-
Да нам тоже хочется. Но в новом образе ничего нового не видно.
SMB 1 точно отключали? Другие компьютеры в сети есть? Обновления системы и IE точно все установлены?
Выполните скрипт в UVS:[CODE];uVS v4.0.14 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
addsgn 19E4408D5D6A4C720BD4472E7DC9128E61AFFC7DDDDF1BF2C9E6CD3D95D4714C23EFCCF2EEDCD96C2F8F3B5BD9704632E10C0814860A49A36952A44914CE3890 8 Trojan.BtcMine.2855 [DrWeb] 7
chklst
delvir[/CODE]
Сделайте сброс настроек Internet Explorer: - "Свойства обозревателя" -> "Дополнительно" -> "Сброс...".
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]HKLM\...\Run: [] => [X]
2018-08-28 16:52 - 2018-04-05 12:00 - 000000406 _____ C:\Windows\config.txt
2018-08-28 16:52 - 2018-04-05 12:00 - 000000337 _____ C:\Windows\ppl.txt
2018-08-28 16:52 - 2018-04-05 12:00 - 000000084 _____ C:\Program Files\Common Files\xp.dat
2018-08-21 14:01 - 2018-08-21 14:01 - 000000070 _____ C:\Program Files\Common Files\xpdown.dat[/CODE]
На рабочем столе будет создан архив .ZIP с именем, состоящим из даты и времени выполнения фикса, прикрепите его к своему сообщению.
Попробуйте пролечиться [URL="https://free.drweb.ru/download+cureit+free/?lng=ru"]Dr. Web CureIt![/URL] в безопасном режиме.
-
Вложений: 1
SMB 1 не отключал, т.к. ETERNAL BLUES уязвимость не нашёл.
Проблемный компьютер чужой, в сети ещё два моих компьютера с Win10, на них подобная проблема не наблюдается.
Установлены все важные обновления, найденные через центр обновлений. Рекомендуемые и необязательные обновления не устанавливались. Скрипт выполнил, настройки IE сбросил.
CureIt! запускал с Dr.Web LiveDisk, поэтому делать это ещё раз в безопасном режиме не вижу смысла.
Не понял, что нужно сделать с кодом, скопированным в блокнот?
-
Это фикс для FRST, забыл написать. А SMB1 отключите хотя бы временно.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Есть под рукой какой-либо LiveCD/USB?
-
Вложений: 1
Фикс выполнил, zip-архива не нахожу, только файл Fixlog.txt
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[QUOTE=Vvvyg;1487458]Это фикс для FRST, забыл написать. А SMB1 отключите хотя бы временно.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Есть под рукой какой-либо LiveCD/USB?[/QUOTE]
Dr.Web LiveDisk подойдёт?
-
Нет, нужен виндовый. В UVS можно работать с неактивной системой, для этого нужно загрузиться с WinPE диска/флэшки, в UVS "Выбрать каталог Windows" - указать на папку Windows на HDD и сделать полный образ автозапуска.
[url]https://yadi.sk/d/a1uco1wO3ag9q6[/url] - моя загрузочная сборка, правда, там UVS старый, но вполне подойдёт, думаю. Стартует с него UVS автоматически.
-
С Вашего образа почему-то загрузиться не удалось. Пробовал записывать через UltraISO и через Rufus. При загрузке - черный экран.
Нашёл у себя рабочий образ WinPE, загрузился с него. UVS перед созданием образа автозапуска запросил установку каталога цифровых подписей, но выдал ошибку при установке. Выкладываю то, что получилось
[url]https://yadi.sk/d/OiSM_Juc3agGFc[/url]
-
Вложений: 1
Ага, загрузочный вирус в MBR, Trojan.Boot.DarkGalaxy.a. Пролечиваем с WinPE. Сохраните скрипт из вложения в папку с UVS заранее, после загрузки и выбора каталога Windows выполняйте в UVS скрипт из файла:
[ATTACH=CONFIG]673486[/ATTACH]
Загружаетесь в рабочую систему и сообщаете результат.
-
Проблема решена! Большое спасибо за помощь!
Вот бы ещё понять, откуда эта зараза пришла...
-
Сложно сказать откуда, про поведение conhost.exe информация есть, а про распространение и буткит - не видел.
Кстати, переустановка системы не помогла бы, только время потратили бы. Печально, что TDSSKiller не увидел заразу, это его хлеб, и KVRT. А вот Rescue Disk от Касперского, скорее всего, справился бы.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
-
???? ???????
?????????? ???????????? ???????:
[LIST][*]???????? ??????????: [B]3[/B][*]?????????? ??????: [B]5[/B][*]? ???? ??????? ?????????? ??????????? ?????????:
[LIST=3D1][*] \conhost.exe._631b58237c00399c426acbbe4280bc06d66e43cd - [B]HEUR:=
Trojan.Win32.Generic[/B][*] c:\windows\temp\conhost.exe - [B]HEUR:Trojan.Win32.Generic[/B][/LIST][/LIST]
Page generated in 0.01004 seconds with 10 queries