Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Это проблема с вирусом VAULT?

SURRUSAND
 Поделиться

Рекомендуемые сообщения

SURRUSAND Новичок

SURRUSAND

Опубликовано
Опубликовано

На рабочем столе начали появляться красные баннеры с предупреждением о малом количестве места для записи на жёсткий диск C:. После этого, открыв диспетчер задач, я обнаружил три активных процесса mshta.exe. Я завершил эти процессы в диспетчере задач. Потом просканировал компьютер программой Kaspersky Virus Removal Tool 2015. Затем записал программой AutoLogger журналы событий (логи). Далее просканировал компьютер программой Farbar Recovery Scan Tool. Получившиеся файлы результатов FRST.txt и Addition.txt заархивировал в файл FRST.txt and Addition.txt.rar. Был ли это вирус VAULT? Нужно ли запускать функцию Fix в программе Farbar Recovery Scan Tool, и с каким текстом алгоритма в файле fixlist.txt? Файлы архивов результатов работы программ: FRST.txt and Addition.txt.rar и CollectionLog-2016.10.26-20.47.zip я прикрепил к этому сообщению.

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 DeleteFile('C:\WINDOWS\Tasks\At1.job','32');
ExecuteSysClean;
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера.
 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
 
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{1DADCF17-3807-4EF4-9F84-57194A52DE97}: NameServer = 37.10.116.203
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{3EC290EF-2B75-43F8-B0AB-5051AFF98DF6}: NameServer = 37.10.116.203
O17 - HKLM\System\ControlSet003\Services\Tcpip\..\{1DADCF17-3807-4EF4-9F84-57194A52DE97}: NameServer = 37.10.116.203
O17 - HKLM\System\ControlSet003\Services\Tcpip\..\{3EC290EF-2B75-43F8-B0AB-5051AFF98DF6}: NameServer = 37.10.116.203
O17 - HKLM\System\ControlSet003\Services\Tcpip\..\{533ECCAB-39FC-400D-8762-71858B036D6B}: NameServer = 37.10.116.203

 

 
Сделайте новые логи Автологгером.
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Текстовые логи не пакуйте в архив. 

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
SURRUSAND Новичок

SURRUSAND

Опубликовано
  • Автор
Опубликовано

Извините. Упустил о нежелательности архивировать лог-файлы. Прикрепил неархивированные лог-файлы к данному сообщению. Ответьте, пожалйста, если можете, это был вирус VAULT или нет?

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"

CreateRestorePoint:

CloseProcesses:

SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=128&systemid=488&v=n12521-397&apn_uid=1763121401534005&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms}

SearchScopes: HKU\S-1-5-21-1229272821-484763869-515967899-500 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=128&systemid=488&v=n12521-397&apn_uid=1763121401534005&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms}

OPR Extension: (CinemaLoad) - C:\Documents and Settings\Admin\Application Data\Opera Software\Opera Stable\Extensions\ecijengmojcngjjgghkfkgbjoogmlngb [2014-05-11]

2015-08-15 14:54 - 2015-08-15 14:55 - 0138576 _____ () C:\Documents and Settings\Admin\Application Data\PnkBstrK.sys



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Восстановление системы включите. Смените все пароли. Данные восстанавливайте из резервных копий.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Couita
      Проблема с записью проблемы.
      Автор Couita
      Здравствуйте!
      Файл troubleshoot.exe из папки Касперского ничего не делает, при попытке запустить (через Касперского и вручную) ни к чему не приводит. Окно UAC появляется о том что пытаюсь открыть, нажимаю что согласен, и ничего далее.

    • warnix
      Проблема с пк
      Автор warnix
      здравствуйте, недавно столкнулся с такой проблемой,что при открытии программ вылезает ошибка(я прикрепил фото)
      есть подозрение что это вирус или просто ошибка виндовс
      пробовал запускать разные антивирусы(Kaspersky, dr web cureit) они также не запускаются, абсолютно никакие программы не запускаются, кроме нескольких игр и системных приложений, в диспетчере задач есть много подозрительных процессов, в автозагрузке есть файл steam у которого отсутствует издатель, а открыть расположение файла не получается, хочу попробовать решить эту проблему без переустановки виндовс, на это есть причины

    • Red13107
      проблема с расшифровкой файлов
      Автор Red13107
      Здраствуйте, не получается расшифровать 23 файла с помощью shadedecryptor. пишет ошибка и не может подобрать ключ.
      Addition.txt FRST.txt README1.txt Новая папка.rar
    • Dava
      Вирус
      Автор Dava
      Поймал вирус с торрента который устанавливал мне адблок в эдж, вирус и его папки я нашел и удалил, позже удалил торрент, но теперь при открытии эджа у меня пишет "Microsoft edge неожиданно завершил работу, восстановить страницы?"
      Удалять куки и сбрасывать настройки к начальным и тыкать Repair я пробовал, это не помогло. Я предполагаю что где то еще остался вирусняк который лезет в эдж, но касперский его не видит
      Addition.txt FRST.txt
    • жаждущий ответа
      Проблемы с загрузкой виндовс
      Автор жаждущий ответа
      Здравствуйте,возникла проблема с виндовс 10, система начала дольше грузиться, яндекс и вовсе сразу  в панели не отображается, проверил через касперски пишет,что trojan win32 sepeh gen,вылечить не получается,после перрезагрузки он появляется снова,и также не открывается редакто реестра,что делать не знаю
       
      Сообщение от модератора kmscom Тема перемещена из раздела Интервью с экспертами Лаборатории Касперского
×
×
  • Создать...