foxilian 0 Опубликовано 19 октября, 2021 Share Опубликовано 19 октября, 2021 1. ПК в домене, заражение прошло под правами пользователя. 2. hosts - все известные антивирусы забанены 3. Тело вируса: ProgramData\Windows\rfusclient.exe, rutserv.exe ProgramData\temp6.exe 4. Куча папок с закрытыми атрибутами 5. Понижен UAC 6. После ручного удаления вируса, теперь не запускается касперский. 7. Заражение прошло под правами пользователя на ПК Я уже чистил 20 ПК от такого вируса, я знаю как удалять его вручную. Но почему каспер его пропустил? Почему касперский теперь не запускается? Что бы заработал касперский, его надо сначала удалить, потом поставить заного! Хочу передать вам образ ПК на исследование. Ссылка на сообщение Поделиться на другие сайты
akoK 113 Опубликовано 19 октября, 2021 Share Опубликовано 19 октября, 2021 Доброго времени суток. При наличии лицензии лучше подключить службу поддержки ЛК. А для нас соберите комплект логов Ссылка на сообщение Поделиться на другие сайты
foxilian 0 Опубликовано 19 октября, 2021 Автор Share Опубликовано 19 октября, 2021 Проблема регулярная, вирус ходит в сети. ПК с XP - не трогает. Хотелось бы еще получить рекомендации по настройке доменной политики для обнаружения и предотвращения. CollectionLog-2021.10.19-17.05.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 19 октября, 2021 Share Опубликовано 19 октября, 2021 Здравствуйте! Скачайте AV block remover. Распакуйте, запустите и следуйте инструкциям. После перезагрузки системы соберите новый CollectionLog Автологером. 1 Ссылка на сообщение Поделиться на другие сайты
foxilian 0 Опубликовано 20 октября, 2021 Автор Share Опубликовано 20 октября, 2021 Сделал CollectionLog-2021.10.20-08.22.zip После AV block remover: C:\ProgramData\temp6.exe - вирус не удален "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Cloud 21.3\avpui.exe" - не запускаетсяhttps://gridinsoft.com/antimalware - проверил еще этим, логи прикрепил реестр не почищен 3 Под конец еще этим проверил ScanLog_2021-10-20 [08-24-38].log 18 часов назад, akoK сказал: Доброго времени суток. При наличии лицензии лучше подключить службу поддержки ЛК. А для нас соберите комплект логов CollectionLog-2021.10.20-08.22.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 20 октября, 2021 Share Опубликовано 20 октября, 2021 2 часа назад, foxilian сказал: После AV block remover: Покажите его отчет в виде файла AV_block_remove.log Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. 2 часа назад, foxilian сказал: проверил еще этим Пожалуйста, самостоятельно не запускайте никакие лечащие утилиты. Ссылка на сообщение Поделиться на другие сайты
foxilian 0 Опубликовано 20 октября, 2021 Автор Share Опубликовано 20 октября, 2021 report1.log report2.log Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 20 октября, 2021 Share Опубликовано 20 октября, 2021 1 час назад, Sandor сказал: Покажите его отчет в виде файла AV_block_remove.log Вы прикрепили отчеты Автологера. Ссылка на сообщение Поделиться на другие сайты
foxilian 0 Опубликовано 20 октября, 2021 Автор Share Опубликовано 20 октября, 2021 после сканирования ПК сразу перезагружается. Это нормально? AV_block_remove.log Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 20 октября, 2021 Share Опубликовано 20 октября, 2021 После сканирования чем, FRST? Не нормально. А логи при этом создались? Ссылка на сообщение Поделиться на другие сайты
foxilian 0 Опубликовано 20 октября, 2021 Автор Share Опубликовано 20 октября, 2021 1 FRST64.exe логи FRST_20-10-2021 16.20.02.txt и Addition_20-10-2021 16.20.02.txt 2. AVbr.exe запускаю под админом, ничего не меняю в настройках, запускается, сканирует и примерно через 30 сек после начала сканирования ПК перезагружается После перезагрузки его лог: AV_block_remove.log Addition_20-10-2021 16.20.02.txt AV_block_remove.log FRST_20-10-2021 16.20.02.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 20 октября, 2021 Share Опубликовано 20 октября, 2021 2 минуты назад, foxilian сказал: AVbr.exe запускаю под админом Его достаточно было один раз запустить. Продолжаем. Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: SystemRestore: On CreateRestorePoint: HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe <==== ВНИМАНИЕ HKLM-x32\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\stajer-kab7\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\ustinova\NTUSER.pol: Ограничение <==== ВНИМАНИЕ 2021-10-06 12:48 C:\Windows\boy.exe 2021-10-06 12:48 C:\Windows\java.exe 2021-10-06 12:48 C:\Windows\svchost.exe 2021-10-06 12:47 C:\Windows\SysWOW64\Drivers\conhost.exe FirewallRules: [{F44A2068-E11A-45FE-98E3-A7FC5F0BF1A9}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => Нет файла FirewallRules: [{7B8CDF6C-F3ED-4525-8145-EB1C9BCE679E}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла FirewallRules: [{69F4E914-1CD3-4F13-9C03-48979F16702F}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла FirewallRules: [{F5AD88A7-63C2-464B-8C54-3CF6C97717D4}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => Нет файла FirewallRules: [{F0E8B3D3-7FF9-4AE9-8377-85A71200C799}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла FirewallRules: [{A459D541-5D93-42E7-81DD-39120C706F89}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла FirewallRules: [{4CE5F7ED-8EB6-47A8-A909-F81CEB61E4B2}] => (Allow) C:\ProgramData\RealtekHD\taskhostw.exe => Нет файла FirewallRules: [{B2D3DB9F-EB79-470E-B59A-E63B21E39CB7}] => (Allow) C:\ProgramData\rundll\system.exe => Нет файла FirewallRules: [{7E5EC622-E358-4887-B649-A31E92A78365}] => (Allow) C:\ProgramData\rundll\rundll.exe => Нет файла FirewallRules: [{EBC999BA-D12C-4CF8-8E1D-D5192E735A48}] => (Allow) C:\ProgramData\rundll\Doublepulsar-1.3.1.exe => Нет файла FirewallRules: [{BE173370-5B38-49BB-83BE-264847177961}] => (Allow) C:\ProgramData\rundll\Eternalblue-2.2.0.exe => Нет файла FirewallRules: [{8F799CAB-48A4-4AAD-AB11-29963005FF3D}] => (Allow) LPort=9494 FirewallRules: [{6F824DAA-CC36-4DB4-9C2A-3769EE6DE482}] => (Allow) LPort=9393 FirewallRules: [{FBE88C0C-784C-41A8-B726-1E43D2FD3D43}] => (Allow) LPort=9494 FirewallRules: [{5E48E107-3C2E-4BEA-A767-588C2CFF8DA4}] => (Allow) LPort=9393 EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
foxilian 0 Опубликовано 20 октября, 2021 Автор Share Опубликовано 20 октября, 2021 Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 20 октября, 2021 Share Опубликовано 20 октября, 2021 Что сейчас с проблемой? Ссылка на сообщение Поделиться на другие сайты
foxilian 0 Опубликовано 20 октября, 2021 Автор Share Опубликовано 20 октября, 2021 служба каспера не запускается, отказано в доступе Kaspersky Anti-Virus Kaspersky Sekurity Code вручную не запускается C:\ProgramData\temp6.exe - вирус не удален Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти