Падение win7 из-за отсутствия драйвера mbamswissarmy.sys

[Navigator2000 0]

Всем добрый день!

Создаю тему по рекомендации @regist в соседней теме: https://forum.kasperskyclub.ru/index.php?showtopic=56112

Проблема возникла после работы adwcleaner. После перезагрузки Windows7 отказался загружаться из-за отсутствия драйвера mbamswissarmy.sys. Попытка загрузить последнюю рабочую конфигурацию успехом не увенчалась с тем же сообщением. Попытка восстановления с установочным диском win7 также не удалась.

Загрузился с установочного диска, запустил total commander, нашел файл mbamswissarmy.sys - его размер 0.

В предыдущей теме мне подсказали, что проблему вызвал не AdwCleaner, а Malwarebytes Anti-Malware.

Сделал образ автозапуска, как там посоветовали. Прикладываю.

MAX-PC_2017-06-20_20-53-16.7z

[regist 618]

1) Скачайте uVS по указанной мной ссылке (нету там никакого вируса это ложное срабатывание).

 

2) Выполните скрипт в uVS

;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v400c
BREG
zoo %Sys32%\DRIVERS\MBAE64.SYS
delall %Sys32%\DRIVERS\MBAE64.SYS
zoo H:\64X\SOFT\SECUR\ANTI-MALWARE\MBAMSERVICE.EXE
delall H:\64X\SOFT\SECUR\ANTI-MALWARE\MBAMSERVICE.EXE
zoo %Sys32%\DRIVERS\MBAMCHAMELEON.SYS
delall %Sys32%\DRIVERS\MBAMCHAMELEON.SYS
zoo %Sys32%\DRIVERS\MBAMSWISSARMY.SYS
delall %Sys32%\DRIVERS\MBAMSWISSARMY.SYS
zoo H:\64X\SOFT\SECUR\ANTI-MALWARE\MBAMTRAY.EXE
delall H:\64X\SOFT\SECUR\ANTI-MALWARE\MBAMTRAY.EXE
zoo H:\64X\SOFT\SECUR\ANTI-MALWARE\MBSHLEXT.DLL
delall H:\64X\SOFT\SECUR\ANTI-MALWARE\MBSHLEXT.DLL
zoo %Sys32%\DRIVERS\FARFLT.SYS
delall %Sys32%\DRIVERS\FARFLT.SYS
czoo

после этого попробуйте загрузиться.

Изменено 20 июня, 2017 пользователем regist

[Navigator2000 0]

Выполните скрипт в uVS

Простите за глупый вопрос, а как этот скрипт выполнить? Если из файла, то какой формат должен быть? Если из буфера обмена, то сохранить на флешку в .txt, открыть (он чем-то откроется?) и через ctr+c скопировать?

[regist 618]

По ссылке, что давал как сделать образ там же инструкция была как выполнить.

[Navigator2000 0]

@regist, ура! Загрузилось! Подскажите, где продолжить обсуждение - здесь или в новой теме? Я полез разными антивирусами проверять из-за того, что компьютер периодически подвисает на минуту (крутит стрелкой мышки, мышка при этом двигается, а программы подвисают), очень долго выключается (минут пять точно). Google периодически про подозрительную активность с моего адреса пишет. Подозреваю, что где-то какой-то вирус сидит. Установленный Kaspersky Total Security ничего не находит.

[regist 618]

Пока здесь:

1)

 

Скачайте и запустите эту утилиту.

2) У вас там установлено Emsisoft Anti-Malware, тоже деинсталируйте.

А также подозреваю, что Google Toolbar for Internet Explorer вы не используете, тогда и его в топку.

3) Сделайте свежий лог автозапуска уже из под живой системы. Посмотрю может ещё, что почистить можно.

 

Если потом проблемы останутся вернётесь в ту тему.

[Navigator2000 0]

Скачайте и запустите эту утилиту.

Запустил. Лог прилагаю.

 

2) У вас там установлено Emsisoft Anti-Malware, тоже деинсталируйте. А также подозреваю, что Google Toolbar for Internet Explorer вы не используете, тогда и его в топку.

Удалил

 

Сделайте свежий лог автозапуска

Прилагаю.

 

Что еще смущает:

При нажатии кнопки "обновить" или "скачать новую версию" во многих программах (например GoodSynс, AllMyBook - см скрин "Обновление")  не получается перейти по соответствующей ссылке. Попадаю на домашнюю страницу Explorer'а.

 

После работы uVS стала выскакивать табличка о прекращении работы программы "Bluetooth Stack COM Server" (см. скрин "Ошибка"). Не вирус ли это?

 

С помощью CrowdInspect пытался найти процессы, которые идут в момент, когда подвисает компьютер. Обратил внимание, что у процесса "System Idle Process" есть какие-то соединения (скрин "CrowdInspect", графа DNS) а это ведь пустой процесс и, по идее, он соединяться ни с кем не должен. Не признак ли это заражения?

 

И еще раз огромное спасибо за помощь!

MAX-PC_2017-06-21_13-13-49.7z

mb-clean-results.txt

[regist 618]

1) Сразу скажу, что вирусов у вас не видно, но зато система забита разным мусором виде хвостов от когда-то использованных программ так что неудивительны эти проблемы. Что можно немного почищу вам. И от Bluetooth что у вас установлено лучше переустановить, так как там похоже файлов нехватает.

 

2) Выполните скрипт uVS

;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
;---------command-block---------
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.99\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.123\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.149\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.135\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.153\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.111\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.145\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\FREEMAKE SHARED\PRODUCTUPDATER\PRODUCTUPDATER.EXE
delref %Sys32%\YING-UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_31\BIN\JP2IEXP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE7\BIN\JP2IEXP.DLL
delref %SystemDrive%\USERS\MAX\APPDATA\LOCAL\TEMP\~BCTRAVELLER.TMP\DRIVERS\DRIVERSXP_AMD64\BCBUST.SYS
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER\UNITYWEBPLUGINAX.OCX
delref D:\BIN\ASSETUP.EXE
delref L:\AUTORUN.EXE
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\MICROSOFT\SKYDRIVE\SKYDRIVE.EXE
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\MICROSOFT\SKYDRIVE\17.0.4024.1220\SKYDRIVESHELL.DLL
apply

regt 2
restart

3)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

4) Сделайте логи по по правилам раздела (Автологером).
 

+

Skype Click to Call - советую деинсталировать.

[Navigator2000 0]

Выполните скрипт uVS

 

Выполнил

 

Результат проверки VirusDetector'ом:

Результаты проверки онлайн-сервисом VirusDetector »

 

Логи Автологера прикладываю.

 

KSP Removal Tool ничего не нашел, Dr.Web CureIt нашел 4 вируса (на скрине "DrWeb CureIt").

 

 

Skype Click to Call - советую деинсталировать

А как его деинсталировать? Отключил его в настройках Explorer'а, но где удалить - не пойму.

 

 

Что можно немного почищу вам.

 

Спасибо!

CollectionLog-2017.06.21-23.13.zip

Изменено 21 июня, 2017 пользователем Navigator2000

[regist 618]

 

 

KSP Removal Tool ничего не нашел,

Это что? И для чего опять начали перебирать разные утилиты? Хотите снова убить систему?

 

 

А как его деинсталировать? Отключил его в настройках Explorer'а, но где удалить - не пойму.

В настройках IE вообще удалите это дополнение. А деинсталировать через установку и удаление программ.

 

 

4 вируса (на скрине "DrWeb CureIt").

На вирустотал проверьте их и покажите ссылки на отчёт. Если будет сказано, что файл уже проверялся, нажмите реанализ.

Диск H:\ это у вас что?

+
 

7-Zip 9.20 (x64 edition) [20120123]-->MsiExec.exe /I{23170F69-40C1-2702-0920-000001000000}

Надо бы обновить до актуальной версии.

Skype Click to Call [20161024]-->MsiExec.exe /I{873F8E7C-10E6-449F-BD7E-5FBA7C8E1C9B}

Если не видно в удаление программ, то попробуйте в коммандной строке ввести

MsiExec.exe /I{873F8E7C-10E6-449F-BD7E-5FBA7C8E1C9B}

 
 
Сделайте SMART диска и выложите его во второй своей теме (есть подозрения, что у вас проблемы с жёстким).
 
"Пофиксите" в HijackThis:

O2 - BHO: Time Boss IE monitor. NiceKit Software. - {7b1695f3-9402-406d-a8b6-dcdc14471895} - mscoree.dll (file missing)
O2-32 - BHO: Time Boss IE monitor. NiceKit Software. - {7b1695f3-9402-406d-a8b6-dcdc14471895} - mscoree.dll (file missing)
O4 - MSConfig\startupreg: [drm.exe] F:\МиниИгры\Новая папка\Nevosoft.Games\drm.exe  (file missing) (HKCU) (2017/06/18)
O8 - Extra context menu item: Заполнить формы - C:/Program Files (x86)/Siber Systems/AI RoboForm (file missing)
O8 - Extra context menu item: Настроить Меню - C:/Program Files (x86)/Siber Systems/AI RoboForm (file missing)
O8 - Extra context menu item: Показать тулбар RF - C:/Program Files (x86)/Siber Systems/AI RoboForm (file missing)
O8 - Extra context menu item: Сохранить формы - C:/Program Files (x86)/Siber Systems/AI RoboForm (file missing)
O9 - Extra 'Tools' menuitem: Send by Bluetooth to - HKLM\..\{7815BE26-237D-41A8-A98F-F7BD75F71086} - (no file)
O9 - Extra button: (no name) - HKLM\..\{7815BE26-237D-41A8-A98F-F7BD75F71086} - (no file)

[Navigator2000 0]

 

 

На вирустотал проверьте их и покажите ссылки на отчёт.

Не понял, как ссылку на отчет сделать. Тут адреса страниц, где были результаты проверки (надеюсь, оно и есть):

https://www.virustotal.com/ru/file/994212a08d5885ed96e6f679a7357cd14bfb8a6e91a1820f67fe7b36238e0ea3/analysis/1498123703/

https://www.virustotal.com/ru/file/4eeb021a1cdd6fdf3a1c3ec3d522f0ab3a65128d0f1af3848029c65b93b23bf0/analysis/1498124218/

https://www.virustotal.com/ru/file/c04a4a9d366990f57b8ce119ec10de1c2f43c944f8a2792534a8939d33fe931d/analysis/1498124422/

Эти три файла CureIt лечил. Четвертый файл он переместил. На указанном до момента лечения месте его нет.

 

 

KSP Removal Tool
Это что? И для чего опять начали перебирать разные утилиты?

Это Kaspersky Virus Removal Tool 2015; - одна из двух утилит, которой по инструкции надо проверить компьютер перед запуском автологера. Делал, как указано в ссылке "по правилам раздела".

 

 

7-Zip  Надо бы обновить до актуальной версии

обновил

 

 

 

Skype Click to Call [20161024]-->MsiExec.exe /I{873F8E7C-10E6-449F-BD7E-5FBA7C8E1C9B} Если не видно в удаление программ, то попробуйте в коммандной строке ввести

Я правильно понял, что искать надо не "Skype Click to Call", а "MsiExec"? Где он расположен, я нашел. Его просто в корзину отправить? В установке и удалении программ его нет.

 

 

 

Диск H:\ это у вас что?

Это диск, куда я все программы устанавливаю. У меня в качестве С:\ стоит SSD - объем у него небольшой и там только система. Все программы на H:\.

[regist 618]

Это Kaspersky Virus Removal Tool 2015;

Так это не KSP, а KVRT (ну или AVP Tool).

 

 

https://www.virustot...sis/1498123703/https://www.virustot...sis/1498124218/ https://www.virustot...sis/1498124422/

На скрине у вас 4 файла, а тут только три ссылки. Из них один подписан валидной подписью от MS (так что позор докторам, что они его детектят), один похоже просто файл hosts слегка модифицированный, 3-й надо уже самому ковырять.

 

 

Я правильно понял, что искать надо не "Skype Click to Call", а "MsiExec"?

нет, не правильно. Заходите в панель управления - установка удаление программ и ищите в списке установленных "Skype Click to Call".

Либо второй способ, нажать windows + R и туда скопировать

MsiExec.exe /I{873F8E7C-10E6-449F-BD7E-5FBA7C8E1C9B} 

Изменено 22 июня, 2017 пользователем regist

[Navigator2000 0]

Так это не KSP, а KVRT (ну или AVP Tool).

Понял. Буду знать.

 

На скрине у вас 4 файла, а тут только три ссылки.

 

Так CureIt не предлагал его лечить, а куда-то перенёс. Могу лог его работы сбросить - не разобрался в нем...

 

Либо второй способ

Сейчас попробую. Компьютер после "Пофиксите" в HijackThis" перезагружаю.

 

 

3-й надо уже самому ковырять.

А как?

 

 

Либо второй способ, нажать windows + R и туда скопировать MsiExec.exe /I{873F8E7C-10E6-449F-BD7E-5FBA7C8E1C9B}

Попробовал. Пишет, что "данное действие допускается только для установленных продуктов". Файл физически есть, надстройка такая в IE есть (отключена), а программа не установлена?

 

 

Сделайте SMART диска и выложите его во второй своей теме

 

Выложил.

[regist 618]

 

 

Попробовал. Пишет, что "данное действие допускается только для установленных продуктов". Файл физически есть, надстройка такая в IE есть (отключена), а программа не установлена?

Ок, попробую скриптом запустить деинсталяцию.

 

Выполните скрипт uVS:

;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
exec32 MsiExec.exe /I{873F8E7C-10E6-449F-BD7E-5FBA7C8E1C9B}

На вопросы об удаление программы (если будут) соглашайтесь.

[Navigator2000 0]

 

 

Выполните скрипт uVS:

 

Не помогло. Пишет то же самое - "данное действие допускается только для установленных продуктов".