Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Изменения низких настроек системы без личного совершения

Ответить
Настройки темы
[решено] Изменения низких настроек системы без личного совершения

Пользователь


Сообщения: 45
Благодарности: 4

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: zip CollectionLog-2019.12.10-01.35.zip
(76.4 Kb, 2 просмотров)
Здравствуйте. Устанавливал скачанную игру, есть подозрения на вирусы.
Симптоматика:
1. ОС запустилась в Безопасный режим с холодного старта (грешил на обновления драйвера тачпада). После загрузки сразу выплыло окно "Завершение ОС менее чем через минуту. Приготовьтесь".
2. Индикатор ЮСБ флешки регулярно помигивает как в этом, так и в другом ноутбуке. Автозапуск был включен на обоих (моя вина). Один раз безопасное извлечение указало ошибку о незавершенных процессах с ней, после этого отключало успешно.
3. При попытке открыть Диспетчер Задач появилось окно-ошибка об отключении этой функции Администратором. Исправилось удалением соответствующего ключа реестра.

Логи прикрепляю. Вопрос: логи 2-го ноутбука в эту же Тему?

Отправлено: 02:36, 10-12-2019

 

Аватара для akok

Ветеран


Консультант


Сообщения: 763
Благодарности: 201

Профиль | Сайт | Отправить PM | Цитировать


Цитата JamesD:
Логи прикрепляю. Вопрос: логи 2-го ноутбука в эту же Тему? »
Один компьютер, одна тема. Чтоб не путаться.

C:\Users\James D\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\cleantemp.bat - сами добавляли?

-------


Отправлено: 02:44, 10-12-2019 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Пользователь


Сообщения: 45
Благодарности: 4

Профиль | Отправить PM | Цитировать


Цитата akok:
C:\Users\James D\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\cleantemp.bat - сами добавляли? »
Да, вручную, чтобы очищалась папка временных файлов.
Спасибо, что откликнулись.

Отправлено: 02:48, 10-12-2019 | #3


Аватара для Sandor

Ветеран


Консультант


Сообщения: 5255
Благодарности: 1319

Профиль | Отправить PM | Цитировать


Через Панель управления - Удаление программ - удалите нежелательное ПО:
Цитата:
Unchecky v0.2.16
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код: Выделить весь код
begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.
Компьютер перезагрузится.



Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.



Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
Прикрепите свежий CollectionLog.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

-------

Это сообщение посчитали полезным следующие участники:

Отправлено: 10:22, 10-12-2019 | #4


Пользователь


Сообщения: 45
Благодарности: 4

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: zip CollectionLog-2019.12.10-15.51.zip
(86.7 Kb, 1 просмотров)
Тип файла: txt Addition.txt
(44.1 Kb, 1 просмотров)
Тип файла: 7z FRST.7z
(25.1 Kb, 1 просмотров)

Значитс так...

1. Quarantine.7z отсутствует. Однако я нашел визуально-подозрительные файлы "троянов" (как говорит virustotal) в папке Windows. Их собрал в архив Quarantine.7z c паролем (вроде бы поставил) malware. Надеюсь, что так правильно было. 2019.12.11_Quarantine_56e76e81e9c618d8a367b48a1c6ea403.7z , Обновленный файл карантина с еще одним объектом - 2019.12.11_Quarantine_b821d63c229ab4bcfc8df4b59d7c77ef.7z
Можно в итоге получить информацию - это опасные файлы или лжеположительные?
Интересно, как так получилось? (Вирус заблокировал создания файла Quarantine.7z или комплект Autologger умудрился не задектектить вирусы в папке Windows, или он не задетектил потому что это на самом деле не вирусы?)
2. При загрузке 3-х файлов получил ошибку с FRST.txt: Ваш файл объемом 253.4 Kb превышает предел в 97.7 Kb, установленный на форуме для этого типа файлов.
Добавил его в архив 7z.

Даты создания файлов-троянов совпадают с запуском установщика одного ПО. Мне кому-то передавать адрес источника этого ПО?

Последний раз редактировалось JamesD, 11-12-2019 в 11:46.


Отправлено: 11:21, 11-12-2019 | #5


Аватара для Sandor

Ветеран


Консультант


Сообщения: 5255
Благодарности: 1319

Профиль | Отправить PM | Цитировать


Цитата JamesD:
Quarantine.7z отсутствует »
Это моя ошибка, не поправил шаблон. Карантин не должен был собраться, все верно.

Пролечите систему с помощью KVRT. Папку C:\KVRT\Report упакуйте в архив и прикрепите к следующему сообщению.

-------


Отправлено: 11:31, 11-12-2019 | #6


Пользователь


Сообщения: 45
Благодарности: 4

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: 7z report_20191211_120804.klr.7z
(1.0 Kb, 1 просмотров)

Нашло те файлы, которые я удалил в корзину и заархивировал.
Можете подсказать как отключить автозапуск со съемных дисков, а то галку "Использовать автозапуск для всех носителей и устройств" я снял, но в логе Аутологгера все еще красным выглядело предупреждение.
Есть шанс узнать, что этим троянам удалось сделать?
Спасибо.

Отправлено: 23:52, 11-12-2019 | #7


Аватара для Sandor

Ветеран


Консультант


Сообщения: 5255
Благодарности: 1319

Профиль | Отправить PM | Цитировать


Цитата JamesD:
как отключить автозапуск со съемных дисков »
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код: Выделить весь код
begin
 RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221');
RebootWindows(false);
end.
Компьютер перезагрузится.


Цитата JamesD:
что этим троянам удалось сделать? »
Если волнуетесь о краже паролей, то этого не было. Впрочем, по правилам считается нормальным периодически важные пароли менять.

Удалите старые и соберите новые отчёты FRST.txt и Addition.txt.

-------

Это сообщение посчитали полезным следующие участники:

Отправлено: 09:38, 12-12-2019 | #8


Пользователь


Сообщения: 45
Благодарности: 4

Профиль | Отправить PM | Цитировать


Простите, если что. После лечения KVRT и убедившись, что новых файлов найдено не было, я восстановил ОС с ранее созданного бекапа (и второй ноутбук тоже на всякий случай).

Благодарю за информацию о настройке и об отсутствии кражи паролей. Всего хорошего!

Отправлено: 01:33, 14-12-2019 | #9



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Изменения низких настроек системы без личного совершения

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Debian/Ubuntu - Какой командой внести изменения без перезагрузки системы? borison Общий по Linux 4 14-09-2015 15:32
Разное - Скрипт изменения сетевых настроек align Microsoft Windows 7 25 03-03-2014 09:19
Интерфейс - заблокировать возможность изменения настроек дисплея Ыть Microsoft Windows 8 и 8.1 10 27-12-2013 22:05
[решено] Переименовать пользователя в домене без изменения настроек старого пользователя bodil Microsoft Windows NT/2000/2003 18 07-02-2009 18:38
Проблемы после изменения настроек BIOS Иваныч Хочу все знать 4 06-02-2008 21:46




 
Переход