[ Закрыто ] Вирус блокирует установку антивируса , Помощь с FRST

RSS
Друзья, очень прошу помощи с трояном:
Проблема аналогичная с
https://forum.esetnod32.ru/forum6/topic16164/

Благодаря многочасовому форумдайвингу с помощью AdwCleaner, CureIT,  руками по логам WinDefendera зловредные файлы или их часть удалось удалить, процессы отключились, но установка антивируса по прежнему блокируется политиками. HiJackThis политики видит, но чинить не хочет.

В логе FRST в блоке One month (created) (Whitelisted) в 2020-11-27 22:59 видны созданные пути с названиями антивирусов. Как это пофиксить?
Нужна помощь с созданием файла fixlist в Farbar RST.
Изменено: Serge Paramonov - 28.11.2020 13:01:15

Ответы

+
проверьте возможность установки антивируса после выполнения скрипта в FRST
Цитата
santy написал:
6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Огромное спасибо , удалось установить НОД благодаря вашей помощи!
Теперь буду надеяться, что получится первоисточник сканером найти.
Подведу итог для следующих поколений любителей позапускать экзешники непонятного происхождения:

- Когда вирус начал активно работать, процесс Kernel стал загружать систему в хлам, антивирусы не устанавливались
- CureIT удалил только зараженный экзешник, процесс Kernel перестал запускаться, но ОС начала загружаться секунд на ~30 дольше. Подозрительных процессов/запланированных задач больше не проявлялось.
- Из логов FRST удалось узнать время заражения по времени запрета на установку антивирусов. Включил отображение скрытых папок на C. Троян спрятал кучу всякого добра на диске C внутри стандартных папок, маскируя названия (например: Program Files\Internet Explorer\bin , но в действительности папки bin там быть не должно. Или ProgramData\RealtekHD), их можно было распознать по времени создания. При этом вирус ещё и права забрал на их просмотр/удаление , пришлось удалять через Unlocker
- С помощью скрипта fixlist для FRST от santy вернулась возможность устанавливать антивирусы.
- Антивирусы не сильно справились: AVZ - 1 найденный файл, NOD - 3, KVRT - 0.
- Руками удалил ещё 10-15 файлов/папок внутри ProgramData, Program Files, User. Потом вспомнил про MBAM - он нашел ещё 4 trojanagent в папке Windows.
- Почистил реестр с помощью CCleaner

В итоге влияния на систему/интернет на глаз больше не видно, но операционка всё равно грузится дольше, чем было до заражения. Так что не знаю, получилось справиться с вирусом или нет, силы воевать закончились.

Так что всем добра и не запускайте exe файлы из непроверенного источника. Santy - большая благодарность. Тему можно закрывать.
Изменено: Serge Paramonov - 29.11.2020 00:21:53
по логам Defender-а, можно увидеть,
что антивир его обнаружил
Цитата
Date: 2020-11-27 23:01:57.367
Description:
Программа Антивирусная программа "Защитник Windows" обнаружила вредоносные или другие потенциально нежелательные программы.
Чтобы узнать больше, см. приведенные далее сведения.
https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Tiggre!plock&threatid=2147723626&enterprise=0
Имя: Trojan:Win32/Tiggre!plock
ИД: 2147723626
Серьезность: Критический
Категория: Троян
Путь: containerfile:_C:\Programdata\RealtekHD\taskhost.exe; containerfile:_C:\ProgramData\Setup\update.exe; file:_C:\Programdata\RealtekHD\taskhost.exe; file:_C:\Programdata\RealtekHD\taskhost.exe->(AutoIT)->winlogon.exe; file:_C:\ProgramData\Setup\update.exe; file:_C:\ProgramData\Setup\update.exe->(AutoIT)->taskhost.exe->(AutoIT)->winlogon.exe; file:_C:\Users\Sergey\AppData\Local\Temp\aut2EE5.tmp; file:_C:\Windows\System32\Tasks\Microsoft\Windows\Wininet\RealtekHDC­ontrol->(UTF-16LE); file:_C:\Windows\System32\Tasks\Microsoft\Windows\Wininet\RealtekHDS­tartUP->(UTF-16LE); process:_pid:10036,ProcessStart:132509807757049735; process:_pid:11036,ProcessStart:132509808017002454; regkey:_HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5D169034-8170-46E5-AC57-7294706124F1}; regkey:_HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6EC5E707-BF81-47EB-BBE3-767B8DB3FE32}; regkey:_HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\­W
Начало обнаружения: Локальный компьютер
Тип обнаружения: Конкретный
Источник обнаружения: Система
Пользователь: NT AUTHORITY\СИСТЕМА
Название процесса: C:\ProgramData\RealtekHD\taskhost.exe
Версия службы анализа безопасности: AV: 1.327.1650.0, AS: 1.327.1650.0, NIS: 1.327.1650.0
Версия подсистемы: AM: 1.1.17600.5, NIS: 1.1.17600.5
однако, троян успел развернуть свои файлы, ограничить запуск антивирусы через политики, и блокировать основные каталоги для установок антивирусных программ.

если в карантинах сохранился источник запуска, пришлите в почту safety@chklst.ru в архиве, с паролем infected
Читают тему (гостей: 1)