Перейти к содержанию

Вирус забрал права на папки установки


Рекомендуемые сообщения

Роман Шерстнёв

Здравствуйте, есть ли какой-нибудь bat или exe, автоматизирующий решение нашей проблемы? На некоторые рабочие станции под управлением Windows 7, за которыми не уследили админы, проник червь, который распространяется по сети через уязвимость MS17-010. При попадании в систему делает много нехорошего, включая добавление учетки john в группу локальных админов, установку майнеров и rdpwrapper.

 

Но больше всего раздражает то, что он создает заглушки чтобы было невозможно ничего установить из антивирусного ПО. Забирает права на директории, в которые должен устанавливаться агент администрирования и сам KES 4 Windows в папках Program Files и ProgramData (чаще всего убирает права у Trusted Installer). Я не вирусный аналитик и поэтому не знаю всех действий вируса. Прошу если это известная малварь, то поделиться скриптом, который чистит все её последствия, либо хотя бы восстанавливает права на папки Program Files и ProgramData как они должны быть в нормальной системе чтобы ни KES, ни агент не выдавал ошибок при установке. Запустить его смогу как от NT SERVICE\TrustedInstaller, так и от NT AUTHORITY\SYSTEM.

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

25.03.2023 в 10:34, Роман Шерстнёв сказал:

если это известная малварь, то поделиться скриптом

Да, известная.

 

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

 

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

 

25.03.2023 в 10:34, Роман Шерстнёв сказал:

распространяется по сети через уязвимость MS17-010

Ясное дело, эту уязвимость нужно закрыть.

Ссылка на сообщение
Поделиться на другие сайты
Роман Шерстнёв
27.03.2023 в 12:52, Sandor сказал:

Здравствуйте!

 

Да, известная.

 

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

 

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

 

Ясное дело, эту уязвимость нужно закрыть.

Спасибо

Ссылка на сообщение
Поделиться на другие сайты
3 часа назад, Роман Шерстнёв сказал:

Спасибо

Лог работы утилиты прикрепите и потом коллекшен лог по правилам раздела.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Sosiska
      От Sosiska
      Скачивал утилиту AV_block_remover, пытался запустит сканирование с помощью неё, но ничего не получается просто вырубает. Так же в играх где-то через 10-30 минут(всегда по разному) начинается жёсткая просадка ФПС
    • DeLucas
      От DeLucas
      Доброго времени суток! Помогая своему другу, который словил майнер (или как иначе называть «dark comet») я заметил, что все способы, которые я применял при схожих ситуациях, а именно закачка AdBlock Remover'а с последующим переименованием в Ad_Block.exe – моему другу не помогают.
      Я предугадал, что все дело либо в реестере, либо в логах (как там именно называется я не помню), мол вирус уже блокирует и данное название: «Ad_Block.exe». Я ему предложил переименовать вообще в что-то несвязанное, после этого AVbr наконец запустился и даже начал выполнять сканирование... как жаль что оно продлилось всего 1 минуту.
      С каждым днем его вирус, буквально, мутирует. Вчера его кол-во возможных запросов явно было лучше, а сегодня заметно сократился. Так же при запуске диспетчера задач ЦП у него загружен на 100%. 
      Я видел, что вы уже с этим боролись неоднократно, прошу помочь. 
×
×
  • Создать...