Перейти к содержанию
Правила раздела

Вирус забрал права на папки установки

Роман Шерстнёв

Автор Роман Шерстнёв,
в Помощь в удалении вирусов

 Share Подписчики 2

Рекомендуемые сообщения

Роман Шерстнёв

Роман Шерстнёв 0

Опубликовано
Опубликовано

Здравствуйте, есть ли какой-нибудь bat или exe, автоматизирующий решение нашей проблемы? На некоторые рабочие станции под управлением Windows 7, за которыми не уследили админы, проник червь, который распространяется по сети через уязвимость MS17-010. При попадании в систему делает много нехорошего, включая добавление учетки john в группу локальных админов, установку майнеров и rdpwrapper.

 

Но больше всего раздражает то, что он создает заглушки чтобы было невозможно ничего установить из антивирусного ПО. Забирает права на директории, в которые должен устанавливаться агент администрирования и сам KES 4 Windows в папках Program Files и ProgramData (чаще всего убирает права у Trusted Installer). Я не вирусный аналитик и поэтому не знаю всех действий вируса. Прошу если это известная малварь, то поделиться скриптом, который чистит все её последствия, либо хотя бы восстанавливает права на папки Program Files и ProgramData как они должны быть в нормальной системе чтобы ни KES, ни агент не выдавал ошибок при установке. Запустить его смогу как от NT SERVICE\TrustedInstaller, так и от NT AUTHORITY\SYSTEM.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 282

Опубликовано
Опубликовано

Здравствуйте!

 

25.03.2023 в 10:34, Роман Шерстнёв сказал:

если это известная малварь, то поделиться скриптом

Да, известная.

 

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

 

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

 

25.03.2023 в 10:34, Роман Шерстнёв сказал:

распространяется по сети через уязвимость MS17-010

Ясное дело, эту уязвимость нужно закрыть.

Ссылка на сообщение
Поделиться на другие сайты
Роман Шерстнёв

Роман Шерстнёв 0

Опубликовано
  • Автор
Опубликовано
27.03.2023 в 12:52, Sandor сказал:

Здравствуйте!

 

Да, известная.

 

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

 

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

 

Ясное дело, эту уязвимость нужно закрыть.

Спасибо

Ссылка на сообщение
Поделиться на другие сайты
regist

regist 618

Опубликовано
Опубликовано
3 часа назад, Роман Шерстнёв сказал:

Спасибо

Лог работы утилиты прикрепите и потом коллекшен лог по правилам раздела.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • temw
      майнер john
      От temw
      доброго вечера! 29 июня 2024 (в районе 17 вечера по московскому времени) была обнаружена странная активность – процессор грузился под 80% даже без нагрузки (просто при включении компьютера). после начал закрываться диспетчер задач (открывался буквально на несколько секунд). а поиск в браузере решений приводил к закрытию браузера (в то время как с телефона все сайты открывались нормально).
      мной была найдена информация о том, что это майнер john (который создает как раз пользователя john)
      ноутбук был почищен с помощью AVbr, но хочется иметь уверенность в том, что никаких хвостов не осталось, а также хочется принять во внимание рекомендации. прикладываю логи.
      upd: предложенные программы для проверки компа (Kaspersky Virus Removal Tool и Dr.Web CureIt!) ничего не выявили 
      AV_block_remove_2024.06.29-17.44.log CollectionLog-2024.07.01-00.34.zip
    • Ezikeil
      [РЕШЕНО] Майнер John
      От Ezikeil
      В начале мая поймал майнер "John", блокировал доступ к AMD Software и нагружал видеокарту, почистил пк через: Dr.Web CurеIt!, kaspersky removal tool, Avz, AV block remover (AVbr) почистил вручную localhost, вручную удалял папки который майнер насоздавал в Program data и вроде как удалил майнер. Смущает что Avz ругается на перехватку каких то методов. 
      CollectionLog-2024.06.16-00.16.zip HiJackThis.log avz_log.txt Addition.txt FRST.txt
    • Dopelganger
      Отсутствуют какие либо кнопки в безопасности Windows 10 + не могу вернуть права администратора
      От Dopelganger
      Добрый вечер, словил майнер John. С помощью AVbr смог почистить host и удалить вредоносные программы, но есть проблема с правами администратора. Помогите избавиться. Также не отображается папка C:\Program Files\Malwarebytes даже при включении скрытых файлов.
      avz_log.txt

    • CzarOfScripts
      Майнер John
      От CzarOfScripts
      Уже давно сталкивался с этим майнером, но так и не решил данную проблему до конца и просто переустановил виндовс в будущем. Как можно от него избавиться, есть ли какой-то универсальный софт?  Farbar Recovery Scan Tool сразу же закрывается после запуска, переименовывать пробовал.
    • shirochka
      [РЕШЕНО] NET.MALWARE.URL прошу помощи с удалением
      От shirochka
      Всем добрый день! 3 раз заблокировали аккаунт вк, уже забанили навсегда. Подозрение что у меня keyspy, недавно подхватил майнер John, запустился с точки восстановления до этого инцедента, все было ок. Сейчас через curelt посмотрел, у меня хост (удалил) и малваре. Помогите пожалуйста, виндоус не хочу переустанавливать, есть важные файлы. буду ждать ответа! (лог curelt прилагаю)
      cureit.rar
×
×
  • Создать...