Autologger: Невозможно создать папку... Отказано в доступе
Здравствуйте, по порядку. Подхватил кучу вирусов с сайта thebyrut.org (https://thebyrut.org/23880-shadows-of-doubt.html верхняя ссылка "Скачать торрент" качает не игру, а фейковый установщик с кучей вирусов). Скачал касперский, подчистил кучу всего - майнер и т.д, логи есть. Хочу теперь взять "Помогите+", чтобы подчистить, но Autologger не работает, не создает папку, отказано в доступе (запуск от им. адм-ра). Windows 10. Защита от вирусов и угроз не запускается, там бесконечная загрузка (может он и блокает autologger).
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Vasyan228, спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Спасибо за ответ. Создал папку на рабстоле и из нее запустилось, доступ был закрыт только с рабочего стола. Вроде по логам все чисто, но проверить еще раз стоит.
Увы, нет. Два типа заражения. Будем лечить последовательно.
Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
После перезагрузки системы соберите новый CollectionLog Автологером.
Запускается, но просит скачать последнюю версию и выключается. https://www.comss.ru/page.php?id=8842 попробовал скачать здесь, то же самое. На зеркале вообще не работает ссылка, ошибка 504.
Теперь еще скачал вроде даже с официального сайта safezone cc (ссылку не дают вставить) то же самое! Просит последнюю версию.
script ver. 2024.01.08
File name: AV-br.exe
Start-up time: 2024.02.27-18:04:52
Launched from: C:\Users\Vasya228\Downloads\AVbr (2)\AV_block_remover\
System: x64 Windows 10 Home
Build number: 19045
AVBr has been run with local Administrator rights.
Elevation of privileges of rights is successful.
System booted up in Normal Mode.
Last update was on: 2024.02.17
Current date is: 2024.02.27
This version is out of date.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус.
Выделите следующий код:
Код:
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-64119638-2647892706-650127379-1000\...\MountPoints2: {55dc1d24-88c3-11ee-984a-74563c3d13f2} - "F:\SISetup.exe"
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-64119638-2647892706-650127379-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
Edge StartupUrls: Default -> "hxxp://www.google.com/","hxxp://mystart.incredibar.com/mb201?a=6PQWYLACIv&i=26","hxxp://www.mail.ru/cnt/7829","hxxp://mystart.incredibar.com/mb203?a=6PQWYLACIv&i=26","hxxp://istart.webssearches.com/?type=hp&ts=1409577309&from=slbnew&uid=ST1000DM003-1CH162_W1D3M2GAXXXXW1D3M2GA","hxxp://www.oursurfing.com/?type=hp&ts=1442512841&z=9232717bac28a631859fe7be81e8de0cgzzowgobzg&from=amt&uid=st1000dm003-1ch162_w1d3m2gaxxxxw1d3m2ga","hxxp://mail.ru/cnt/10445?gp=blackbear16","hxxp://mail.ru/cnt/10445?gp=811138","hxxps://encrypted.google.com/"
C:\Users\Vasya228\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\bgnodfikjoihkcjjnefbjkeclamhipak
CHR StartupUrls: Default -> "hxxp://www.google.com","hxxp://mystart.incredibar.com/mb201?a=6PQWYLACIv&i=26","hxxp://www.mail.ru/cnt/7829","hxxp://mystart.incredibar.com/mb203?a=6PQWYLACIv&i=26","hxxp://istart.webssearches.com/?type=hp&ts=1409577309&from=slbnew&uid=ST1000DM003-1CH162_W1D3M2GAXXXXW1D3M2GA","hxxp://www.oursurfing.com/?type=hp&ts=1442512841&z=9232717bac28a631859fe7be81e8de0cgzzowgobzg&from=amt&uid=st1000dm003-1ch162_w1d3m2gaxxxxw1d3m2ga","hxxp://mail.ru/cnt/10445?gp=blackbear16","hxxp://mail.ru/cnt/10445?gp=811138","hxxps://encrypted.google.com"
S2 AVGWscReporter; "C:\Program Files\AVG\Antivirus\wsc_proxy.exe" /runassvc /rpcserver [X]
EmptyTemp:
Reboot:
End::
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Спасибо большое за помощь. На опыта пользования компьютером все было решено еще после очистки Касперским, так что с тех пор ничего по опыту не изменилось, все было обычно. Главное, что удалено всё окончательно и больше не будет воровать данные, например.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Notepad++ (64-bit x64) v.8.5.8 Внимание! Скачать обновления
Python 3.11.5 (64-bit) v.3.11.5150.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.38.33126 v.14.38.33126.1 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.38.33126 v.14.38.33126.1 Внимание! Скачать обновления
WinRAR 6.24 (64-разрядная) v.6.24.0 Внимание! Скачать обновления
µTorrent v.1.8.2 Внимание! Клиент сети P2P с рекламным модулем!.
Google Chrome v.122.0.6261.70 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О браузере Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Спасибо большое за помощь. Только теперь почему-то папка с Аутологгером постоянно возвращается на рабочий стол после удаления, и даже после очищения корзины. Это при каждом новом включении компьютера. В ней еще вот такая папка вот с такими файлами. Как это убрать?
Также обнаружил, что не работает внутреигровой оверлей в Nvidia GeForce Experience, потому что удален exe-файл NVIDIA Share (как рассказано в этом видео, из-за вируса - https://youtu.be/eCzecCWQBJY). Также в папке C: ProgramData обнаружены следующие файлы, которые тоже относятся к вирусам, полностью не удалось очистить.. Так что лучше, наверное, будет переустановить Виндоус, а не мучаться?
Последний раз редактировалось Vasyan228; 09.03.2024 в 04:56.
Если вы ещё не переустановили систему, можем попробовать исправить.
Скачайте Autologger, запустите его и дайте отработать.
Затем, запустите AVZ из папки ...\Autologger\AV\av_z.exe и выполните скрипт (Файл -> Выполнить скрипт):
Код:
var PathAutoLogger : string;
begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-3));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now) +#13#10+ PathAutoLogger);
if RegKeyExists('HKLM', 'SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps', 'x64') then
begin
AddToLog('LocalDumps - exists.');
if not RegKeyDel('HKLM', 'SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps', 'x64')
then AddToLog('Failed to delete LocalDumps')
end
else AddToLog('LocalDumps key missing.');
if RegKeyParamExists('HKLM', 'SOFTWARE\Microsoft\Windows\Windows Error Reporting', 'DontShowUI', 'x64') then
begin
AddToLog('DontShowUI - exists.');
if not RegKeyParamDel('HKLM', 'SOFTWARE\Microsoft\Windows\Windows Error Reporting', 'DontShowUI', 'x64')
then AddToLog('Failed to delete DontShowUI');
end
else AddToLog('DontShowUI parameter missing.');
SaveLog(PathAutoLogger+'report.log');
end.
Появится файл Autologgerreport.log
Прикрепите его к следующему сообщению.
Ответить с цитированием
Сообщение от Vasyan228
