Решена Проблема с установкой антивирусов после заражения Trojan.DownLoader29.45928

Статус
В этой теме нельзя размещать новые ответы.

cramer555

Новый пользователь
Сообщения
6
Реакции
0
Добрый день, помогите решить проблему.
Недавно схватил Trojan.DownLoader29.45928(описание), вроде бы получилось пофиксить в ручную(удаление ключей в реестре, удаление его файлов, автозагрузка). Но после него перестали устанавливаться любые антивирусы(drweb, kaspersky, avast), Касперский молча закрывается после запуска, аваст и drweb выдают ошибку во время установки, причём с пустыми логами.
Моя проблема максимально схожа с этим топиком, но думаю создать отдельный будет лучше.

Лог файлы прикрепил
 

Вложения

  • CollectionLog-2020.11.23-02.37.zip
    53 KB · Просмотры: 7
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
{Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist}
var
ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
PD_folders, PF_folders, O_folders : TStringList;

procedure FillList;
begin
 PD_folders := TStringList.Create;
 PD_folders.Add('360TotalSecurity');
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avg');
 PD_folders.Add('Avira');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Norton');
 PD_folders.Add('grizzly');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('install');
 PF_folders := TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('ESET');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('SpyHunter');
 PF_folders.Add('RDP Wrapper');
 O_folders := TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path:string; AFL : TStringList);
var
i : integer;
begin
 for i := 0 to AFL.Count - 1 do
 begin
  fname := NormalDir(path + AFL[i]);
  if DirectoryExists(fname) then
      begin
          QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
          DeleteFileMask(fname, '*', true);
          FSResetSecurity(fname);
          DeleteDirectory(fname);
      end;
 end;
end;

procedure swprv;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
 clearlog;
 FillList;
 ProgramData := GetEnvironmentVariable('ProgramData');
 ProgramFiles := NormalDir('%PF%');
 ProgramFiles86 := NormalDir('%PF% (x86)');
 Del_folders(ProgramData +'\', PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);
 ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
 RegKeyDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDlll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 swprv;
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then
    ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
 ExecuteWizard('SCU', 2, 3, true);
 ExecuteSysClean;
end;

begin
 AV_block_remove;
 DeleteFile('C:\Windows\svchost.exe');
 DeleteFile('C:\Windows\java.exe');
 ExecuteRepair(1);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.



Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
quarantine.7z отправил через форму
2020.11.23_quarantine_6e0cd942c48e29beb97f07412da15aaa.7z

файлы FRST.txt и Addition.txt приклепляю
 

Вложения

  • FRST Addition.rar
    22.9 KB · Просмотры: 6
Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    HKU\S-1-5-21-2497747756-3378503327-2128403190-1000\...\MountPoints2: {0a31745b-11d3-11ea-a7b1-8d59c0c82a1a} - E:\SETUPX.exe
    HKU\S-1-5-21-2497747756-3378503327-2128403190-1000\...\MountPoints2: {0a31745d-11d3-11ea-a7b1-8d59c0c82a1a} - F:\SETUPX.exe
    HKU\S-1-5-18\...\Policies\Explorer: [DisallowRun] 1
    HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
    HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
    HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
    HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
    HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
    HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
    HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
    HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
    HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
    HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
    HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [11] Cube.exe
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    S2 RManService; C:\ProgramData\Windows\rutserv.exe [X]
    S3 458191491CA58A66; \??\C:\Users\Kaw\AppData\Local\Temp\90B9F7EC-7C079C9A-7E828004-2BF8C940\b20ffd2f.sys [X] <==== ATTENTION
    Folder:C:\ProgramData\Driver Foundation Visions VHG
    2020-11-22 10:58 - 2020-11-22 10:58 - 000000000 __SHD C:\ProgramData\Driver Foundation Visions VHG
    2020-11-22 10:58 - 2020-11-22 10:58 - 000000000 __SHD C:\ProgramData\Doctor Web
    2020-11-22 10:58 - 2020-11-22 10:58 - 000000000 __SHD C:\Program Files (x86)\Zaxar
    2020-11-22 10:58 - 2020-11-22 10:58 - 000000000 ___SH C:\Windows\boy.exe
    2020-11-22 10:57 - 2020-11-22 10:58 - 000000000 __SHD C:\rdp
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
    AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [476]
    FirewallRules: [{CA3566EE-DF38-42E7-A90C-FE52566B1AC1}] => (Allow) LPort=1119
    FirewallRules: [{F6D0EB61-87DA-4CA7-A2BB-849487F0F9E1}] => (Allow) LPort=3724
    FirewallRules: [{6B12E476-401E-4959-8142-E70A048E3841}] => (Allow) LPort=80
    FirewallRules: [{51D24BB8-A649-42B8-8484-C79B0F8F11EC}] => (Allow) LPort=6250
    FirewallRules: [{17B62695-56DF-416D-8EEA-F8FB1D76458E}] => (Allow) LPort=6250
    FirewallRules: [{0970160F-6EC2-4900-95A8-0DF810DE5853}] => (Allow) LPort=80
    FirewallRules: [{6778645B-2296-4DAA-BDD0-7CF31DB14126}] => (Allow) LPort=443
    FirewallRules: [{7EAD1D80-CAD9-42A6-8750-F36EB1D890DD}] => (Allow) LPort=20010
    FirewallRules: [{82BE26E2-CEAA-4F19-9E44-5F5F2F226114}] => (Allow) LPort=3478
    FirewallRules: [{14B0D8D3-4E60-44D0-A637-C78A9E2E3533}] => (Allow) LPort=7850
    FirewallRules: [{23EACE17-AFC2-4BB2-9E1E-796384080DCA}] => (Allow) LPort=7852
    FirewallRules: [{A01ADC6B-89C7-415E-94BB-CA5D09D14535}] => (Allow) LPort=7853
    FirewallRules: [{E8F9BDD0-0822-4E10-AEF8-1400990D6032}] => (Allow) LPort=27022
    FirewallRules: [{A839490F-55A9-4EA9-921D-C59EE0D652D7}] => (Allow) LPort=6881
    FirewallRules: [{2B2CD271-1C5D-4E98-84B8-06BAB07A2DE9}] => (Allow) LPort=33333
    FirewallRules: [{EBB99296-181B-48A1-9A12-2DF3B68F1F73}] => (Allow) LPort=20443
    FirewallRules: [{37B992CD-135A-4572-942C-C78C586ED930}] => (Allow) LPort=8090
    FirewallRules: [{23C92010-DBA8-447A-A0C1-F3F51C8EE05D}] => (Allow) LPort=8740
    FirewallRules: [{DF050FB5-10E3-4D71-BAD1-8442EFA125FB}] => (Allow) LPort=8740
    FirewallRules: [{6ABA471D-404E-49C7-8172-49EB5C7452DE}] => (Allow) C:\ProgramData\Windows\rutserv.exe => No File
    FirewallRules: [{B88E9E85-39DA-4CA3-A998-B86BFAA95768}] => (Allow) LPort=3389
    FirewallRules: [{D901D60C-B99E-469B-BABD-70DF8653548B}] => (Block) LPort=445
    FirewallRules: [{7BAEE4F9-4BFD-4ADC-93DE-33782C50BEFF}] => (Block) LPort=445
    FirewallRules: [{7B1CA882-F1D5-4FA5-A956-BF739079F422}] => (Block) LPort=139
    FirewallRules: [{E4018306-7F04-4B12-B87B-DD8A3DEC2381}] => (Block) LPort=139
    FirewallRules: [{CA83A2DF-501B-4B66-92D5-585071AD2F35}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => No File
    FirewallRules: [{A335AF5A-C08C-4B73-9214-38D418C905C8}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => No File
    FirewallRules: [{D5BE0469-6273-4F2A-9146-E72FCCF5271D}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => No File
    FirewallRules: [{D4D4748E-E40C-4D7F-B899-E1529C73FB7B}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => No File
    FirewallRules: [{2A3B922A-88BD-48EB-ABB8-3038AC7D9988}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => No File
    FirewallRules: [{09D3D37C-7E16-4D68-8C53-762853CD6FFA}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => No File
    FirewallRules: [{1F282B08-D65E-4AE6-A317-F37185863C43}] => (Allow) LPort=3389
    FirewallRules: [{B82EC6DC-FAF4-4761-985D-F757184EB343}] => (Allow) C:\ProgramData\RealtekHD\taskhostw.exe => No File
    FirewallRules: [{60508A8C-A292-43AD-8F3D-1DE3BCFEEA8F}] => (Allow) C:\ProgramData\windows\rutserv.exe => No File
    FirewallRules: [{A6FB61E2-78F7-43F1-BE7F-E1063EE4C893}] => (Allow) C:\ProgramData\rundll\system.exe => No File
    FirewallRules: [{19667931-CD8C-4F00-8C50-FA5D233F951C}] => (Allow) C:\ProgramData\rundll\rundll.exe => No File
    FirewallRules: [{1B15DF39-B271-4E8C-B9B9-3506241253C7}] => (Allow) C:\ProgramData\rundll\Doublepulsar-1.3.1.exe => No File
    FirewallRules: [{E1AD2451-621E-4527-B00E-5BF241A12D21}] => (Allow) C:\ProgramData\rundll\Eternalblue-2.2.0.exe => No File
    FirewallRules: [{FE8EEBAB-E102-4FAD-8657-A3D4C54F8E15}] => (Allow) LPort=9494
    FirewallRules: [{8F228474-495B-48D0-B03F-F9244988AA9B}] => (Allow) LPort=9393
    FirewallRules: [{D572EF24-C67E-4232-ACD1-71285DB49ED5}] => (Allow) LPort=9494
    FirewallRules: [{43C504AF-2967-4054-9C75-9D9E4CFD24CD}] => (Allow) LPort=9393
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
лог-файл Fixlog.txt
 

Вложения

  • Fixlog.rar
    3.3 KB · Просмотры: 6
Проблема решена?
 
В завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Файл SecurityCheck.txt
 

Вложения

  • SecurityCheck.rar
    2.6 KB · Просмотры: 7
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Node.js v.12.18.1 Внимание! Скачать обновления
^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^
Microsoft Visual Studio Code (User) v.1.50.1 Внимание! Скачать обновления
Python 3.8.6 (64-bit) v.3.8.6150.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.70 (64-разрядная) v.5.70.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
BitComet 1.71 v.1.71 Внимание! Клиент сети P2P с рекламным модулем!.
qBittorrent 4.2.5 v.4.2.5 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
foobar2000 v1.4.3 v.1.4.3 Внимание! Скачать обновления
HandBrake 1.3.0 v.1.3.0 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Opera Stable 72.0.3815.320 v.72.0.3815.320 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^


Читайте Рекомендации после удаления вредоносного ПО
 
Спасибо за рекомендации по обновлению, займусь в будущем.
 
Контроль учётных записей включите и установку хотфиксов не откладывайте надолго во избежание рецидива.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу