не устанавливается.
Уважаемый(ая) [B]Legossi[/B], спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Перетащите лог Check_Browsers_LNK.log из папки Autologger на [url=https://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Отчёт о работе прикрепите.
Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]O22 - Task: (disabled) \Doctor Web\Dr.Web Daily scan - C:\Program Files\DrWeb\dwscanner.exe /full (file missing)
O22 - Task: KMSAutoNet - C:\ProgramData\KMSAutoS\KMSAuto Net.exe /off=act (file missing)
O22 - Task: {382206AF-3B40-4179-A5AB-6282A401826A} - C:\Temp\689505E1-4507-407E-9DDC-8AE1351CDB64\ga_service.exe /uninstall (file missing)[/code]
Скачайте, распакуйте и запустите [URL="https://bit.ly/3sxnX3j"]утилиту AV block remove[/URL], следуйте инструкциям.
Файл [B]AV_block_remove.log[/B] из папки с программы прикрепите к своему сообщению.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.
Нажмите кнопку [B]Сканировать[/B].
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Сделал, вот логи.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Еще.
CollectionLog повторно не нужно, а вот AV_block_remove.log хотелось бы посмотреть.
И уточните: торрент-клиент Transmission сами устанавливали?
Антивирус пока не устанавливайте.
Думаю, что нет, сами не ставили
Окей, тогда чистим.
Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
S2 Transmission; C:\Program Files (x86)\Transmission\transmission-daemon.exe [1558232 2020-05-22] (SignPath Foundation -> Transmission Project)
C:\Program Files (x86)\Transmission
S3 45802FE1921465EE; \??\C:\Temp\574E2795.sys [X]
S3 45802FF32656C5EE; \??\C:\Temp\3A923058B.sys [X]
S3 RHDISK_AMD64; \??\E:\_rohos\RHDISK_AMD64.SYS [X]
2021-09-22 11:16 - 2016-02-19 08:54 - 000000000 ____D C:\AdwCleaner
2021-09-21 08:43 - 2014-04-07 16:50 - 000000000 ____D C:\Doctor Web
2021-02-17 08:59 C:\DrWeb Quarantine
Unlock: C:\ProgramData\Flock
Folder: C:\ProgramData\Flock
2021-02-17 16:49 C:\ProgramData\Flock
Unlock: C:\ProgramData\cm-lock
Folder: C:\ProgramData\cm-lock
2021-03-01 17:12 C:\ProgramData\cm-lock
FirewallRules: [{E4CCCD70-5CDE-4E55-9AEC-00201331BA9F}] => (Allow) C:\Program Files\DrWeb\dwservice.exe => Нет файла
FirewallRules: [{F0521BF2-3F5E-471A-A3BE-B90779095D47}] => (Allow) C:\Program Files\DrWeb\spideragent.exe => Нет файла
FirewallRules: [{04A910F1-7FBF-4177-B07F-5C0B29732F35}] => (Allow) C:\Program Files\DrWeb\dwnetfilter.exe => Нет файла
FirewallRules: [{D1992700-F292-42CB-A25E-F539B9CED423}] => (Allow) C:\Program Files (x86)\Transmission\transmission-daemon.exe (SignPath Foundation -> Transmission Project)
FirewallRules: [{DAFF340E-664E-42CC-BFBA-2DD9A2CD6C5E}] => (Allow) C:\Program Files (x86)\Transmission\transmission-qt.exe (SignPath Foundation -> Transmission Project)
FirewallRules: [{038E42FE-7CEB-477D-99F7-FF16DFB80830}] => (Allow) C:\Program Files (x86)\Transmission\transmission-daemon.exe (SignPath Foundation -> Transmission Project)
FirewallRules: [{3CEA2E9E-FCAF-43CD-A219-B05BAF980C74}] => (Allow) C:\Program Files (x86)\Transmission\transmission-qt.exe (SignPath Foundation -> Transmission Project)
FirewallRules: [{07AEC673-8771-4308-A131-C375868DE0CC}] => (Allow) C:\Program Files (x86)\Transmission\transmission-daemon.exe (SignPath Foundation -> Transmission Project)
FirewallRules: [{9F7BA398-648D-403D-A7C6-3894829E59CB}] => (Allow) C:\Program Files (x86)\Transmission\transmission-daemon.exe (SignPath Foundation -> Transmission Project)
FirewallRules: [{A91DBC08-F927-41D4-B029-4FBD3EEBF42E}] => (Allow) C:\Program Files (x86)\Transmission\transmission-qt.exe (SignPath Foundation -> Transmission Project)
FirewallRules: [{4EE8B815-778D-47B3-BAE2-72501CEB5588}] => (Allow) C:\Program Files (x86)\Transmission\transmission-qt.exe (SignPath Foundation -> Transmission Project)
FirewallRules: [TCP Query User{08BF4689-B716-4B2E-882D-282BABA154CD}E:\вводдпу\vvoddpu\jre1.8.0_191\bin\javaw.exe] => (Allow) E:\вводдпу\vvoddpu\jre1.8.0_191\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{FBCE2F3C-C16D-46FE-B8BA-7F9028FC5F87}E:\вводдпу\vvoddpu\jre1.8.0_191\bin\javaw.exe] => (Allow) E:\вводдпу\vvoddpu\jre1.8.0_191\bin\javaw.exe => Нет файла
FirewallRules: [{8D7700D9-7F67-4A73-8AEE-0221F451C494}] => (Block) E:\вводдпу\vvoddpu\jre1.8.0_191\bin\javaw.exe => Нет файла
FirewallRules: [{2A0BEE32-9CF7-43A0-8305-3DA6007D6313}] => (Block) E:\вводдпу\vvoddpu\jre1.8.0_191\bin\javaw.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Сообщите, что с проблемой.
Текст просто скопировать? Вставить никуда не нужно?
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Попытался устанавливать DrWeb, результат прежний, на этапе "подготовка компьютера" доходит до 99%, а затем выскакивает ошибка, код ошибки 46.
Тогда ещё одно исправление в FRST сделайте:[CODE]Start::
CreateRestorePoint:
Unlock: C:\ProgramData\ntuser.pol
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Reboot:
End::[/CODE]
И проверьте после перезагрузки.
Доброе утро!
Сделал, безрезультатно.
Сделайте новый лог Farbar Recovery Scan Tool, кроме уже установленных, отметьте галочками также "90 Days Files".
Вот.
FRST.txt отсутствует в архиве.
Упс..
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
...
Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
HKLM\SYSTEM\CurrentControlSet\Services\4580E308F2D240EE <==== ВНИМАНИЕ (Rootkit!)
CHR HKU\S-1-5-21-732172272-1139102398-4178786633-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
CHR HKLM-x32\...\Chrome\Extension: [ijblflkdjdopkpdgllkmlbgcffjbnfda] - \User Data\Default\Extensions\v9.crx <не найдено>
Folder: C:\ProgramData\cm-lock
2021-09-27 08:02 - 2021-09-27 08:02 - 000000000 ____H C:\ProgramData\cm-lock
U3 akxuhzxb; C:\Windows\System32\Drivers\akxuhzxb.sys [0 0000-00-00] (Intel Corporation) <==== ВНИМАНИЕ (нулевой байт Файл/Папка)
C:\Windows\System32\Drivers\akxuhzxb.sys
Unlock: C:\ProgramData\Doctor Web
2021-09-24 11:52 C:\ProgramData\Doctor Web
Unlock 2019-11-28 14:23 C:\ProgramData\FileOpen
Folder: C:\ProgramData\FileOpen
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Скачайте и запустите TDSSKiller: [url]http://support.kaspersky.ru/viruses/disinfection/5350[/url].
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)
Сделал
Сделайте проверку и лечение с помощью [URL="https://free.drweb.ru/download+cureit+free/?lng=ru"]Dr. Web CureIt![/URL].
Лог C:\Users\vvv\Doctor Web\cureit.log упакуйте в архив с максимальным сжатием и приложите, если не войдёт во вложения - выложите в облачное хранилище и дайте ссылку.
Dr.Web-ом что сканируем? По умолчанию или что то нужно указать?
По умолчанию пока. В системе явно руткит, а KVRT и TDSSKiller его не видят.
Есть какой-то WinPE загрузочный диск?