regist 617 Опубликовано 9 октября, 2018 Share Опубликовано 9 октября, 2018 (изменено) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО . Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: ;uVS v4.0.21 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG delref {E2883E8F-472F-4FB0-9522-AC9BF37916A7}\[CLSID] dirzoo %SystemRoot%\SYSWOW64\MICROSOFT\PROTECT\S-1-89-81 deldir %SystemRoot%\SYSWOW64\MICROSOFT\Protect\S-1-89-81 czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOOс паролем virus. Полученный архив отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN). Изменено 10 октября, 2018 пользователем regist Цитата Ссылка на сообщение Поделиться на другие сайты
Artem017 0 Опубликовано 9 октября, 2018 Автор Share Опубликовано 9 октября, 2018 @regist, Скрипт выполнил трижды, однако архив ZOO всё равно не создаётся. В логе написано: Указанный в скрипте файл не найден в списке: {E2883E8F-472F-4FB0-9522-AC9BF37916A7}\[CLSID] Удалено файлов: 0 из 0 Какие файлы нужно поместить в архив ZOO? На всякий случай прикрепляю лог. 2018-10-09_15-56-04_log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 9 октября, 2018 Share Опубликовано 9 октября, 2018 Если трижды выполнили, то уже ничего не найдёте в теории, так как уже трижды удалено . Если хотите, то можете сами убедиться, что папки C:\WINDOWS\SYSWOW64\MICROSOFT\PROTECT\ со всем её содержимым уже нет. Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Выполните рекомендации после лечения. Цитата Ссылка на сообщение Поделиться на другие сайты
Artem017 0 Опубликовано 9 октября, 2018 Автор Share Опубликовано 9 октября, 2018 со всем её содержимым уже нет. Всё равно имеется скрытый файл, к которому доступа нет: Скрипт выполнил. Результат таков: Множественные уязвимости в Java JDK и JRE (32-разрядная версия). Деинсталлируйте старую версию. Установите новую, если Java вам нужна: https://www.java.com/ru/download/manual.jsp Обнаружено уязвимостей: 1 Попытался удалить все версии Java через командную строку (нашёл простое решение): Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 9 октября, 2018 Share Опубликовано 9 октября, 2018 Соберите свежий лог uVS, как указно здесь. Цитата Ссылка на сообщение Поделиться на другие сайты
Artem017 0 Опубликовано 9 октября, 2018 Автор Share Опубликовано 9 октября, 2018 (изменено) Есть! URAN-289_2018-10-09_17-38-31_v4.0.21.7z Изменено 9 октября, 2018 пользователем Artem017 Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 9 октября, 2018 Share Опубликовано 9 октября, 2018 будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования"Вы не тот прикрепили. Цитата Ссылка на сообщение Поделиться на другие сайты
Artem017 0 Опубликовано 9 октября, 2018 Автор Share Опубликовано 9 октября, 2018 Поправил Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 9 октября, 2018 Share Опубликовано 9 октября, 2018 Откройте папку с распакованной утилитой uVS и запустите файл start.exe. Нажмите Запустить под текущим пользователем. Нажмите меню "Дополнительно" -> "Сбросить атрибуты для всех файлов/каталогов в..." В окне слева перейдите к папке C:\WINDOWS\SYSWOW64\MICROSOFT\PROTECT\ Клавиши для навигации указаны справа. Будьте осторожны, чтобы случайно не указать другую папку. Нажмите "Выбрать". После этого ещё раз проверьте доступ к этой папке. _________________________Хотя давайте пока с uVS оставим, если не получится, то сделаете попоз;е. Там не самое удобный способ выбора папки (зато утилита очень мощная), так что пока попробуем через FRST выполнить скрипт Отключите до перезагрузки антивирус. Выделите следующий код:Start:: Unlock: C:\WINDOWS\SYSWOW64\MICROSOFT\PROTECT\ Unlock: C:\Windows\SysWOW64\Microsoft\Protect\S-1-89-81 Folder: C:\Windows\SysWOW64\Microsoft\Protect\S-1-89-81 End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Artem017 0 Опубликовано 9 октября, 2018 Автор Share Опубликовано 9 октября, 2018 (изменено) Выполнил. Fixlog.txt Изменено 9 октября, 2018 пользователем Artem017 Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 9 октября, 2018 Share Опубликовано 9 октября, 2018 Проверьте ещё раз доступ к этой папке. И есть ли там внутри какие-то файлы? Цитата Ссылка на сообщение Поделиться на другие сайты
Artem017 0 Опубликовано 10 октября, 2018 Автор Share Опубликовано 10 октября, 2018 (изменено) @regist, Доброе утро! Проверил доступ - по прежнему нет. Папка скрытая, защищённая системная. А сама эта папка S-1-89-81 родная или всё же чужеродная в Windows? В стандартном наборе чистой ОС она должна присутствовать? Попробовал в безопасном режиме - . А если попробовать удалить эту папку Unlocker`ом? Из интереса зашёл на другом компьютере с почти чистой ОС в эту же папку. Правда там 32-разрядная, но суть та же - да, там содержимое папки \Protect\ без проблем открывается и просматривается. Изменено 10 октября, 2018 пользователем Artem017 Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 10 октября, 2018 Share Опубликовано 10 октября, 2018 А сама эта папка S-1-89-81 родная или всё же чужеродная в Windows? В стандартном наборе чистой ОС она должна присутствовать? На чистой ОС её не должно быть и такого SID нету в документации https://support.microsoft.com/ru-ru/help/243330/well-known-security-identifiers-in-windows-operating-systems А если попробовать удалить эту папку Unlocker`ом? 1) Анлокер не очень корректно работает на 7-ке (он скорее для XP).2) Скриптом выше эту папку уже удаляли. 3) Последний скрипт FRST судя по логу работы её точно разблокировал. Раз она до сих пор есть и защищается, то значит какая-то из ваших программ (либо сама ОС) её восстанавливает и защищает. Так что думаю если проблем больше нет, то лучше оставить её в покое. тем более, что после того как её разблокировало следующей командой смотрело её содержимое. И она похоже пустая (не вывело ничего из её содержимого). 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Artem017 0 Опубликовано 10 октября, 2018 Автор Share Опубликовано 10 октября, 2018 (изменено) Если честно, то не был готов смириться с наличием "ненужной" папки на ПК. Знаю что это "непрофессионально", но всё же... я рискнул её удалить Unlocker`ом. В общем, Анлокер переместил её в корзину и в корзине стало видно содержимое этой папки: Все четыре .dll-ки имеют дату изменения 2009 год - очень близко к дате создания самой Винды. То есть, видимо, они оригинальные. Компьютер перезагрузил. Сейчас папка \Protect\ пустая. Как думаете, стоит обратно восстановить эту папку с файлами из корзины или же удалить совсем? Изменено 10 октября, 2018 пользователем Artem017 Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 10 октября, 2018 Share Опубликовано 10 октября, 2018 Удалите на совсем. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.