ПРи загрузке любого файла браузер пишет, что файл содержал вирус и был удален. Ничего не могу скачать. Через флешку с другого компа копировал сканер от др.веб, но он ничего не обнаружил.
Браузеры блокируют загрузку любых файлов. Прошу помощи. [not-a-virus:RemoteAdmin.Win32.RDPWrap.h, Trojan.VBS.Starter.mj]
ПРи загрузке любого файла браузер пишет, что файл содержал вирус и был удален. Ничего не могу скачать. Через флешку с другого компа копировал сканер от др.веб, но он ничего не обнаружил.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Olle.shum, спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Выполните скрипт в AVZ из папки Autologger
Код:{ Перед использованием скрипта убедитесь, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist. Modification: thyrex} var ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string; PD_folders, PF_folders, O_folders, L_SID: TStringList; procedure FillList; begin PD_folders:= TStringList.Create; PD_folders.Add('360TotalSecurity'); PD_folders.Add('360safe'); PD_folders.Add('AVAST Software'); PD_folders.Add('Avg'); PD_folders.Add('Avira'); PD_folders.Add('ESET'); PD_folders.Add('Indus'); PD_folders.Add('Kaspersky Lab Setup Files'); PD_folders.Add('Kaspersky Lab'); PD_folders.Add('MB3Install'); PD_folders.Add('Malwarebytes'); PD_folders.Add('McAfee'); PD_folders.Add('Microsoft\Check'); PD_folders.Add('Microsoft\Intel'); PD_folders.Add('Microsoft\temp'); PD_folders.Add('Norton'); PD_folders.Add('grizzly'); PD_folders.Add('RealtekHD'); PD_folders.Add('RunDLL'); PD_folders.Add('Setup'); PD_folders.Add('System32'); PD_folders.Add('Windows'); PD_folders.Add('WindowsTask'); PD_folders.Add('install'); PD_folders.Add('Doctor Web'); PD_folders.Add('bebca3bc90'); PF_folders:= TStringList.Create; PF_folders.Add('360'); PF_folders.Add('AVAST Software'); PF_folders.Add('AVG'); PF_folders.Add('ByteFence'); PF_folders.Add('Zaxar'); PF_folders.Add('COMODO'); PF_folders.Add('Cezurity'); PF_folders.Add('Common Files\McAfee'); PF_folders.Add('ESET'); PF_folders.Add('Enigma Software Group'); PF_folders.Add('GRIZZLY Antivirus'); PF_folders.Add('Kaspersky Lab'); PF_folders.Add('Malwarebytes'); PF_folders.Add('Microsoft JDX'); PF_folders.Add('Panda Security'); PF_folders.Add('SpyHunter'); PF_folders.Add('RDP Wrapper'); O_folders:= TStringList.Create; O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner')); O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\rdp')); O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data')); O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution')); O_folders.Add(NormalDir('%windir%'+'\speechstracing')); O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql')); end; procedure Del_folders(path: string; AFL: TStringList); var i, A: integer; s: string; begin for i:= 0 to AFL.Count - 1 do begin fname:= NormalDir(path + AFL[i]); if DirectoryExists(fname) then begin s:= 'Found ' + fname + ' ('; A:= GetAttr(fname); if A and 4 = 4 then s:= s + 'S'; if A and 2 = 2 then s:= s + 'H'; s:= s + 'D)'; AddToLog(s); QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFileMask(fname, '*', true); FSResetSecurity(fname); DeleteDirectory(fname); end; end; end; procedure Del_DisallowRun(SID_Name: string); const PolExplKey = '\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\'; DR = 'DisallowRun'; var name1, name2: string; begin name1:= SID_Name + PolExplKey; name2:= name1 + DR; if (RegKeyExists('HKEY_USERS', name2)) then begin AddToLog('HKEY_USERS\' + name2 + ' - Exists'); BackupRegKey('HKEY_USERS', name1, DR + SID_Name); RegKeyDel('HKEY_USERS', name2); RegKeyParamDel('HKEY_USERS', name1, DR); end; end; procedure swprv; begin ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true); RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64'); RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102'); RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103'); RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1'); RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll'); OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion'); if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');; ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true); ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true); end; procedure AV_block_remove; var i: integer; begin Clearlog; FillList; ProgramData:= GetEnvironmentVariable('ProgramData') + '\'; ProgramFiles:= NormalDir('%PF%'); ProgramFiles86:= NormalDir('%PF% (x86)'); Del_folders(ProgramData, PD_folders); Del_folders(ProgramFiles, PF_folders); Del_folders(ProgramFiles86, PF_folders); Del_folders('', O_folders); L_SID:= TStringList.Create; RegKeyEnumKey('HKEY_USERS', '\', L_SID); for i:= 0 to L_SID.Count-1 do Del_DisallowRun(L_SID[i]); L_SID.Free; RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll'); swprv; BackupRegKey('HKLM', 'System\Remote Manipulator System', 'RMS'); RegKeyDel('HKLM', 'System\Remote Manipulator System'); ExecuteFile('netsh.exe', 'advfirewall firewall delete rule name="allow RDP" protocol=tcp localport=3389', 0, 15000, true); ExecuteFile('netsh.exe', 'advfirewall firewall delete rule name="Port Blocking" protocol=tcp localport=445', 0, 15000, true); ExecuteFile('netsh.exe', 'advfirewall firewall delete rule name="Port Blocking" protocol=udp localport=445', 0, 15000, true); ExecuteFile('netsh.exe', 'advfirewall firewall delete rule name="Port Blocking" protocol=tcp localport=139', 0, 15000, true); ExecuteFile('netsh.exe', 'advfirewall firewall delete rule name="Port Blocking" protocol=udp localport=139', 0, 15000, true); if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then ExecuteFile('net.exe', 'user john /delete', 0, 15000, true); PD_folders.Free; PF_folders.Free; O_folders.Free; end; begin if GetAVZVersion < 5.18 then begin ShowMessage('Пожалуйста, используйте актуальную версию AVZ, например, из папки AutoLogger-а.'+#13#10+'Please use actual AVZ version, for example from AutoLogger’s folder.'); AddToLog('Текущая версия - '+FormatFloat('#0.00', GetAVZVersion)); exitAVZ; end; AV_block_remove; fname:= ProgramData + 'RDPWinst.exe'; if FileExists(fname) then DeleteFile(fname); fname:= '%windir%'+'\WrpYGF74DrEm.ini'; if FileExists(fname) then DeleteFile(fname); ExecuteSysClean; SaveLog(GetAVZDirectory +'AV_block_remove.log'); RebootWindows(false); end.
- Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.Код:begin CreateQurantineArchive('c:\quarantine.zip'); end.
Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Все сделал. И проблема решена. Браузер загружает файлы.
Последний раз редактировалось Olle.shum; 28.01.2021 в 18:28.
Скачайте Farbar Recovery Scan Toolи сохраните на Рабочем столе.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
ГОтово.
1. Выделите следующий код:
2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).Код:Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION GroupPolicy: Restriction ? <==== ATTENTION GroupPolicy\User: Restriction ? <==== ATTENTION Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION Policies: C:\Users\Все пользователи\NTUSER.pol: Restriction <==== ATTENTION HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "uBar" Reboot: End::
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
- Обратите внимание: будет выполнена перезагрузка компьютера.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделал.
На этом закончим.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Большое спасибо за то, что вы делаете. Поддержал донатом.
=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
- =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
- =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 377
- =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
- c:\programdata\install\cheat.exe - UDS:Trojan.Win32.Agentb.a=
- c:\programdata\microsoft\temp\h.bat - [B]Trojan.BAT.Hosts.j[/B=
] ( AVAST4: Other:Malware-gen [Trj] )- c:\programdata\setup\update.exe - UDS:Trojan.Win32.Miner=
- c:\programdata\windows\install.bat - [B]Trojan.BAT.Agent.bhf[/B=
] ( AVAST4: Other:Malware-gen [Trj] )- c:\programdata\windows\install.vbs - [B]Trojan.VBS.Starter.mj[/=
B]- c:\programdata\windowstask\appmodule.exe - HEUR:Trojan.Win32=
=2EMiner.gen ( AVAST4: Win64:CoinminerX-gen [Trj] )- c:\programdata\windowstask\xmrig-cuda.dll - not-a-virus:HEUR=
:RiskTool.Win32.BitMiner.gen ( AVAST4: Win64:CoinminerX-gen [Trj] =
)- c:\rdp\rdpwinst.exe - not-a-virus:RemoteAdmin.Win32.RDPWrap.h=
Уважаемый(ая) Olle.shum, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
