Пропал защитник windows, не сохраняет файлы из браузера EDGE, не устанавливает антивирусы

@max_bmw · Регистрация: 22.02.2021

Системник установлен в офисе, как хранилище, включен постоянно, без клав, мыши и монитора, доступ через RDP или TeamWiever. Пару дней назад попытался зайди - но пароль не подходил, забрал домой, пароль сменил и решил проверить Cure It
нашел 5 зловредов , причем один из них был в папке с ярлыками запуска рабочих програм. Предварительно акронисом сделал копию жесткого и на отдельной машине с таким же точно железом пытаюсь воевать с заразой. Прошу помощу, так как есть вероятность потери некоторых ключей при переустановке windows

@Sandor · 22.02.2021, 20:35

Здравствуйте!

Пролечите систему с помощью KVRT. Перезагрузите и соберите новый CollectionLog Автологером.

@max_bmw · 22.02.2021, 20:40 **[ТС]**

Снял жесткий подключил с другой машине через usb проверил kis 2021, это не подойдет? или на работающей машине выполнить?

@Sandor · 22.02.2021, 20:46

Можно и так. Повторный CollectionLog делайте уже на заражённой.

@max_bmw · 22.02.2021, 20:56 **[ТС]**

Как то так

@Sandor · 22.02.2021, 21:05

По непонятной пока причине архив не полный.

Выполните скрипт в AVZ из папки ...Autologger\\AV\av_z.exe (Файл - Выполнить скрипт):

Код

var PathAutoLogger, CMDLine : string;

 begin
 clearlog;
 PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
 AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
 SaveLog(PathAutoLogger+'report3.log');
 if FolderIsEmpty(PathAutoLogger+'CrashDumps')
    then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
    else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
     ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
 AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
 end.

архив Report.7z из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению.

Добавлено через 3 минуты
Дополнительно:
Скачайте AutorunsVTchecker, извлеките из архива и запустите. Не закрывайте окно до окончания работы программы.
Не дожидаясь завершения, подготовьте лог uVS.

@max_bmw · 22.02.2021, 21:09 **[ТС]**

Это все что создал скрипт

@Sandor · 22.02.2021, 21:11

Делайте лог uVS.

@max_bmw · 22.02.2021, 21:33 **[ТС]**

KVRT не запустился, это так к сведению, а uVS очень долго все выполняет, и везде нет доступа

@Sandor · 23.02.2021, 12:33

Сообщение от max_bmw

и везде нет доступа

Запускаете правой кнопкой от имени администратора?

Скачайте Malwarebytes v.4. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

@max_bmw · 23.02.2021, 14:58 **[ТС]**

Да, конечно все через правую кнопку, везде отказ доступа, с этой утилитой тоже
Not have sufficient permissions (either disk or registry) to install MBytes

Добавлено через 17 минут
Могу дать доступ удаленный к машине, если поможет

Добавлено через 1 час 26 минут
Каким то образом вирус блокирует большинство прав на запись и установку приложений, может сменить пути TEMP в настройках пользователя?

Добавлено через 3 минуты
не помогло, или еще пользователя, он дает его создать с правами админа, но по итогу тоже ничего не дает делать ни так ни в безопасном режиме, сканеры запущенные с флешек - ни каспер ни dr web ничего не находят

@max_bmw · 23.02.2021, 19:00 **[ТС]**

И здесь тоже упоминание о том что доступ ограничен

@Sandor · 24.02.2021, 13:31

Нужно "лечить" систему. Можем попытаться здесь или обратитесь в системный раздел.

Если решите здесь:

Создайте новую точку восстановления
- Нажмите Пуск - Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Скачайте Windows Repair (all in one) с этой страницы - (Портативную (Portable) версию). Извлеките из архива папку Tweaking.com - Windows Repair.
Запустите программу (Repair Windows.exe).
Перейдите на вкладку Step 3 и запустите проверку диска (пункт 2) нажатием кнопки Open Check Disk At Next Boot - Компьютер будет перезагружен!!!
После окончания перейдите на вкладку Step 4 и таким же образом запустите SFC (кнопка Do It).
После окончания перейдите на вкладку Repairs (снимите галочку с Automatically do a registry backup) => Нажмите кнопку Open Repairs.
В левой части окна отметьте галочками следующие пункты и затем нажмите кнопку Start
Код
```
Reset Registry Permissions
Reset File Permissions
Reset Service Permissions
```
НЕ ИСПОЛЬЗУЙТЕ компьютер пока идёт сканирование.
После процедуры восстановления может потребоваться перезагрузка.

Подробную информацию по работе с утилитой, Вы можете прочитать в этом руководстве.

@Sandor 15672 / 13060 / 2289 Регистрация: 08.10.2012 Сообщений: 52,958
	22.02.2021, 20:35	2
	Здравствуйте! Пролечите систему с помощью KVRT. Перезагрузите и соберите новый CollectionLog Автологером. 0

@max_bmw 0 / 0 / 0 Регистрация: 22.02.2021 Сообщений: 7
	22.02.2021, 20:40 [ТС]	3
	Снял жесткий подключил с другой машине через usb проверил kis 2021, это не подойдет? или на работающей машине выполнить? 0

@Sandor 15672 / 13060 / 2289 Регистрация: 08.10.2012 Сообщений: 52,958
	22.02.2021, 20:46	4
	Можно и так. Повторный CollectionLog делайте уже на заражённой. 0

@Sandor 15672 / 13060 / 2289 Регистрация: 08.10.2012 Сообщений: 52,958
	22.02.2021, 21:05	6
	По непонятной пока причине архив не полный. Выполните скрипт в AVZ из папки ...Autologger\\AV\av_z.exe (Файл - Выполнить скрипт): Код var PathAutoLogger, CMDLine : string; begin clearlog; PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4)); AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger); SaveLog(PathAutoLogger+'report3.log'); if FolderIsEmpty(PathAutoLogger+'CrashDumps') then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis.log"' else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report.log" "' + PathAutoLogger + 'CrashDumps\"'; ExecuteFile('7za.exe', CMDLine, 0, 180000, false); AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)); end. архив Report.7z* из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Добавлено через 3 минуты Дополнительно: Скачайте AutorunsVTchecker, извлеките из архива и запустите. Не закрывайте окно до окончания работы программы. Не дожидаясь завершения, подготовьте лог uVS. 0

@Sandor 15672 / 13060 / 2289 Регистрация: 08.10.2012 Сообщений: 52,958
	22.02.2021, 21:11	8
	Делайте лог uVS. 0

@Sandor 15672 / 13060 / 2289 Регистрация: 08.10.2012 Сообщений: 52,958
	23.02.2021, 12:33	10
	Сообщение от max_bmw и везде нет доступа Запускаете правой кнопкой от имени администратора? Скачайте Malwarebytes v.4. Установите и запустите. (На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию"). Запустите Проверку и дождитесь её окончания. Самостоятельно ничего не помещайте в карантин!!! Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan". Отчёт прикрепите к сообщению. Подробнее читайте в руководстве. 0

@max_bmw 0 / 0 / 0 Регистрация: 22.02.2021 Сообщений: 7
	23.02.2021, 14:58 [ТС]	11
	Да, конечно все через правую кнопку, везде отказ доступа, с этой утилитой тоже Not have sufficient permissions (either disk or registry) to install MBytes Добавлено через 17 минут Могу дать доступ удаленный к машине, если поможет Добавлено через 1 час 26 минут Каким то образом вирус блокирует большинство прав на запись и установку приложений, может сменить пути TEMP в настройках пользователя? Добавлено через 3 минуты не помогло, или еще пользователя, он дает его создать с правами админа, но по итогу тоже ничего не дает делать ни так ни в безопасном режиме, сканеры запущенные с флешек - ни каспер ни dr web ничего не находят 0

@Sandor 15672 / 13060 / 2289 Регистрация: 08.10.2012 Сообщений: 52,958
	24.02.2021, 13:31	13
	Нужно "лечить" систему. Можем попытаться здесь или обратитесь в системный раздел. Если решите здесь: Создайте новую точку восстановления Нажмите Пуск - Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать. Скачайте Windows Repair (all in one) с этой страницы - (Портативную (Portable) версию). Извлеките из архива папку Tweaking.com - Windows Repair. Запустите программу (Repair Windows.exe). Перейдите на вкладку Step 3 и запустите проверку диска (пункт 2) нажатием кнопки Open Check Disk At Next Boot - Компьютер будет перезагружен!!! После окончания перейдите на вкладку Step 4 и таким же образом запустите SFC (кнопка Do It). После окончания перейдите на вкладку Repairs (снимите галочку с Automatically do a registry backup) => Нажмите кнопку Open Repairs. В левой части окна отметьте галочками следующие пункты и затем нажмите кнопку Start Код Reset Registry Permissions Reset File Permissions Reset Service Permissions НЕ ИСПОЛЬЗУЙТЕ компьютер пока идёт сканирование. После процедуры восстановления может потребоваться перезагрузка. Подробную информацию по работе с утилитой, Вы можете прочитать в этом руководстве. 0

Опции темы