Зависает компьютер на рабочем столе после проверки антивирусом Kaspersky 2013

[Windwalker]

Здравствуйте, после полной проверки антивирусом Kaspersky 2013 с устаревшими базами обнаружил много вирусов, в т.ч. трояны. Антивирус предложил их излечить, на что я и согласился. Пришёл лишь вечером, когда касперский закончил полную проверку и выполнил все операции по излечению. Потом образовалась частая на этом форуме проблема: при запуске windows всё нормально, при загрузке рабочего стола сначала всё работает, потом не отвечают никакие ярлыки и кнопки, потом и мышка зависла. В безопасном режиме всё работает без проблем, даже с включённой сетью. Проблема остаётся со всеми выключенными галками в автозагрузке, с отключённым интернетом и отключённым касперским. Также после этого проверил drweb cureit, он нашёл 7 программ-шпионов и ничего более. Также выполнял полную проверку жёсткого диска ( при перезагрузке после команды в реестре "chkdsk c: /F /R", не помогло, однако появился небольшой прогресс в 2-3 секунды. Просмотрел все темы на форуме и испробовал все варианты, которые нашёл. Возможно, поможет работа с логами, какие я встреяал на форуме. Буду благодарен за помощь и всем, кто прочтёт.

[kmscom]

внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

Версию антивируса необходимо будет обновить

[Windwalker]

Сделаю сбор логов ближе к вечеру. Не подскажете пока, будет ли сборщик работать в безопасном режиме или необходимы дополнительные действия?

[regist]

 

 

будет ли сборщик работать в безопасном режиме или необходимы дополнительные действия?

Работать будет, но информация о системе в нём может быть не полной (так как не все процессы запущены). А в чём проблема сделать логи из обычного режима?

[Windwalker]

Проблема в том, что компьютер виснет через несколько секунд работ при обычном режиме. Прикрепляю логи, все остальные пункты из указаний выполнены.

Извиняюсь, не прикрепилось

CollectionLog-2017.05.16-18.41.zip

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\prefetch\secscan.exe', '');
 QuarantineFile('C:\Windows\Fonts\wuauser.exe', '');
 QuarantineFile('C:\Program Files (x86)\48B89820-1454074434-11DD-8856-08606E7C1B5A\knst9E23.tmp', '');
 QuarantineFile('C:\Program Files (x86)\48B89820-1454074434-11DD-8856-08606E7C1B5A\hnsr17B7.tmp', '');
 QuarantineFile('C:\Users\serg\AppData\Local\Blacount\stub.exe', '');
 QuarantineFile('C:\Users\serg\AppData\Local\Blacount\config.json', '');
 QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe', '');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', '');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
 QuarantineFile('C:\ProgramData\iJqspc\YQxIvTYkW0.bat', '');
 QuarantineFile('C:\Windows\Fonts\sppsrv.exe', '');
 QuarantineFile('C:\Windows\Fonts\wuauser.exe0', '');
 QuarantineFile('C:\Windows\Fonts\wuauser.exe1', '');
 QuarantineFileF('c:\users\serg\appdata\local\blacount', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\programdata\timetasks', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('C:\ProgramData\iJqspc\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\serg\AppData\Local\Blacount\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Windows\prefetch\secscan.exe', '32');
 DeleteFile('C:\Windows\Fonts\wuauser.exe', '32');
 DeleteFile('C:\Program Files (x86)\48B89820-1454074434-11DD-8856-08606E7C1B5A\knst9E23.tmp', '32');
 DeleteFile('C:\Program Files (x86)\48B89820-1454074434-11DD-8856-08606E7C1B5A\hnsr17B7.tmp', '32');
 DeleteFile('C:\Users\serg\AppData\Local\Blacount\stub.exe', '32');
 DeleteFile('C:\Users\serg\AppData\Local\Blacount\config.json', '32');
 DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe', '32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', '32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
 DeleteFile('C:\ProgramData\iJqspc\YQxIvTYkW0.bat', '32');
 DeleteFile('C:\Windows\Fonts\sppsrv.exe', '32');
 DeleteFile('C:\Windows\Fonts\wuauser.exe0', '32');
 DeleteFile('C:\Windows\Fonts\wuauser.exe1', '32');
 DeleteService('clr_optimization_v4.0.30339');
 DeleteService('pucufecozbt');
 DeleteService('wucotusy');
 DeleteFileMask('C:\ProgramData\iJqspc\', '*', true);
 DeleteFileMask('c:\users\serg\appdata\local\blacount', '*', true);
 DeleteFileMask('c:\programdata\timetasks', '*', true);
 DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
 DeleteFileMask('C:\Users\serg\AppData\Local\Blacount\', '*', true);
 DeleteDirectory('C:\ProgramData\iJqspc\');
 DeleteDirectory('c:\users\serg\appdata\local\blacount');
 DeleteDirectory('c:\programdata\timetasks');
 DeleteDirectory('c:\program files (x86)\zaxar');
 DeleteDirectory('C:\Users\serg\AppData\Local\Blacount\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Blacount', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarGameBrowser', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader', 'command');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1393502234&from=cor&uid=ST3500418AS_9VMN4SQYXXXX9VMN4SQY
R0 - HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command,(default) = C:\Program Files\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=sc&ts=1393502234&from=cor&uid=ST3500418AS_9VMN4SQYXXXX9VMN4SQY
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1393502234&from=cor&uid=ST3500418AS_9VMN4SQYXXXX9VMN4SQY&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1393502234&from=cor&uid=ST3500418AS_9VMN4SQYXXXX9VMN4SQY&q={searchTerms}
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1393502234&from=cor&uid=ST3500418AS_9VMN4SQYXXXX9VMN4SQY&q={searchTerms}
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1393502234&from=cor&uid=ST3500418AS_9VMN4SQYXXXX9VMN4SQY&q={searchTerms}
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86} - (no name) - (no URL)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\bin\jp2ssv.dll (file missing)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\bin\ssv.dll (file missing)
O2 - BHO: SafeMon Class - {B69F34DD-F0F9-42DC-9EDD-957187DA688D} - C:\Program Files (x86)\360\Total Security\safemon\safemon64.dll (file missing)
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer x64\skypeieplugin.dll (file missing)
O2 - BHO: Update Timer - {963B125B-8B21-49A2-A3A8-E37092276531} - C:\Program Files\Get-Styles 2.0\updatebho.dll (file missing)
O2-32 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2-32 - BHO: Discover Treasure - {bfa55139-82af-4663-a19b-e135dac8d043} - C:\Program Files (x86)\Discover Treasure\Extensions\bfa55139-82af-4663-a19b-e135dac8d043.dll (file missing)
O2-32 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll (file missing)
O2-32 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll (file missing)
O2-32 - BHO: SafeMon Class - {B69F34DD-F0F9-42DC-9EDD-957187DA688D} - C:\Program Files (x86)\360\Total Security\safemon\safemon.dll (file missing)
O2-32 - BHO: Update Timer - {963B125B-8B21-49A2-A3A8-E37092276531} - C:\Program Files (x86)\Get-Styles 2.0\utils\updatebho.dll (file missing)
O2-32 - BHO: script helper for ie - {9B5FB65F-631E-4564-ABF2-AD71845B28E0} - C:\Program Files (x86)\Get-Styles 2.0\ie\jsloader.dll (file missing)
O2-32 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O3-32 - Toolbar: Get-Styles toolbar v3   - {5BCDC9E9-A980-4B53-B2E8-60CFF484DA61} - C:\Program Files (x86)\Get-Styles 2.0\ie\toolbar.dll (file missing)
O4 - HKU\S-1-5-18\..\RunOnce: [FlashPlayerUpdate] C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_16_0_0_305_ActiveX.exe -update activex (file missing)
O4 - MSConfig\startupreg: [Blacount] C:\Users\serg\AppData\Local\Blacount\stub.exe /run "C:\Users\serg\AppData\Local\Blacount\config.json" (file missing) (HKCU) (2017/05/16)
O4 - MSConfig\startupreg: [DAEMON Tools Net Agent] C:\Program Files (x86)\DAEMON Tools Net\DTAgent.exe -autorun (file missing) (HKCU) (2013/10/07)
O4 - MSConfig\startupreg: [Google Update] C:\Users\serg\AppData\Local\Google\Update\GoogleUpdate.exe /c (file missing) (HKCU) (2017/05/16)
O4 - MSConfig\startupreg: [HTC Sync Loader] C:\Program Files (x86)\HTC\HTC Sync 3.0\htcUPCTLoader.exe -startup (file missing) (HKLM) (2013/10/07)
O4 - MSConfig\startupreg: [Infium] C:\Program Files (x86)\QIP 2012\qip.exe /autorun (file missing) (HKCU) (2013/10/07)
O4 - MSConfig\startupreg: [LogMeIn Hamachi Ui] D:\Games\hamachi-2-ui.exe --auto-start (file missing) (HKLM) (2017/05/16)
O4 - MSConfig\startupreg: [OscarEditor] C:\Program Files (x86)\OSCAR X7H\OscarEditor.exe Minimum (file missing) (HKCU) (2017/05/16)
O4 - MSConfig\startupreg: [Pando Media Booster] C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe (file missing) (HKCU) (2013/10/07)
O4 - MSConfig\startupreg: [ROC_ROC_NT] C:\Program Files (x86)\AVG Secure Search\ROC_ROC_NT.exe / /PROMPT /CMPID=ROC_NT (file missing) (HKLM) (2013/10/07)
O4 - MSConfig\startupreg: [Raptr] C:\Program Files (x86)\Raptr\raptrstub.exe --startup (file missing) (HKLM) (2017/05/16)
O4 - MSConfig\startupreg: [Super-Charger] C:\Program Files (x86)\MSI\Super-Charger\StartSuperCharger.exe (file missing) (HKLM) (2013/10/07)
O4 - MSConfig\startupreg: [Timestasks] C:\ProgramData\TimeTasks\timetasks.exe" " (file missing) (HKLM) (2017/05/16)
O4 - MSConfig\startupreg: [ZaxarGameBrowser] C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe -s (file missing) (HKLM) (2017/05/16)
O4 - MSConfig\startupreg: [ZaxarLoader] C:\Program Files (x86)\Zaxar\ZaxarLoader.exe /verysilent (file missing) (HKLM) (2017/05/16)
O9 - Extra button: Skype Click to Call - HKLM\..\{898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer x64\skypeieplugin.dll (file missing)
O9-32 - Extra 'Tools' menuitem: ICQ7.6 - HKLM\..\{7644E42D-B096-457F-8B5B-901238FC81AE} - C:\Users\serg\Desktop\Антон\Антон\Desktop\Программы\ICQ7.6\ICQ.exe (file missing)
O9-32 - Extra 'Tools' menuitem: ICQ7M - HKLM\..\{781B39EC-2E18-41FC-9B00-B84E4FFCA85F} - D:\Program Files (x86)\ICQ7M\ICQ.exe (file missing)
O9-32 - Extra button: ICQ7.6 - HKLM\..\{7644E42D-B096-457F-8B5B-901238FC81AE} - C:\Users\serg\Desktop\Антон\Антон\Desktop\Программы\ICQ7.6\ICQ.exe (file missing)
O9-32 - Extra button: ICQ7M - HKLM\..\{781B39EC-2E18-41FC-9B00-B84E4FFCA85F} - D:\Program Files (x86)\ICQ7M\ICQ.exe (file missing)
O18 - Protocol: base64 - {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - C:\Program Files (x86)\Get-Styles 2.0\ie\tdataprotocol.dll (file missing)
O18 - Protocol: chrome - {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - C:\Program Files (x86)\Get-Styles 2.0\ie\tdataprotocol.dll (file missing)
O18 - Protocol: prox - {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - C:\Program Files (x86)\Get-Styles 2.0\ie\tdataprotocol.dll (file missing)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

Программы/расширения от Mail.ru используете?
 

 

 

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

Изменено 16 мая, 2017 пользователем regist

[Windwalker]

Ссылка на результаты анализа карантина: https://virusinfo.info/virusdetector/report.php?md5=9D5D8173F372B04F04B9422CFAA9A05F

 

Полученный от newvirus@kaspersky.com ответ:

KLAN-6249048164

Thank you for contacting Kaspersky Lab

The files have been scanned in automatic mode.

Malicious code has been detected in the following files:
secscan.exe - HEUR:Trojan.Win32.Generic
sppsrv.exe - Backdoor.Win32.Agent.gtrl
wuauser.exe1 - HEUR:Trojan.Win32.Generic

Malicious code detected by Kaspersky Lab products with KSN technology enabled has been found in the following files:
wuauser.exe0 - UDS:DangerousObject.Multi.Generic

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

This is an automatically generated message. Please do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

Показанные вами логи пофиксил, Единственное - не понял операцию "повторите логи по правилам".  Вам снова прислать самый первый отчёт автологгера?

От Mail.ru, как я считал до этого, ничего не использую

Нужные отчёты прикрепил

 

Также не нажимал в Adwcleaner кнопку "очистить". Лишь просканировал и отправил отчёт.

AdwCleanerS0.txt

ClearLNK-16.05.2017_20-24.log

[regist]

Программы/расширения от Mail.ru используете?
 

[Windwalker]

Нет, они устанавливались сами, хотя я и старался убирать галочки и тому подобные видные мне действия.

[regist]

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

[Windwalker]

сделано

AdwCleanerC0.txt

[regist]

Что с проблемой? И антивирус обновили до актуальной версии?

[Windwalker]

Всё то же: при запуске windows всё работает прекрасно, при вводе пароля учётной записи и входе сначала левый верхний угол (где выбор языка) становится белым прямоугольником, потом весь фон вокруг добро пожаловать на весь монитор становится белым прямоугольником. Надпись "Добро пожаловать" всё ещё видна чёрными буквами. При заходе на рабочий стол всё работает идеально, хотя и процесс с белыми фонами замедляет вход в систему, но через несколько секунд сначала отключается весь интерфейс, а потом и мышь перестаёт двигаться. Компьютер завис. Базы обновлю завтра, так как давно истёк ключ от Касперского.

Сейчас попробую скачать и запустить пробную версию Kaspersky Total security

[regist]

1)

• Пожалуйста, запустите adwcleaner.exe
• Нажмите File (Файл) Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

 

2) Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

[Windwalker]

Хотя передумал. Переустанавливать антивирусы...

да, сейчас сделаю

А возможен ли вариант, что касперский при полной проверке потерял системный файл? Потому что как раз перед проблемой я совершал полную проверку им с последующим удалением вирусов и выключением компьютера. После включения уже появилась проблема.

scan.txt