Navigator2000 0 Опубликовано 20 июня, 2017 Share Опубликовано 20 июня, 2017 Всем добрый день! Создаю тему по рекомендации @regist в соседней теме: https://forum.kasperskyclub.ru/index.php?showtopic=56112 Проблема возникла после работы adwcleaner. После перезагрузки Windows7 отказался загружаться из-за отсутствия драйвера mbamswissarmy.sys. Попытка загрузить последнюю рабочую конфигурацию успехом не увенчалась с тем же сообщением. Попытка восстановления с установочным диском win7 также не удалась. Загрузился с установочного диска, запустил total commander, нашел файл mbamswissarmy.sys - его размер 0. В предыдущей теме мне подсказали, что проблему вызвал не AdwCleaner, а Malwarebytes Anti-Malware. Сделал образ автозапуска, как там посоветовали. Прикладываю. MAX-PC_2017-06-20_20-53-16.7z Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 20 июня, 2017 Share Опубликовано 20 июня, 2017 (изменено) 1) Скачайте uVS по указанной мной ссылке (нету там никакого вируса это ложное срабатывание). 2) Выполните скрипт в uVS ;uVS v4.0.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.3 v400c BREG zoo %Sys32%\DRIVERS\MBAE64.SYS delall %Sys32%\DRIVERS\MBAE64.SYS zoo H:\64X\SOFT\SECUR\ANTI-MALWARE\MBAMSERVICE.EXE delall H:\64X\SOFT\SECUR\ANTI-MALWARE\MBAMSERVICE.EXE zoo %Sys32%\DRIVERS\MBAMCHAMELEON.SYS delall %Sys32%\DRIVERS\MBAMCHAMELEON.SYS zoo %Sys32%\DRIVERS\MBAMSWISSARMY.SYS delall %Sys32%\DRIVERS\MBAMSWISSARMY.SYS zoo H:\64X\SOFT\SECUR\ANTI-MALWARE\MBAMTRAY.EXE delall H:\64X\SOFT\SECUR\ANTI-MALWARE\MBAMTRAY.EXE zoo H:\64X\SOFT\SECUR\ANTI-MALWARE\MBSHLEXT.DLL delall H:\64X\SOFT\SECUR\ANTI-MALWARE\MBSHLEXT.DLL zoo %Sys32%\DRIVERS\FARFLT.SYS delall %Sys32%\DRIVERS\FARFLT.SYS czoo после этого попробуйте загрузиться. Изменено 20 июня, 2017 пользователем regist Ссылка на сообщение Поделиться на другие сайты
Navigator2000 0 Опубликовано 20 июня, 2017 Автор Share Опубликовано 20 июня, 2017 Выполните скрипт в uVS Простите за глупый вопрос, а как этот скрипт выполнить? Если из файла, то какой формат должен быть? Если из буфера обмена, то сохранить на флешку в .txt, открыть (он чем-то откроется?) и через ctr+c скопировать? Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 20 июня, 2017 Share Опубликовано 20 июня, 2017 По ссылке, что давал как сделать образ там же инструкция была как выполнить. Ссылка на сообщение Поделиться на другие сайты
Navigator2000 0 Опубликовано 20 июня, 2017 Автор Share Опубликовано 20 июня, 2017 @regist, ура! Загрузилось! Подскажите, где продолжить обсуждение - здесь или в новой теме? Я полез разными антивирусами проверять из-за того, что компьютер периодически подвисает на минуту (крутит стрелкой мышки, мышка при этом двигается, а программы подвисают), очень долго выключается (минут пять точно). Google периодически про подозрительную активность с моего адреса пишет. Подозреваю, что где-то какой-то вирус сидит. Установленный Kaspersky Total Security ничего не находит. Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 21 июня, 2017 Share Опубликовано 21 июня, 2017 Пока здесь: 1) Скачайте и запустите эту утилиту. 2) У вас там установлено Emsisoft Anti-Malware, тоже деинсталируйте. А также подозреваю, что Google Toolbar for Internet Explorer вы не используете, тогда и его в топку. 3) Сделайте свежий лог автозапуска уже из под живой системы. Посмотрю может ещё, что почистить можно. Если потом проблемы останутся вернётесь в ту тему. 1 1 Ссылка на сообщение Поделиться на другие сайты
Navigator2000 0 Опубликовано 21 июня, 2017 Автор Share Опубликовано 21 июня, 2017 Скачайте и запустите эту утилиту. Запустил. Лог прилагаю. 2) У вас там установлено Emsisoft Anti-Malware, тоже деинсталируйте. А также подозреваю, что Google Toolbar for Internet Explorer вы не используете, тогда и его в топку. Удалил Сделайте свежий лог автозапуска Прилагаю. Что еще смущает: При нажатии кнопки "обновить" или "скачать новую версию" во многих программах (например GoodSynс, AllMyBook - см скрин "Обновление") не получается перейти по соответствующей ссылке. Попадаю на домашнюю страницу Explorer'а. После работы uVS стала выскакивать табличка о прекращении работы программы "Bluetooth Stack COM Server" (см. скрин "Ошибка"). Не вирус ли это? С помощью CrowdInspect пытался найти процессы, которые идут в момент, когда подвисает компьютер. Обратил внимание, что у процесса "System Idle Process" есть какие-то соединения (скрин "CrowdInspect", графа DNS) а это ведь пустой процесс и, по идее, он соединяться ни с кем не должен. Не признак ли это заражения? И еще раз огромное спасибо за помощь! MAX-PC_2017-06-21_13-13-49.7z mb-clean-results.txt Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 21 июня, 2017 Share Опубликовано 21 июня, 2017 1) Сразу скажу, что вирусов у вас не видно, но зато система забита разным мусором виде хвостов от когда-то использованных программ так что неудивительны эти проблемы. Что можно немного почищу вам. И от Bluetooth что у вас установлено лучше переустановить, так как там похоже файлов нехватает. 2) Выполните скрипт uVS ;uVS v4.0.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG ;---------command-block--------- delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.99\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.123\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.149\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.135\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.153\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.111\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.145\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\FREEMAKE SHARED\PRODUCTUPDATER\PRODUCTUPDATER.EXE delref %Sys32%\YING-UNINSTALL.EXE delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_31\BIN\JP2IEXP.DLL delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE7\BIN\JP2IEXP.DLL delref %SystemDrive%\USERS\MAX\APPDATA\LOCAL\TEMP\~BCTRAVELLER.TMP\DRIVERS\DRIVERSXP_AMD64\BCBUST.SYS delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER\UNITYWEBPLUGINAX.OCX delref D:\BIN\ASSETUP.EXE delref L:\AUTORUN.EXE delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\MICROSOFT\SKYDRIVE\SKYDRIVE.EXE delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\MICROSOFT\SKYDRIVE\17.0.4024.1220\SKYDRIVESHELL.DLL apply regt 2 restart 3) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. 4) Сделайте логи по по правилам раздела (Автологером). + Skype Click to Call - советую деинсталировать. 1 1 Ссылка на сообщение Поделиться на другие сайты
Navigator2000 0 Опубликовано 21 июня, 2017 Автор Share Опубликовано 21 июня, 2017 (изменено) Выполните скрипт uVS Выполнил Результат проверки VirusDetector'ом: Результаты проверки онлайн-сервисом VirusDetector » Логи Автологера прикладываю. KSP Removal Tool ничего не нашел, Dr.Web CureIt нашел 4 вируса (на скрине "DrWeb CureIt"). Skype Click to Call - советую деинсталировать А как его деинсталировать? Отключил его в настройках Explorer'а, но где удалить - не пойму. Что можно немного почищу вам. Спасибо! CollectionLog-2017.06.21-23.13.zip Изменено 21 июня, 2017 пользователем Navigator2000 Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 22 июня, 2017 Share Опубликовано 22 июня, 2017 KSP Removal Tool ничего не нашел, Это что? И для чего опять начали перебирать разные утилиты? Хотите снова убить систему? А как его деинсталировать? Отключил его в настройках Explorer'а, но где удалить - не пойму. В настройках IE вообще удалите это дополнение. А деинсталировать через установку и удаление программ. 4 вируса (на скрине "DrWeb CureIt"). На вирустотал проверьте их и покажите ссылки на отчёт. Если будет сказано, что файл уже проверялся, нажмите реанализ.Диск H:\ это у вас что? + 7-Zip 9.20 (x64 edition) [20120123]-->MsiExec.exe /I{23170F69-40C1-2702-0920-000001000000} Надо бы обновить до актуальной версии. Skype Click to Call [20161024]-->MsiExec.exe /I{873F8E7C-10E6-449F-BD7E-5FBA7C8E1C9B} Если не видно в удаление программ, то попробуйте в коммандной строке ввести MsiExec.exe /I{873F8E7C-10E6-449F-BD7E-5FBA7C8E1C9B} Сделайте SMART диска и выложите его во второй своей теме (есть подозрения, что у вас проблемы с жёстким). "Пофиксите" в HijackThis: O2 - BHO: Time Boss IE monitor. NiceKit Software. - {7b1695f3-9402-406d-a8b6-dcdc14471895} - mscoree.dll (file missing) O2-32 - BHO: Time Boss IE monitor. NiceKit Software. - {7b1695f3-9402-406d-a8b6-dcdc14471895} - mscoree.dll (file missing) O4 - MSConfig\startupreg: [drm.exe] F:\МиниИгры\Новая папка\Nevosoft.Games\drm.exe (file missing) (HKCU) (2017/06/18) O8 - Extra context menu item: Заполнить формы - C:/Program Files (x86)/Siber Systems/AI RoboForm (file missing) O8 - Extra context menu item: Настроить Меню - C:/Program Files (x86)/Siber Systems/AI RoboForm (file missing) O8 - Extra context menu item: Показать тулбар RF - C:/Program Files (x86)/Siber Systems/AI RoboForm (file missing) O8 - Extra context menu item: Сохранить формы - C:/Program Files (x86)/Siber Systems/AI RoboForm (file missing) O9 - Extra 'Tools' menuitem: Send by Bluetooth to - HKLM\..\{7815BE26-237D-41A8-A98F-F7BD75F71086} - (no file) O9 - Extra button: (no name) - HKLM\..\{7815BE26-237D-41A8-A98F-F7BD75F71086} - (no file) Ссылка на сообщение Поделиться на другие сайты
Navigator2000 0 Опубликовано 22 июня, 2017 Автор Share Опубликовано 22 июня, 2017 На вирустотал проверьте их и покажите ссылки на отчёт. Не понял, как ссылку на отчет сделать. Тут адреса страниц, где были результаты проверки (надеюсь, оно и есть): https://www.virustotal.com/ru/file/994212a08d5885ed96e6f679a7357cd14bfb8a6e91a1820f67fe7b36238e0ea3/analysis/1498123703/ https://www.virustotal.com/ru/file/4eeb021a1cdd6fdf3a1c3ec3d522f0ab3a65128d0f1af3848029c65b93b23bf0/analysis/1498124218/ https://www.virustotal.com/ru/file/c04a4a9d366990f57b8ce119ec10de1c2f43c944f8a2792534a8939d33fe931d/analysis/1498124422/ Эти три файла CureIt лечил. Четвертый файл он переместил. На указанном до момента лечения месте его нет. KSP Removal ToolЭто что? И для чего опять начали перебирать разные утилиты? Это Kaspersky Virus Removal Tool 2015; - одна из двух утилит, которой по инструкции надо проверить компьютер перед запуском автологера. Делал, как указано в ссылке "по правилам раздела". 7-Zip Надо бы обновить до актуальной версии обновил Skype Click to Call [20161024]-->MsiExec.exe /I{873F8E7C-10E6-449F-BD7E-5FBA7C8E1C9B} Если не видно в удаление программ, то попробуйте в коммандной строке ввести Я правильно понял, что искать надо не "Skype Click to Call", а "MsiExec"? Где он расположен, я нашел. Его просто в корзину отправить? В установке и удалении программ его нет. Диск H:\ это у вас что? Это диск, куда я все программы устанавливаю. У меня в качестве С:\ стоит SSD - объем у него небольшой и там только система. Все программы на H:\. Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 22 июня, 2017 Share Опубликовано 22 июня, 2017 (изменено) Это Kaspersky Virus Removal Tool 2015; Так это не KSP, а KVRT (ну или AVP Tool). https://www.virustot...sis/1498123703/https://www.virustot...sis/1498124218/ https://www.virustot...sis/1498124422/ На скрине у вас 4 файла, а тут только три ссылки. Из них один подписан валидной подписью от MS (так что позор докторам, что они его детектят), один похоже просто файл hosts слегка модифицированный, 3-й надо уже самому ковырять. Я правильно понял, что искать надо не "Skype Click to Call", а "MsiExec"? нет, не правильно. Заходите в панель управления - установка удаление программ и ищите в списке установленных "Skype Click to Call". Либо второй способ, нажать windows + R и туда скопировать MsiExec.exe /I{873F8E7C-10E6-449F-BD7E-5FBA7C8E1C9B} Изменено 22 июня, 2017 пользователем regist Ссылка на сообщение Поделиться на другие сайты
Navigator2000 0 Опубликовано 22 июня, 2017 Автор Share Опубликовано 22 июня, 2017 Так это не KSP, а KVRT (ну или AVP Tool).Понял. Буду знать. На скрине у вас 4 файла, а тут только три ссылки. Так CureIt не предлагал его лечить, а куда-то перенёс. Могу лог его работы сбросить - не разобрался в нем... Либо второй способСейчас попробую. Компьютер после "Пофиксите" в HijackThis" перезагружаю. 3-й надо уже самому ковырять.А как? Либо второй способ, нажать windows + R и туда скопировать MsiExec.exe /I{873F8E7C-10E6-449F-BD7E-5FBA7C8E1C9B} Попробовал. Пишет, что "данное действие допускается только для установленных продуктов". Файл физически есть, надстройка такая в IE есть (отключена), а программа не установлена? Сделайте SMART диска и выложите его во второй своей теме Выложил. Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 22 июня, 2017 Share Опубликовано 22 июня, 2017 Попробовал. Пишет, что "данное действие допускается только для установленных продуктов". Файл физически есть, надстройка такая в IE есть (отключена), а программа не установлена? Ок, попробую скриптом запустить деинсталяцию. Выполните скрипт uVS: ;uVS v4.0.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c exec32 MsiExec.exe /I{873F8E7C-10E6-449F-BD7E-5FBA7C8E1C9B} На вопросы об удаление программы (если будут) соглашайтесь. Ссылка на сообщение Поделиться на другие сайты
Navigator2000 0 Опубликовано 22 июня, 2017 Автор Share Опубликовано 22 июня, 2017 Выполните скрипт uVS: Не помогло. Пишет то же самое - "данное действие допускается только для установленных продуктов". Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти