что-то "жрет" оперативную память

[ArCtic]

невозможно запустить приложения, с горем пополам сделал логи.

CollectionLog-2017.08.15-10.34.zip

[regist]

Логи всё равно не полные, но хоть примерно картину заражения видно.

 

Попробуйте пока сможете такой лог сделать?

 

 

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

 

+

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 SetServiceStart('softaal', 4);
 SetServiceStart('SRepairDrv', 4);
 SetServiceStart('tsnethlp', 4);
 SetServiceStart('QQRepair23cb', 4);
 StopService('softaal');
 StopService('tsnethlp');
 StopService('QQRepair23cb');
 QuarantineFile('c:\pcfiXtraymghkl.lnk', '');
 QuarantineFile('C:\Program Files\Tencent\QQPCMGR\Plugins\QQRepair23cb', '');
 QuarantineFileF('C:\Program Files\Tencent\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('c:\pcfiXtraymghkl.lnk', '32');
 DeleteFile('C:\Program Files\Tencent\QQPCMGR\Plugins\QQRepair23cb', '32');
 DeleteFile('C:\Windows\Tasks\QQBrowser Updater Task.job', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "QQBrowser Updater Task" /F', 0, 15000, true);
 DeleteFileMask('C:\Program Files\Tencent\', '*', true);
 DeleteDirectory('C:\Program Files\Tencent\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'PCFIXTRAYTNSPW');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 

Изменено 15 августа, 2017 пользователем regist

[ArCtic]

после выполнения скрипта комп не перегрузился, авз не закрывался, пришлось вырубать пк на кнопку.

KLAN-6660619699

[regist]

Лог AdwCleaner-а можете сделать?

[ArCtic]

пардонс, забыл

AdwCleanerS0.txt

[regist]

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Потом попробуйте собрать логи по правилам из обычного режима. Должно быть уже полегче.

[ArCtic]

компьютер так же не перегружается, почти порвал бубен при сборе логов....

CollectionLog-2017.08.15-13.07.zip

[regist]

1) Эти программы советую деинсталировать

Skymonk [2014/08/12 19:50:54]-->"C:\Program Files\Skymonk\1.42\uninstall.exe"
Skymonk2 Internet Explorer plugin [2013/12/14 21:02:43]-->"C:\Program Files\Skymonk2Plugin\uninstall.exe"
Skype Click to Call [20161025]-->MsiExec.exe /I{873F8E7C-10E6-449F-BD7E-5FBA7C8E1C9B}
Unity Web Player [2016/04/04 15:33:29]-->C:\Users\USER\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser
Weatherbar [20140331]-->MsiExec.exe /I{BE742AE3-0C95-46CC-B5C8-9F942FDD9360}
Кнопка "Яндекс" на панели задач [2016/12/14 20:15:37]-->C:\Users\USER\AppData\Local\Yandex\yapin\YandexWorking.exe --uninstall --nopinned
Менеджер браузеров [20170321]-->MsiExec.exe /X{36E317A1-1384-4FC5-92CD-D4731B651859}

Если сейчас не получится, то позже попробуйте (когда китайскую заразу удалим), но лучше сейчас чтобы сразу следы зачистить.

 

2) Браузер по умолчанию тоже надо бы сменить, но не к спеху.

 

3) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
 

4)

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

5. Подробнее читайте в руководстве Как подготовить лог UVS.

 

PS. это можно и из безопасного режима делать. Даже наверно лучше пока из безопасного.

[ArCtic]

лог

3 не предлагает сохранить. нажимаешь "Сохранить полный образ автозапуска" и ничего не происходит

.

ClearLNK-15.08.2017_14-37.log

Изменено 15 августа, 2017 пользователем ArCtic

[regist]

Попробуйте uVS при запуске логов "Запустить под LocalSystem" и так собрать и сохранить лог.

 

 

следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.

и этот лог вы до сих пор не прикрепили.

[ArCtic]

вначале при нажатии на Запустить под LocalSystem" - ничего не происходило, сейчас вообще кнопка не активна и так же не могу сохранить.

память так же на 99% занята

AdwCleanerC0.txt

[regist]

 

 

Прикрепленные файлы

с этим логом тоже что-то не так, судя по нему удалять было нечего, а это не так.

И галочки что просил вас поставить похоже забыли. Но пока это оставим.

 

Live CD или USB есть? Чтобы загрузиться с него и сделать лог.

[ArCtic]

Live CD есть, какой лог из него сделать?

[regist]

Загрузитесь с Live CD, потом откройте uVS и на стартовом окне выберите пункт "Выбрать каталог Windows (Выбрана активная система)". Нажмите туда и укажите путь к папке своей пробмленой windows. После этого создайте и сохраните лог как пытались до этого.

Думаю так будет проще чем мучаться из под этой полуживой ОС.

[ArCtic]

урааа!!!

COMP_2017-08-16_09-12-51.7z