|
Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Изменения низких настроек системы без личного совершения |
|
[решено] Изменения низких настроек системы без личного совершения
|
Пользователь Сообщения: 45 |
Профиль | Отправить PM | Цитировать
Здравствуйте. Устанавливал скачанную игру, есть подозрения на вирусы.
Симптоматика: 1. ОС запустилась в Безопасный режим с холодного старта (грешил на обновления драйвера тачпада). После загрузки сразу выплыло окно "Завершение ОС менее чем через минуту. Приготовьтесь". 2. Индикатор ЮСБ флешки регулярно помигивает как в этом, так и в другом ноутбуке. Автозапуск был включен на обоих (моя вина). Один раз безопасное извлечение указало ошибку о незавершенных процессах с ней, после этого отключало успешно. 3. При попытке открыть Диспетчер Задач появилось окно-ошибка об отключении этой функции Администратором. Исправилось удалением соответствующего ключа реестра. Логи прикрепляю. Вопрос: логи 2-го ноутбука в эту же Тему? |
|
Отправлено: 02:36, 10-12-2019 |
Ветеран Сообщения: 764
|
Профиль | Сайт | Отправить PM | Цитировать Цитата JamesD:
C:\Users\James D\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\cleantemp.bat - сами добавляли? |
|
Отправлено: 02:44, 10-12-2019 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Пользователь Сообщения: 45
|
Профиль | Отправить PM | Цитировать Цитата akok:
Спасибо, что откликнулись. |
|
Отправлено: 02:48, 10-12-2019 | #3 |
Ветеран Сообщения: 5296
|
Профиль | Отправить PM | Цитировать Через Панель управления - Удаление программ - удалите нежелательное ПО:
Цитата:
Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RebootWindows(false); end. Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Прикрепите свежий CollectionLog. Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. |
|
------- Отправлено: 10:22, 10-12-2019 | #4 |
Пользователь Сообщения: 45
|
Профиль | Отправить PM | Цитировать Значитс так...
1. Quarantine.7z отсутствует. Однако я нашел визуально-подозрительные файлы "троянов" (как говорит virustotal) в папке Windows. Их собрал в архив Quarantine.7z c паролем (вроде бы поставил) malware. Надеюсь, что так правильно было. 2019.12.11_Quarantine_56e76e81e9c618d8a367b48a1c6ea403.7z , Обновленный файл карантина с еще одним объектом - 2019.12.11_Quarantine_b821d63c229ab4bcfc8df4b59d7c77ef.7z Можно в итоге получить информацию - это опасные файлы или лжеположительные? Интересно, как так получилось? (Вирус заблокировал создания файла Quarantine.7z или комплект Autologger умудрился не задектектить вирусы в папке Windows, или он не задетектил потому что это на самом деле не вирусы?) 2. При загрузке 3-х файлов получил ошибку с FRST.txt: Ваш файл объемом 253.4 Kb превышает предел в 97.7 Kb, установленный на форуме для этого типа файлов. Добавил его в архив 7z. Даты создания файлов-троянов совпадают с запуском установщика одного ПО. Мне кому-то передавать адрес источника этого ПО? |
|
Последний раз редактировалось JamesD, 11-12-2019 в 11:46. Отправлено: 11:21, 11-12-2019 | #5 |
Ветеран Сообщения: 5296
|
Профиль | Отправить PM | Цитировать Цитата JamesD:
Пролечите систему с помощью KVRT. Папку C:\KVRT\Report упакуйте в архив и прикрепите к следующему сообщению. |
|
------- Отправлено: 11:31, 11-12-2019 | #6 |
Пользователь Сообщения: 45
|
Профиль | Отправить PM | Цитировать Нашло те файлы, которые я удалил в корзину и заархивировал.
Можете подсказать как отключить автозапуск со съемных дисков, а то галку "Использовать автозапуск для всех носителей и устройств" я снял, но в логе Аутологгера все еще красным выглядело предупреждение. Есть шанс узнать, что этим троянам удалось сделать? Спасибо. |
Отправлено: 23:52, 11-12-2019 | #7 |
Ветеран Сообщения: 5296
|
Профиль | Отправить PM | Цитировать Цитата JamesD:
Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221'); RebootWindows(false); end. Цитата JamesD:
Удалите старые и соберите новые отчёты FRST.txt и Addition.txt. |
||
------- Отправлено: 09:38, 12-12-2019 | #8 |
Пользователь Сообщения: 45
|
Профиль | Отправить PM | Цитировать Простите, если что. После лечения KVRT и убедившись, что новых файлов найдено не было, я восстановил ОС с ранее созданного бекапа (и второй ноутбук тоже на всякий случай).
Благодарю за информацию о настройке и об отсутствии кражи паролей. Всего хорошего! |
Отправлено: 01:33, 14-12-2019 | #9 |
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Debian/Ubuntu - Какой командой внести изменения без перезагрузки системы? | borison | Общий по Linux | 4 | 14-09-2015 15:32 | |
Разное - Скрипт изменения сетевых настроек | align | Microsoft Windows 7 | 25 | 03-03-2014 09:19 | |
Интерфейс - заблокировать возможность изменения настроек дисплея | Ыть | Microsoft Windows 8 и 8.1 | 10 | 27-12-2013 22:05 | |
[решено] Переименовать пользователя в домене без изменения настроек старого пользователя | bodil | Microsoft Windows NT/2000/2003 | 18 | 07-02-2009 18:38 | |
Проблемы после изменения настроек BIOS | Иваныч | Хочу все знать | 4 | 06-02-2008 21:46 |
|