Премини към съдържанието
  • Добре дошли!

    Добре дошли в нашите форуми, пълни с полезна информация. Имате проблем с компютъра или телефона си? Публикувайте нова тема и ще намерите решение на всичките си проблеми. Общувайте свободно и открийте безброй нови приятели.

    Моля, регистрирайте се за да публикувате тема и да получите пълен достъп до всички функции.

     

Съмнителни съобщения при отварянето на сервизния център


Препоръчан отговор

Здравейте. Тези съобщения (от снимките) се отварят (всеки път) при пускането на services.msc. Системата е инсталирана преди няколко месеца и е използвана предимно за интернет. Не ми е създавала проблеми. Също така сканирах с няколко програми включително Malwarebyates и KVRT и всичко излиза чисто!

 

image2 - Copy.jpg

image1 - Copy.jpg

Addition.txt FRST.txt

Линк към коментара
Сподели в други сайтове

Привет,

Не се виждат зловредни обекти в логовете. Защо обаче се ползва още IE? Пробвайте:

1. Да въведете в търсачката inetcpl.cpl => след това отидете на Advanced => натиснете Restore advanced settings

Вижте дали това решава проблема.

2. Аз лично бих изкоренил IE от Turn Windows features on or off => маха се чавката пред Internet Explorer 11 и се потвърждава с ОК.

Uninstall-IE-11.png

Линк към коментара
Сподели в други сайтове

1. Не съм използвал Internet Explorer - той просто дойде с Windows. Главно ползвам Mozilla и Chrome. Имам и Microsoft Edge, който също не ползвам.

2. При инструкция номер едно нямаше промяна. При инструкция номер две, съобщението вече не се показва, а вместо това се появява съобщението от снимката по-долу. Също така забелязах, че съобщението се появява когато отворя services.msc в "Extended". В "Standard" режима не се появява. Когато се върна на "Standard" и после пак в "Extended", грешката не се показва - до следващото отваряне на services.msc.

989261492_Untitled-Copy.jpg.144fcd59b8b7ee47864c08ae197bff48.jpg

3. Интересно ми е защо services.msc се опитва да отвори този линк. Единственият друг път, когато съм виждал това съобщение е на друг мой компютър, който беше тежко заразен (включително и биоса) с вирус, който не се засичаше от Antimaware скенери. Вирусът се криеше в биоса и по някакъв начин модифицираше драйверите - въпреки че не съм сигурен за точният начин.  Притеснявам се, да не съм пренесъл заразата случайно през някой файл или usb устройство. Моля помогнете да се уверя в това.

4 Тъй като имам подозрения, реших да прегледам системата. Намерих тези файлове и папки, които изглеждат съмнителни. Дата която показват, е преди датата на преинсталирането на операционната система - февруари 2021. Папките са скрити. Също така не помня да съм инсталирал Битлокър Тo Го.

А:

283267341_Screenshot1.png.311d2461dff42a891f5c4e736a50b278.png

B:

1426823999_Screenshot2.png.9b42484cb91fe6a0b0ecb1e4125bc50a.png

 

5. Бихте ли ми казали какво означават тези редове от FRST?

image.png.f7ca1c1f9444eee311f8d89462e00e41.png

6. Качих някой файлове Virustotal и открих, че във разделът History, файлът wdboot.sys от снимката по горе е създаден 2036 година. А файлът mmcndmgr.dll намиращ се в System32 (от съобщението при отваряне на services.msc) е създаден през 1975 г. Това повод ли е за съмнение?

https://www.virustotal.com/gui/file/0845344f7bfaa94af90920a5346078e6261eea3a1a77795dda5b70b38609348b/details

https://www.virustotal.com/gui/file/59d1d21867fc880e59def705c1602afae3529a6ae086c1f268d457bcdb6853ad/details

 

Благодаря предварително за отделеното време!

Линк към коментара
Сподели в други сайтове

Привет,

Ами нямам идея, защо иска да използва Windows App, защото аз лично съм ги забранил и премахнал от моя Windows 8.1. Може би тук ще ви помогнат в раздела за Операционни Системи, но самите линкове не изглеждат зловредни:

https://www.google.bg/search?q="res://ieframe.dll/navcancl.htm"&ei=-EDQYLWcHIKfsAel94CICA&start=0&sa=N&ved=2ahUKEwi1-Pyam6jxAhWCD-wKHaU7AIE4MhDy0wN6BAgBEDU&biw=1920&bih=924

https://www.google.bg/search?q="res%3A%2F%2FC%3A\Windows\system32\mmcndmgr.dll%2Fviews.htm"&source=hp&ei=K0HQYIbQC9r6gAaq57qwDA&iflsig=AINFCbYAAAAAYNBPO0i4vNES7QjVqC3foSufBGgMj3kH&oq="res%3A%2F%2FC%3A\Windows\system32\mmcndmgr.dll%2Fviews.htm"&gs_lcp=Cgdnd3Mtd2l6EANQ0wNY7Adg_ghoAHAAeACAAUmIAcsBkgEBM5gBAKABAaoBB2d3cy13aXo&sclient=gws-wiz&ved=0ahUKEwjGkZWzm6jxAhVaPcAKHaqzDsYQ4dUDCAc&uact=5

Може да е нещо използвано именно от Windows App.

 

Да имате UEFI rootkit е твърде малко вероятно, защото те се използват при насочени атаки (а не случайни такива) и не са широко разпространени. А и повечето скенери в наши дни като тези на Kaspersky и дори Windows Defender на MS в Windows 10 могат да засекат UEFI rootkit-и.

https://www.kaspersky.com/enterprise-security/wiki-section/products/anti-rootkit-and-remediation-technology

https://www.microsoft.com/security/blog/2020/06/17/uefi-scanner-brings-microsoft-defender-atp-protection-to-a-new-level/

Обикновено те не могат да се почистят по стандартния начин. Това става с префлашване на БИОС-а с чиста версия. Но в повечето случаи ще има следи от тяхното присъствие в системата. Например LoJaX дропва два файла и ги регистрира като услуги (Lojax е модифицирана версия на легитимната програма Computrace Lojack за намиране на изгубени лаптопи) - rpcnetp.exe и rpcnetp.dll и както виждате се засичат от всички известни антивирусни:

https://www.virustotal.com/gui/file/6d626c7f661b8cc477569e8e89bfe578770fca332beefea1ee49c20def97226e/detection

Дори вируса да не може да бъде почистен, пак ще имате поне представа, че е в системата и ще можете да предприемете действия. Така, че пак казвам, шанса тук да става въпрос за ATP атака е нищожен.

 

Тези файлове са от BitLocker в Windows. Защо са от февруари - сигурно заради някой update. Колкото до това, че не сте го инсталирали, той идва преинсталиран с Windows. Особено с Enterprise, какъвто Windows ползвате в момента. Спокойно и аз го имам на 8.1. Не всичко, което на вас ви се струва съмнително е такова и е за триене. Както казах логовете са ви чисти, както и скенерите, които сте използвали не са намерили проблеми.

 

Редовете в FRST означават, че сте използвали някакви ограничения (групови политики), които са отразени в лог файла. Всяка забрана в GPEDIT.MSC, Software Restriction Policies или в регистрите. Това, че пише ATTENTION не го прави непременно опасно и зловредно.

 

Годините не мисля, че са проблем. Например драйверите на Intel за чипсет контролера са подписани 1968 година.

“Intel(R) Chipset Device Software uses an unusual date for the devices it is targeting. The date 07/18/1968 is symbolic – Intel was founded that day. The reason this date is used is to lower the rank of Intel(R) Chipset Device Software.This is necessary because it’s a supporting utility that should not overwrite any other drivers. Updating Intel(R) Chipset Device Software is not needed."

Сега в конкретния случай при вас единия от 2036 е леко странно наистина, а втория го дава цифрово неподписан, но след като са качени в VirusTotal ако бяха зловредни за 10 дни все някоя лаборатория щеше да ги е добавила в дефинициите си, а гледам това не е така.

Не пречи да направите две неща:

1. Да направите една проверка с TDSSKiller:

https://media.kaspersky.com/utilities/VirusUtilities/EN/tdsskiller.exe

2. Да направите една проверка на системните файлове от Command Prompt стартиран с опцията Run as admibistrator с командата:

SFC /SCANNOW

 

Поздрави! ;)

Линк към коментара
Сподели в други сайтове

преди 57 минути, B-boy/StyLe/ написа:

защо иска да използва Windows App

Най-вероятно повредена асоциация за .msc и по подразбиране търси app в магазина.
Ако съмненията ми са правилни, стартираето на всеки .msc файл ще завършва със същия резултат. Например: десен клик по старт менюто и се избира Device manager 
Изпълнява се .bat файлът с админски права и се рестартира системата.

mscfix.cmd

Линк към коментара
Сподели в други сайтове

Здравейте.

Извинявам се за забавения отговор.

1 Направих проверка с SFC /SCANNOW и проверката с TDSSKiller излиза чиста.

2 Тази грешка не се появява при отварянето на Device manager. Нямаше промяна след използването на mscfix.com.

 

Цитат

Тези файлове са от BitLocker в Windows. Защо са от февруари - сигурно заради някой update. Колкото до това, че не сте го инсталирали, той идва преинсталиран с Windows. Особено с Enterprise, какъвто Windows ползвате в момента. Спокойно и аз го имам на 8.1. Не всичко, което на вас ви се струва съмнително е такова и е за триене. Както казах логовете са ви чисти, както и скенерите, които сте използвали не са намерили проблеми.

3 Исках да кажа че Windows e инсталиран февруари, а файловете са от 2019, но като гледам и на другите компютри го имам и предполагам че е дошъл от самият билл/диск преди update, който е от преди няколко години.

 

4 Също забелязах че Zemana не иска да се стартира автоматично с Windows, но предполагам това е защото програмата е калпава или защото основният ми акаунт (нарочно) не е администратор.

 

Цитат

Да имате UEFI rootkit е твърде малко вероятно, защото те се използват при насочени атаки (а не случайни такива) и не са широко разпространени. А и повечето скенери в наши дни като тези на Kaspersky и дори Windows Defender на MS в Windows 10 могат да засекат UEFI rootkit-и.

5 Това беше друг компютър, който все още го пазя в това състояние без да го ползвам от миналата есен. Спомням си, че сканирах със всякакви скенери и не можах да открия вируса. Също така имаше инсталирано AVG и платена Zemana. Сигурен, съм че биосът е заразен. В бъдеще бих направил  (за него) тема, преди да се заема да префлашвам биос или да сменям дънната платка. Случаят е доста тежък, но сега си мисля, че с вашата помощ ще се справя. Във връзка с казаното от вас: Предполагам че атаката е таргетирана защото дойде от програма (за възстановяване на флашки) рекламирана в Ютуб видео, което след това бързо изчезна. Предполагам че заразяват определени компютри в зависимост от типа биос. Компютърът е Thinkpad, който има вградена защита против кражба и сигурно е уязвим. Спомням си, че не бях включил защитата в UEFI (при наличие на такава), защото не съм очаквал това. От тогава, представата ми за това колко сме защитени коренно се промени. Може би единственият сигурен начин е да се полазва само официален софтуер и другото под виртуална машина.....

6 Това което ме радва, е че този компютър е чист и "нищо" не се е "пренесло".

Линк към коментара
Сподели в други сайтове

Здравейте,

Относно Services.msc вижте дали ако регистрирате системните файлове няма да се оправи.

От Command Prompt => стартирана с десен бутон и Run as administrator поставете командата и натиснете Enter:

For /F %s in ('dir /b *.dll') do regsvr32 /s %s

По време на изпълнението и може да възникнат прозорци с греши. Това е нормално. Потвърдете ги с OK и оставете командата да приключи.

Рестартирайте системата и пробвайте отново.

Zemana от доста време не е ефективна и не се обновява често и дава много фалшиви тревоги. Аз бих използвал вместо нея RogueKiller, Malwarebytes Anti-Malware, HitmanPro, Emsisoft EmergencyKit, Eset Online Scanner или KVRT.

Линк към коментара
Сподели в други сайтове

Здравейте

1 Няма промяна след фикса.

 

Цитат

Zemana от доста време не е ефективна и не се обновява често и дава много фалшиви тревоги. Аз бих използвал вместо нея RogueKiller, Malwarebytes Anti-Malware, HitmanPro, Emsisoft EmergencyKit, Eset Online Scanner или KVRT.

2 А какво бихте препоръчали за активна защита? Обмислям комбинация от Comodo и платен Kasperky. Въпреки че четох за скандал от 2017 свързан с изтичане на данни, след който американското правителство забранява Kasperky на служебните си компютри. Вие бихте ли им се доверили за постоянна антивирусна?

Линк към коментара
Сподели в други сайтове

Добавям към предишния ми пост, тъй като не мога да редактирам.

Цитат

цър-вул:

Най-вероятно повредена асоциация за .msc и по подразбиране търси app в магазина.
Ако съмненията ми са правилни, стартираето на всеки .msc файл ще завършва със същия резултат. Например: десен клик по старт менюто и се избира Device manager 
Изпълнява се .bat файлът с админски права и се рестартира системата.

Реших да опитам с няколко msc файла и открих, че освен при services.msc, грешката я има и при perfmon.msc и rstop.msc, но не и при другите, като devmgmt.msc или gpedit.msc. Също така открих,  че когато изключа скриптинга: [ inetcpl.cpl > Security> Custom Level и от там променям Active Scripting от Enabled на Disabled ], услугата изобщо не се зарежда - на местата където обикновено дава грешка.

Линк към коментара
Сподели в други сайтове

Между другото тук един потребител има същата грешка:

https://www.tenforums.com/software-apps/148251-youll-need-new-app-open-res-link-message-popup.html

Може би е добра идея да прегледате следните програми да видите дали не можете да изключите използването на res протокола на Internet Explorer:

https://www.nirsoft.net/utils/shexview.html

https://www.nirsoft.net/utils/shell_menu_new.html

https://www.nirsoft.net/utils/open_with_view.html

https://www.nirsoft.net/utils/file_types_manager.html

Мога да пробвам да видя какви са настройките в регистрите при мен за res, но иначе е регистриран като Unknown (след премахването на Internet Explorer), но нямам такива проблеми със Services.msc

Image-217.png

Друго е евентуално да опитате Refresh-PC от настройките на Windows 10 за да преинсталира Операционната Система, но да запази файловете (нещо като Repair Install при старите версии на Windows)...

Линк към коментара
Сподели в други сайтове

Да, и при мен е така на 8.1

Знам, че стартира горе един bat файл за MSC, но ако искаш изтегли и тези и ги запази на десктопа. Кликни върху тях с десен бутон и избери Merge и потвърди.

Рестартирай системата и виж как е положението.

https://www.tenforums.com/attachments/tutorials/112646d1481055096-default-file-type-associations-restore-windows-10-a-msc.reg

https://www.tenforums.com/attachments/tutorials/171537d1515435140-restore-default-file-type-associations-windows-10-a-res.reg

Линк към коментара
Сподели в други сайтове

Стартирай dcomcnfg
>Component Services
>Computers
>My Computer
кликни на
>DCOM Config
Най-вероятно ще се пшояви съобщвение за нерегистриран(и) сървър(и) - потвърди запитването с [Yes]
Рестартирай.

Линк към коментара
Сподели в други сайтове

  • 2 седмици по-късно...

 

Здравейте

При мен възникнаха малко проблеми - съжалявам за забавянето!

 

Цитат

Мога да пробвам да видя какви са настройките в регистрите при мен за res, но иначе е регистриран като Unknown (след премахването на Internet Explorer), но нямам такива проблеми със Services.msc

Тук .res няма асоциация:

2-Copy.png

 

Също пробвах с програмите и под .res няма нищо:

1-Copy.png

 

Мисля си, че и тези не са отговора:

3-Copy.png

 

Цитат

Знам, че стартира горе един bat файл за MSC, но ако искаш изтегли и тези и ги запази на десктопа. Кликни върху тях с десен бутон и избери Merge и потвърди.

Нямаше промяна след фикса.

 

Цитат

    Стартирай dcomcnfg
    >Component Services
    >Computers
    >My Computer
    кликни на
    >DCOM Config
    Най-вероятно ще се пшояви съобщвение за нерегистриран(и) сървър(и) - потвърди запитването с [Yes]
    Рестартирай.

Тук не се появява съобщение за нерегистрирани сървъри.

 

Има ли друго какво да се направи? Какво смятате за това: https://www.windowscentral.com/how-use-dism-command-line-utility-repair-windows-10-image

Интересното е, че след фикса изчезна Device Manager от Computer Management и грешката започна да се появява и при gpedit.msc, където я нямаше преди. Също така когато дам дясно копче на десктопа и избера New - възможностите са малко, като мисля че бяха повече преди.

4-Copy.png

Това ми се вижда малко странно. Може ли да кача нови логове от FRST, и да погледнете пак за всеки случай за зарази?

 

 

Линк към коментара
Сподели в други сайтове

Може да публикувате нови логове, но не мисля, че проблема ви се дължи на зловреден софтуер (колкото и удобно да би било това понякога). Нито, че SFC и DISM поправките биха помогнали тук.

По-скоро си мисля, че трябва да направите поправителна преинсталация (или дори пълна такава).

Ето друга тема с подобен проблем без решение за съжаление:

https://answers.microsoft.com/en-us/windows/forum/all/secpolmsc-and-gpeditmsc-seems-to-be-corrupted/769e285b-e5e7-4380-baf9-8f4253b8d4fe

Линк към коментара
Сподели в други сайтове

 

В такъв случай, в бъдеще ще направя рефреш/реинстал.

Моля погледнете новите логове, за всеки случай!

 

Знам че това е извън темата и няма връзка с този компютър, но да попитам, aко имам само линк към Virustotal на опреден файл, мога ли да го докладвам на антивирусните компании?

https://shorturl.ac/78gm3

 

 

 

Addition.txt FRST.txt

Линк към коментара
Сподели в други сайтове

преди 7 часа, stef000 написа:

В такъв случай, в бъдеще ще направя рефреш/реинстал.

15-ина минути ще отнеме рефрешът. А сега само се дразниш...

Линк към коментара
Сподели в други сайтове

преди 7 часа, stef000 написа:

Знам че това е извън темата и няма връзка с този компютър, но да попитам, aко имам само линк към Virustotal на опреден файл, мога ли да го докладвам на антивирусните компании?

https://shorturl.ac/78gm3

Ще ги погледна след малко, но какво има да докладвате на компаниите за чист файл? Иначе винаги има възможност да се докладва всеки един файл (ако се засича неправилно като фалшива тревога или ако не се засича, а според вас трябва да се засича като съмнителен).

Те дори в повечето случаи си взимат сами файловете от VT за анализ, но понякога пропускат по нещо и им трябва помощ (напомняне). Но това става сравнително рядко.

Линк към коментара
Сподели в други сайтове

Това беше файлът, от който се беше заразил другият компютър. Файлът явно се свързва със определен IP адрес и дропва някакви гадости. Приятел ме посъветва, че е възможно файлът да дава отдалечен достъп, но самият той да не прави нищо друго по системата и за това да не се засича. Разбира се, те го изтриха при атаката, но в бъдеще мога да се опитам да го възстановя със програма..., когато имам време да правя онзи компютър.

Линк към коментара
Сподели в други сайтове

Пак си набивате някакви филми. Това, че се свърза с някакви IP адреси не прави файла зловреден. Може да проверява за актуализации или да е някаква телеметрия. Какъв в този файл? Ако го имате ми го дайте за проверка. Има си инструменти като Any.Run или PeStudio което може да провери за зловредни индикатори. Самия файл може да се стартира под сянка на ShadowDefender или на виртуална машина (VirtualBox, WMWare) или под някакъв пясъчник като Sandboxie (или този на Comodo и 360 TS) и да се види какво точно прави. Има зарази, които след изпълнението на задачата си се самоизтриват (повечето ransomware са на този принцип), но без доказателства, всичко друго са празни приказки и фантазии. Ако сте сигурен, че сте част от подобна сложна насочена атака, то досега трябваше да се форматирали 20 пъти и да сте преинсталирали начисто и след това да сте се погрижили да направите HARDENING на Windows намалявайки векторите на атака, за да не се повтори ситуацията.

Прегледах контролните суми на файла и ми се струват като фалшиви тревоги, а повечето го засичат с евристики. Това не е ли файл за премахване на "Write protection" на USB устройства?

Линк към коментара
Сподели в други сайтове

Между другото. Няма нужда да стартирате вече TDSSKiller, след като сте инсталирали Kaspersky Security Cloud 21.3. Той е вграден в нея.

Това е запис от TDSSKiller-a:

HKLM-x32\...\RunOnce: [{2A9CF553-859D-4512-B707-7000038C39AA}] => cmd.exe /C start /D "C:\Users\Admin\AppData\Local\Temp\{2A9CF553-859D-4512-B707-7000038C39AA}" /B {D4175ABF-385D-4255-8D9C-1AE22E5D133F}.exe -accepteula -accepteulaksn -activeimages -postboot <==== ATTENTION

Лог файловете иначе са си все така чисти.

Можете да оправите следната грешка в EventViewer-a:

Цитат

Error: (07/10/2021 11:06:02 PM) (Source: ESENT) (EventID: 455) (User: )
Description: svchost (4608,R,98) TILEREPOSITORYS-1-5-18: Error -1023 (0xfffffc01) occurred while opening logfile C:\WINDOWS\system32\config\systemprofile\AppData\Local\TileDataLayer\Database\EDB.log.

Създайте следната структура на папките, ако ги няма:

C:\Windows\System32\config\systemprofile\AppData\Local\TileDataLayer\Database

Линк към коментара
Сподели в други сайтове

Да, точно така. Търсих инструмент от производителя, с който да оправя бъгната флаша Кингстън.

На онзи компютър, след атаката бях доста зает и нямах време да се занимавам с префлашване на биос и затова спасих каквото имам, оставих компютърът и започнах да използвам друг. Не съм форматирал защото исках да проуча какво точно е станало когато имам време - и така си остана. За атаката съм сигурен, защото пред очите си видях как затварят и трият програми, но приемам, че мога и да се бъркам за този файл.

Ще се опитам да го намеря - възстановя когато мога и да ви го пратя. Мога и на лично.

 

1 Направих папките следвайки инструкцията.

2 TDSS Killers го пусках последно преди няколко дни и от тогава няколко пъти рестартирах, но си спомням че му дадох да инсталира драйвера. Възможно ли е записът да е от това? RunOnce - само един път ли означава че се пуска?

 

Линк към коментара
Сподели в други сайтове

RunOnce точно това означава. Да се пуска само 1 път. Освен ако няма друго събитие, което да го "trigger"-ва.

Така описаната от вас атака не изглежда като вирусна такава, а като някой да е имал достъп до машината ви посредством отдалечен достъп. Това е различно. Все пак съветите за HARDENING на системата и мрежата си остават.

https://www.hardenwindows10forsecurity.com/index.html

Линк към коментара
Сподели в други сайтове

Сигурен съм, че тази атака не била насочена специално към мен, защото няма причина. Въпреки това ще заздравя системата както ме съветвате.

Все пак благодаря за помощта и отделеното време!!!🙂

Линк към коментара
Сподели в други сайтове

Няма за какво. Все пак заздравяването нека да стане след преинсталацията. На компрометирана система няма да има много голям ефект. ;)

Линк към коментара
Сподели в други сайтове

Добавете отговор

Можете да публикувате отговор сега и да се регистрирате по-късно. Ако имате регистрация, влезте в профила си за да публикувате от него.
Бележка: Вашата публикация изисква одобрение от модератор, преди да стане видима за всички.

Гост
Напишете отговор в тази тема...

×   Вмъкнахте текст, който съдържа форматиране.   Премахни форматирането на текста

  Разрешени са само 75 емотикони.

×   Съдържанието от линка беше вградено автоматично.   Премахни съдържанието и покажи само линк

×   Съдържанието, което сте написали преди беше възстановено..   Изтрий всичко

×   You cannot paste images directly. Upload or insert images from URL.

  • Разглеждащи това в момента   0 потребители

    Няма регистрирани потребители разглеждащи тази страница.

  • Горещи теми в момента

  • Подобни теми

    • от Alpine Trail
      Здравейте!Преди около 2 месеца Avast взе да алармира за заплаха Експлойт.Изглежда това се оказа провокирано от Adobe Flash Player,защото след като го деинсталирах нещата се оправиха.Наскоро пак имах съмнения че нещо не е наред със системата ми,затова инсталирах MBAM,която почна да изкарва съобщения че блокирва някои неща от мюторент,както и от тракера p2p,но пробният му период изтече и ето че сега Avast пропищя.Изкарва съобщения:"Заплахата е обезвредена.Безопасно прекъснахме връзката на udp://172.86.180.122.9777,тъй като беше заразена с/ъс Botnet:Blacklist."
      Ето логовете от FRST:
      FRST.txt Addition.txt
    • от blinkxz
      Здравейте,отнякъде съм хванал RAT (remote administration tool).
      Който остава след преинсталация на Windows.
      Опитах да сканирам с няколко буут антивирусни,но без успех.
      Също пробвах да направя слоу формат,но гадинката си остава.
      В интернет прочетох,че има такива който поразяват MBR/BIOS.
      Имам още един проблем,че в момента съм на Линукс.
      Та какво да правя.
       
    • от turb1te
      Здравейте,
      Изтеглих Malwarebytes Anti-Malware и направих сканиране. Карантинирах откритите заплахи, но след рестартиране на системата отново се появиха нови заплахи от същия тип. Ще прикача лог от MBAM и от Farbar, както е по инструкции. Рестартирах лаптопа преди да създам прикачените логове, тоест не съм чистил отново преди да ги взема. Също пробвах да реша проблема с AdwCleaner, но не проработи. Бях чекнал всичките опции в AdwCleaner за ресет без chrome policies. В Farbar чекнах всичко преди сканиране.
      MBAM_20210718_1030.txt Addition.txt FRST.txt Shortcut.txt
    • от [email protected]
      Днес си пускам компютъра и ми прави впечатление, че зарежда бавно някой страници а други като например калдата изобщо не зарежда, реших че може да е вирус и се опитах да пусна он лайн скенера на ESET, обаче казва, че не може да зареди базата със сигнатурите. Опитах да дръпна някаква антивирусна от нета и навсякъде нямам достъп. Гледам, че и Уиндоус ъпдейтите са недосръпни. Другото което прави впечатление, че Дефендъра е недостъпен, като кликна на Уиндоус сикюрите прозореца е празен. Като го пуснах някакси гледам че сканира офлайн. Какво мога да направя като не мога да сваля антивирусна ? И нещо друго ако Тубата работи нормално и влизам в др. форуми например, няма как да е от нета?
  • Дарение

×
×
  • Добави ново...

Информация

Поставихме бисквитки на устройството ви за най-добро потребителско изживяване. Можете да промените настройките си за бисквитки, или в противен случай приемаме, че сте съгласни с нашите Условия за ползване