Показано с 1 по 16 из 16.

Вирус: резко закрывается regedit, заблокирован доступ к антивирусным сайтам. (заявка № 228498)

  1. #1
    Junior Member Репутация
    Регистрация
    25.02.2024
    Сообщений
    8
    Вес репутации
    6

    Thumbs up Вирус: резко закрывается regedit, заблокирован доступ к антивирусным сайтам.

    Здравствуй! Хотел скачать одну программу, распаковал архив, внутри (по инструкции) запустил батник, он же запустил два «.exe» файла внутри и сразу же резко закрылся браузер. Понял, что что-то подхватил. Резко начался закрываться regedit, заблокирован доступ к антивирусным сайтам.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,289
    Вес репутации
    384
    Уважаемый(ая) pshonkf_help, спасибо за обращение на наш форум!

    Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

  4. #3
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    4,376
    Вес репутации
    164
    Здравствуйте!

    Временно отключите защитное ПО.
    Выполните скрипт в AVZ:

    Код:
    begin
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantineEx(true);
     QuarantineFile('C:\ProgramData\Common\Recover.exe', '');
     QuarantineFile('C:\ProgramData\Microsoft\WinDriver.cmd', '');
     DeleteSchedulerTask('WinDriver');
     DeleteFile('C:\ProgramData\Common\Recover.exe', '64');
     DeleteFile('C:\ProgramData\Microsoft\WinDriver.cmd', '64');
     DeleteService('IObitUnlocker');
     DeleteService('SmartWindows');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
     ExecuteRepair(9);
     ExecuteRepair(13);
     ExecuteWizard('SCU', 2, 3, true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.


    Дополнительно:
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
    Когда программа запустится, нажмите Да для соглашения с предупреждением.

    Нажмите кнопку Сканировать (Scan).
    После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

  5. #4
    Junior Member Репутация
    Регистрация
    25.02.2024
    Сообщений
    8
    Вес репутации
    6
    Запустил AVZ от имени администратора, выполнил код, компьютер перезагрузился. Regedit по прежнему сразу же закрывается после открытия. Антивирусные сайты так же не открываются. Проверил файлы: удалился "WinDriver.cmd", но остался "Recover.exe". Повторил процедуру, без изменений.

    - - - - -Добавлено - - - - -

    Файлы прикрепил.
    Вложения Вложения

  6. #5
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    4,376
    Вес репутации
    164
    Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
    • Отключите до перезагрузки антивирус.
    • Выделите следующий код:
      Код:
      Start::
      CloseProcesses:
      SystemRestore: On
      CreateRestorePoint:
      HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender;
      HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
      HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
      HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
      Startup: C:\Users\smilek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\caps-min.exe [2022-01-20] () [Файл не подписан]
      GroupPolicy: Ограничение - Edge <==== ВНИМАНИЕ
      GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
      Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
      Task: {E6B9AA12-7D1D-4A3D-B30D-0F0980CFB24E} - System32\Tasks\caps-min => "E:\programs\CapsLang\caps-min.exe"  (Нет файла)
      Task: {05FAF021-EB26-4AD9-94CA-9F332525B166} - System32\Tasks\Google Chrome => C:\Program Files\Google\Chrome\Application\chrome.exe [2781472 2024-02-22] (Google LLC -> Google LLC) <==== ВНИМАНИЕ
      Task: {990999B3-9435-4D8E-BDA0-7361E99F71BA} - System32\Tasks\GoogleSystem\GoogleUpdater\GoogleUpdaterTaskSystem124.0.6315.0{D4375DA2-E563-4410-9863-2F955F86B5EA} => C:\Program Files (x86)\Google\GoogleUpdater\124.0.6315.0\updater.exe [4698400 2024-02-22] (Google LLC -> Google LLC) <==== ВНИМАНИЕ
      AutoConfigURL: [{B619D778-2691-4A8F-869B-2534A28BE868}] => hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ
      AutoConfigURL: [S-1-5-21-2026279081-4085191003-2484660149-1001] => hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ
      ManualProxies: 0hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ
      HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
      RemoveProxy:
      CHR HomePage: Default -> hxxps://mail.ru/cnt/10445?gp=813024
      S2 GoogleUpdaterInternalService124.0.6315.0; C:\Program Files (x86)\Google\GoogleUpdater\124.0.6315.0\updater.exe [4698400 2024-02-22] (Google LLC -> Google LLC) <==== ВНИМАНИЕ
      S2 GoogleUpdaterService124.0.6315.0; C:\Program Files (x86)\Google\GoogleUpdater\124.0.6315.0\updater.exe [4698400 2024-02-22] (Google LLC -> Google LLC) <==== ВНИМАНИЕ
      S2 SmartWindows; C:\ProgramData\Common\Recover.exe [2812704 2024-02-26] (Discord Inc. -> Discord - hxxps://discord.com/) [Файл не подписан]
      S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [102400 2024-02-14] (Microsoft Windows -> Microsoft Corporation)
      S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [90112 2024-02-14] (Microsoft Windows -> Microsoft Corporation)
      S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [130528 2024-02-14] (Microsoft Windows -> Microsoft Corporation)
      C:\ProgramData\Common\Recover.exe
      Hosts:
      FirewallRules: [{96C70DD0-ADE1-4C86-9127-1D8469CB6E3B}] => (Allow) C:\Temp\7zS7EC9\HP.EasyStart.exe => Нет файла
      ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
      EmptyTemp:
      Reboot:
      End::
    • Скопируйте выделенный текст (правой кнопкой - Копировать).
    • Запустите FRST (FRST64) от имени администратора.
    • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

    Компьютер будет перезагружен автоматически.


    Далее:
    Скачайте вложенный архив, извлеките из него три файла и в безопасном режиме запустите каждый по очереди (согласитесь с внесением изменений в реестр).

    Перезагрузите компьютер в нормальный режим и соберите такой лог:
    Скачайте Farbar Service Scanner

    Запустите.
    Убедитесь, что отмечены пункты:
    • Internet Services
    • Windows Firewall
    • System Restore
    • Security Center/Action Center
    • Windows Update
    • Windows Defender

    Нажмите кнопку "Scan"

    Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
    Прикрепите этот файл к своему ответу.
    Вложения Вложения

  7. #6
    Junior Member Репутация
    Регистрация
    25.02.2024
    Сообщений
    8
    Вес репутации
    6
    Выполнил.
    Вложения Вложения
    • Тип файла: txt FSS.txt (4.4 Кб, 1 просмотров)
    • Тип файла: txt Fixlog.txt (9.8 Кб, 1 просмотров)

  8. #7
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    4,376
    Вес репутации
    164
    Повторите ту же процедуру, но с другими тремя файлами (архив Services2.zip).
    После перезагрузки в нормальном режиме соберите новый FSS.txt
    Вложения Вложения

  9. #8
    Junior Member Репутация
    Регистрация
    25.02.2024
    Сообщений
    8
    Вес репутации
    6
    Выполнил.
    p.s. Caps-min — программа для переключения языка через CAPS.
    Вложения Вложения
    • Тип файла: txt FSS.txt (3.7 Кб, 1 просмотров)

  10. #9
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    4,376
    Вес репутации
    164
    Цитата Сообщение от pshonkf_help Посмотреть сообщение
    Caps-min — программа для переключения языка через CAPS
    Понятно. Виноват, нужно было спросить до удаления. Восстановить самостоятельно сможете или помочь?

    Выполните такой скрипт:
    • Отключите до перезагрузки антивирус.
    • Выделите следующий код:
      Код:
      Start::
      CloseProcesses:
      SystemRestore: On
      CreateRestorePoint:
      cmd: DISM.exe /Online /Cleanup-image /Restorehealth
      cmd: sfc /scannow
      cmd: winmgmt /salvagerepository
      cmd: winmgmt /verifyrepository
      cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
      cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
      cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
      cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
      Reboot:
      End::
    • Скопируйте выделенный текст (правой кнопкой - Копировать).
    • Запустите FRST (FRST64) от имени администратора.
    • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

    Компьютер будет перезагружен автоматически.

  11. #10
    Junior Member Репутация
    Регистрация
    25.02.2024
    Сообщений
    8
    Вес репутации
    6
    Выполнил. Не беспокойтесь, уже восстановил. Ещё вопрос: как вирус вредил системе? Что он делал? Майнер? Кейлорег?
    Вложения Вложения
    Последний раз редактировалось pshonkf_help; 26.02.2024 в 16:30.

  12. #11
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    4,376
    Вес репутации
    164
    Хорошо.
    Программа защиты ресурсов Windows обнаружила поврежденные файлы и успешно их восстановила.

    Цитата Сообщение от pshonkf_help Посмотреть сообщение
    Майнер?
    Да.


    Цитата Сообщение от pshonkf_help Посмотреть сообщение
    как вирус вредил системе?
    Вы это описали в первом сообщении.

    Как себя ведёт система сейчас?

  13. #12
    Junior Member Репутация
    Регистрация
    25.02.2024
    Сообщений
    8
    Вес репутации
    6
    Хорошо, спасибо, понял. Самое главное: редактор реестра и антивирусные сайты — открывается! Какие-то лаги или нагрузку на систему даже вчера не обнаружил. Спасибо большое за быструю помощь, премного вам благодарен!

  14. #13
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    4,376
    Вес репутации
    164
    Хорошо, в завершение, пожалуйста:

    1.
    Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
    Компьютер перезагрузится.

    Остальные утилиты лечения и папки можно просто удалить.

    2.
    • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
    • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Прикрепите этот файл к своему следующему сообщению.

  15. #14
    Junior Member Репутация
    Регистрация
    25.02.2024
    Сообщений
    8
    Вес репутации
    6
    Выполнил.
    Вложения Вложения

  16. #15
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    4,376
    Вес репутации
    164
    Исправьте по возможности:

    Контроль учётных записей пользователя отключен
    Запрос на повышение прав для администраторов отключен
    ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

    Так ли страшен Контроль учётных записей

    Python 3.12.0 (64-bit) v.3.12.150.0 Внимание! Скачать обновления
    Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.38.33130 v.14.38.33130.0 Внимание! Скачать обновления
    Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.38.33130 v.14.38.33130.0 Внимание! Скачать обновления
    Discord v.1.0.9023 Внимание! Скачать обновления
    Viber v.21.5.0.3 Внимание! Скачать обновления
    qBittorrent v.4.6.1 Внимание! Скачать обновления
    Google Chrome v.122.0.6261.69 Внимание! Скачать обновления
    ^Проверьте обновления через меню Справка - О браузере Google Chrome!^

  17. #16
    Junior Member Репутация
    Регистрация
    25.02.2024
    Сообщений
    8
    Вес репутации
    6
    Спасибо большое, обновил

  • Уважаемый(ая) pshonkf_help, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 8
      Последнее сообщение: 09.11.2010, 12:40
    2. Заблокирован доступ к антивирусным сайтам
      От Glukalo2 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 29.10.2010, 21:33
    3. Ответов: 5
      Последнее сообщение: 16.08.2010, 00:27
    4. заблокирован доступ к антивирусным сайтам
      От slonopot в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 08.03.2010, 13:46
    5. Ответов: 8
      Последнее сообщение: 24.02.2010, 13:36

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00112 seconds with 19 queries