Перейти к содержанию
Правила раздела

Вирус забрал права на папки установки

Роман Шерстнёв

Автор Роман Шерстнёв
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Роман Шерстнёв

Роман Шерстнёв

Опубликовано
Опубликовано

Здравствуйте, есть ли какой-нибудь bat или exe, автоматизирующий решение нашей проблемы? На некоторые рабочие станции под управлением Windows 7, за которыми не уследили админы, проник червь, который распространяется по сети через уязвимость MS17-010. При попадании в систему делает много нехорошего, включая добавление учетки john в группу локальных админов, установку майнеров и rdpwrapper.

 

Но больше всего раздражает то, что он создает заглушки чтобы было невозможно ничего установить из антивирусного ПО. Забирает права на директории, в которые должен устанавливаться агент администрирования и сам KES 4 Windows в папках Program Files и ProgramData (чаще всего убирает права у Trusted Installer). Я не вирусный аналитик и поэтому не знаю всех действий вируса. Прошу если это известная малварь, то поделиться скриптом, который чистит все её последствия, либо хотя бы восстанавливает права на папки Program Files и ProgramData как они должны быть в нормальной системе чтобы ни KES, ни агент не выдавал ошибок при установке. Запустить его смогу как от NT SERVICE\TrustedInstaller, так и от NT AUTHORITY\SYSTEM.

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

25.03.2023 в 10:34, Роман Шерстнёв сказал:

если это известная малварь, то поделиться скриптом

Да, известная.

 

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

 

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

 

25.03.2023 в 10:34, Роман Шерстнёв сказал:

распространяется по сети через уязвимость MS17-010

Ясное дело, эту уязвимость нужно закрыть.

Роман Шерстнёв

Роман Шерстнёв

Опубликовано
  • Автор
Опубликовано
27.03.2023 в 12:52, Sandor сказал:

Здравствуйте!

 

Да, известная.

 

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

 

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

 

Ясное дело, эту уязвимость нужно закрыть.

Спасибо

regist

regist

Опубликовано
Опубликовано
3 часа назад, Роман Шерстнёв сказал:

Спасибо

Лог работы утилиты прикрепите и потом коллекшен лог по правилам раздела.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Antoney
      Помогите, пожалуйста, подчистить за майнером John
      Автор Antoney
      Здравствуйте! Попал в руки ноутбук, в ходе профилактической проверки KVRT обнаружил много интересного, а именно - Trojan.Multi.KillAV.c и кучу Trojan.Win32.Miner.gen. Также присутствует учетная запись John.
       
      Часть попытался подчистить, затем скачал Farbar Recovery Scan Tool как советовали в соседней теме и запустил скан. Отчеты прикладываю. 
       
      Подскажите, пожалуйста, как дальше действовать, чтобы вычистить зловреда из системы?
      Addition.txt FRST.txt
    • Eugene_Konovalov
      [РЕШЕНО] Проблема с майнером John, Taskhostw.exe или как его еще называют RealtekHD
      Автор Eugene_Konovalov
      Добрый день, уважаемые эксперты.
      К сожалению для себя, поймал вчера очень крепкий майнер taskhostw.exe, который, судя по всему, совсем недавно обновили, потому что у меня никак не получается его искоренить, далее по порядку:
      1. С самого же начала установил на загрузочную флешку с офф сайта свежий kaspersky rescue disk с помощью безопасного режима с сетью (т.к. вирус, как вы и сами знаете, не дает что-либо скачать и загуглить), прогнал систему через него (6 часов шла проверка), нашел около 40 файлов (10 из которых не вирус, но не важно), потом еще раз там же прогнал уже через расширенный поиск, также удалил некоторое количество файлов этого майнера, после чего зашел в систему (все также в безопасном режиме), почистил реестр в двух папках run, перезашел в систему уже без безопасного режима, но снова открылась консоль, снова он себя докачал и снова начал издеваться над моими системой и железом
      2. После данной неудачной попытки, я установил curelt (опять же, из безопасного режима), прогнал его и снова обнаружил 6 угроз, вылечил их, после чего также прогнал систему через av block remover, она автоматом перезапустилась и даже через безопасный режим вновь создала мне автозакрытие браузеров в регистре в папке run (то есть, и этот способ не помог)... уже максимально отчаявшись я сделал все необходимые логи (Curelt, DrWeb-Sysinfo, av block remover logs, а также логи из FRST64, все это я загрузил на гугл диск для удобства: https://drive.google.com/drive/folders/1vlDNd2tWZxOUIlr24QwFEnKORR9XTBzl?usp=sharing, autologger же приложил к самой теме), после чего создал эту тему
      Очень надеюсь на вашу помощь!
      PS систему мне сносить никак нельзя, у меня в ней очень много важных рабочих файлов и документов весом в более около двух терабайт, так что я их даже на внешний диск перенести не могу)
      CollectionLog-2025.05.07-12.15.zip report1.log report2.log
    • TloBeJluTeJlb
      Вирус John
      Автор TloBeJluTeJlb
      Здравствуйте, перед обращением прошерстил темы похожих проблем, но не нашёл своей. John каким-то совершенно непостижимым образом почти не влиял на работоспособность системы, а заметил я его исключительно из-за пропажи доступа к файлам Касперского, который полностью перестал запускаться. 

      Побился об ближайшую стену, подумал, прошёлся KVRT, которым ничего не нашло, подумал ещё немного, включил AV_block_remover. Он нашёл, сделал своё дело, но доступ к папке антивируса я всё ещё не получил :D! FRST, от нечего делать, тоже был задействован, но немного опосля. Короче говоря, я, даже после удаления злополучного майнера из системы, не могу получить доступ к своим же файлам.



       

      FRST.txt Fixlog.txt Addition.txt AV_block_remove_2025.01.20-07.45.log
    • Lichtqwe
      Помогите пожалуйста удалить майнер
      Автор Lichtqwe
      Активировал windows через кмс, подхватил майнера с добавлением пользователя john, не получается скачать антивирус, autologger и av block remover не запускаются даже после того как переименовал, пишет отказано в доступе
    • Cybermancubus
      Майнер John
      Автор Cybermancubus
      Обнаружил случайно пользователя в учетных записях. В папке "Пользователи" он не отображается. Скачивал doctor web cureit, но он ничего не обнаружил. Скачал Farbar Recovery Scan Tool. Файлы прикрепляю, спасибо! Какие действия нужно предпринимать?
      FRST.txt Addition.txt
×
×
  • Создать...