Технический форум
Вернуться   Технический форум > Компьютерный форум > Форум по вирусам и антивирусам > Безопасность


Ответ
 
Опции темы Опции просмотра
Старый 04.07.2022, 12:32   #1 (permalink)
Дайнло
Новичок
 
Регистрация: 04.07.2022
Сообщений: 7
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
По умолчанию Помогите вычислить гниду, изменяющую реестр

Доброго времени суток.
С некоторого времени при запуске компа автоматом открывается браузер с каким-то левым сайтом, который яндекс браузер блокирует сразу как опасный.
Выяснил что такая подлость скрывается в реестре, удалил мерзкую строку оттуда. Гордился. Через пару перезагрузок строчка вернулась в реестр. Удалил. Она вернулась на место. Я озверел и на фоне этого разобрался с аудитом реестра...и спалил изменения в реестре.

Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 04.07.2022 12:30:52
Код события: 4657
Категория задачи:Registry
Уровень: Сведения
Ключевые слова:Аудит успеха
Пользователь: Н/Д
Компьютер: Daiynlo-sistemnik
Описание:
Изменено значение реестра.

Субъект:
ИД безопасности: DAIYNLO-SISTEMN\Win10_Game_OS
Имя учетной записи: Win10_Game_OS
Домен учетной записи: DAIYNLO-SISTEMN
Код входа: 0x2E694

Объект:
Имя объекта: \REGISTRY\USER\S-1-5-21-2162257564-2228249553-3630286477-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Имя значения объекта: Win10_Game_OS
Код дескриптора: 0x8c
Тип операции: Создано новое значение реестра

Сведения о процессе:
Идентификатор процесса: 0x13ec
Имя процесса: C:\Windows\System32\reg.exe

Сведения об изменении:
Тип старого значения: -
Старое значение: -
Тип нового значения: REG_SZ
Новое значение: cmd.exe /c start ww(никаких ссылок новичкам)klafbzor.org

Новое значение как раз и открывает этот подлый сайт...но вот какая гнида производит изменения в реестре я так и не понял...
Дайнло вне форума   Ответить с цитированием

Старый 04.07.2022, 12:32
Helpmaster
Member
 
Аватар для Helpmaster
 
Регистрация: 08.03.2016
Сообщений: 0

Лучшее, что можно сделать сразу - это просмотреть аналогичные обсуждения на форуме

Помогите, пожалуйста, вычислить значения суммы ряда S
Помогите пожалуйста. Необходимо вычислить в Pascal
Помогите, пожалуйста - запрещает редактировать реестр и файлы по сети
Помогите вычислить функцию
Помогите пожайлуста, вычислить функцию

Старый 04.07.2022, 18:32   #2 (permalink)
Vvvyg
Member
 
Регистрация: 17.05.2011
Адрес: Тула
Сообщений: 9,825
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 9863
По умолчанию

Ждём образ UVS по правилам.

Подсказка: есть задача в шедулере, обычно с именем пользователя, которая восстанавливает автозагрузку.
Vvvyg на форуме   Ответить с цитированием
Старый 05.07.2022, 06:57   #3 (permalink)
Дайнло
Новичок
 
Регистрация: 04.07.2022
Сообщений: 7
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
По умолчанию

Вроде сделал...

* ушел гуглить что такое шедулер..
Вложения
Тип файла: 7z DAIYNLO-SISTEMN_2022-07-05_07-48-37_v4.12.7z (880.5 Кб, 15 просмотров)
Дайнло вне форума   Ответить с цитированием
Старый 05.07.2022, 07:46   #4 (permalink)
Дайнло
Новичок
 
Регистрация: 04.07.2022
Сообщений: 7
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
По умолчанию

в планировщике задач нашел такое задание. удалил... но все равно не понял кто это делал..в имени везде стоит либо наименование операционной системы либо учетной записи...
Дайнло вне форума   Ответить с цитированием
Старый 05.07.2022, 08:59   #5 (permalink)
Vvvyg
Member
 
Регистрация: 17.05.2011
Адрес: Тула
Сообщений: 9,825
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 9863
По умолчанию

Хвосты от майнера в системе.

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):
Код:
;uVS v4.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
deltmp
;---------command-block---------
delref HTTP://WWW.DINOKLAFBZOR.ORG/
delref %SystemDrive%\PROGRAMDATA\REALTEKHD\TASKHOST.EXE
delref %SystemDrive%\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE
deltsk WWW.DINOKLAFBZOR.ORG
delref %SystemDrive%\USERS\WIN10_GAME_OS\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVESTANDALONEUPDATER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\BHO\IE_TO_EDGE_BHO_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\BHO\IE_TO_EDGE_BHO.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\MSEDGE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\MSEDGE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\INSTALLER\SETUP.EXE
delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\WSC_PROXY.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.122\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\NOTIFICATION_HELPER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.112\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.122\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.112\PSMACHINE.DLL
apply
restart
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Vvvyg на форуме   Ответить с цитированием
Ads

Яндекс

Member
 
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Выкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Выкл.




Часовой пояс GMT +4, время: 12:55.

Powered by vBulletin® Version 6.2.5.
Copyright ©2000 - 2014, Jelsoft Enterprises Ltd.