1цц
1цц
Последний раз редактировалось artem-tsoy; 18.01.2021 в 10:08.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) artem-tsoy, спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Здравствуйте!
Ждём логи.
Только что удалил логи. Я от слова совсем не разбираюсь в логах, но просмотрев их увидел, что в них есть мои айпи адреса и прочая информация. Как только залил к Вам на сайт свои логи на почту пришло сообщение о попытке входа в мой аккаунт на другом сайте. Не знаю, связано ли это с тем, что я отправлял сюда логи, но я перестраховался и удалил их.
Без логов мы не сможем вам помочь.
Уточню, в этом разделе форума любое вложение видно только создавшему тему и консультанту.
Только что я зашёл в темы созданные другими пользователями и спокойно смог скачать их логи к себе на компьютер.
Тогда для вас будет удобен платный вариант лечения.
Но скажите, я ведь правильно размышляю: если мои логи попадут к плохому человеку, то с помощью них он сможет сделать что-то нехорошее?
Как правило, в логах нет ничего компрометирующего. Если уж так волнуетесь, то по окончании лечения вы сможете сами их удалить.
Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
Временно отключите защитное ПО.Defraggler
Driver Booster 8
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:{Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist} var ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string; PD_folders, PF_folders, O_folders, L_SID : TStringList; i : integer; procedure FillList; begin PD_folders := TStringList.Create; PD_folders.Add('360TotalSecurity'); PD_folders.Add('360safe'); PD_folders.Add('AVAST Software'); PD_folders.Add('Avg'); PD_folders.Add('Avira'); PD_folders.Add('ESET'); PD_folders.Add('Indus'); PD_folders.Add('Kaspersky Lab Setup Files'); PD_folders.Add('Kaspersky Lab'); PD_folders.Add('MB3Install'); PD_folders.Add('Malwarebytes'); PD_folders.Add('McAfee'); PD_folders.Add('Norton'); PD_folders.Add('grizzly'); PD_folders.Add('RealtekHD'); PD_folders.Add('RunDLL'); PD_folders.Add('Setup'); PD_folders.Add('System32'); PD_folders.Add('Windows'); PD_folders.Add('WindowsTask'); PD_folders.Add('install'); PD_folders.Add('bebca3bc90'); PF_folders := TStringList.Create; PF_folders.Add('360'); PF_folders.Add('AVAST Software'); PF_folders.Add('AVG'); PF_folders.Add('ByteFence'); PF_folders.Add('COMODO'); PF_folders.Add('Cezurity'); PF_folders.Add('Common Files\McAfee'); PF_folders.Add('ESET'); PF_folders.Add('Enigma Software Group'); PF_folders.Add('GRIZZLY Antivirus'); PF_folders.Add('Kaspersky Lab'); PF_folders.Add('Malwarebytes'); PF_folders.Add('Microsoft JDX'); PF_folders.Add('Panda Security'); PF_folders.Add('SpyHunter'); PF_folders.Add('RDP Wrapper'); O_folders := TStringList.Create; O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner')); O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data')); O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\Config.Msi')); O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution')); O_folders.Add(NormalDir('%windir%'+'\speechstracing')); O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql')); end; procedure Del_folders(path:string; AFL : TStringList); var i : integer; begin for i := 0 to AFL.Count - 1 do begin fname := NormalDir(path + AFL[i]); if DirectoryExists(fname) then begin AddToLog(fname + ' - Exists'); FSResetSecurity(fname); QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFileMask(fname, '*', true); DeleteDirectory(fname); end; end; end; procedure Del_DisallowRun(SID_Name : string); const PolExplKey = '\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\'; DR = 'DisallowRun'; begin if (RegKeyExists('HKEY_USERS', SID_Name + PolExplKey + DR)) then begin AddToLog('HKEY_USERS' + SID_Name + PolExplKey + DR + ' - Exists'); BackupRegKey('HKEY_USERS', SID_Name + PolExplKey, DR + SID_Name); RegKeyDel('HKEY_USERS', SID_Name + PolExplKey + DR); RegKeyParamDel('HKEY_USERS', PolExplKey, DR); end; end; procedure swprv; begin ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true); RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64'); RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102'); RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103'); RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1'); RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll'); OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion'); if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');; ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true); ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true); end; procedure AV_block_remove; begin clearlog; // SetupAVZ('debug=y'); if GetAVZVersion < 5.18 then begin ShowMessage('Пожалуйста, используйте актуальную версию AVZ, например, из папки AutoLogger-а.'); AddToLog('Текущая версия - '+FormatFloat('#0.00', GetAVZVersion)); exitAVZ; end; FillList; ProgramData := GetEnvironmentVariable('ProgramData'); ProgramFiles := NormalDir('%PF%'); ProgramFiles86 := NormalDir('%PF% (x86)'); Del_folders(ProgramData +'\', PD_folders); Del_folders(ProgramFiles, PF_folders); Del_folders(ProgramFiles86, PF_folders); Del_folders('', O_folders); if FileExists (ProgramData + 'RDPWinst.exe') then DeleteFile(ProgramData + 'RDPWinst.exe'); if FileExists ('%windir%'+'\WrpYGF74DrEm.ini') then DeleteFile('%windir%'+'\WrpYGF74DrEm.ini'); L_SID := TStringList.Create; RegKeyEnumKey('HKEY_USERS', '\', L_SID); for i:= 0 to L_SID.Count-1 do Del_DisallowRun('\'+ L_SID[i]); L_SID.Free; RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll'); swprv; if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then ExecuteFile('net.exe', 'user john /delete', 0, 15000, true); SaveLog(GetAVZDirectory +'AV_block_remove.log'); PD_folders.Free; PF_folders.Free; O_folders.Free; ExecuteWizard('SCU', 3, 3, true); ExecuteSysClean; end; begin AV_block_remove; RebootWindows(true); end.
После перезагрузки, выполните такой скрипт:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте повторные логи по правилам. (CollectionLog)
Спасибо, чуть позже всё это сделаю. А пока что можете, пожалуйста, в двух словах описать, что именно у меня не так с системой? И для чего мне нужно сделать все эти действия?
Активен майнер, препятствующий скачиванию и установке популярных антивирусов.
Соответственно действия предназначены для его удаления и приведения системы в порядок.
После выполнения скрипта, программа закрылась и компьютер не был перезагружен. Перезагрузил его в ручную и теперь при запуске AVZ выскакивает следующее окно: "Произошла ошибка при выполнении ... Операция не была завершена, так как файл содержит вирус или потенциально нежелательную программу" (пробовал скачать заново - не помогло). При том, что Malwarebytes теперь установить удалось
Что именно пробовали скачать, Автологер?Сообщение от artem-tsoy
- - - - -Добавлено - - - - -
Скриншот покажите.
Да, автологер
Отключите временно антивирус, ложное срабатывание на AVZ, похоже.
WBR,
Vadim
У меня, на сколько мне известно, не установлены никакие антивирусы
Защитник отключите.
Как отключить SmartScreen
Временно отключите защитное ПО.
Выполните скрипт в AVZ:
Код:var PathAutoLogger : string; begin clearlog; if IsWOW64 then SetupAVZ('X64R=NX'); PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4)); AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now) +#13#10+ PathAutoLogger); RegKeyDel('HKLM', 'SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps'); RegKeyParamDel('HKLM', 'SOFTWARE\Microsoft\Windows\Windows Error Reporting', 'DontShowUI'); SaveLog(PathAutoLogger+'report.log'); end.
В папке Автологера появится отчёт report.log, прикрепите его к следующему сообщению.
Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
В папке появилось два файла report
Ваши права в разделе
Ответить с цитированием
