Start::
SystemRestore: On
CreateRestorePoint:
VirusTotal: C:\Program Files\Mem Reduct\memreduct.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
AlternateDataStreams: C:\ProgramData\EsgInstallerResumeAction_37f461894bea9b386769dd0f491b3f4a.exe:9CA00EEB08 [2498]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [2498]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk:A1B76439FE [2498]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Blend for Visual Studio 2019.lnk:6569B2479D [2498]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks 5 Multi-Instance Manager.lnk:35C0D57199 [2498]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks 5.lnk:088221F38A [2498]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [2498]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dolphin Anty.lnk:610E443866 [2498]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [2498]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FACEIT AC.lnk:550995E265 [2498]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [2498]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [2498]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Visio.lnk:8113B7619D [10]
AlternateDataStreams: C:\Users\User\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\User\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
EmptyTemp:
Reboot:
End::
Так перезагрузка системы предусмотрена скриптом. Это нормальное поведение.Смущает перезагрузка при проверке ABvr
Попробовал, запустилось, сейчас гляну что да как. СпасибоТак перезагрузка системы предусмотрена скриптом. Это нормальное поведение.
По поводу MBAM, давайте попробуем:
• Скачайте и запустите Malwarebytes Support Tool.
• Запустите, согласитесь с лицензионным соглашением, перейдите на вкладку Advanced Options и нажмите кнопку Clean.
• Перезагрузите компьютер при появлении запроса.
• После перезагрузки утилита запустится для окончательной очистки.
После попробуйте переустановить (если программа нужна).
До этого пытался так сделать, все равно не дало никаких результатовТак перезагрузка системы предусмотрена скриптом. Это нормальное поведение.
По поводу MBAM, давайте попробуем:
• Скачайте и запустите Malwarebytes Support Tool.
• Запустите, согласитесь с лицензионным соглашением, перейдите на вкладку Advanced Options и нажмите кнопку Clean.
• Перезагрузите компьютер при появлении запроса.
• После перезагрузки утилита запустится для окончательной очистки.
После попробуйте переустановить (если программа нужна).
Теперь не удается удалить dr.web при попытке удаления через remover компьютер зависает намертвоСоберите свежие логи FRST.
{
Скрипт для получения лога списка прав для указанной папки (рекурсивно).
Внимание !!! Владелец для папок будет изменён на локальную группу администраторов.
Путь к папке нужно указать в процедуре UpdateList(). Автор скрипта: Dragokas
}
var S_LogName : string = 'permissions_forum.log';
var L_Target : TStringList;
Procedure UpdateList();
begin
L_Target := TStringList.Create;
// Список папок для обработки:
L_Target.Add('C:\ProgramData\Malwarebytes');
//L_Target.Add('...');
end;
function HasFolders(fname : string) : boolean;
var FS : TFileSearch; ADirName : string;
begin
ADirName := NormalDir(fname);
AddToLogEx('Contents of: ' + fname + #13#10);
FS := TFileSearch.Create(nil);
FS.FindFirst(ADirName + '*');
while FS.Found do begin
if FS.IsDir then begin
if (FS.FileName <> '.') and (FS.FileName <> '..') then begin
AddToLogEx('<DIR> ' + ADirName + FS.FileName);
Result := true;
end;
end else AddToLogEx(ADirName + FS.FileName);
FS.FindNext;
end;
FS.Free;
end;
Procedure Process_Folder(fname : string; skip_root : boolean = false);
var FS : TFileSearch; ADirName : string;
begin
if Not DirectoryExists(fname) then Exit;
AddToLogEx(#13#10 + #13#10 + 'Found dir: ' + fname);
SetStatusBarText('Working: ' + fname);
if not skip_root then
ExecuteFile('powershell.exe', '-ExecutionPolicy Unrestricted -c "Get-Acl ''' + fname + ''' | Format-List | Out-File -Append -Encoding UTF8 -FilePath .\' + S_LogName, 0, 15000, true);
ExecuteFile('takeown.exe', '"' + fname + '" /A', 0, 15000, true);
if HasFolders(fname) then
ExecuteFile('powershell.exe', '-ExecutionPolicy Unrestricted -c "Get-ChildItem ''' + fname + '''| ? {$_.PSIsContainer} | ForEach-Object { Get-Acl $_.FullName| Format-List | Out-File -Append -Encoding UTF8 -FilePath .\' + S_LogName + '}', 0, 15000, true);
ADirName := NormalDir(fname);
FS := TFileSearch.Create(nil);
FS.FindFirst(ADirName + '*');
while FS.Found do begin
if FS.IsDir then begin
if (FS.FileName <> '.') and (FS.FileName <> '..') then
Process_Folder(ADirName + FS.FileName, true)
end;
FS.FindNext;
end;
FS.Free;
end;
Procedure AddToLogEx(str : string);
begin
AddLineToTxtFile(S_LogName, str);
end;
Procedure EntryPoint();
var i : integer;
begin
if FileExists(S_LogName) then DeleteFile(S_LogName);
AddToLogEx(FormatDateTime('"Start Date: "dd mmmmm yyyy", Time: "hh:mm:ss', now));
UpdateList();
for i := 0 to L_Target.Count - 1 do
begin
Process_Folder(L_Target[i]);
end;
L_Target.Free;
AddToLogEx(#13#10 + FormatDateTime('"End Date: "dd mmmmm yyyy", Time: "hh:mm:ss', now));
end;
begin
EntryPoint();
end.
При попытке отключения самозащиты в dr.web компьютер через некоторое время виснет намертвоЗдравствуйте!
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт):
Код:{ Скрипт для получения лога списка прав для указанной папки (рекурсивно). Внимание !!! Владелец для папок будет изменён на локальную группу администраторов. Путь к папке нужно указать в процедуре UpdateList(). Автор скрипта: Dragokas } var S_LogName : string = 'permissions_forum.log'; var L_Target : TStringList; Procedure UpdateList(); begin L_Target := TStringList.Create; // Список папок для обработки: L_Target.Add('C:\ProgramData\Malwarebytes'); //L_Target.Add('...'); end; function HasFolders(fname : string) : boolean; var FS : TFileSearch; ADirName : string; begin ADirName := NormalDir(fname); AddToLogEx('Contents of: ' + fname + #13#10); FS := TFileSearch.Create(nil); FS.FindFirst(ADirName + '*'); while FS.Found do begin if FS.IsDir then begin if (FS.FileName <> '.') and (FS.FileName <> '..') then begin AddToLogEx('<DIR> ' + ADirName + FS.FileName); Result := true; end; end else AddToLogEx(ADirName + FS.FileName); FS.FindNext; end; FS.Free; end; Procedure Process_Folder(fname : string; skip_root : boolean = false); var FS : TFileSearch; ADirName : string; begin if Not DirectoryExists(fname) then Exit; AddToLogEx(#13#10 + #13#10 + 'Found dir: ' + fname); SetStatusBarText('Working: ' + fname); if not skip_root then ExecuteFile('powershell.exe', '-ExecutionPolicy Unrestricted -c "Get-Acl ''' + fname + ''' | Format-List | Out-File -Append -Encoding UTF8 -FilePath .\' + S_LogName, 0, 15000, true); ExecuteFile('takeown.exe', '"' + fname + '" /A', 0, 15000, true); if HasFolders(fname) then ExecuteFile('powershell.exe', '-ExecutionPolicy Unrestricted -c "Get-ChildItem ''' + fname + '''| ? {$_.PSIsContainer} | ForEach-Object { Get-Acl $_.FullName| Format-List | Out-File -Append -Encoding UTF8 -FilePath .\' + S_LogName + '}', 0, 15000, true); ADirName := NormalDir(fname); FS := TFileSearch.Create(nil); FS.FindFirst(ADirName + '*'); while FS.Found do begin if FS.IsDir then begin if (FS.FileName <> '.') and (FS.FileName <> '..') then Process_Folder(ADirName + FS.FileName, true) end; FS.FindNext; end; FS.Free; end; Procedure AddToLogEx(str : string); begin AddLineToTxtFile(S_LogName, str); end; Procedure EntryPoint(); var i : integer; begin if FileExists(S_LogName) then DeleteFile(S_LogName); AddToLogEx(FormatDateTime('"Start Date: "dd mmmmm yyyy", Time: "hh:mm:ss', now)); UpdateList(); for i := 0 to L_Target.Count - 1 do begin Process_Folder(L_Target[i]); end; L_Target.Free; AddToLogEx(#13#10 + FormatDateTime('"End Date: "dd mmmmm yyyy", Time: "hh:mm:ss', now)); end; begin EntryPoint(); end.
после выполнения скрипта прикрепите файл "permissions_forum.log"
Так же при попытке открыть файл av_z он удаляется (С выключенной защитой web, но с самозащитой)Здравствуйте!
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт):
Код:{ Скрипт для получения лога списка прав для указанной папки (рекурсивно). Внимание !!! Владелец для папок будет изменён на локальную группу администраторов. Путь к папке нужно указать в процедуре UpdateList(). Автор скрипта: Dragokas } var S_LogName : string = 'permissions_forum.log'; var L_Target : TStringList; Procedure UpdateList(); begin L_Target := TStringList.Create; // Список папок для обработки: L_Target.Add('C:\ProgramData\Malwarebytes'); //L_Target.Add('...'); end; function HasFolders(fname : string) : boolean; var FS : TFileSearch; ADirName : string; begin ADirName := NormalDir(fname); AddToLogEx('Contents of: ' + fname + #13#10); FS := TFileSearch.Create(nil); FS.FindFirst(ADirName + '*'); while FS.Found do begin if FS.IsDir then begin if (FS.FileName <> '.') and (FS.FileName <> '..') then begin AddToLogEx('<DIR> ' + ADirName + FS.FileName); Result := true; end; end else AddToLogEx(ADirName + FS.FileName); FS.FindNext; end; FS.Free; end; Procedure Process_Folder(fname : string; skip_root : boolean = false); var FS : TFileSearch; ADirName : string; begin if Not DirectoryExists(fname) then Exit; AddToLogEx(#13#10 + #13#10 + 'Found dir: ' + fname); SetStatusBarText('Working: ' + fname); if not skip_root then ExecuteFile('powershell.exe', '-ExecutionPolicy Unrestricted -c "Get-Acl ''' + fname + ''' | Format-List | Out-File -Append -Encoding UTF8 -FilePath .\' + S_LogName, 0, 15000, true); ExecuteFile('takeown.exe', '"' + fname + '" /A', 0, 15000, true); if HasFolders(fname) then ExecuteFile('powershell.exe', '-ExecutionPolicy Unrestricted -c "Get-ChildItem ''' + fname + '''| ? {$_.PSIsContainer} | ForEach-Object { Get-Acl $_.FullName| Format-List | Out-File -Append -Encoding UTF8 -FilePath .\' + S_LogName + '}', 0, 15000, true); ADirName := NormalDir(fname); FS := TFileSearch.Create(nil); FS.FindFirst(ADirName + '*'); while FS.Found do begin if FS.IsDir then begin if (FS.FileName <> '.') and (FS.FileName <> '..') then Process_Folder(ADirName + FS.FileName, true) end; FS.FindNext; end; FS.Free; end; Procedure AddToLogEx(str : string); begin AddLineToTxtFile(S_LogName, str); end; Procedure EntryPoint(); var i : integer; begin if FileExists(S_LogName) then DeleteFile(S_LogName); AddToLogEx(FormatDateTime('"Start Date: "dd mmmmm yyyy", Time: "hh:mm:ss', now)); UpdateList(); for i := 0 to L_Target.Count - 1 do begin Process_Folder(L_Target[i]); end; L_Target.Free; AddToLogEx(#13#10 + FormatDateTime('"End Date: "dd mmmmm yyyy", Time: "hh:mm:ss', now)); end; begin EntryPoint(); end.
после выполнения скрипта прикрепите файл "permissions_forum.log"
На время лечения деинсталлируйте Dr. Web.В обычном, процесс убивается скорее всего вебом
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?