Перейти к содержанию

Это проблема с вирусом VAULT?

SURRUSAND
 Share

Рекомендуемые сообщения

SURRUSAND Новичок

SURRUSAND

Опубликовано
Опубликовано

На рабочем столе начали появляться красные баннеры с предупреждением о малом количестве места для записи на жёсткий диск C:. После этого, открыв диспетчер задач, я обнаружил три активных процесса mshta.exe. Я завершил эти процессы в диспетчере задач. Потом просканировал компьютер программой Kaspersky Virus Removal Tool 2015. Затем записал программой AutoLogger журналы событий (логи). Далее просканировал компьютер программой Farbar Recovery Scan Tool. Получившиеся файлы результатов FRST.txt и Addition.txt заархивировал в файл FRST.txt and Addition.txt.rar. Был ли это вирус VAULT? Нужно ли запускать функцию Fix в программе Farbar Recovery Scan Tool, и с каким текстом алгоритма в файле fixlist.txt? Файлы архивов результатов работы программ: FRST.txt and Addition.txt.rar и CollectionLog-2016.10.26-20.47.zip я прикрепил к этому сообщению.

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 DeleteFile('C:\WINDOWS\Tasks\At1.job','32');
ExecuteSysClean;
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера.
 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
 
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{1DADCF17-3807-4EF4-9F84-57194A52DE97}: NameServer = 37.10.116.203
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{3EC290EF-2B75-43F8-B0AB-5051AFF98DF6}: NameServer = 37.10.116.203
O17 - HKLM\System\ControlSet003\Services\Tcpip\..\{1DADCF17-3807-4EF4-9F84-57194A52DE97}: NameServer = 37.10.116.203
O17 - HKLM\System\ControlSet003\Services\Tcpip\..\{3EC290EF-2B75-43F8-B0AB-5051AFF98DF6}: NameServer = 37.10.116.203
O17 - HKLM\System\ControlSet003\Services\Tcpip\..\{533ECCAB-39FC-400D-8762-71858B036D6B}: NameServer = 37.10.116.203

 

 
Сделайте новые логи Автологгером.
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Текстовые логи не пакуйте в архив. 

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
SURRUSAND Новичок

SURRUSAND

Опубликовано
  • Автор
Опубликовано

Извините. Упустил о нежелательности архивировать лог-файлы. Прикрепил неархивированные лог-файлы к данному сообщению. Ответьте, пожалйста, если можете, это был вирус VAULT или нет?

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"

CreateRestorePoint:

CloseProcesses:

SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=128&systemid=488&v=n12521-397&apn_uid=1763121401534005&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms}

SearchScopes: HKU\S-1-5-21-1229272821-484763869-515967899-500 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=128&systemid=488&v=n12521-397&apn_uid=1763121401534005&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms}

OPR Extension: (CinemaLoad) - C:\Documents and Settings\Admin\Application Data\Opera Software\Opera Stable\Extensions\ecijengmojcngjjgghkfkgbjoogmlngb [2014-05-11]

2015-08-15 14:54 - 2015-08-15 14:55 - 0138576 _____ () C:\Documents and Settings\Admin\Application Data\PnkBstrK.sys



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Holo_Yolo
      [РЕШЕНО] Проблемы после майнера
      От Holo_Yolo
      Здравствуйте, проблема такая, после удаления майнера и процедуры лечения всё вернулось в норму, но перестала обновляться Windows 
      Так же были проблемы с запуском некоторых команд в командной строке, но их исправил путём удаления из реестра 
      Фото ошибки прилагаю 

    • Devilhomer
      Проблемы при автобновлении
      От Devilhomer
      Здравствуйте, уже НЕОДНОКРАТНО замечал, что при обновлении программных модулей удаляются закладки Google Chrome, сделанные в безопасном режиме (они доступны, только в безопасном режиме). Не обращался по данной проблеме, потомучто не так их много было, но тут (при недавнем обновлении) пропали довольно важные
      Также хочется отметить ОЧЕНЬ длительное открытие вкладок при переходе в безопасный режим. Отсылал отчеты из приложения о данной проблеме, но пока не заметил существенных изменений по данному вопросу.
    • Михаил Лысов
      Проблема с ooo4ps и bitlocker
      От Михаил Лысов
      Заблокирован диск. Прошу помощи с разблокировкой. Скорее всего подобрали пароль. В системе только два пользователя.
      1.rar
    • Арсений Солнцев
      Проблема с загрузкой WIN 10
      От Арсений Солнцев
      Здравствуйте. Подскажите пожалуйста, кто конкретно разбирается, несколько дней уже при включении ПК во время загрузки вылезает это сообщение. Приходится входить в настройки BIOSa сохранять или просто там нажимать выход. Раньше такого не было, настройки никакие не менял! Если enter нажать ничего не происходит. А через F1 попадаешь в настройки BIOS и только через них можно выйти и загрузка ПК продолжится (время не сбивалось на ПК*).
      Как исправить чтобы WIN 10 как раньше - сразу прогружалась сама ?



    • Vlad05
      Засыпали вирусы
      От Vlad05
      Через Yandex-почту получил 29 мая письмо. Появились первые трояны, через два дня Avast перстал справляться, установил Касперского, но и он все вылечить не может. Помогите, с уважением, Владимир.
      virusinfo_syscheck.zip
      virusinfo_syscure.zip
      hijackthis.rar
×
×
  • Создать...