20.09.2016, 00:01 | #1 (permalink) |
Новичок
Регистрация: 19.09.2016
Сообщений: 8
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
|
Постоянные атаки из непонятных ссылок
Недавно скачал какой-то файл, который начал устанавливать мне всякие "фичи" от мэйла. Я вроде бы все почистил, но одна беда осталась - NOD все время ругается, что кто-то пытается атаковать систему (какие-то непонятные адреса). Плюс к этому, я не могу зайти в многие папки, даже в Application data, пишет, что отказано в доступе. Помогите, пожалуйста, это исправить! |
20.09.2016, 00:01 | |
Helpmaster
Member
Регистрация: 08.03.2016
Сообщений: 0
|
Я уверен, что проблему можно решить гораздо быстрее если ознакомиться с ней получше Список непонятных папок и файлов на единственном диске C Три непонятных сигнала |
20.09.2016, 05:49 | #2 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.87.5 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref {8E8F97CD-60B5-456F-A201-73065652D099}\[CLSID] deldirex %SystemDrive%\USERS\NIKITAPIKALOV\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER delref %SystemDrive%\USERS\NIKITAPIKALOV\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\6.0.1_0\ПОИСК MAIL.RU delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEEMBEEJEKGHKOPIABADONPMFPIGOJOK%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC deltmp delnfr ;------------------------------------------------------------- restart ---------- далее, выполните сканирование (угроз) в Malwarebytes |
20.09.2016, 23:35 | #3 (permalink) |
Новичок
Регистрация: 19.09.2016
Сообщений: 8
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
|
Атаки продолжаются, MBAM ничего не нашел.
Как я уже отмечал, у меня нет доступа ко многим папкам, поэтому скрипт мог не выполниться так, как надо. В связи с этим прикрепляю еще один лог uvs. |
21.09.2016, 06:28 | #4 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
скрипт надо выполнить с правами администратора. второй образ не нужен пока.
далее, далее, 3.сделайте проверку в АдвКлинере Как выполнить проверку в AdwCleaner? ***** 4.в АдвКлинере, после завершения проверки, в секции Папки снимите галки с записей mail.ru, yandex (если есть такие) остальное удалите по кнопке Очистить далее, 5.сделайте проверку в FRST Как создать логи FRST |
21.09.2016, 23:51 | #5 (permalink) |
Новичок
Регистрация: 19.09.2016
Сообщений: 8
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
|
Так в том то и дело, что программу запускаю с правами администратора, да и сам я являюсь администратором, но при заходе почти во все папки возникает ошибка доступа (см. скрин), поэтому uvs тоже не смогла получить туда доступ, чтобы удалить файл.
Атаки продолжаются, выкладываю еще и свежий скрин этих атак. Все логи также прилагаю. |
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
22.09.2016, 03:31 | #6 (permalink) | |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
возможно некорректная была переустановка антивирусов.
Цитата:
6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Код:
GroupPolicyScripts: Restriction <======= ATTENTION Task: {494F2933-236E-49EB-A3DA-0BF91F1ABB4E} - \{1BE6D6DA-88C4-4102-BDD4-05E69D70C81A} -> No File <==== ATTENTION Task: {8DBA9864-B577-4970-82E2-822422621B8E} - System32\Tasks\syslog => C:\Users\nikitapikalov\AppData\Local\syslog\syslog.exe [2016-09-15] () <==== ATTENTION EmptyTemp: Reboot: |
|
23.09.2016, 03:26 | #8 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
атаки идут в любой момент, или во время работы браузеров?
по доступу: пробуйте создать другую учетную запись, с правами администратора и поработать в ней. |
24.09.2016, 14:50 | #10 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
добавьте новый образ автозапуска. еще раз гляну
|
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
|
|