Перейти к содержанию
Правила раздела

Вирус забрал права на папки установки

Роман Шерстнёв

Автор Роман Шерстнёв,
в Помощь в удалении вирусов

 Share Подписчики 2

Рекомендуемые сообщения

Роман Шерстнёв

Роман Шерстнёв 0

Опубликовано
Опубликовано

Здравствуйте, есть ли какой-нибудь bat или exe, автоматизирующий решение нашей проблемы? На некоторые рабочие станции под управлением Windows 7, за которыми не уследили админы, проник червь, который распространяется по сети через уязвимость MS17-010. При попадании в систему делает много нехорошего, включая добавление учетки john в группу локальных админов, установку майнеров и rdpwrapper.

 

Но больше всего раздражает то, что он создает заглушки чтобы было невозможно ничего установить из антивирусного ПО. Забирает права на директории, в которые должен устанавливаться агент администрирования и сам KES 4 Windows в папках Program Files и ProgramData (чаще всего убирает права у Trusted Installer). Я не вирусный аналитик и поэтому не знаю всех действий вируса. Прошу если это известная малварь, то поделиться скриптом, который чистит все её последствия, либо хотя бы восстанавливает права на папки Program Files и ProgramData как они должны быть в нормальной системе чтобы ни KES, ни агент не выдавал ошибок при установке. Запустить его смогу как от NT SERVICE\TrustedInstaller, так и от NT AUTHORITY\SYSTEM.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Здравствуйте!

 

25.03.2023 в 10:34, Роман Шерстнёв сказал:

если это известная малварь, то поделиться скриптом

Да, известная.

 

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

 

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

 

25.03.2023 в 10:34, Роман Шерстнёв сказал:

распространяется по сети через уязвимость MS17-010

Ясное дело, эту уязвимость нужно закрыть.

Ссылка на сообщение
Поделиться на другие сайты
Роман Шерстнёв

Роман Шерстнёв 0

Опубликовано
  • Автор
Опубликовано
27.03.2023 в 12:52, Sandor сказал:

Здравствуйте!

 

Да, известная.

 

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

 

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

 

Ясное дело, эту уязвимость нужно закрыть.

Спасибо

Ссылка на сообщение
Поделиться на другие сайты
regist

regist 617

Опубликовано
Опубликовано
3 часа назад, Роман Шерстнёв сказал:

Спасибо

Лог работы утилиты прикрепите и потом коллекшен лог по правилам раздела.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • shirochka
      NET.MALWARE.URL прошу помощи с удалением
      От shirochka
      Всем добрый день! 3 раз заблокировали аккаунт вк, уже забанили навсегда. Подозрение что у меня keyspy, недавно подхватил майнер John, запустился с точки восстановления до этого инцедента, все было ок. Сейчас через curelt посмотрел, у меня хост (удалил) и малваре. Помогите пожалуйста, виндоус не хочу переустанавливать, есть важные файлы. буду ждать ответа! (лог curelt прилагаю)
      cureit.rar
    • zimex
      [РЕШЕНО] Майнер john
      От zimex
      Здравствуйте, поймал майнер джон, получилось удалить через доктор веб курейт, нашел сайт который не был в блоке майнера, потом установил с офф сайта др веб, снова прочистил, потом многие антивирусы не откAV_block_remove_2024.04.15-15.20.logрывались, почитал форум, прогнал это все дело через av block remover, что делать дальше? лог, созданный прогой прикрепил.
    • Asterix
      Пользователь John
      От Asterix
      На рабочем столе появились 2 папки AV block remover и AutoLogger. Доступа к ним нет. Сам Av block remover и AutoLogger скачивал, не работают. Вирус блокировал доступ к форумам по компьютерной помощи и так далее.
      Просканил касперским, что-то он нашёл, вылечил, перезагрузил, доступ к сайтам появился. DrWeb Curelt не нашёл ничего.
       




    • Иван_Холодов
      Вирус забрал права Администратора. Как их вернуть?
      От Иван_Холодов
      Недавно словил удалённый доступ John (rms) и майнер Mysql, всё почистил, кроме папок с следами от майнеров и удалённых доступов. Папки в проводнике скрыты, а в cmd не даёт удалить-пишет "Отказано в доступе" (картинка 1). Также невозможно установить Rogue killer, HitmanPro, Malwarebytes (картинка 2). В прошлой винде создавал нового пользователя с правами администратора и там всё проворачивал. После этого отказал Microsoft store и все приложения из него, а также настройки багались при переходе на вкладку "Дисплей" в "Системе". В новой винде страшно создавать нового пользователя. Как мне вернуть права администратора без переустановки?


    • lastdance
      майнер John
      От lastdance
      обнаружил на компьютере нового пользователя John. прочитал что это майнер
×
×
  • Создать...