• Добро пожаловать на компьютерный форум Tehnari.ru. Здесь разбираемся с проблемами ПК и ноутбуков: Windows, драйверы, «железо», сборка и апгрейд, софт и безопасность. Форум работает много лет, сейчас он переехал на новый движок, но старые темы и аккаунты мы постарались сохранить максимально аккуратно.

    Форум не связан с магазинами и сервисами – мы ничего не продаём и не даём «рекламу под видом совета». Отвечают обычные участники и модераторы, которые следят за порядком и качеством подсказок.

    Если вы у нас впервые, загляните на страницу о проекте и правила – там коротко описано, как задать вопрос так, чтобы быстро получить ответ. Чтобы создавать темы и писать сообщения, сначала зарегистрируйтесь, а затем войдите под своим логином.

    Не знаете, с чего начать? Создайте тему с описанием проблемы – подскажем и при необходимости перенесём её в подходящий раздел.
    Задать вопрос Новые сообщения Как правильно спросить
    Если пришли по старой ссылке со старого Tehnari.ru – вы на нужном месте, просто продолжайте обсуждение.

Постоянные атаки из непонятных ссылок

V

vasya163

Ученик
Регистрация
19 Сен 2016
Сообщения
8
Реакции
0
Баллы
0
Постоянные атаки из непонятных ссылок

Здравствуйте.
Недавно скачал какой-то файл, который начал устанавливать мне всякие "фичи" от мэйла. Я вроде бы все почистил, но одна беда осталась - NOD все время ругается, что кто-то пытается атаковать систему (какие-то непонятные адреса).
Плюс к этому, я не могу зайти в многие папки, даже в Application data, пишет, что отказано в доступе.
Помогите, пожалуйста, это исправить!
 

Вложения

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код: 
;uVS v3.87.5 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref {8E8F97CD-60B5-456F-A201-73065652D099}\[CLSID]

deldirex %SystemDrive%\USERS\NIKITAPIKALOV\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref %SystemDrive%\USERS\NIKITAPIKALOV\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\6.0.1_0\ПОИСК MAIL.RU

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEEMBEEJEKGHKOPIABADONPMFPIGOJOK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC

deltmp
delnfr
;-------------------------------------------------------------

restart
перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes
 
Атаки продолжаются, MBAM ничего не нашел.
Как я уже отмечал, у меня нет доступа ко многим папкам, поэтому скрипт мог не выполниться так, как надо. В связи с этим прикрепляю еще один лог uvs.
 

Вложения

скрипт надо выполнить с правами администратора. второй образ не нужен пока.

далее,

далее,
3.сделайте проверку в АдвКлинере
http://www.tehnari.ru/f150/t87975/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://www.tehnari.ru/f150/t245622/
 
Так в том то и дело, что программу запускаю с правами администратора, да и сам я являюсь администратором, но при заходе почти во все папки возникает ошибка доступа (см. скрин), поэтому uvs тоже не смогла получить туда доступ, чтобы удалить файл.
Атаки продолжаются, выкладываю еще и свежий скрин этих атак.
Все логи также прилагаю.
 

Вложения

  • premission denied.webp
    premission denied.webp
    4.9 KB · Просмотры: 70
  • virus.webp
    virus.webp
    7.2 KB · Просмотры: 45
  • AdwCleaner[C0].txt
    AdwCleaner[C0].txt
    5.4 KB · Просмотры: 308
  • Addition.txt
    Addition.txt
    48.4 KB · Просмотры: 343
  • FRST.txt
    FRST.txt
    113.8 KB · Просмотры: 319
возможно некорректная была переустановка антивирусов.

AV: ESET NOD32 Antivirus 9.0.349.14 (Enabled - Up to date) {19259FAE-8396-A113-46DB-15B0E7DFA289}
AV: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: ESET NOD32 Antivirus 9.0.381.1 (Enabled - Up to date) {A2447E4A-A5AC-AE9D-7C6B-2EC29C58E834}
Нажмите для раскрытия...

лучше из безопасного режима зачистить все антивирусы и заново установить актуальную версию.

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код: 
GroupPolicyScripts: Restriction <======= ATTENTION
Task: {494F2933-236E-49EB-A3DA-0BF91F1ABB4E} - \{1BE6D6DA-88C4-4102-BDD4-05E69D70C81A} -> No File <==== ATTENTION
Task: {8DBA9864-B577-4970-82E2-822422621B8E} - System32\Tasks\syslog => C:\Users\nikitapikalov\AppData\Local\syslog\syslog.exe [2016-09-15] () <==== ATTENTION
EmptyTemp:
Reboot:
 
Антивирус вроде бы переустановил.
Скрипт выполнил, лог прилагаю.
Атаки продолжаются.. Что делать с отказом в доступе во многие папки?
 

Вложения

атаки идут в любой момент, или во время работы браузеров?

по доступу: пробуйте создать другую учетную запись, с правами администратора и поработать в ней.
 
Атаки идут иногда и когда я не в браузере.
 
добавьте новый образ автозапуска. еще раз гляну
 
Вот файл, атак вроде нет, мне бы решить проблему с входом в папки.
 

Вложения

новую учетку с правами админа пробовали создать?
 
Атаки вроде закончились, проблема с доступом осталась. Прикрепляю образ
 

Вложения

Войдите или зарегистрируйтесь для ответа.
Назад
Сверху