Перейти к содержанию

[РЕШЕНО] Неизвестная ошибка при установке бесплатного антивируса Касперского после удаления вирусов (майнера или трояна) через Av block remover


Рекомендуемые сообщения

Кратко говоря, после установки игры одновременно с ним установился и майнер (это я понял, когда в интернете покопался и нашел аналогичные решенные случаи у Вас на сайте). После разных методик и через безопасный режим удалось через Dr.Web удалить троян. Потом скачав Av block удалил Джона. Но после каждой перезагрузки он появляется, видимо, заново, потому что всегда Av block что-то находит и просит перезагрузиться, а Dr.Web больше не находит. Прикрепил отчет от утилиты Kaspersky Get System Info. Так же приложу результаты AutoLogger. Еще файлы из AV_block_remove. И так же отчеты от  Farbar Recovery Scan Tool. И на всякий случай из SecurityCheck.

GSI6_USER-PC_Professional_12_21_2022_02_38_51.zip

https://drive.google.com/drive/folders/1in6tdHANmlc_V8FnUW17BP-nmNgBuHT1?usp=share_link - autologger

https://drive.google.com/drive/folders/1XpZUO9iCxYIzhpJpiTOYoFE-BInea3bR?usp=share_link - av block

FRST.txt Addition.txt

SecurityCheck.txt

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 34
  • Created
  • Последний ответ

Top Posters In This Topic

  • Barbaris

    18

  • Sandor

    17

Здравствуйте!

 

Не нужно сразу все логи собирать, они запрашиваются по мере лечения.

 

 

"Пофиксите" в HijackThis только следующие строки:

O2-32 - HKLM\..\BHO: (no name) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - (no file)
O7 - AppLocker: Fix all (including policies)
O9-32 - Button: HKLM\..\{2670000A-7350-4f3c-8081-5663EE0C6C49}: (no name) - (no file)
O9-32 - Button: HKLM\..\{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}: (no name) - (no file)
O15 - Trusted Zone: *.localhost
O15 - Trusted Zone: http://webcompanion.com
O22 - Tasks: Driver Booster SkipUAC (Professional) - C:\Programs\1\IObit\Driver Booster\DriverBooster.exe /skipuac (file missing)

 

Перезагрузите компьютер.

Удалите старые и соберите новые логи Farbar Recovery Scan Tool.

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ВНИМАНИЕ
    HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-387891881-1365743768-2210490740-1000\...\MountPoints2: {39087e32-2b49-11ed-9211-d9b19208c0f8} - "E:\startme.exe" 
    HKU\S-1-5-21-387891881-1365743768-2210490740-1000\...\MountPoints2: {92eb5e74-d8c2-11eb-91af-b3078ae5a7e9} - "E:\setup.exe" 
    HKU\S-1-5-21-387891881-1365743768-2210490740-1000\...\MountPoints2: {acc3c407-303e-11ec-91c7-f28d87d86447} - "E:\setup.exe" 
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-387891881-1365743768-2210490740-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    2022-12-21 01:05 - 2022-12-14 06:21 - 000095232 _____ (360.cn) C:\Windows\SysWOW64\Drivers\360AvFlt.sys
    2022-12-21 00:47 - 2022-12-21 01:39 - 000000000 __SHD C:\$360Section
    AlternateDataStreams: C:\ProgramData:iSpring Solutions [128]
    AlternateDataStreams: C:\Users\All Users:iSpring Solutions [128]
    AlternateDataStreams: C:\Users\Все пользователи:iSpring Solutions [128]
    AlternateDataStreams: C:\ProgramData\Application Data:iSpring Solutions [128]
    AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [210]
    AlternateDataStreams: C:\Users\Professional\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\Professional\Application Data:iSpring Solutions [128]
    AlternateDataStreams: C:\Users\Professional\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\Professional\AppData\Roaming:iSpring Solutions [128]
    cmd: DISM.exe /Online /Cleanup-image /Restorehealth
    cmd: sfc /scannow
    cmd: winmgmt /salvagerepository
    cmd: winmgmt /verifyrepository
    cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
    cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Ссылка на ваш отчёт.

 

Сделаем ещё пару проверок по нашей части:

 

Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Кроме Автологера (ложное срабатывание) удалите всё найденное (поместите в карантин).

Перезагрузите компьютер и повторите сканирование Malwarebytes. Покажите новый отчёт.

Ссылка на сообщение
Поделиться на другие сайты

Хорошо. Ещё одно сканирование, пожалуйста:

 

Скачайте Microsoft Safety Scanner, запустите.

В разделе Scan Options выберите FULL scan.

Наберитесь терпения, сканирование может занять несколько часов (зависит от количества файлов и скорости системы). Дождитесь окончания.
Найдите отчёт с именем MSERT.log в этой папке C:\Windows\debug\msert.log

Прикрепите его к следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Monkkka
      От Monkkka
      Вирус :trojan.ransom.generic зашифровал файлы. Файлы стали иметь расширение , которые представляет собой набор букв и цирф. (.odkf .3y64 .7412 и тп.). Пробовал обращаться в тех. поддержку, юзать разные дешифраторы - не помогло. README.txt ниже. Как расшифровать данные файлы?!


      На китайский язык не обращайте внимания, я поставил его сам, в личных целях

    • Alex_Tribunal
      От Alex_Tribunal
      Здравствуйте, обнаружил у себя скрытый майнер, также в системе есть некий пользователь под именем Джон, проверял через avbr, как избавиться от майнера?
    • Monk_of_Meo
      От Monk_of_Meo
      Добрый день.
      В один прекрасный день Антивирус Касперского удалил Яндекс Браузер. Ну думаю, не проблема - установим заново. Однако установка не проходит до конца, выходит сообщение антивируса, о вирусе (трояне) во временной папке (точное описание чуть ниже). Если антивирус отключить, то браузер удается установить, однако, после запуска антивируса, через некоторое время его (запускаемый файл browser.exe) антивирус снова удаляет. Конечно, можно добавить папку Яндекс Браузера в исключения, но всеж таки хотелось бы разобраться с проблемой.
       
      При установке вот такое сообщение выдает антивирус:
      У программы обнаружено опасное поведение, точно характеризующее ее как вредоносную.
       
      Троянская программа:
      PDM:Trojan.Win32.Generic
       
      Процесс (PID: 4492):
      c:\users\maxb\appdata\local\temp\yb8f53.tmp
       
      Нажав на дополнительно, интересно, что дата создания этого файла: 07.09.2035 9:34:35 (создан процессом yandex.exe), хотя разумеется дата на ПК стоит правильная.
       
      CollectionLog прилагаю.
      CollectionLog-2023.02.06-13.14.zip
    • riloda17
      От riloda17
      При обновлении через центр14       kes 11.10. до версии 11.11. отвалились все машины в центре, много где переустановили ручками, а где то помогло удаленное вычищение остатков 11.10 версии и установки через задачу (создаем задачу на установку, задача падает в ошибку с просьбой ребута, ребутаем и запускаем задачу, снова ошибка, ребут и установка уже без ошибки), почитав форум поставили галочку в "устанавливать обновления приложения без перезагрузки" замочек закрыт. Но задачи все так же падают в ошибку. Пробовал ставить версию 12.0.0.465 все так же.
      Подскажите если есть решение


    • Magda
      От Magda
      Доброгот времени
       
      После  проверки sxstrace - logfile:sxstrace.etl
      такая ошибка :
      Ошибка: не удается разрешить ссылку odis.bs.win,language="&#x2a;",processorArchitecture="&#x2a;",type="win32",version="1.0.0.0".
      ИНФОРМАЦИЯ: не удалось создать контекст активации
       
      Скажите что делать ? И как  с этим бороться и победить ?)


×
×
  • Создать...