Перейти к содержанию

Появился ASP.USER -> борьба с троянами -> синий экран


Рекомендуемые сообщения

В начале Касперский начал обнаруживать различные трояны в системе. Вроде как успешно с ними боролся.

Затем сам появился пользователь ASP.USER.

После попытки полностью проверить ПК с помощью Касперского компьютер выдал синий экран.

После перезагрузок выходило сообщение о загрузке Windows, но через пару секунда синий экран вновь появлялся.

После многократных попыток восстановить систему (через F8, с помощью диска установки) чудом удалось загрузить Windows.

Касперским делать полные проверки пока не рискнул.

Kaspersky Virus Removal Tool 2015 и Dr.Web CureIt ни чего не нашли.

Adwcleaner нашёл 4 ключа в реестре. Исправил их вроде.

Подозреваю, что на ПК вирус и опасаюсь рецидива с синим экраном.

Лог в приложении.

Благодарю. 

CollectionLog-2017.08.22-12.24.zip

Ссылка на сообщение
Поделиться на другие сайты

1)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

2)

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание.
    Если у вас установлены архиваторы
    WinRAR
    или
    7-Zip
    , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание
    , что утилиты необходимо запускать от имени Администратора. По умолчанию в
    Windows XP
    так и есть. В
    Windows Vista
    и
    Windows 7
    администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
    Запуск от имени Администратора
    , при необходимости укажите пароль администратора и нажмите
    "Да"
    .



Подробнее читайте в руководстве Как подготовить лог UVS.
 

PS.

Kaspersky Free [2016/06/22 22:05:03]-->MsiExec.exe /I{F575F386-57EF-4943-B003-A13F13B05EEB} REMOVE=ALL
Kaspersky Free [20170419]-->MsiExec.exe /I{F575F386-57EF-4943-B003-A13F13B05EEB}

у вас похоже две версии Kaspersky Free стоят, потом как закончим с вирусами желательно удалить их оба и потом актуальную поставить заново.

Ссылка на сообщение
Поделиться на другие сайты

Ссылка на результаты анализа:Результаты анализа карантина

http://virusinfo.info/virusdetector/report.php?md5=76CDB2BAD9582D23C1F6F4D868218D6C

 

 

PC_2017-08-22_14-36-51.7z

Ссылка на сообщение
Поделиться на другие сайты

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.0.9 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    BREG
    ;---------command-block---------
    zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\CHROME_BITS_3540_14561\396_ALL_STHSET.CRX2
    delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\CHROME_BITS_3540_14561\396_ALL_STHSET.CRX2
    delref WMI_.[FUCKYOUMM2_FILTER]
    zoo %SystemRoot%\TEMP\GURBCE3.EXE
    delall %SystemRoot%\TEMP\GURBCE3.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
    delref S&A.EXE
    apply
    
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то
    с паролем
    virus
    .

  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.

 

 

сделайте свежий образ автозапуска.
 

Ссылка на сообщение
Поделиться на другие сайты

Проблема пока не наблюдается. Необходимо время (ИМХО).

В данное время произвожу удаление двух копий Kaspersky Free и установки только одного.

 

Если не секрет.  Что было с ПК? Заражение? Подозрение на что-то?

 

Спасибо!

 

ЗЫ

Я опять общался с богами. С богами в мире информационных технологий.

Ссылка на сообщение
Поделиться на другие сайты

 

 


Если не секрет. Что было с ПК? Заражение? Подозрение на что-то?
заражение.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Ссылка на сообщение
Поделиться на другие сайты

Рекомендации выполнены.

Уязвимости ликвидированы.

Проблема решена.

Спасибо!

 

ЗЫ

Название обнаруженных вирусов и ссылки на инфу по ним, если можно.

Спасибо!

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • dobrota_xx
      От dobrota_xx
      Предыдущая проблема тут 
      С некоторых пор, игры на dx12 стали запускаться. Но вообще все игры рандомно вылетали на рабочий стол. Я стал делать проверку системы на вирусы и попереставлял местами плашки рам. Теперь я ловлю очень частые синие экраны при разных событиях.
       
      Во всех присутствует ntoskrnl.exe
       

    • dobrota_xx
      От dobrota_xx
      Я проводил проверку dr.Web и наткнулся на неудаляемый вирус. Потом я получил синий экран IRQL_NOT_LESS_OR_EQUAL (0x0000000a), а теперь, когда я пытаюсь сделать повторную проверку, я получаю DRIVER_VERIFIER_DETECTED_VIOLATION (0x000000c4). Как быть?

    • Erhogg
      От Erhogg
      Здравствуйте, появилась такая проблема: в прошлый вторник при включении компьютера на этапе загрузки Windows вылетел синий экран, потом перезагрузка и опять. И так три раза подряд, на четвертый все загрузилось и нормально работало до сегодняшнего дня. Сегодня это повторилось, но только один раз. В прошлый раз не стал писать сюда, потому что: во первых, дамп почему-то не сохранился, поэтому ошибки не было видно, а во-вторых, решил понаблюдать. Синий экран появлялся только на этапе загрузки, во время работы и игр - все хорошо. Что это может быть? Куда копать? Скрины прикладываю.
       
       





    • irina_white
      От irina_white
      Здравствуйте.
      Компьютер очень часто не видит ни одной сети wi-fi. Иногда после перезагрузки эта проблема решается, но ненадолго, через какое-то время все сети опять пропадают. Иногда перезагружаться приходится раз по 5.
      Также периодически появляется синий экран со следующими ошибками: CLOCK_WATCHDOG_TIMEOUT, IRQL_NOT_LESS_OR_EQUAL, DRIVER_POWER_STATE_FAILURE
      До этого пытались помочь в этой теме 
       
      Очень надеюсь на вашу помочь.
      Заранее спасибо.
    • ЖанЖан
      От ЖанЖан
      Добрый день с сегодняшнего утра стал выпадать синий экран с ошибкой driver_irql_not_less_or_equal kneps.sys, а после включения компьютера касперский сообщает об ошибке при предыдущем запуске программы.
      На момент появления проблемы стоят прошлогодний бесплатный касперский. Сейчас я скачал с сайта последний kaspersky security cloud, думал что простая переустановка на другую версию программы решит проблему но нет.
      Снова вылетел синий экран с той же самой проблемой, уже 4 за последний час.
      Подскажите что делать.
×
×
  • Создать...