sergfromnn 0 Опубликовано 11 августа, 2020 Share Опубликовано 11 августа, 2020 Добрый день! Была попытка взлома аккаунта в соц.сети, после этого было решено проверить ПК на наличие вредоносного ПО. KVRT не реагирует на клавишу "Запустить", даже в безопасном режиме. Обычный антивирус Касперского даже не устанавливается. Была записана загрузочная флешка Kaspersky Rescue Disk, образ загружал с сайта https://www.kaspersky.ru/downloads/thank-you/free-rescue-disk. После сканирования было найдено два десятка угроз, которые были удалены. Однако это не принесло результата. KVRT по прежнему не работает, антивирус не устанавливается. Проверки другими антивирусными ПО сначала что-то находили, теперь нет. Согласно второму и третьему пункту запустил AutoLogger, создан файл протоколов, но при создании темы, отсутствует клавиша загрузки файлов, а при перетаскивании архива ничего не происходит. Как еще можно отправить вам логи? Цитата Ссылка на сообщение Поделиться на другие сайты
sergfromnn 0 Опубликовано 11 августа, 2020 Автор Share Опубликовано 11 августа, 2020 CollectionLog-2020.08.11-14.34.zip Разобрался) Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 11 августа, 2020 Share Опубликовано 11 августа, 2020 Здравствуйте! "Пофиксите" в HijackThis: O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe (disabled) O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe (disabled) O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1 Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
sergfromnn 0 Опубликовано 11 августа, 2020 Автор Share Опубликовано 11 августа, 2020 Указанные строки пофиксил. Файлы прилагаю. Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 11 августа, 2020 Share Опубликовано 11 августа, 2020 Пользователь Цитата john (S-1-5-21-3618451415-2787057718-2357212698-1003 - Administrator - Enabled) скорее всего не ваш. Отключите и удалите. Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код:Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION HKU\S-1-5-21-3618451415-2787057718-2357212698-1001\...\MountPoints2: {59b677ef-d6fd-11e8-9d07-4ccc6aae8a5f} - "I:\Autoplay.exe" -auto GroupPolicy: Restriction ? <==== ATTENTION CHR HKU\S-1-5-21-3618451415-2787057718-2357212698-1001\SOFTWARE\Policies\Google: Restriction <==== ATTENTION S2 TermService; %ProgramFiles%\RDP Wrapper\rdpwrap.dll [X] <==== ATTENTION (no ServiceDLL) 2020-08-08 20:59 - 2020-08-11 14:27 - 000000000 __SHD C:\KVRT_Data 2020-08-08 20:59 - 2020-08-11 14:17 - 000000000 __SHD C:\ProgramData\Doctor Web 2020-08-08 20:59 - 2020-08-11 13:52 - 000000000 __SHD C:\rdp 2020-08-08 20:59 - 2020-08-11 13:52 - 000000000 __SHD C:\ProgramData\install 2020-08-08 20:59 - 2020-08-11 12:13 - 000000000 __SHD C:\ProgramData\WindowsTask 2020-08-08 20:59 - 2020-08-11 11:44 - 000000000 __SHD C:\ProgramData\RealtekHD 2020-08-08 20:59 - 2020-08-08 21:00 - 000000000 __SHD C:\ProgramData\Setup 2020-08-08 20:59 - 2020-08-08 20:59 - 000000000 __SHD C:\ProgramData\RunDLL 2020-08-08 20:59 - 2020-08-08 20:59 - 000000000 __SHD C:\ProgramData\Norton 2020-08-08 20:59 - 2020-08-08 20:59 - 000000000 __SHD C:\ProgramData\McAfee 2020-08-08 20:59 - 2020-08-08 20:59 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files 2020-08-08 20:59 - 2020-08-08 20:59 - 000000000 __SHD C:\ProgramData\Kaspersky Lab 2020-08-08 20:59 - 2020-08-08 20:59 - 000000000 __SHD C:\ProgramData\grizzly 2020-08-08 20:59 - 2020-08-08 20:59 - 000000000 __SHD C:\ProgramData\ESET 2020-08-08 20:59 - 2020-08-08 20:59 - 000000000 __SHD C:\ProgramData\AVAST Software 2020-08-08 20:59 - 2020-08-08 20:59 - 000000000 __SHD C:\ProgramData\360safe 2020-08-08 20:59 - 2020-08-08 20:59 - 000000000 __SHD C:\Program Files\SpyHunter 2020-08-08 20:59 - 2020-08-08 20:59 - 000000000 __SHD C:\Program Files\Malwarebytes 2020-08-08 20:59 - 2020-08-08 20:59 - 000000000 __SHD C:\Program Files\Kaspersky Lab 2020-08-08 20:59 - 2020-08-08 20:59 - 000000000 __SHD C:\Program Files\ESET 2020-08-08 20:59 - 2020-08-08 20:59 - 000000000 __SHD C:\Program Files\Enigma Software Group 2020-08-08 20:59 - 2020-08-08 20:59 - 000000000 __SHD C:\Program Files\COMODO 2020-08-08 20:59 - 2020-08-08 20:59 - 000000000 __SHD C:\Program Files\Cezurity 2020-08-08 20:59 - 2020-08-08 20:59 - 000000000 __SHD C:\Program Files\AVG 2020-08-08 20:59 - 2020-08-08 20:59 - 000000000 __SHD C:\Program Files\AVAST Software 2020-08-08 20:59 - 2020-08-08 20:59 - 000000000 __SHD C:\Program Files (x86)\SpyHunter 2020-08-08 20:59 - 2020-08-08 20:59 - 000000000 __SHD C:\Program Files (x86)\Panda Security 2020-08-08 20:59 - 2020-08-08 20:59 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX 2020-08-08 20:59 - 2020-08-08 20:59 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab 2020-08-08 20:59 - 2020-08-08 20:59 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus 2020-08-08 20:59 - 2020-08-08 20:59 - 000000000 __SHD C:\Program Files (x86)\Cezurity 2020-08-08 20:59 - 2020-08-08 20:59 - 000000000 __SHD C:\Program Files (x86)\AVG 2020-08-08 20:59 - 2020-08-08 20:59 - 000000000 __SHD C:\Program Files (x86)\AVAST Software 2020-08-08 20:59 - 2020-08-08 20:59 - 000000000 __SHD C:\Program Files (x86)\360 2020-08-08 20:59 - 2020-08-08 20:59 - 000000000 __SHD C:\AdwCleaner 2020-08-08 20:59 - 2020-08-08 20:59 - 000000000 ____D C:\WINDOWS\speechstracing 2020-08-08 20:59 - 2020-08-08 20:59 - 000000000 ____D C:\Users\Все пользователи\MB3Install 2020-08-08 20:59 - 2020-08-08 20:59 - 000000000 ____D C:\ProgramData\MB3Install AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [128] AlternateDataStreams: C:\Users\priva\Downloads\esetonlinescanner.exe:SmartScreen [7] AlternateDataStreams: C:\Users\priva\Downloads\kis20.0.14.1085abcdefghijkru_24927.exe:SmartScreen [7] AlternateDataStreams: C:\Users\priva\Downloads\ks4.021.0.44.1537ru_25000 (1).exe:SmartScreen [7] AlternateDataStreams: C:\Users\priva\Downloads\ks4.021.0.44.1537ru_25000.exe:SmartScreen [7] AlternateDataStreams: C:\Users\priva\AppData\Local\VEGAS Pro:$v35 [48] FirewallRules: [{154F10F4-4E9D-48A7-B90B-3F7B2AB197BD}] => (Allow) LPort=8299 FirewallRules: [{390264AF-F8D6-40D4-B5CA-6074904369D5}] => (Allow) LPort=8319 FirewallRules: [{14BF3E38-42D6-4586-A0BD-35C4BE13EE25}] => (Allow) C:\ProgramData\Windows\rutserv.exe => No File FirewallRules: [{9A474AA0-7D6C-46D2-871C-4E097DA668EC}] => (Block) LPort=445 FirewallRules: [{370FAD51-E986-4BD2-91BE-7158A8889067}] => (Block) LPort=445 FirewallRules: [{A8F7F652-D07C-4D3C-B0BB-9AAAC476FD9A}] => (Block) LPort=139 FirewallRules: [{0A0B47AB-1F8B-492F-BD47-13B2D7FB6511}] => (Block) LPort=139 FirewallRules: [{365753BA-679D-4FB5-A970-C868FBB808A5}] => (Allow) LPort=3389 FirewallRules: [{FE2E2DB2-7AE1-4637-B696-D7AC86A3317B}] => (Allow) LPort=3389 EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
sergfromnn 0 Опубликовано 11 августа, 2020 Автор Share Опубликовано 11 августа, 2020 Пользователя второго удалил. Скрипт по инструкции выполнен. Файл с логом во вложении. Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 11 августа, 2020 Share Опубликовано 11 августа, 2020 Что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
sergfromnn 0 Опубликовано 11 августа, 2020 Автор Share Опубликовано 11 августа, 2020 Вопрос решен. Антивирус установился без проблем. Благодарю за помощь! Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 11 августа, 2020 Share Опубликовано 11 августа, 2020 Проделайте завершающие шаги: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
sergfromnn 0 Опубликовано 11 августа, 2020 Автор Share Опубликовано 11 августа, 2020 Рекомендации выполнены. Прикрепляю файл. SecurityCheck.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 11 августа, 2020 Share Опубликовано 11 августа, 2020 -------------------------- [ SecurityUtilities ] -------------------------- Eraser 6.2.0.2986 v.6.2.2986 Внимание! Скачать обновления --------------------------- [ OtherUtilities ] ---------------------------- Zoom v.5.0 Внимание! Скачать обновления K-Lite Mega Codec Pack 15.4.4 v.15.4.4 Внимание! Скачать обновления TeamViewer 14 v.14.0.13880 Внимание! Скачать обновления Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^ -------------------------------- [ Arch ] --------------------------------- WinRAR 5.61 (64-разрядная) v.5.61.0 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- µTorrent v.1.8.2 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. -------------------------------- [ Java ] --------------------------------- Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u261-windows-x64.exe)^ ------------------------------- [ Browser ] ------------------------------- Pale Moon 28.11.0 (x64 en-US) v.28.11.0 Внимание! Скачать обновления MX5 v.5.3.8.1300 Внимание! Скачать обновления ^Проверьте обновления через меню О программе!^ ---------------------------- [ UnwantedApps ] ----------------------------- Ace Stream Media 3.1.32 v.3.1.32 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!! VKMusic 4 v.4.83.1 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности. Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Пароль на RDP смените. Читайте Рекомендации после удаления вредоносного ПО Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.