Перейти к содержанию

Вирус поразил ccleaner, regedit, avg


Рекомендуемые сообщения

Недавно при включении компьютера автоматически открылся браузер и перебросил меня на рекламную страницу интернета. Я это дело выключил через msconfig в автозагрузке (cmd.exe /c start http://zivlingamer.org&& exit). Но вскоре столкнулся с проблемой, что CCleaner и AVG перестали включаться, запуск exe файла возможен только при смене имени файла. В реестр по команде regedit попасть невозможно. Проверял компьютер Kaspersky Total Security (официальная пробная лицензия) и Dr.Web. Подскажите как реанимировать компьютер.

Изменено пользователем makmerdo
Ссылка на сообщение
Поделиться на другие сайты

Для запуска автологгера потребовалось его снова таки переименовать, но после распаковки файлов ничего не произошло. Как собрать логи в таком случае? 


Выполнил следующий скрипт в AVZ и помогло. 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;

QuarantineFile('C:\Users\Blackened\AppData\Roaming\Youtube Downloader HD\Reversed\steam.exe','');
 QuarantineFile('C:\Users\Blackened\AppData\Roaming\Total War Rome 2\AdobeFlashPlayerUpdater.exe','');
 QuarantineFile('C:\Users\Blackened\AppData\Roaming\Red Alert 3\AdCache\googleupd.exe','');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CMD','command');
 DeleteFile('C:\Users\Blackened\AppData\Roaming\Red Alert 3\AdCache\googleupd.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\GoogleUpdateTaskUserS-1-5-21-1970835742GUI','64');
 DeleteFile('C:\Users\Blackened\AppData\Roaming\Total War Rome 2\AdobeFlashPlayerUpdater.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\AdobeFlashPlayer-S-1-2-1298-9822','64');
 DeleteFile('C:\Users\Blackened\AppData\Roaming\Youtube Downloader HD\Reversed\steam.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Steam-S-1-8-22-9865GUI','64');

 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(9); 
RebootWindows(false);
end.

Ссылка на сообщение
Поделиться на другие сайты

Запрещено выполнять чужие скрипты. Вы можете повредить себе систему. 

 

 

 

Для запуска автологгера потребовалось его снова таки переименовать, но после распаковки файлов ничего не произошло. Как собрать логи в таком случае? 

Используйте специальную версию Автологгера.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      В середине июля исследователи из Швейцарской высшей технической школы Цюриха опубликовали свежее исследование, в котором описали новую атаку с использованием уязвимостей (или, если хотите, особенностей) современных процессоров. Атака получила название Retbleed, которое происходит от Retpoline — так именуют метод защиты от определенного типа атак семейства Spectre. По сути авторы работы показали, что способ компиляции программ, считавшийся ранее эффективной защитой их от атаки Spectre так называемого «второго варианта», на самом деле не работает или работает далеко не всегда. Исследование, как и все предыдущие работы об аппаратных уязвимостях в процессорах, сложное. В этой статье мы, по традиции, постараемся не забираться глубоко в дебри научных работ и попробуем описать результаты простыми словами. А начнем с небольшой предыстории.
      Что такое Spectre v2? Поговорим о предсказании ветвлений
      Две научные работы, описывающие уязвимости Spectre и Meltdown, были опубликованы в начале 2018 года, больше четырех лет назад. Это аппаратные уязвимости — потенциальная атака с кражей данных стала возможной благодаря особенностям работы процессоров. С тех пор было обнаружено еще несколько вариантов Spectre: исследователи находили все новые способы атаковать один общий класс уязвимостей, а конкретно — использовать для атаки штатную функциональность процессора под названием «предсказание ветвлений» или «branch prediction».
      Предсказание ветвлений и спекулятивное выполнение инструкций помогает серьезно повысить производительность процессора. В любой программе выполнение дальнейших шагов часто зависит от результата предыдущих вычислений. Простейший пример: пользователь вводит пароль для доступа к каким-то секретным данным. Если пароль правильный, мы показываем пользователю данные. Если неправильный — просим ввести пароль еще раз. На уровне простейших инструкций, которые обрабатывает процессор, это транслируется, скажем, в проверку прав доступа к определенным данным в оперативной памяти: если права есть, можно прочитать данные, если нет — нельзя.
       
      View the full article
    • truedarkness
      От truedarkness
      Добрый вечер. Буду безмерно благодарен за помощь с проблемой, которую сам себе создал. Всё произошло из-за зараженного экзешника, который я установил на компьютер. Вирусы не давали открывать что либо в браузере, браузер закрывался при попытках открыть любой сайт (после удаления некоторых вирусов с помощью KVRT браузер стал открываться и появилась возможность выхода в интернет), но по прежнему остаётся проблема, которая не даёт запускать антивирусы в обычном режиме (если перевести компьютер в безопасный режим, то получается проводить сканирование). При попытке открыть проверочную утилиту в обычном режиме всплывает сообщение "Это приложение заблокировано вашим системным администратором. Для получения дополнительных сведений обратитесь к своему системному администратору".
      Также вчера при проверке компьютера в безопасном режиме с помощью KVRT, программа постоянно обнаруживала один и тот же троян "Trojan.Multi.GenAutorunTask.b", который находился в system memory, далее мне предлагалось избавиться от него с дальнейшей перезагрузкой, но после перезагрузки этот "Trojan.Multi.GenAutorunTask.b" показывался снова и так далее по кругу. Сегодня при проверке компьютера данный троян исчез, просто не обнаруживается, но тем не менее антивирусы не открываются. Помогите пожалуйста исправить ситуацию. Zip-архив с собранными логами прикладываю к посту.
      CollectionLog-2022.08.14-18.01.zip
    • highmind
      От highmind
      Здравствуйте, помогите пожалуйста найти и почистить следы после вирусняка.
      Подцепил вирус на одном из сайтов с репаками игр (ткнул неверную кнопку скачать), установил скачанное приложение но потом уже заподозрил неладное, проверил экзешник на вирустотале и обнаружил в нем трояны. Сразу же удалил установленную "игру" и попытался скачать dr web cureit, но вирус мешал (зависал браузер при попытке зайти на сайты антивиров). Затем получилось скинуть на комп через файлообменник утилиту др веба и начать сканирование. Нашло несколько угроз и пару майнеров которые он удалил, но осталось несколько проблем: не давало зайти на конкретные сайты (показывало ошибку днс), не было видно файла hosts, в дефендере винды были исключения которые никак нельзя было удалить и не работала система восстановления (ошибка 0x81000203). После этого проверял автономным дефендером винды, но он ничего не нашёл.
       
      Затем решил проверить компьютер другой утилитой - kaspersky removal tool (который кстати не открывался, пока его не переименовал), он справился лучше - открыл мне доступ к файлу хостс и подтёр еще пару файлов.
      После этого в файле хостс я руками удалил всё лишнее (именно он мне мешал заходить на сайты антивиров) и с помощью реестра смог таки убрать исключения из дефендера (по пути HKEY_LOCAL_MACHINE > SOFTWARE > Policies > Microsoft > Windows Defender > Exclusions).
      Также воспользовался программой AVZ и CCleaner.

      После всех манипуляций собрал лог автологгером (прикрепил).
       
      Что беспокоит на данный момент: всё еще не работает служба восстановления винды и есть подозрение, что вирус еще где-то сидит и не до конца уничтожен.
       
      CollectionLog-2022.08.13-21.39.zip
    • Lfrog
      От Lfrog
      Воспользовался KMS для активации офиса, после лечения и перезагрузки компьютера снова появляется.
      CollectionLog-2022.08.12-21.47.zip
    • KL FC Bot
      От KL FC Bot
      Начиная с 20 июля все разработчики, публикующие Android-приложения в магазине Google Play, обязаны подробно рассказывать, какие данные они собирают и как их используют. Безусловно позитивное нововведение было отчасти омрачено «оптимизацией»: теперь перед установкой приложения нельзя узнать, к каким источникам данных оно обращается. Коротко рассказываем об изменениях и объясняем, как теперь оценивать риски для вашей приватности.
      Что изменилось
      В апреле этого года компания Google внедрила новую функциональность для разработчиков в магазине Google Play: появилась возможность указывать, какие данные собирает приложение и в каких целях использует. После 20 июля возможность превратилась в обязанность: разработчики, которые не добавят такие описания, рискуют нарваться на удаление их приложений из магазина.
      Выглядит это описание в специальном разделе «Безопасность данных» или Data Safety на Google Play примерно так:
      Информацию о собираемых данных можно посмотреть прямо в магазине Google Play до установки
       
      View the full article
×
×
  • Создать...