win32.floodfix.7 (заявка № 228225)
Junior Member Регистрация 01.07.2023 Сообщений 2 Вес репутации 4
win32.floodfix.7
Приветствую всех! Долгое время мой компьютер терризирует вирус который после удаление или установки любых приложений (discrod, да и другие) выдаёт «Ошибка при запуске приложения (0xc0000005). ) Но, это еще половина беды. Некоторые программы совсем не хотят устанавливаться, словно их что-то блокирует. Для временного решения меня выручает Dr.Web, он постоянно детектит два трояна один у которого путь C:\Program Files\Common Files\System\symsrv.dll, а второй путь с приложением которое выдаёт ошибку, после излечения всё работает до последующий установки или удаление приложений. Многие способы пробовал, но всё безуспешно. Заранее благодарю!
Вложения
- CollectionLog-2023.07.01-05.29.zip (307.5 Кб, 3 просмотров)
Будь в курсе! Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
01.07.2023, 04:43 #2
Cyber
Регистрация 11.05.2011 Сообщений 2,287 Вес репутации 378
Уважаемый(ая) tFeniks, спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность — пожалуйста, поддержите проект.
01.07.2023, 08:08 #3
Senior Helper
Регистрация 06.05.2008 Адрес Тула Сообщений 35,504 Вес репутации 1058
Пролечите систему в безопасном режиме с помощью KVRT. Прикрепите упакованными в архив файлы отчёта report__*.klr.enc1 из папки C:\KVRT2020_Data.
Это файловый вирус, затем надо будет проверять все диски, в т. ч. съёмные, чтобы не подцепить снова.
После всех проверок сделайте новый лог Autologger.
Win32.FloodFix.7
Отправлено 19 Февраль 2024 — 12:10
Всем доброго времени суток.
Подхватил сей вирус. Win32.FloodFix.7.
При полной проверке drweb, проверяет внутренности iso файлов и самораспаковывающихся архивов, все дико долго и тупит.
Вопрос есть ли возможность быстренько пробежаться только по exe файлам и вылечить их?
Ну или хотя бы iso не проверять на предмет содержимого.
#2
Dr.Robot
Отправлено 19 Февраль 2024 — 12:10
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ — сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Дождитесь окончания работы сканера Dr. Web или CureIt!, прежде, чем запускать DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист. Так как логи могут иметь большой объём, превышающий ограничения форума, то рекомендуем закачать их на какой-нибудь файлообменник, а на форуме указать ссылку.
2. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.
Что НЕ нужно делать:
— лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
— переустанавливать операционную систему;
— менять расширение у зашифрованных файлов;
— очищать папки с временными файлами, а также историю браузера;
— использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из «Аптечки сисадмина» Dr. Web;
— использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
— прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба — это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
#3
NikolayHAOS
NikolayHAOS
Отправлено 19 Февраль 2024 — 12:14
Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ — сканера Dr. Web
Да он уже 2 часа сканирует все iso подряд надоел уже. Неужели вариант только вручную exe перебирать ища их по каталогам?
#4
VVS
Отправлено 19 Февраль 2024 — 12:21
Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ — сканера Dr. Web
Да он уже 2 часа сканирует все iso подряд надоел уже. Неужели вариант только вручную exe перебирать ища их по каталогам?
Если Ваша задача — избавиться от активной малвари, то запустите быструю проверку.
меня вот что возмутило. что даже не начинают толком диалог сразу дампы. © alehas777
———————————
Антивирус это как ремень безопасности — всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
#5
Dolmatov
Отправлено 19 Февраль 2024 — 12:24
Если используете CureIt! То нажмите вверху гаечный ключ, откройте настройки, прочитайте справку. Есть возможность настроить исключения, в том числе по маске.
#6
Alexander007
Alexander007
Отправлено 19 Февраль 2024 — 12:33
Здрастуйте NikolaiHaos .
Можно по больше подробнее , вы качали iso , образец и откуда скачали ?
В сканерах есть возможность отключить «Проверка архивов» , если не хотите весь файлы проверить , сменить «Игнорировать» ,
Это опция находится , Центр безопасности -> Настройка —> Сканер , снизу справа доп настройки и выключить ( на ваш усмотрение ) .
-~> Вопрос есть ли возможность быстренько пробежаться только по exe файлам и вылечить их?
Есть возможность , при временной отключение реального защиты — (замедляет при распаковки файла наличии угроз) , и перетаскивать exe в другую папку и пролечить сканером , а потом обратно вставите файлы в iso и включите реального защиты . ( простой способ ).
Global Malware Hunting.
#7
NikolayHAOS
NikolayHAOS
Отправлено 19 Февраль 2024 — 12:40
Если Ваша задача — избавиться от активной малвари, то запустите быструю проверку.
Быстрая проверка ничего не нашла.
С одной стороны drweb молодец, отработал отлично, присёк и удалил, но блин этот вирус успел пройтись по всем exe файлам.
Можно по больше подробнее , вы качали iso , образец и откуда скачали ?
Нет, нет ничего не качал. Есть диск с большим количеством различных файлов в том числе и exe и вот именно они поражены.
Это опция находится , Центр безопасности -> Настройка —> Сканер , снизу справа доп настройки и выключить ( на ваш усмотрение ) .
Опция включена один хрен лезет внутрь iso.
#8
NikolayHAOS
NikolayHAOS
Отправлено 19 Февраль 2024 — 12:42
Если используете CureIt! То нажмите вверху гаечный ключ, откройте настройки, прочитайте справку. Есть возможность настроить исключения, в том числе по маске.
А вот это интересно, придется скачать, что бы проверить. Прикольно будет если в утилите есть тот функционал какого нет в самом докторе.
#9
VVS
Отправлено 19 Февраль 2024 — 12:44
Если используете CureIt! То нажмите вверху гаечный ключ, откройте настройки, прочитайте справку. Есть возможность настроить исключения, в том числе по маске.
А вот это интересно, придется скачать, что бы проверить. Прикольно будет если в утилите есть тот функционал какого нет в самом докторе.
Собственно исключения для сканера настраиваются там же, где и другие исключения.
меня вот что возмутило. что даже не начинают толком диалог сразу дампы. © alehas777
———————————
Антивирус это как ремень безопасности — всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
#10
Ivan Korolev
Ivan Korolev
Отправлено 19 Февраль 2024 — 12:57
> С одной стороны drweb молодец, отработал отлично, присёк и удалил, но блин этот вирус успел пройтись по всем exe файлам.
Сделайте отчет из меню агента, где этот вирус сумел заразить систему при активном антивирусе.
Зараженный компьютер win32.floodfix.7 (заявка № 228161)
Junior Member Регистрация 06.05.2023 Сообщений 4 Вес репутации 4
Зараженный компьютер win32.floodfix.7
Всем приветствую! Долгое время мой компьютер терризирует вирус который после удаление или установки любых приложений (чаще всего steam, geforce exprience, discrod) выдаёт «Ошибка при запуске приложения (0xc0000005). ) Для временного решения меня выручает Dr.Web, он постоянно детектит два трояна один у которого путь C:\Program Files\Common Files\System\symsrv.dll, а второй путь с приложением которое выдаёт ошибку, после излечения всё работает до последующий установки или удаление приложений. Многие способы пробовал, но всё безуспешно. Заранее благодарю!
Вложения
- CollectionLog-2023.05.06-21.33.zip (55.5 Кб, 2 просмотров)
Будь в курсе! Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
06.05.2023, 21:39 #2
Cyber
Регистрация 11.05.2011 Сообщений 2,287 Вес репутации 378
Уважаемый(ая) Chapaew, спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность — пожалуйста, поддержите проект.
06.05.2023, 22:49 #3
Senior Helper
Регистрация 06.05.2008 Адрес Тула Сообщений 35,504 Вес репутации 1058
begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); DeleteFile('C:\Windows\system32\dlcoer.dll', ''); DeleteFile('C:\Program Files\Common Files\System\symsrv.dll', ''); DeleteFile('C:\Windows\system32\dlcoer.dll', '32'); ExecuteSysClean; RebootWindows(true); end.
Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:
O20 - HKLM\..\Windows: [AppInit_DLLs] = C:\Windows\system32\dlcoer.dll (file missing) O20-32 - HKLM\..\Windows: [AppInit_DLLs] = C:\Windows\system32\dlcoer.dll (file missing) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\ - (no key) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\ - \MicrosoftEdgeUpdateTaskMachineCore (no xml) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\ - (no key) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\ - \Microsoft\Windows\Speech\SpeechModelDownloadTask (no xml) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\ - (no key) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\ - \Microsoft\Windows\LanguageComponentsInstaller\Installation (no xml) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\ - (no key) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\ - \Microsoft\Windows\Management\Provisioning\Logon (no xml) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\ - (no key) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\ - \Microsoft\Windows\LanguageComponentsInstaller\ReconcileLanguageResources (no xml) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\ - (no key) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\ - \Microsoft\Windows\DiskDiagnostic\Microsoft-Windows-DiskDiagnosticDataCollector (no xml) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\ - (no key) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\ - \Microsoft\Windows\Diagnosis\Scheduled (no xml) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\ - (no key) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\ - \MicrosoftEdgeUpdateTaskMachineUA (no xml) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\ - (no key) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\ - \Microsoft\Windows\Shell\FamilySafetyRefreshTask (no xml) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\ - (no key) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\ - \Microsoft\Windows\Shell\FamilySafetyMonitor (no xml) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\ - (no key) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\ - \Microsoft\Windows\Management\Provisioning\Cellular (no xml) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\ - (no key) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\ - \MicrosoftEdgeUpdateBrowserReplacementTask (no xml) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\ - (no key) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\ - \Microsoft\Windows\ApplicationData\DsSvcCleanup (no xml)
Сделайте новый лог Autologger.
06.05.2023, 23:40 #4
Junior Member Регистрация 06.05.2023 Сообщений 4 Вес репутации 4
Все сделал как вы сказали. Только были отличия в HijackThis, первый две строки имели следующий адрес:
O20 — HKLM\..\Windows: [AppInit_DLLs] = C:\Program Files\Common Files\System\symsrv.dll
O20-32 — HKLM\..\Windows: [AppInit_DLLs] = C:\Program Files\Common Files\System\symsrv.dll
Прикреплю новый лог Autologger.
Вложения
- CollectionLog-2023.05.06-23.37.zip (50.1 Кб, 2 просмотров)
07.05.2023, 08:52 #5
Senior Helper
Регистрация 06.05.2008 Адрес Тула Сообщений 35,504 Вес репутации 1058
begin DeleteFile('C:\PROGRA~1\COMMON~1\System\symsrv.dll', ''); DeleteFile('C:\PROGRA~1\COMMON~1\System\symsrv.dll', '32'); DeleteFile('C:\PROGRA~1\COMMON~1\System\symsrv.dll', '64'); DeleteFile('C:\Program Files\Common Files\System\symsrv.dll', ''); DeleteFile('C:\Windows\system32\dlcoer.dll', '32'); ExecuteSysClean; RebootWindows(true); end.
Пофиксите в HijackThis:
O20 - HKLM\..\Windows: [AppInit_DLLs] = C:\Program Files\Common Files\System\symsrv.dll O20-32 - HKLM\..\Windows: [AppInit_DLLs] = C:\Program Files\Common Files\System\symsrv.dll
Отключите временно встроенный антивирус («Защитник») — у него ложное срабатывание на компоненты используемой далее программы.
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
Win32.FloodFix.7
Скачайте
Dr.Web для Android
- Бесплатно на 3 месяца
- Все компоненты защиты
- Продление демо через
AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее