не удается победить зверя, который не позволяет запустить практически никакие антивирусы.. логи приложил - прошу помощи!
не удается победить зверя, который не позволяет запустить практически никакие антивирусы.. логи приложил - прошу помощи!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) maniacs, спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Отключите временно встроенный антивирус ("Защитник") - у него ложное срабатывание на компоненты используемой далее программы.
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
Последний раз редактировалось Vvvyg; 07.02.2021 в 11:12.
WBR,
Vadim
сделал.
что делать с архивом store не разобрался
Ничего, это оверкопипастингСообщение от maniacs
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.Код:;uVS v4.11.3 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE zoo %SystemDrive%\PROGRAM FILES (X86)\INSTITUTE OF INFORMATIONAL TECHNOLOGIES\CERTIFICATE AUTHORITY-1.3\END USER\WEB\NPEUSIGNCP.DLL zoo %SystemRoot%\BITLOCKER.EXE addsgn A5BA24CB072B1C3A86D170BB64C85A8E15C2FF06C1D1DF300E3DA31191367D04A8DF93FA159DD54ADA0B4CC8029D8805B455AC4B5352B41D5882E57E922DE2DF 8 Trojan.Win32.Starter.anxm [Kaspersky] 7 chklst delvir deltsk WIZARD.EXE deltsk PERMISSIONS.INI dirzooex %SystemRoot%\SYSWOW64\RADIANCE dirzooex %SystemRoot%\SYSWOW64\RADIANCE\ALPHA deldir %SystemRoot%\SYSWOW64\RADIANCE apply deltmp czoo restart
Компьютер перезагрузится.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
приложил.
Это не сделали.
Что с проблемой?
Скачайте Windows Repair (All In One), распакуйте, запустите, "Jump To Repairs", "Open Repairs", отметьте пункты:
01 "Reset Registry Permissions
02 "Reset File Permissions
03 "Reset Service Permissions
25 "Restore Important Windows Services"
26 "Set Windows Services To Default Startup"
и нажмите "Start Repairs".
После перезагрузки сделайте новые логи Farbar Recovery Scan Tool.
WBR,
Vadim
не приложился файл - добавил
проблема на месте - не дает запустить никакой антивирус - cureit блокирует, установка аваста тоже вылетает.
windows repair не дает распаковать файл repairs_presets\Malware Cleanup Repairs.ini но программа вроде работает, хоть и долго
после выполнения приложу логи
- - - - -Добавлено - - - - -
после всех манипуляций вроде как все по прежнему
Последний раз редактировалось Vvvyg; 07.02.2021 в 16:43.
Если карантин по какой-то причине не грузится по назначению, т. е. по ссылке "Прислать запрошенный карантин" - не надо его крепить к сообщению, там вирусы и Вы их на форуме в общий доступ выложите
rdp wrapper сами устанавливали?
Есть под рукой WinPE загрузочный диск или флэшка? Именно не установочный, а где Windows с внешнего носителя грузится?
Или сделайте Hiren’s BootCD PE
WBR,
Vadim
rdp wrapper сам устанавливал
сервак находится удаленно - и очень сложно к нему ехать будет, но как крайний случай - образ создам.
Боюсь, только оффлайн лечение поможет.
Пока попробуйте эту утилиту, не вылечит автоматически, но, возможно, даст полезную информацию.
Скачайте и запустите TDSSKiller: http://support.kaspersky.ru/viruses/disinfection/5350.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)
WBR,
Vadim
файл приложил.
подскажете дальнейшие офлайн действия с образом?
Кое что удалится:После перезагрузки станет проще, вероятно.20:32:56.0247 0x1d2c HKLM\SYSTEM\ControlSet001\services\SecurityHealthS ervice - will be deleted on reboot
20:32:56.0297 0x1d2c C:\Windows\system32\SecurityHealthService.exe - will be deleted on reboot
20:32:56.0297 0x1d2c SecurityHealthService ( HiddenFile.Multi.Generic ) - User select action: Delete
Загрузитесь с WinPE, запустите UVS (start.exe), выберите каталог Windows для анализа автозапуска вашей системы на HDD/SSD. Внимание, по умолчанию выбрана загруженная с WinPE, что бесполезно для анализа.
Используйте диалог выбора каталога Windows (выбрать из дерева каталогов системную папку)? затем - "Запустить под текущим пользователем".
В главном меню программы выберите пункт: Файл - сохранить полный образ автозапуска. По запросу программы сохраните файл образа автозапуска на съемный диск для последующей загрузки во вложения к теме. Файл образа автозапуска автоматически будет упакован в архив с расширением .7z, прикрепите его к своему следующему сообщению, либо выложите на облачном сервисе и дайте ссылку.
WBR,
Vadim
Ваши права в разделе
Ответить с цитированием
