[ Закрыто ] Вирус блокирует установку антивируса , Помощь с FRST

RSS

Сообщений: 6

Баллов: 3

Регистрация: 28.11.2020

Размещено 28.11.2020 12:45:54

Друзья, очень прошу помощи с трояном:
Проблема аналогичная с
https://forum.esetnod32.ru/forum6/topic16164/

Благодаря многочасовому форумдайвингу с помощью AdwCleaner, CureIT, руками по логам WinDefendera зловредные файлы или их часть удалось удалить, процессы отключились, но установка антивируса по прежнему блокируется политиками. HiJackThis политики видит, но чинить не хочет.

В логе FRST в блоке One month (created) (Whitelisted) в 2020-11-27 22:59 видны созданные пути с названиями антивирусов. Как это пофиксить?
Нужна помощь с созданием файла fixlist в Farbar RST.

Прикрепленные файлы

AdwCleaner[C00].txt (1.69 КБ)
Addition.txt (61.64 КБ)
FRST.txt (55.97 КБ)

Изменено: Serge Paramonov - 28.11.2020 13:01:15

Ответы

Пред. 1 2

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.11.2020 18:25:42

+
проверьте возможность установки антивируса после выполнения скрипта в FRST

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 28.11.2020

Размещено 28.11.2020 18:28:42

Цитата
santy написал: 6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Цитата

santy написал:
6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Огромное спасибо , удалось установить НОД благодаря вашей помощи!
Теперь буду надеяться, что получится первоисточник сканером найти.

Прикрепленные файлы

Fixlog.txt (12.67 КБ)

Сообщений: 6

Баллов: 3

Регистрация: 28.11.2020

Размещено 29.11.2020 00:19:07

Подведу итог для следующих поколений любителей позапускать экзешники непонятного происхождения:

- Когда вирус начал активно работать, процесс Kernel стал загружать систему в хлам, антивирусы не устанавливались
- CureIT удалил только зараженный экзешник, процесс Kernel перестал запускаться, но ОС начала загружаться секунд на ~30 дольше. Подозрительных процессов/запланированных задач больше не проявлялось.
- Из логов FRST удалось узнать время заражения по времени запрета на установку антивирусов. Включил отображение скрытых папок на C. Троян спрятал кучу всякого добра на диске C внутри стандартных папок, маскируя названия (например: Program Files\Internet Explorer\bin , но в действительности папки bin там быть не должно. Или ProgramData\RealtekHD), их можно было распознать по времени создания. При этом вирус ещё и права забрал на их просмотр/удаление , пришлось удалять через Unlocker
- С помощью скрипта fixlist для FRST от santy вернулась возможность устанавливать антивирусы.
- Антивирусы не сильно справились: AVZ - 1 найденный файл, NOD - 3, KVRT - 0.
- Руками удалил ещё 10-15 файлов/папок внутри ProgramData, Program Files, User. Потом вспомнил про MBAM - он нашел ещё 4 trojanagent в папке Windows.
- Почистил реестр с помощью CCleaner

В итоге влияния на систему/интернет на глаз больше не видно, но операционка всё равно грузится дольше, чем было до заражения. Так что не знаю, получилось справиться с вирусом или нет, силы воевать закончились.

Так что всем добра и не запускайте exe файлы из непроверенного источника. Santy - большая благодарность. Тему можно закрывать.

Изменено: Serge Paramonov - 29.11.2020 00:21:53

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 29.11.2020 05:31:44

по логам Defender-а, можно увидеть,
что антивир его обнаружил

Цитата
Date: 2020-11-27 23:01:57.367 Description: Программа Антивирусная программа "Защитник Windows" обнаружила вредоносные или другие потенциально нежелательные программы. Чтобы узнать больше, см. приведенные далее сведения. https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Tiggre!plock&threatid=2147723626&enterprise=0 Имя: Trojan:Win32/Tiggre!plock ИД: 2147723626 Серьезность: Критический Категория: Троян Путь: containerfile:_C:\Programdata\RealtekHD\taskhost.exe; containerfile:_C:\ProgramData\Setup\update.exe; file:_C:\Programdata\RealtekHD\taskhost.exe; file:_C:\Programdata\RealtekHD\taskhost.exe->(AutoIT)->winlogon.exe; file:_C:\ProgramData\Setup\update.exe; file:_C:\ProgramData\Setup\update.exe->(AutoIT)->taskhost.exe->(AutoIT)->winlogon.exe; file:_C:\Users\Sergey\AppData\Local\Temp\aut2EE5.tmp; file:_C:\Windows\System32\Tasks\Microsoft\Windows\Wininet\RealtekHDControl->(UTF-16LE); file:_C:\Windows\System32\Tasks\Microsoft\Windows\Wininet\RealtekHDStartUP->(UTF-16LE); process:_pid:10036,ProcessStart:132509807757049735; process:_pid:11036,ProcessStart:132509808017002454; regkey:_HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5D169034-8170-46E5-AC57-7294706124F1}; regkey:_HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6EC5E707-BF81-47EB-BBE3-767B8DB3FE32}; regkey:_HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\W Начало обнаружения: Локальный компьютер Тип обнаружения: Конкретный Источник обнаружения: Система Пользователь: NT AUTHORITY\СИСТЕМА Название процесса: C:\ProgramData\RealtekHD\taskhost.exe Версия службы анализа безопасности: AV: 1.327.1650.0, AS: 1.327.1650.0, NIS: 1.327.1650.0 Версия подсистемы: AM: 1.1.17600.5, NIS: 1.1.17600.5

Цитата

Date: 2020-11-27 23:01:57.367
Description:
Программа Антивирусная программа "Защитник Windows" обнаружила вредоносные или другие потенциально нежелательные программы.
Чтобы узнать больше, см. приведенные далее сведения.
https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Tiggre!plock&threatid=2147723626&enterprise=0
Имя: Trojan:Win32/Tiggre!plock
ИД: 2147723626
Серьезность: Критический
Категория: Троян
Путь: containerfile:_C:\Programdata\RealtekHD\taskhost.exe; containerfile:_C:\ProgramData\Setup\update.exe; file:_C:\Programdata\RealtekHD\taskhost.exe; file:_C:\Programdata\RealtekHD\taskhost.exe->(AutoIT)->winlogon.exe; file:_C:\ProgramData\Setup\update.exe; file:_C:\ProgramData\Setup\update.exe->(AutoIT)->taskhost.exe->(AutoIT)->winlogon.exe; file:_C:\Users\Sergey\AppData\Local\Temp\aut2EE5.tmp; file:_C:\Windows\System32\Tasks\Microsoft\Windows\Wininet\RealtekHDControl->(UTF-16LE); file:_C:\Windows\System32\Tasks\Microsoft\Windows\Wininet\RealtekHDStartUP->(UTF-16LE); process:_pid:10036,ProcessStart:132509807757049735; process:_pid:11036,ProcessStart:132509808017002454; regkey:_HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5D169034-8170-46E5-AC57-7294706124F1}; regkey:_HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6EC5E707-BF81-47EB-BBE3-767B8DB3FE32}; regkey:_HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\W
Начало обнаружения: Локальный компьютер
Тип обнаружения: Конкретный
Источник обнаружения: Система
Пользователь: NT AUTHORITY\СИСТЕМА
Название процесса: C:\ProgramData\RealtekHD\taskhost.exe
Версия службы анализа безопасности: AV: 1.327.1650.0, AS: 1.327.1650.0, NIS: 1.327.1650.0
Версия подсистемы: AM: 1.1.17600.5, NIS: 1.1.17600.5

однако, троян успел развернуть свои файлы, ограничить запуск антивирусы через политики, и блокировать основные каталоги для установок антивирусных программ.

если в карантинах сохранился источник запуска, пришлите в почту [email protected] в архиве, с паролем infected

[ Как создать образ автозапуска? ]

Пред. 1 2