Добрый день! На ПК был установлен DrWeb Security Space, который однажды "пропал". Сканер KVRT обнаружил и вылечил майнер, однако теперь при установке DrWeb появляется "Ошибка 46" и антивирус не устанавливается.
Добрый день! На ПК был установлен DrWeb Security Space, который однажды "пропал". Сканер KVRT обнаружил и вылечил майнер, однако теперь при установке DrWeb появляется "Ошибка 46" и антивирус не устанавливается.
Уважаемый(ая) Legossi, спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK. Отчёт о работе прикрепите.
Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:Скачайте, распакуйте и запустите утилиту AV block remove, следуйте инструкциям.Код:O22 - Task: (disabled) \Doctor Web\Dr.Web Daily scan - C:\Program Files\DrWeb\dwscanner.exe /full (file missing) O22 - Task: KMSAutoNet - C:\ProgramData\KMSAutoS\KMSAuto Net.exe /off=act (file missing) O22 - Task: {382206AF-3B40-4179-A5AB-6282A401826A} - C:\Temp\689505E1-4507-407E-9DDC-8AE1351CDB64\ga_service.exe /uninstall (file missing)
Файл AV_block_remove.log из папки с программы прикрепите к своему сообщению.
Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
Сделал, вот логи.
- - - - -Добавлено - - - - -
Еще.
CollectionLog повторно не нужно, а вот AV_block_remove.log хотелось бы посмотреть.
И уточните: торрент-клиент Transmission сами устанавливали?
Антивирус пока не устанавливайте.
WBR,
Vadim
Думаю, что нет, сами не ставили
Окей, тогда чистим.
Выделите и скопируйте в буфер обмена следующий код:Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.Код:Start:: CreateRestorePoint: S2 Transmission; C:\Program Files (x86)\Transmission\transmission-daemon.exe [1558232 2020-05-22] (SignPath Foundation -> Transmission Project) C:\Program Files (x86)\Transmission S3 45802FE1921465EE; \??\C:\Temp\574E2795.sys [X] S3 45802FF32656C5EE; \??\C:\Temp\3A923058B.sys [X] S3 RHDISK_AMD64; \??\E:\_rohos\RHDISK_AMD64.SYS [X] 2021-09-22 11:16 - 2016-02-19 08:54 - 000000000 ____D C:\AdwCleaner 2021-09-21 08:43 - 2014-04-07 16:50 - 000000000 ____D C:\Doctor Web 2021-02-17 08:59 C:\DrWeb Quarantine Unlock: C:\ProgramData\Flock Folder: C:\ProgramData\Flock 2021-02-17 16:49 C:\ProgramData\Flock Unlock: C:\ProgramData\cm-lock Folder: C:\ProgramData\cm-lock 2021-03-01 17:12 C:\ProgramData\cm-lock FirewallRules: [{E4CCCD70-5CDE-4E55-9AEC-00201331BA9F}] => (Allow) C:\Program Files\DrWeb\dwservice.exe => Нет файла FirewallRules: [{F0521BF2-3F5E-471A-A3BE-B90779095D47}] => (Allow) C:\Program Files\DrWeb\spideragent.exe => Нет файла FirewallRules: [{04A910F1-7FBF-4177-B07F-5C0B29732F35}] => (Allow) C:\Program Files\DrWeb\dwnetfilter.exe => Нет файла FirewallRules: [{D1992700-F292-42CB-A25E-F539B9CED423}] => (Allow) C:\Program Files (x86)\Transmission\transmission-daemon.exe (SignPath Foundation -> Transmission Project) FirewallRules: [{DAFF340E-664E-42CC-BFBA-2DD9A2CD6C5E}] => (Allow) C:\Program Files (x86)\Transmission\transmission-qt.exe (SignPath Foundation -> Transmission Project) FirewallRules: [{038E42FE-7CEB-477D-99F7-FF16DFB80830}] => (Allow) C:\Program Files (x86)\Transmission\transmission-daemon.exe (SignPath Foundation -> Transmission Project) FirewallRules: [{3CEA2E9E-FCAF-43CD-A219-B05BAF980C74}] => (Allow) C:\Program Files (x86)\Transmission\transmission-qt.exe (SignPath Foundation -> Transmission Project) FirewallRules: [{07AEC673-8771-4308-A131-C375868DE0CC}] => (Allow) C:\Program Files (x86)\Transmission\transmission-daemon.exe (SignPath Foundation -> Transmission Project) FirewallRules: [{9F7BA398-648D-403D-A7C6-3894829E59CB}] => (Allow) C:\Program Files (x86)\Transmission\transmission-daemon.exe (SignPath Foundation -> Transmission Project) FirewallRules: [{A91DBC08-F927-41D4-B029-4FBD3EEBF42E}] => (Allow) C:\Program Files (x86)\Transmission\transmission-qt.exe (SignPath Foundation -> Transmission Project) FirewallRules: [{4EE8B815-778D-47B3-BAE2-72501CEB5588}] => (Allow) C:\Program Files (x86)\Transmission\transmission-qt.exe (SignPath Foundation -> Transmission Project) FirewallRules: [TCP Query User{08BF4689-B716-4B2E-882D-282BABA154CD}E:\вводдпу\vvoddpu\jre1.8.0_191\bin\javaw.exe] => (Allow) E:\вводдпу\vvoddpu\jre1.8.0_191\bin\javaw.exe => Нет файла FirewallRules: [UDP Query User{FBCE2F3C-C16D-46FE-B8BA-7F9028FC5F87}E:\вводдпу\vvoddpu\jre1.8.0_191\bin\javaw.exe] => (Allow) E:\вводдпу\vvoddpu\jre1.8.0_191\bin\javaw.exe => Нет файла FirewallRules: [{8D7700D9-7F67-4A73-8AEE-0221F451C494}] => (Block) E:\вводдпу\vvoddpu\jre1.8.0_191\bin\javaw.exe => Нет файла FirewallRules: [{2A0BEE32-9CF7-43A0-8305-3DA6007D6313}] => (Block) E:\вводдпу\vvoddpu\jre1.8.0_191\bin\javaw.exe => Нет файла ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions Reboot: End::
Компьютер будет перезагружен автоматически.
Сообщите, что с проблемой.
WBR,
Vadim
Текст просто скопировать? Вставить никуда не нужно?
- - - - -Добавлено - - - - -
Попытался устанавливать DrWeb, результат прежний, на этапе "подготовка компьютера" доходит до 99%, а затем выскакивает ошибка, код ошибки 46.
Тогда ещё одно исправление в FRST сделайте:И проверьте после перезагрузки.Код:Start:: CreateRestorePoint: Unlock: C:\ProgramData\ntuser.pol GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Reboot: End::
WBR,
Vadim
Доброе утро!
Сделал, безрезультатно.
Сделайте новый лог Farbar Recovery Scan Tool, кроме уже установленных, отметьте галочками также "90 Days Files".
WBR,
Vadim
Вот.
FRST.txt отсутствует в архиве.
WBR,
Vadim
Упс..
- - - - -Добавлено - - - - -
...
Выделите и скопируйте в буфер обмена следующий код:Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.Код:Start:: CreateRestorePoint: HKLM\SYSTEM\CurrentControlSet\Services\4580E308F2D240EE <==== ВНИМАНИЕ (Rootkit!) CHR HKU\S-1-5-21-732172272-1139102398-4178786633-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh] CHR HKLM-x32\...\Chrome\Extension: [ijblflkdjdopkpdgllkmlbgcffjbnfda] - \User Data\Default\Extensions\v9.crx <не найдено> Folder: C:\ProgramData\cm-lock 2021-09-27 08:02 - 2021-09-27 08:02 - 000000000 ____H C:\ProgramData\cm-lock U3 akxuhzxb; C:\Windows\System32\Drivers\akxuhzxb.sys [0 0000-00-00] (Intel Corporation) <==== ВНИМАНИЕ (нулевой байт Файл/Папка) C:\Windows\System32\Drivers\akxuhzxb.sys Unlock: C:\ProgramData\Doctor Web 2021-09-24 11:52 C:\ProgramData\Doctor Web Unlock 2019-11-28 14:23 C:\ProgramData\FileOpen Folder: C:\ProgramData\FileOpen Reboot: End::
Компьютер будет перезагружен автоматически.
Скачайте и запустите TDSSKiller: http://support.kaspersky.ru/viruses/disinfection/5350.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)
WBR,
Vadim
Сделал
Сделайте проверку и лечение с помощью Dr. Web CureIt!.
Лог C:\Users\vvv\Doctor Web\cureit.log упакуйте в архив с максимальным сжатием и приложите, если не войдёт во вложения - выложите в облачное хранилище и дайте ссылку.
WBR,
Vadim
Dr.Web-ом что сканируем? По умолчанию или что то нужно указать?
По умолчанию пока. В системе явно руткит, а KVRT и TDSSKiller его не видят.
WBR,
Vadim
Есть какой-то WinPE загрузочный диск?
WBR,
Vadim
Уважаемый(ая) Legossi, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.