Перейти к содержанию

Не видно рабочий стол


Рекомендуемые сообщения

При работе с ресурсоёмким приложением,отключил на время Касперский Free.Через час заметил лаги в работе программы и системы.Перезагрузил компьютер,касперский был в автозапуске,но троян уже прописался в системе .До этого около двух недель Касперский отбивал атаки(блокировал IP адреса) с внешки.После запуска системы не стало видно рабочего стола.Через ctrl+alt+del открываю меню,диспетчер задач только отсюда запускается.Все исполняемые файлы запускаются только из под Администратора.Некоторые не запускаются.Откат системы сделать не получается(нет точек или прав доступа).Подключить интернет то же не возможно.Накатил систему на резервный винт, все проверки проводил на заражённой неактивной а затем на активной системе.Проверка Касперским Free выявила 69 заражений(удалены).Проверка AVZ выявила ещё сколько то + обнаружен отладчик процессов.(логи остались)Попытки с помощью AVZ исправить(восстановление системы) не помогли.

KVRT ни чего не нашёл,Dr.Web CureIt определил ещё 9 заражённых файлов(вылечил).CollectionLog браузеры запустить не смог(не найдены приложения),перезагрузки то же не было.

Проблема осталась.Лог Collection прикрепляю.Запускал на активной заражённой системе.Выручайте пожалуйста.

Изменено пользователем D.Rash
Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 40
  • Created
  • Последний ответ

Top Posters In This Topic

  • D.Rash

    20

  • SQ

    14

  • regist

    7

Top Posters In This Topic

Popular Posts

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запуст

Зайцев с обновлением AVZ чего-то поломал.  @D.Rash, 1) Папку Logs в папке с AVZ заархивируйте и прикрепите. 2) Перекачайте Автологер и заново соберите им логи.

@D.Rash, вот, только в вашем случае так как вы не используете Live CD, то начинайте выполнять сразу с пункта №5.

Лог Collection прикрепляю.Запускал на активной заражённой системе.Выручайте пожалуйста.

Здравствуйте,

Логов не видно. Прикрепите их воспользовавшись расширенной формой.

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

HiJackThis (из каталога autologger)профиксить
 

O26 - Debugger: HKLM\..\1sass.exe: [Debugger] = C:\Windows\\system32\\svchost.exe
O26 - Debugger: HKLM\..\win1ogins.exe: [Debugger] = C:\Windows\\system32\\svchost.exe
O26 - Debugger: HKLM\..\win1ogon.exe: [Debugger] = C:\Windows\\system32\\svchost.exe

По каким-то причинам в логах отсутствуют логи AVZ.

 

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.



 

Ссылка на сообщение
Поделиться на другие сайты

Добрый день,вот логи после сканирования FRST,сканировал на активной заражённой системе,win7x64

FRST.txt

Addition.txt

Изменено пользователем D.Rash
Ссылка на сообщение
Поделиться на другие сайты

 

 


По каким-то причинам в логах отсутствуют логи AVZ.
Зайцев с обновлением AVZ чего-то поломал.

 

@D.Rash,

1) Папку Logs в папке с AVZ заархивируйте и прикрепите.

2) Перекачайте Автологер и заново соберите им логи.

Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты

Кстати отчёты avz могут отсутствовать из-за того что я их сохранял не по-умолчанию,а в другую удобную для меня папку.Но в них о заражённых файлах нет ни чего(avz запускался после чистки и удаления 69 заражений касперским),только об обнаружении и устранении отладчика процессов и о разрешении автозапуска с разных дисков и носителей(исправлено).Но это всегда при попадании вируса в систему.Вообще я эти вещи всегда вручную отключаю при установке/настройке системы ещё и удалённого помощника,удалённый рабочий стол и прочее.

Ну и ещё одно подозрение,которое скорее всего ошибочно(придётся извлекать из карантина потом)

Lost Alpha Configurator.exe.bak - PE файл с нестандартным расширением(степень опасности 5%)-несколько сот пользователей скачивали и запускали игру из этой раздачи - жалоб нет ни одной,степень опасности как у рекламы,конфигуратор игры просто меняет настройки и добавляет патчи в систему - вот и подозрение от avz.

Прикрепляю логи avz на всякий случай.
-----------------------------------

Пока пост писал пришёл ваш пост.

----------------

Сканирование автологером сейчас повторю.


 


 


 


По каким-то причинам в логах отсутствуют логи AVZ.
Зайцев с обновлением AVZ чего-то поломал.

 

@D.Rash,

1) Папку Logs в папке с AVZ заархивируйте и прикрепите.

2) Перекачайте Автологер и заново соберите им логи.

 

 


Вот архивы avz и Автологера

avz2_log.txt

avz3_log.txt

CollectionLog-2019.02.17-01.42.zip

LOG.rar

LOG.rar

CollectionLog-2019.02.17-01.42.zip

Изменено пользователем D.Rash
Ссылка на сообщение
Поделиться на другие сайты

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    Start::
    CreateRestorePoint:
    CloseProcesses:
    File: C:\Program Files (x86)\Everything\Everything.exe
    File: C:\Program Files\Mem Reduct\memreduct.exe
    IFEO\1sass.exe: [Debugger] C:\Windows\\system32\\svchost.exe
    IFEO\osk.exe: [Debugger] C:\Windows\Fonts\lsass.exe
    IFEO\sethc.exe: [Debugger] C:\Windows\Fonts\smss.exe
    IFEO\win1ogins.exe: [Debugger] C:\Windows\\system32\\svchost.exe
    IFEO\win1ogon.exe: [Debugger] C:\Windows\\system32\\svchost.exe
    Folder: C:\Windows\Fonts
    S2 cftmon; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
    S2 cftmon; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
    File: C:\Windows\System32\Drivers\al1atuq2.sys
    File: C:\Windows\System32\DRIVERS\usb2ser.sys
    File: C:\Windows\System32\DRIVERS\oem-drv64.sys
    Folder: C:\Program Files (x86)\exfg
    Folder: C:\Windows\tasksche.exe
    Folder: C:\Windows\SysWOW64\WUDHostServices.exe
    Folder: C:\Windows\srvany.exe
    Folder: C:\Windows\ntoskrnl.exe
    Folder: C:\Program Files\dll
    Folder: C:\Windows\SysWOW64\wmassrv.dll
    Folder: C:\Windows\SysWOW64\HalPluginsServices.dll
    Folder: C:\Windows\system\lsaus.exe
    Folder: C:\Windows\sysprepthemes
    Folder: C:\Windows\svchost.exe
    Folder: C:\Windows\SpeechsTracing
    Folder: C:\Windows\SecureBootThemes
    Folder: C:\Windows\boy.exe
    Folder: C:\ProgramData\storm
    Folder: C:\ProgramData\Mozilla
    Folder: C:\Users\Rash\facebook-100032998602433
    File: C:\BOOTSECT.BAK
    FirewallRules: [{F155C295-CDB2-49A6-9FBE-529A8261C2C0}] => (Allow) C:\Program Files (x86)\i2p\I2P.exe No File
    FirewallRules: [{31A18FA7-3A76-4773-B2C2-C16913A261AD}] => (Allow) C:\Program Files (x86)\i2p\I2P.exe No File
    FirewallRules: [{F154064B-4140-4F14-881C-E012BFD6A3D7}] => (Allow) C:\Program Files (x86)\i2p\I2P.exe No File
    FirewallRules: [{9AB73A1F-B8CC-4BE4-BFDD-9942343FD0F9}] => (Allow) C:\Program Files (x86)\i2p\I2P.exe No File
    FirewallRules: [{A85A4B8E-2307-41A8-ABC8-61268A680820}] => (Allow) C:\Program Files (x86)\i2p\I2Psvc.exe No File
    FirewallRules: [{2B87DE21-F22E-4092-B771-A35D6A6725F7}] => (Allow) C:\Program Files (x86)\i2p\I2Psvc.exe No File
    FirewallRules: [{086C79AD-3036-40AA-85AF-1F00BEC31FA2}] => (Allow) C:\Program Files (x86)\i2p\I2Psvc.exe No File
    FirewallRules: [{5BBBE352-2CC6-484E-B8C7-81451AA69641}] => (Allow) C:\Program Files (x86)\i2p\I2Psvc.exe No File
    FirewallRules: [{E21F8E08-2035-400C-8917-9329D9774949}] => (Allow) C:\Program Files (x86)\Tor Browser\Browser\firefox.exe No File
    FirewallRules: [{5F02A1A6-518E-48AC-836A-35A80FB5BE9B}] => (Allow) C:\Program Files (x86)\Tor Browser\Browser\firefox.exe No File
    FirewallRules: [{4096E685-192C-4B55-8E6E-6D33E732A147}] => (Allow) C:\Program Files (x86)\Tor Browser\Browser\firefox.exe No File
    FirewallRules: [{DBA13914-4679-443D-A9CF-4F6FDD63F503}] => (Allow) C:\Program Files (x86)\Tor Browser\Browser\firefox.exe No File
    FirewallRules: [{60B7582E-466A-4B4D-8A24-B45E344F914A}] => (Allow) C:\Users\Rash\AppData\Local\Yandex\YandexBrowser\Application\browser.exe No File
    FirewallRules: [{89F3F83A-B3E8-46C1-A063-2209733FEAF3}] => (Allow) C:\Users\Rash\AppData\Local\Yandex\YandexBrowser\Application\browser.exe No File
    FirewallRules: [{17255616-7DAF-471F-B932-45F72A056253}] => (Allow) C:\Users\Rash\AppData\Local\Yandex\YandexBrowser\Application\browser.exe No File
    FirewallRules: [{B1E158F5-1831-4445-A949-D9CA455011BE}] => (Allow) C:\Users\Rash\AppData\Local\Yandex\YandexBrowser\Application\browser.exe No File
    FirewallRules: [{90B6F2B9-D6B7-49C0-959E-13FE8790C2BE}] => (Allow) C:\Users\Rash\AppData\Roaming\ACEStream\engine\ace_engine.exe No File
    FirewallRules: [{F7DDBFD2-AA71-4EEE-B192-AECDA9EEC2DF}] => (Allow) C:\Users\Rash\AppData\Roaming\ACEStream\engine\ace_engine.exe No File
    FirewallRules: [{E705A773-4E85-4E27-93EF-6FE11DACA4BE}] => (Allow) C:\Users\Rash\AppData\Local\vghd\bin\vghd.exe No File
    FirewallRules: [{DFCC69EB-E8A5-4957-A956-8F6A801F84A2}] => (Allow) C:\Users\Rash\AppData\Local\vghd\bin\vghd.exe No File
    FirewallRules: [{1079BE63-C963-4A25-8048-E1D14DD5F314}] => (Allow) D:\Игра\Новая папка\Downloaded\Public\Warframe.exe No File
    FirewallRules: [{1F2987B9-D30A-4F60-96D0-F5540459B441}] => (Allow) D:\Игра\Новая папка\Downloaded\Public\Warframe.x64.exe No File
    FirewallRules: [{B7D10D76-BF4D-468C-B321-4C9F2D4D3C9C}] => (Allow) D:\Игра\Новая папка\Downloaded\Public\Warframe.exe No File
    FirewallRules: [{9DC98830-492D-4F29-A93C-9BDC3F134A12}] => (Allow) D:\Игра\Новая папка\Downloaded\Public\Warframe.x64.exe No File
    FirewallRules: [{AD8C5822-D6B5-41CE-9E0C-B0D39BE24A31}] => (Allow) C:\Program Files (x86)\ASUS\AI Suite II\AI Suite II.exe No File
    FirewallRules: [{509E82F2-078F-4016-B7B0-8D0F810E6A9C}] => (Allow) C:\Program Files (x86)\ASUS\AI Suite II\AI Suite II.exe No File
    FirewallRules: [{5EBB194E-70ED-4F8D-AB12-6DA0EF6560CB}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe No File
    FirewallRules: [{C5E021B8-9CBC-4F52-9FBD-0E52AA39A79B}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe No File
    FirewallRules: [{87439EA1-AF07-47EF-9D15-BCB478645E06}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
    FirewallRules: [{6C4A568E-9020-46A3-868B-27A0F9040EA7}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
    FirewallRules: [{A16453E5-8153-4CDF-AF74-3B5D06CEB78B}] => (Allow) C:\Program Files\obs-studio\bin\64bit\obs64.exe No File
    FirewallRules: [{33A02D15-D797-4EE9-9CFF-F147A88F29A8}] => (Allow) C:\Program Files\obs-studio\bin\64bit\obs64.exe No File
    FirewallRules: [{B628DE68-8C2E-478A-8F96-14D8034A7F1C}] => (Allow) C:\Program Files\obs-studio\bin\64bit\obs64.exe No File
    FirewallRules: [{D85D40A7-E4B9-4265-BDEF-C34BFCC7E1D8}] => (Allow) C:\Program Files\obs-studio\bin\64bit\obs64.exe No File
    FirewallRules: [{25E4CFC1-1247-4CC1-97DB-330802419CA1}] => (Allow) C:\Program Files (x86)\SplitmediaLabs\XSplit Broadcaster\x64\XSplit.Core.exe No File
    FirewallRules: [{300183A5-398C-483F-9DF2-61EC133C7302}] => (Allow) C:\Program Files (x86)\SplitmediaLabs\XSplit Broadcaster\x64\XSplit.cam.exe No File
    FirewallRules: [{28E5C874-6175-451E-A608-995FBE331D84}] => (Allow) C:\Program Files (x86)\SplitmediaLabs\XSplit Broadcaster\x64\XSplit.Core.exe No File
    FirewallRules: [{D226CDD5-7711-45D7-B23B-396D3F32808A}] => (Allow) C:\Program Files (x86)\SplitmediaLabs\XSplit Broadcaster\x64\XSplit.cam.exe No File
    Reboot:
    End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на сообщение
Поделиться на другие сайты

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    Start::
    CreateRestorePoint:
    CloseProcesses:
    Folder: C:\Windows\Fonts\Mysql
    Folder: C:\ProgramData\storm\update
    Zip: C:\BOOTSECT.BAK;C:\Windows\Fonts\StaticCache.dat
    C:\Program Files (x86)\exfg
    C:\Windows\tasksche.exe
    C:\Windows\SysWOW64\WUDHostServices.exe
    C:\Windows\srvany.exe
    C:\Windows\ntoskrnl.exe
    C:\Program Files\dll
    C:\Windows\SysWOW64\wmassrv.dll
    C:\Windows\SysWOW64\HalPluginsServices.dll
    C:\Windows\system\lsaus.exe
    C:\Windows\sysprepthemes
    C:\Windows\svchost.exe
    C:\Windows\SpeechsTracing
    C:\Windows\SecureBootThemes
    C:\Windows\boy.exe
    Reboot:
    End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

На рабочем столе образуется карантин вида <date>.zip загрузите через данную форму

 

Ссылка на сообщение
Поделиться на другие сайты

Всё выполнил, при запуске программы, как и в первый раз,сам закрылся диспетчер задач. Но что-то пошло не так.Ждал пока программа закончит работу и компьютер перезагрузится с 4:49 до 6:05. Этого не произошло.Снял видео с экрана монитора, синий фон это то что закрывает рабочий стол.(27 сек.)

Изменено пользователем D.Rash
Ссылка на сообщение
Поделиться на другие сайты

По каким-то причинам не смог взять в карантин:

C:\Windows\Fonts\StaticCache.dat

Выполните следующее:

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    Start::
    CreateRestorePoint:
    CloseProcesses:
    C:\Windows\Fonts\Mysql
    C:\Program Files (x86)\exfg
    C:\Windows\tasksche.exe
    C:\Windows\SysWOW64\WUDHostServices.exe
    C:\Windows\srvany.exe
    C:\Windows\ntoskrnl.exe
    C:\Program Files\dll
    C:\Windows\SysWOW64\wmassrv.dll
    C:\Windows\SysWOW64\HalPluginsServices.dll
    C:\Windows\system\lsaus.exe
    C:\Windows\sysprepthemes
    C:\Windows\svchost.exe
    C:\Windows\SpeechsTracing
    C:\Windows\SecureBootThemes
    C:\Windows\boy.exe
    Reboot:
    End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.


 

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте.Папка font больше всех была заражена,могу скрин отчтёта касперского прикрепить.Ещё случайно нашёл файл avz_sysinfo.htm,созданный через 2,5 часа после заражения(когда ещё сам боролся с трояном),так же могу загрузить,если нужен.

Все действия выполнил,файл Fixlog.txt прикрепил.

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

+ Скачайте AutorunsVTchecker, распакуйте и запустите. Не закрывайте окно до окончания завершения работы программы.
 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


×
×
  • Создать...